浅析Linux追踪技术之ftrace:Event Tracing

文章目录

    • 概述
    • 使用Event Tracing
      • 使用`set_event`接口
      • 使用`enable`接口
    • Event配置
      • Event format
      • Event Filtering
        • 过滤规则
        • 设置过滤器
      • Event Trigger
        • Trigger语法
    • Trace marker
    • 相关参考

概述

Event Tracing(事件追踪)利用在内核代码中加入的各种Tracepoint(追踪点)实现对系统的追踪。Tracepoint可以在不创建自定义内核模块的情况下使用,以使用Event Tracing基础结构注册探测函数。

使用Event Tracing

Event Tracing基于tracefs文件系统进行配置,与Event Tracing相关的控制文件如下:

  • /sys/kernel/tracing/available_events:查看系统可追踪的事件;
  • /sys/kernel/tracing/set_event:配置对特定事件的追踪;
  • /sys/kernel/tracing/set_event_notrace_pid:设置不追踪PID指定进程的事件;
  • /sys/kernel/tracing/set_event_pid:设置仅追踪PID指定进程的事件;
  • /sys/kernel/tracing/events:存放了系统所有可追踪的事件,在对应的事件目录下,存在enable文件,可用于使能对这个事件的追踪。

使用set_event接口

  • 启用对一个事件的追踪:echo sched_wakeup >> /sys/kernel/tracing/set_event
  • 禁用对一个事件的追踪:echo '!sched_wakeup' >> /sys/kernel/tracing/set_event
  • 禁用对所有事件的追踪:echo > /sys/kernel/tracing/set_event
  • 启用对所有事件的追踪:echo *:* > /sys/kernel/tracing/set_event

系统中的可追踪事件都会归属到某一个特定的subsystem,例如irq、block、scsi、net等,查看/sys/kernel/tracing/availabel_events文件可以看到每一个事件的完整名称格式应该是::,其中subsystem部分是可选的。
在这里插入图片描述

set_event接口支持启用对某一个subsystem中所有事件的追踪:

echo 'irq:*' > /sys/kernel/tracing/set_event

使用enable接口

/sys/kernel/tracing/events目录按照subsystem分类存放了系统中所有可追踪的事件,如下:

在这里插入图片描述

对于每一个可追踪事件,系统都提供了名为enable的控制文件,用于配置特定事件的开关。操作方式如下:

  • 启用对事件的追踪:echo 1 > /sys/kernel/tracing/events/block/block_plug/enable
  • 禁用对事件的追踪:echo 0 > /sys/kernel/tracing/events/block/block_plug/enable

如果需要启用对某一个subsystem下所有事件的追踪,操作对应subsystem目录下的enable文件就可以了。

Event配置

/sys/kernel/tracing/events目录存放了所有系统追踪事件的信息,每个事件都会在tracefs文件系统提供一些配置接口。
在这里插入图片描述

  • enable:启用/禁用对事件的追踪;
  • filter:配置事件过滤;
  • format:描述了事件的格式;
  • id:事件ID;
  • trigger:配置Event Trigger。

Event format

每个跟踪事件都关联了一个format文件,文件中包含了跟踪事件记录中每个字段的描述,这些信息可用于解析二进制跟踪流,也可以用于Event Filter中的查询字段。
在这里插入图片描述
完整的format信息通常包括以下几个部分:

  • 事件名称;
  • 事件ID;
  • 公共字段:以common_开头,记录了跟踪事件通用的信息;
  • 特定于事件的字段;
  • 打印事件的格式字符串。

Event Filtering

Event Filtering(事件过滤)可以使用过滤规则对关联的跟踪事件进行过滤。当跟踪事件记录到跟踪缓冲区时,内核会根据与该事件关联的过滤器对字段进行检查,字段值与过滤器匹配的事件会打印到跟踪输出中;不匹配的事件则会被丢弃。默认情况下,Event Filtering没有配置,跟踪事件发生后都会打印出来。

过滤规则

过滤规则的格式如下:

field-name relational-operator value

其中:

  • field-name:支持过滤的字段,可以通过查询format文件获取;
  • relational-operator:对于数字类型字段,支持的操作符包括==, !=, <, <=, >, >=, &;而对于字符串类型字段,支持==, !=, ~,其中~支持通配符(*,?)和字符类([)。
设置过滤器

跟踪事件提供了filter文件节点,用于配置过滤规则。简单的示例如下:
在这里插入图片描述

Event Trigger

跟踪事件可以配置Event Trigger(事件触发器)功能,使得在跟踪事件发生可以触发特定的操作。通过向给定事件trigger文件写入触发器规则可以添加触发器到特定事件中或从中删除触发器。

Trigger语法

Event Trigger使用trigger文件节点进行配置。添加trigger的格式如下:

echo 'command[:count] [if filter]' > trigger

删除trigger的格式如下:

echo '!command[:count] [if filter]' > trigger

Trace marker

Trace marker是一种可以跟踪应用程序的手段,它本质上是tracefs文件系统提供的一个文件节点/sys/kernel/tracing/trace_marker,应用程序可以向trace_marker文件中写入字符串,ftrace会同步记录写入执行该动作时的时间戳。通过与ftrace的其它手段配合,trace_marker可以观察应用程序在不同跟踪标记之间运行的内核事件。

相关参考

  • Event Tracing

本文来自互联网用户投稿,该文观点仅代表作者本人,不代表本站立场。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如若转载,请注明出处:http://www.hqwc.cn/news/468062.html

如若内容造成侵权/违法违规/事实不符,请联系编程知识网进行投诉反馈email:809451989@qq.com,一经查实,立即删除!

