Tracepoints 和 Kprobes 区别与故障排查

原创 于 2025-03-12 17:21:02 发布 · 773 阅读 · 18 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
文章标签:

#linux #c++

1. Tracepoints 与 Kprobes 的区别

tracepointskprobes 都是 Linux 内核提供的动态追踪机制,用于性能分析和调试。但它们有不同的设计理念和使用场景:

1.1 Tracepoints

适用场景:稳定性高,适用于长期维护的分析工具,如 eBPF、perf 采样、bpftrace 等。

官方提供的接口

  • tracepoints 由内核 显式 添加,代码中通常带有 TRACE_EVENT() 宏。

  • 这些点是 稳定 API,不会随内核版本轻易更改。

性能较优

  • 由于是 静态探测点,在编译时已经优化,性能损耗低。

  • 适用于高频事件(如 syscallsscheduler 调度等)。

使用方式

  • tracepoint 可以直接通过 /sys/kernel/debug/tracing/events/ 查询:

    ls /sys/kernel/debug/tracing/events/syscalls/

  • bpftrace 追踪 rename

    sudo bpftrace -e 'tracepoint:syscalls:sys_enter_rename { printf("rename detected\n"); }'

示例代码(使用 ``):

TRACEPOINT_PROBE(syscalls, sys_enter_rename) {

    
bpf_trace_printk("File rename detected: %s -> %s\n", args->oldpath, args->newpath);

    
return 0;

}

💡 适用场景

  • 系统调用跟踪syscallsblocknetsched 等)。

  • 稳定的 API,适用于生产环境。

  • 性能影响较低,适合长期运行。

1.2 Kprobes

适用场景:适用于深入分析和调试,灵活性强,但可能影响系统稳定性。

动态挂载

  • kprobes 可以挂载到任意内核函数,不需要提前定义探测点。

  • 适用于 调试私有/未公开的内核函数,如 do_renameat2

不稳定

  • kprobes 依赖 内核符号表,如果 内核更新,可能导致探测点失效或变化。

  • 生产环境慎用,可能影响系统稳定性。

使用方式

  • 列出可用 kprobes

    cat /sys/kernel/debug/tracing/available_filter_functions | grep rename

  • bpftrace 追踪 rename

    sudo bpftrace -e 'kprobe:sys_rename { printf("rename called\n"); }'

示例代码(使用 ``):

int trace_rename(struct pt_regs *ctx) {

    
bpf_trace_printk("sys_rename called!\n");

    
return 0;

}

💡 适用场景

  • 深入分析 内核函数(do_renameat2 等)。

  • 调试私有/不公开的内核函数

  • 用于开发调试,不建议长期运行,可能影响稳定性。

2. 主要区别总结

特性

Tracepoints

Kprobes

接口类型

静态(官方提供)

动态(用户自定义)

稳定性

(不会随内核版本变化)

(内核升级后可能失效)

性能

低开销(优化过的探测点)

可能较高(影响稳定性)

使用场景

系统调用、网络、调度、I/O

深入分析、调试私有内核函数

生产环境

可以长期使用

慎用,可能影响系统

示例

tracepoint:syscalls:sys_enter_rename

kprobe:sys_rename

3. 解决 错误

如果遇到错误:

Exception: Failed to attach BPF program b'trace_rename' to kprobe b'sys_rename'

说明 sys_rename 不存在或不可用,可能是被 sys_renameatsys_renameat2 取代。

3.1 检查可用相关函数

执行:

cat /sys/kernel/debug/tracing/available_filter_functions | grep rename

如果 sys_rename 不存在,请改用 sys_renameatsys_renameat2

3.2 自动适配可用系统调用

from bcc import BPF


bpf_text = """

int trace_rename(struct pt_regs *ctx) {

    
bpf_trace_printk("rename syscall triggered!\n");

    
return 0;

}

"""


bpf = BPF(text=bpf_text)


# 
适配不同的 
`rename` 
相关系统调用

for syscall in ["sys_rename", "sys_renameat", "sys_renameat2"]:

    
fnname = bpf.get_syscall_fnname(syscall)

    
if fnname:

        
print(f"Attaching to {fnname}...")

        
bpf.attach_kprobe(event=fnname, fn_name="trace_rename")


bpf.trace_print()

3.3 使用 

from bcc import BPF


bpf_text = """

