1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
31
32
33
// 包含头文件
#include <uapi/linux/openat2.h>
#include <linux/sched.h>
// 定义数据结构
struct data_t {
u32 pid;
u64 ts;
char comm[TASK_COMM_LEN];
char fname[NAME_MAX];
};
// 定义性能事件映射
BPF_PERF_OUTPUT(events);
int hello_world(struct pt_regs *ctx, int dfd, const char __user * filename, struct open_how *how)
{
struct data_t data = { };
// 获取PID和时间
data.pid = bpf_get_current_pid_tgid();
data.ts = bpf_ktime_get_ns();
// 获取进程名字
if (bpf_get_current_comm(&data.comm, sizeof(data.comm)) == 0)
{
bpf_probe_read(&data.fname, sizeof(data.fname), (void *)filename);
}
// 提交性能事件
events.perf_submit(ctx, &data, sizeof(data));
return 0;
}
以bpf开头的函数都是eBPF提供的辅助函数,比如:
- bpf_get_current_pid_tgid:用于获取进程的PID和TGID,因为这里定义了data.pid的数据类型为u32,所以高32位舍弃掉后就是PID
- bpf_ktime_get_ns:用于获取进程自启动以来的时间,单位是纳秒
- bpf_get_current_comm:用于获取进程名,并把进程名复制到预定义的缓冲区中
- bpf_probe_read:用于从指定指针处读取固定大小的数据,这里则是读取进程打开的文件名。
有了BPF映射之后,我们之前的bpf_trace_printk()其实就不需要了,因为用户态进程就可以直接从BPF映射中读取内核eBPF程序的运行状态。
1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
from bcc import BPF
# 1) 加载eBPF程序并挂载到内核探针上
b = BPF(src_file="hello.c")
b.attach_kprobe(event="do_sys_openat2", fn_name="hello_world")
# 2) 输出一行Header的字符串,相当于表头
print("%-18s %-16s %-6s %-16s" % ("TIME(s)", "COMM", "PID", "FILE"))
# 3) 定义一个回掉函数,打印进程名字,PID,以及它在调用openat时打开的文件名字
start = 0
def print_event(cpu, data, size):
global start
event = b["events"].event(data)
if start == 0:
start = event.ts
time_s = (float(event.ts - start)) / 1000000000
print("%-18.9f %-16s %-6d %-16s" % (time_s, event.comm, event.pid, event.fname))
# 4) 使用open_perf_buffer定义了一个名为events的Perf事件映射
# 然后通过一个循环,调用perf_buffer_poll读取映射内容,并执行回调函数打印出想要的信息。
b["events"].open_perf_buffer(print_event)
while 1:
try:
b.perf_buffer_poll()
except KeyboardInterrupt:
exit()