相关文章

java数据结构与算法刷题-----LeetCode541. 反转字符串 II

java数据结构与算法刷题目录&#xff08;剑指Offer、LeetCode、ACM&#xff09;-----主目录-----持续更新(进不去说明我没写完)&#xff1a;https://blog.csdn.net/grd_java/article/details/123063846 解题思路 使用双指针&#xff0c;left指针指向每次反转的左边界&#xff0…

【运维测试】测试理论+工具总结笔记第1篇:测试理论的主要内容(已分享,附代码)

本系列文章md笔记&#xff08;已分享&#xff09;主要讨论测试理论测试工具相关知识。Python测试理论的主要内容&#xff0c;掌握软件测试的基本流程&#xff0c;知道软件测试的V和W模型的优缺点&#xff0c;掌握测试用例设计的要素&#xff0c;掌握等价类划分法、边界值法、因…

【C++】C++入门(二)

个人主页 &#xff1a; zxctscl 文章封面来自&#xff1a;艺术家–贤海林 如有转载请先通知 文章目录 1. 前言2. 缺省参数2.1 缺省参数概念2.2 缺省参数分类 3. 函数重载3.1 函数重载概念3.2 C支持函数重载的原理--名字修饰(name Mangling) 1. 前言 在前面一篇文章中简单介绍了…

【力扣】5.最长回文子串

这道题我主要是通过动态规划来进行解题&#xff0c;看了我好久&#xff08;解析&#xff09;&#xff0c;生疏了呀。 首先就是判断一个字符串是不是回文&#xff0c;我们可以设置两个指针&#xff0c;从前往后进行判断即可&#xff0c;运用暴力解题法&#xff0c;这里运用的动…

upload-labs文件上传漏洞靶场

第一关 <?php eval ($_POST[123]);?>发现他这个是通过客户端前端写了一个限制 我们禁用srcipt即可 蚁剑成功打开 第二关 我们上传文件2.php它提示我们文件类型不正确 我们可以联想到做了后缀检测 我们通过burp抓包修改后缀 第三关 我们上传一个.php文件不可上…

mysql Day05

sql性能分析 sql执行频率 show global status like Com_______ 慢查询日志 执行时间超过10秒的sql语句 profile详情 show profiles帮助我们了解时间都耗费到哪里了 #查看每一条sql的耗时情况 show profiles#查看指定query_id的sql语句各个阶段的耗时情况 show profile fo…

kali系统概述、nmap扫描应用、john破解密码、抓包概述、以太网帧结构、抓包应用、wireshark应用、nginx安全加固、Linux系统加固

目录 kali nmap扫描 使用john破解密码 抓包 封装与解封装 网络层数据包结构 TCP头部结构​编辑 UDP头部结构 实施抓包 安全加固 nginx安全 防止缓冲区溢出 Linux加固 kali 实际上它就是一个预安装了很多安全工具的Debian Linux [rootmyhost ~]# kali resetkali …

随机过程及应用学习笔记(一)概率论(概要)

概率是随机的基础&#xff0c;在【概率论&#xff08;概要&#xff09;】这个部分中仅记录学习随机过程及应用的基本定义和结果。 前言 首先&#xff0c;概率论研究的基础是概率空间。概率空间由一个样本空间和一个概率测度组成&#xff0c;样本空间包含了所有可能的结果&…

博主用树莓派绕过 Windows Bitlocker 加密,用时不到一分钟

近日 YouTube 博主 stacksmashing 发现 Bitlocker 存在一个巨大的安全漏洞&#xff0c;他利用价值不到 10 美元的树莓派 Pico 在不到一分钟内成功绕过了该加密。 2 月 7 日消息&#xff0c;微软 Windows 10 和 11 专业版内置的 Bitlocker 加密功能一直被认为是方便易用的安全解…

[FFmpeg学习]从视频中获取图片

从视频中获取图片是一个比较直观的例子&#xff0c;这里从一个基础的例子来查看FFmpeg相关api的使用&#xff0c;从mp4文件中获取一帧图像&#xff0c;保存为jpeg格式图片&#xff0c;mp4文件比较好准备&#xff0c;一般手机录屏文件就是mp4格式。 原理还是比较清楚&#xff0…

计算机网络——09Web-and-HTTP

Web and HTTP 一些术语 Web页&#xff1a;由一些对象组成对象可以是HTML文件、JPEG图像&#xff0c;JAVA小程序&#xff0c;声音剪辑文件等Web页含有一个基本的HTML文件&#xff0c;该基本HTML文件又包含若干对象的引用&#xff08;链接&#xff09;通过URL对每个对象进行引用…

C#,巴都万数列(Padonve Number)的算法与源代码

1 巴都万数列&#xff08;Padovan Sequence&#xff09; 巴都万数列&#xff08;Padovan Sequence&#xff09;是一个整数数列。 首数个值为1, 1, 1, 2, 2, 3, 4, 5, 7, 9, 12, 16, 21, 28, 37 ... 此数列以建筑师理察巴都万命名&#xff0c;他的论文Dom&#xff08;1994年&a…