TRACEPOINT_PROBE(syscalls, sys_enter_rename) {

    
bpf_trace_printk("File rename detected!\n");

    
return 0;

}

"""

bpf = BPF(text=bpf_text)

bpf.trace_print()

4. 结论

  • 优先使用 tracepoints(如果可用)。

  • 如果 tracepoints 不存在,使用Kprobes 自动匹配

  • 长期监控用 tracepoints,调试用 kprobes


 

tracepoint
thinker
12-15 257
tacepoint
Linux内核eBPF技术实战:实现毫秒级故障定位全栈性能分析
最新发布
资深全栈架构师,乐于在 CSDN 分享技术见解,与大家携手共进,共攀技术巅峰!
03-03 1167
eBPF(扩展伯克利包过滤器)正以革命性的方式重塑Linux系统的可观测性故障诊断能力。本文基于2023年Linux 6.5内核最新特性,深入解析eBPF在毫秒级故障定位中的实战应用,涵盖从内核态追踪、用户态分析到云原生监控的全栈技术方案,并附赠可直接投入生产的eBPF脚本工具包。
Linux内核调试原理工具介绍--理解静态插装/动态插装、tracepoint、ftrace、kprobe、SystemTap、Perf、eBPF
网络安全研究
04-28 5542
可以将linux跟踪系统分成Tracer(跟踪数据来自哪里),数据手机分析(如"ftrace")跟踪前端(更方便的用户态工具)。 1. 数据源(Tracers) printk 是一种方法, 但是 printk 终归是毫无选择地全量输出, 某些场景下不实用。 Tracepoint属于静态插装, 是散落在内核源代码中的一些 hook,一旦使能,它们便可以在特定的代码被运行到时被触发。比如Ftrace...
云原生之动态追踪
key_3_feng的博客
05-21 447
跟踪点tracepoints介绍
M120674的专栏
12-14 949
一 功能 用来对内核进行静态插桩,我们可以在内核函数的特定逻辑位置处,放置插桩点。这些插桩点及其回调函数会被编译到内核镜像中 二 添加tracepoints及使用 不同版本内核,有不同的方式,如: (1)TRACE_EVNET (2)DECLARE_TRACE 具体可以参考如下文档: https://elixir.bootlin.com/linux/v4.17.18/source/Documentation/trace/tracepoints.rst tracepoint-analysis.
tracepoint简介
HZero
03-14 4247
1. tracepoint原理 tracepoint是预先在函数的插入点中插桩,当执行到函数的插入点,则执行插桩函数,进而触发插入点预先绑定的probe函数,probe函数可以是一个或者多个,probe函数可以定义为任意的行为,从而可以起到对函数内部观测的租用。 2. 使用tracepoint的步骤 2.1 DECLARE_TRACE 需要在头文件中通过DECLARE_TRACE宏声明,DECLARE_TRACE定义如下: #define DECLARE_TRACE(name, proto, args)
使用BPF跟踪Linux内核
金荣的个人技术博客
03-11 2229
1. 前言 我们可以使用BPF对Linux内核进行跟踪,收集我们想要的内核数据,从而对Linux中的程序进行分析调试。其它的跟踪技术相比,使用BPF的主要优点是几乎可以访问Linux内核应用程序的任何信息,同时,BPF对系统性能影响很小,执行效率很高,而且开发人员不需要因为收集数据而修改程序。 本文将介绍保证BPF程序安全的BPF验证器,然后以BPF程序的工具集BCC为例,介绍常见BPF程序,具体为kprobestracepoints类型的BPF程序的使用及程序编写示例。 2. BPF验证器 BPF
Linux内核模块调试必备技术:日志记录故障排查方法
!... # 摘要 本文全面探讨了Linux内核模块的调试技术,涵盖了日志记录、故障排查、动态调试以及...故障排查章节则介绍了一些核心工具如kdbftrace的使用方法技巧。动态调试技术的讨论包括Kprobes、JprobesSystemTap的
利用Tracepoints进行Linux内核事件追踪
Linux系统中,内核事件追踪是一项至关重要的工作,它可以帮助开发人员深入了解系统的运行状况,分析性能问题,排查故障,并优化系统性能。通过对各种事件进行追踪,如系统调用、中断处理、内存分配等,可以全面...
ebpfpub:Linux通用函数跟踪库的探索应用
eBPFpub是一个基于eBPF技术的通用函数跟踪库,它简化了在Linux系统上实现函数跟踪的复杂性,使得开发者可以更容易地使用跟踪点、kprobesuprobes进行性能分析、故障排查安全监控。 ### 知识点详细说明: #### 1...
