3、eBPF 程序的数据输出与映射使用

最新推荐文章于 2026-01-16 10:23:13 发布
原创 最新推荐文章于 2026-01-16 10:23:13 发布 · 69 阅读 · 0 GEO检测
标签
#eBPF #BPF映射 #性能监控

eBPF 程序的数据输出与映射使用

1. eBPF 程序基础运行与权限

运行 eBPF 程序时,根据(虚拟)机器的状态,可能会立即看到追踪信息。这是因为其他进程可能正在使用 execve 系统调用执行程序。若未看到输出,可打开第二个终端执行任意命令,就能看到 “Hello World” 程序生成的相应追踪信息,例如: 

$ hello.py
b'     bash-5412    [001] .... 90432.904952: 0: 
bpf_trace_printk: Hello World'

由于 eBPF 功能强大,使用它需要特殊权限。root 用户会自动被赋予这些权限,所以最简单的运行方式是以 root 身份运行,比如使用 sudo 。若遇到 “Operation not permitted” 错误,首先要检查是否以无特权用户身份运行 eBPF 程序。

在 5.8 版本的内核中引入了 CAP_BPF ,它为执行某些 eBPF 操作(如创建特定类型的映射)提供了足够的权限。不过,加载追踪程序通常需要 CAP_PERFMON CAP_BPF 权限,加载网络程序则需要 CAP_NET_ADMIN CAP_BPF 权限。

