接下来看下python方面的知识。

1.   初始化

1.1     BPF

语法：

BPF({text=BPF_program | src_file=filename} [, usdt_contexts=[USDT_object, ...]])

创建一个BPF对象，能通过交互来产生输出。

1.2     USDT

语法：USDT({pid=pid | path=path})

创建对象来使用USDT，可以指定进程ID,路径。

2.   事件

2.1     attach_kprobe

语法：BPF.attach_kprobe(event="event", fn_name="name")

使用函数入口的内核动态跟踪，关联Ｃ函数name和内核函数event()。

2.2     attach_kretprobe

语法：BPF.attach_kretprobe(event="event", fn_name="name")

关联Ｃ函数name和内核函数event，在内核函数返回的时候调用函数name.

2.3     attach_tracepoint

语法：BPF.attach_tracepoint(tp="tracepoint", fn_name="name")

关联C语言定义的BPF函数和内核的tracepoint。也可以使用TRACEPOINT_PROBE宏，使用该宏可以使用高级的自申明的args结构体包含了tracepoint参数。如果，使用attach_tracepoint，参数需要在BPF程序中声明。

2.4     attach_uprobe

语法：BPF.attach_uprobe(name="location", sym="symbol", fn_name="name")

将在location中的函数事件symbol，关联到Ｃ定义的函数。当symbol调用时候回调用name函数。

            例如：

b.attach_uprobe(name="c", sym="strlen", fn_name="count")

2.5     attach_uretprobe

语法：BPF.attach_uretprobe(name="location", sym="symbol", fn_name="name")

同attach_uprobe，不过是在函数返回时候调用name函数。

2.6     USDT.enable_probe

语法：USDT.enable_probe(probe=probe, fn_name=name)

将BPF的C函数附加到USDT探针上。

例如：

u = USDT(pid=int(pid))

u.enable_probe(probe="http__server__request", fn_name="do_trace")

查看二进制文件是否有USDT探针，可以使用如下命令检测stap调试段：

#readelf –n binary　

3.   调试输出

3.1     trace_print

语法：BPF.trace_print(fmt="fields")

持续读取全局共享的/sys/kernel/debug/tracing/trace_pipe文件并输出。这个文件可以被BPF 和bpf_trace_printk()函数写入。

例如：

# print trace_pipe output as-is:

b.trace_print()

# print PID and message:

b.trace_print(fmt="{1} {5}")

3.2     trace_fields

语法：BPF.trace_fields(nonblocking=False)

从全局共享文件/sys/kernel/debug/tracing/trace_pipe文件中读取一行并返回域。参数表示在等待写入的时候是否blocking.

4.   输出

4.1     perf_buffer_poll

语法：BPF.perf_buffer_poll()

从perf ring buffers等待数据，有数据会调用open_perf_buffer指定的回调函数。

例如：

# loop with callback to print_event

b["events"].open_perf_buffer(print_event)

while 1:

    b.perf_buffer_poll()

5.   映射

5.1     get_table

返回表对象。此函数已经淘汰，因为BFP可以将表作为items来读取，例如BFP[name].

5.2     open_perf_buffer

语法：table.open_perf_buffers(callback, page_cnt=N, lost_cb=None)

            当perf ring buffer中数据可用的时候，调用callback函数。其中table是定义在BPF的。这个是从内核到用户层传递perf event数据的建议方式。

perf ring buffer的大小由page_cnt参数制定，建议是页的偶数倍，默认是８。如果callback处理的不够快，有些数据会丢失掉。当有丢失数据到时候会调用lost_cb。如果lost_cb定义为none,那么会打印一行信息到stderr。

5.3     items

返回表中keys的数组。可以通过BPF_HASH来获取，迭代。

5.4     values

返回表中values数组。

5.5     clear

清除表。

5.6     print_log2_hist

语法：table.print_log2_hist(val_type="value", section_header="Bucket ptr", section_print_fn=None)

            使用ASCII以log2直方图打印表。表必须用log2方式存储，这个可以通过bpf_log2()。

            val_type可选的，表示列头。

            section_header：如果直方图有第二个键，多个表会被打印，section_header会被作为头描述。

            如果section_print_fn不是none，传递bucket值。

5.7     print_linear_hist

语法：table.print_linear_hist(val_type="value", section_header="Bucket ptr", section_print_fn=None)

以ASCII方式打印表的线性直方图。

val_type参数可选的，列的头

section_header:如果直方图有第二个键，多个图会打印，section_header会被作为头描述符。

section_print_fn：如果该参数不会NONE，会被传递bucket值。

 

6.   帮助

6.1     ksym

语法：BPF.ksym(addr)

将一个内核内存地址转成一个内核函数名字。

6.2     ksymname

语法：BPF.ksymname(name)

将一个内核名字转换成一个地址，是ksym的逆向函数。

6.3     sym

语法：BPF.sym(addr, pid, show_module=False, show_offset=False)

为进程转换一个内存地址位函数名字。

参数show_module,show_offset参数控制是否显示symbol符号所在的模块，符号偏移。

6.4     num_open_kprobes

返回打开的k[ret]probes数量。在event_re场景中有用。

 

7.   关于BPF Errors

BPF中所有内存读取都要通过bpf_probe_read()函数将内存复制到BPF栈。如果直接读取内存，会出现Invalid mem access。

参考文件：

内核中Documentation/networking/filter.txt