BPFBCC技术深度解析
BCC是一个开源的性能分析故障排查工具集,它利用了Linux内核的eBPF(extended Berkeley Packet Filter)技术,使开发者能够在内核中运行自定义的分析代码,而无需修改内核代码或重启系统。BCC提供了一套高级的语言...
Why kernl miss __blk_account_io_start kprobe
RToax
02-11 1608
【代码】Why kernl miss __blk_account_io_start kprobe
linux内核调试工具之kprobe
10-24 2597
kprobe 可以在系统运行期间,自定义回调函数,动态插入探测点。2005年使用的典型CPU,kprobe命中需要0.5到1.0微秒来处理,返回探测命中的时间通常比kprobe命中的时间长50-75%在运行过程中想看某个函数的变量,需要重新编译内核。将内核输出都写到log.txt中(dmesg只能写部分),使用grep检索所需要查询的信息。测试程序打开/home/kprobe.c 测试在kprobe探测能否探测到。在输出信息中可以看到函数的地址、打开的文件名、函数执行的时间40ns等信息。
tracepoint: 定义函数及调用示例
大昱的博客
08-07 1075
放置在代码中的跟踪点(tracepoint)提供了一个挂钩来调用您可以在运行时提供的函数(探针)。 跟踪点可以是“on”(一个探针连接到它)或“off”(没有连接探针)。 当跟踪点“关闭”时,它没有任何效果,除了添加微小的时间损失(检查分支条件)空间损失(在检测函数的末尾为函数调用添加几个字节并添加数据 结构在一个单独的部分)。 当跟踪点“打开”时,每次执行跟踪点时都会在调用者的执行上下文中调用您提供的函数。 当提供的函数结束执行时,它返回给调用者(从跟踪点站点继续)...
Linux kernel : trace point 机制
u012849539的博客
06-14 3772
第一次使用Linux内核的Tracepoint的体验
TCP/IP
01-01 6820
我并不觉得丢人,一点也不。 我是说我工作这么多年做Linux内核相关的事,竟然在上上周才第一次使用tracepoint。 这并不奇怪,我不会的东西还多着呢,比方说,我一直强调的,我不会编程,我也不会用git。 言归正传,如果这么多年我都没用过tracepoint,那么作为替代,我用什么呢? 如果我调试内核或者调试内核模块,最最最常用的方法就是在代码里加一条printk(如果是用户态程序,我就加一条printf。),我来告诉你理由: printk/printf 不需要安装任何别的依赖包。 printk/p
linux tracepoint用法
u014089131的博客
06-29 5647
在kernel中经常会看到trace_XX形式的函数,但是又找不到它的定义。 这个其实是kernel的tracepoint,定义在include/linux/tracepoint.h中。 #define __DECLARE_TRACE(name, proto, args, cond, data_proto, data_args) \ extern struct tracepoint
Trace - 一文读懂tracepoint
程序猿Ricky的日常干货
04-23 9204
tracepointLinux内核静态定义的一些调试点,它分布于内核的各个子系统中,然而在实际工作中可能很多人并没有用过这个功能,或者对它没有太多了解,那么就通过本文一起来了解下tracepoint吧。tracepoint是内核预先定义的静态探测点,可以用于挂载钩子函数来做trace。当没有钩子函数时,它几乎没有损耗,只有挂载了钩子函数才会真正启用trace功能。这个钩子函数可以由开发者编写内核module来实现,并且需要在钩子函数中获取我们调试所需要的信息并导出到用户态,这样我们就可以获取内核运行时的信
Linux内核tracepoints
金溪的博客
02-13 1010
授人以鱼,不如授人以渔. 具体的可以参考kernel文章, 路径: Documentation/trace里面的tracepoints.txttracepoint-analysis.txt. 内核的每个tracepoint提供一个钩子来调用probe函数. 一个tracepoint可以打开或关闭.打开时, probe函数关联到tracepoint, 关闭时, probe函数不关联到tracep...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

daolongzhang

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值