以下是不同操作所需权限的表格:
| 操作类型 | 所需权限 |
| ---- | ---- |
| 加载追踪程序 | CAP_PERFMON、CA

订阅专栏 解锁全文 会员秒杀 ¥9.9 重磅福利 超级会员免费看
基于PAM的用户权能分配
qq_30576521的博客
03-17 622
操作系统安全实验——基于PAM的用户权能分配。文章分别介绍了权能、PAM以及如何将权能PAM联系起来。
LWN:非特权的BPF以及进行额外授权的security hook!
Linux News搬运工
05-17 1181
关注了就能看到更多这么棒的文章哦~Unprivileged BPF and authoritative security hooksBy Jonathan CorbetApril 27, 2023DeepL assisted translationhttps://lwn.net/Articles/929746/当 Linux 安全模块(LSM, Linux security module)子系统的...
LWN:BPF安全!
Linux News搬运工
10-25 1060
关注了就能看到更多这么棒的文章哦~BPF and securityBy Jake EdgeOctober 4, 2023LSSEUChatGPT translationhttps://lwn.net/Articles/946389/eBPF内核虚拟机即将迎来其加入Linux十周年,它已经发展成为生态系统中多种用途的工具。eBPF的创始人,也是其早期开发的主要负责人Alexei Starovoito...
LWN:若干新增的capability!
Linux News搬运工
06-24 1103
关注了就能看到更多这么棒的文章哦~A crop of new capabilitiesByJonathan CorbetJune 8, 2020原文来自:https://lwn.net...
LWN:细粒度的BPF令牌!
Linux News搬运工
11-28 1127
关注了就能看到更多这么棒的文章哦~Finer-grained BPF tokensBy Jonathan CorbetOctober 12, 2023ChatGPT translationhttps://lwn.net/Articles/947173/在 BPF 虚拟机中运行的程序可以根据其挂载(attach)方式执行许多特权操作;因此,加载和运行这些程序的相关 capability 本身必须是需...
3eBPF 程序数据输出映射使用指南
e6f7g8h9i的博客
08-21 68
本文介绍了eBPF程序数据输出方式及其使用映射类型。涵盖了eBPF程序运行所需的权限、跟踪输出的获取方法,并详细说明了BPF映射的不同类型及其应用场景,包括哈希表、perf缓冲区和环形缓冲区的使用示例。文章通过代码演示了如何在eBPF和用户空间之间传递结构化数据,并对比了不同输出方式的优缺点,帮助开发者更好地理解和应用eBPF技术。
eBPF学习记录(三)使用BCC开发eBPF程序
jianjian的博客
02-27 7967
上一节我们已经初步体验了 eBPF 程序的开发和执行过程,现在我们试试了解一下bpftrace使用方法。
eBPF 程序调试指南
weixin_39145568的博客
04-09 2217
eBPF 程序调试指南
Linux之ebpf(1)基础使用
梅花香自苦寒来,宝剑锋从磨砺出。
04-22 4679
eBPF (extended Berkeley Packet Filter) 是一种先进的技术,允许在无需更改内核源代码或加载内核模块的情况下,以安全的方式动态地在内核中执行预编译和沙箱化的程序。它最初是为了能够在内核层面高效地过滤网络包而设计的,但现在它的用途已经大大扩展,可以用于各种系统级编程任务。eBPF 是 Berkeley Packet Filter (BPF) 的扩展,BPF 最初是在 1992 年为了提高网络包过滤的效率而引入的。
eBPF技术
qq_42944740的博客
03-16 6527
eBPF 全称 extended Berkeley Packet Filter,中文意思是 ​​扩展的伯克利包过滤器​​。一般来说,要向内核添加新功能,需要修改内核源代码或者编写 ​​内核模块​​ 来实现。而 eBPF 允许程序在不修改内核源代码,或添加额外的内核模块情况下运行。从 eBPF 的名字看,好像是专门为过滤网络包而创造的。其实,eBPF 是从 BPF(也称为 cBPF:classic Berkeley Packet Filter)发展而来的,BPF 是专门为过滤网络数据包而创造的。
eBPF-2-实战之编程接口、bccbpftrace
文杰的博客
06-03 7318
eBPF实战编程接口、前端:bcc和bpftrace详解、原理、实例等
eBPF编程BCC工具实践指南
Python的专栏
09-10 1093
本文深入探讨了eBPF编程技术及其在BCC工具中的应用,涵盖多个系统调用触发eBPF程序、RAW_TRACEPOINT_PROBE宏的使用、XDP程序的加载网络数据包控制、bpftool命令的调试程序管理、映射操作、BPF链接持久化、BTF分析、验证器限制、内核函数追踪、ICMP包处理等内容,提供了大量代码示例和操作步骤,适用于eBPF开发系统追踪调试。
eBPF 映射原理
最新发布
tangzhangyin的专栏
01-16 773
eBPF 映射原理
ebpf教程(3):使用cmake构建ebpf项目
大草的博客
08-16 1323
推荐使用BPF skeleton,它将字节码放在头文件中,被直接包含在用户层的二进制程序中。使用cmake构建了ebpf项目,便于在cmake构建的项目中集成ebpf
eBPF程序开发BCC工具实践
yoga7的博客
09-10 619
本文围绕eBPF程序开发和BCC工具的使用展开,涵盖了将eBPF程序附加到多个系统调用、使用RAW_TRACEPOINT_PROBE宏简化附加操作、XDP程序的加载卸载、通过bpftool查看程序映射、libbpf的自动附加机制、验证器错误分析、以及编写kprobe/fentry程序等内容。此外,还涉及eBPF容器、BTF信息查看、内存访问越界检测、循环复杂度限制等高级主题,旨在提升开发者对eBPF生态系统的掌握能力。
深入理解cilium/ebpf项目示例程序eBPF开发实战指南
gitblog_00262的博客
06-06 667
eBPF(扩展的伯克利包过滤器)是一项革命性的Linux内核技术,允许开发者在不修改内核源代码或加载内核模块的情况下,安全高效地运行沙盒程序。cilium/ebpf是一个功能强大的Go语言库,为eBPF程序的开发提供了便利的接口。本文将通过分析该项目中的示例程序,帮助开发者快速掌握eBPF开发的核心概念和技术要点。 ## eBPF程序类型示例解析 ### 1. 内核探测(Kprobe) K...
eBPF(3)--BPF映射(Maps)
pigstor的博客
06-08 686
eBPF映射是内核用户空间共享数据的关键机制,支持多种交互方式。摘要介绍了eBPF映射的基本概念、定义方法(包括内核态和用户态创建),以及环形缓冲区等特殊映射使用。重点阐述了通过BPF系统调用和libbpf库操作映射的API,并提供了实践案例展示进程监控的实现。该技术可实现高效的数据共享,适用于性能监控、安全检测等场景,代码结构具有通用性。
eBPF 的 Go 语言库 libbpfgo 源代码分析和使用
Linux内核研究者
01-16 2131
本文介绍了eBPF的Go语言库libbpfgo的源代码分析和使用方法。文章首先概述了eBPF在Linux系统中的重要性,以及`libbpf`库如何简化eBPF程序的加载管理。接着,文章详细探讨了libbpfgo通过cgo桥接GoC语言编写的`libbpf`库,解决了内存管理、错误处理和性能开销等挑战。文中重点解析了libbpfgo中的三个核心结构体:`Module`负责加载和管理eBPF对象文件;`BPFMap`封装了对eBPF映射的操作;`BPFProg`则用于管理和附加eBPF程序到内核事件。
6、eBPF 程序的编译、加载使用详解
e6f7g8h9i的博客
08-24 67
本文详细解析了eBPF程序的编译、加载执行过程,包括从C源代码到内核字节码的转换、JIT编译为机器码,以及通过bpftool工具对程序映射的管理。文章还介绍了如何将eBPF程序附加到不同类型的事件上,如XDP、kprobe和tracepoint,并探讨了eBPF映射在实现全局变量和BPFBPF调用方面的机制。最后,总结了eBPF的技术要点并展望了其未来发展趋势。
深入理解 Linux eBPF:一个完整阅读清单(转载)
热门推荐
宋宝华
07-12 2万+
linux eBPF3.17内核开始引入的一个全新设计,代码目录主要在kernel/bpf 下,它的全称是 extended BPF(eBPF), 目前关于eBPF的资料还比较乱,很难得看到一篇对ebpf总结的那么全的文章,转载自此:
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值