内核观测工具BPF实例BPF介绍BPF实例使用 BCC 工具集最简单使用 libbpf BPF 骨架更接近生产环境使用 bpftool 直接加载适合调试总结BPF介绍BPF 最初诞生于 1992 年是一种用于网络数据包过滤的虚拟机技术。它允许用户空间程序向内核注入简单的过滤指令在内核态高效过滤数据包避免将无关数据拷贝到用户空间。鼎鼎大名的tcpdump就是基于BPF实现的。2014 年起内核将 BPF 扩展为 eBPF彻底革新了其能力通用虚拟机eBPF 指令集更接近现代 CPU 架构64 位寄存器、复杂指令可在内核中运行任意安全的用户定义程序。挂载点扩展不仅限于网络可挂载到内核函数入口/出口kprobes、用户空间函数uprobes、跟踪点tracepoints、网络数据包处理XDP、TC、cgroup 等数十种事件源。perf只能对这些事件进行统计跟踪展示而eBPF程序能在事件发生时执行用户自定义的函数。安全性eBPF 程序必须先通过验证器检查确保不会导致内核崩溃、无限循环或访问非法内存随后通过即时编译JIT 转换为原生机器码执行性能极高。内核与用户空间通信通过 eBPF Maps键值存储实现内核与用户空间、以及不同 eBPF 程序之间的数据交换。BPF实例eBPFExtended Berkeley Packet Filter二进制程序本身不能直接在终端像普通可执行文件那样运行。它的执行有特殊的流程你编写的 eBPF C 代码需要经过编译、加载、验证、挂载最终由内核执行。编写 eBPF 程序通常用 C 语言通过 clang 编译成 eBPF 字节码ELF 文件使用用户态加载程序将字节码加载到内核内核验证器检查安全性后将字节码编译为原生机器码将程序挂载到指定的挂载点如 kprobe、tracepoint、XDP 等当事件触发时内核执行该 eBPF 程序使用 BCC 工具集最简单通过bcc工具使用python来编写bpf程序非常方便可直接运行。#!/usr/bin/env python3 from bcc import BPF # eBPF C 代码作为字符串 bpf_code int hello_world(void *ctx) { bpf_trace_printk(Hello, World!\\n); return 0; } # 加载程序 b BPF(textbpf_code) # 挂载到 sys_clone 系统调用 b.attach_kprobe(eventb.get_syscall_fnname(execve), fn_namehello_world) # 读取输出 b.trace_print()直接在终端运动该python文件即可看到效果。使用 libbpf BPF 骨架更接近生产环境先写一个bpf钩子mybpf.c当内核执行函数sys_enter_execve时触发我们的钩子进行输出。#include linux/bpf.h #define SEC(NAME) __attribute__((section(NAME), used)) static int (*bpf_trace_printk)(const char *fmt, int fmt_size, ...) (void *)BPF_FUNC_trace_printk; SEC(tracepoint/syscalls/sys_enter_execve) int bpf_prog(void *ctx) { char msg[] Hello, BPF World!; bpf_trace_printk(msg, sizeof(msg)); return 0; } char _license[] SEC(license) GPL; // 编译方法clang -g -O2 -target bpf -c mybpf.c -o mybpf.o -I/usr/include/x86_64-linux-gnu/SEC(“tracepoint/syscalls/sys_enter_execve”) 定义挂载点为系统调用sys_enter_execve,当系统内核响应此调用时执行下面的bpf_prog函数进行打印输出。生成骨架bpftool gen skeleton mybpf.o mybpf.skel.h用户端简单加载程序loader.cgcc -o myloader loader.c -lbpf -lelf -lz 即可生成可执行程序执行后cat /sys/kernel/debug/tracing/trace_pipe 可查看mybpf.c程序的输出。/ minimal_loader.c #include stdio.h #include stdlib.h #include unistd.h #include signal.h #include bpf/libbpf.h #include bpf/bpf.h #include mybpf.skel.h // 由bpftool生成的骨架头文件 static volatile int exiting 0; static void sig_handler(int sig) { exiting 1; } int main(int argc, char **argv) { struct mybpf *skel; int err; // 1. 信号处理用于优雅退出 signal(SIGINT, sig_handler); signal(SIGTERM, sig_handler); // 2. 打开BPF程序从当前目录的mybpf.o文件 skel mybpf__open(); if (!skel) { fprintf(stderr, Failed to open BPF skeleton\n); return 1; } // 3. 加载并验证BPF程序到内核 err mybpf__load(skel); if (err) { fprintf(stderr, Failed to load BPF skeleton: %d\n, err); goto cleanup; } // 4. 附加到内核事件如kprobe err mybpf__attach(skel); if (err) { fprintf(stderr, Failed to attach BPF skeleton: %d\n, err); goto cleanup; } printf(BPF程序加载成功按Ctrl-C退出...\n); // 5. 主循环等待退出信号 while (!exiting) { sleep(1); } cleanup: // 6. 清理资源自动卸载BPF程序 mybpf__destroy(skel); return err; }使用 bpftool 直接加载适合调试查看当前bpf程序 bpftool prog list152: cgroup_device name sd_devices tag a97c143260cd9940 gpl loaded_at2026-03-25T14:25:080800 uid0xlated 416B jited 260B memlock 4096B156: cgroup_device name s_thunderbird_t tag 5592a8780089fcce gpl loaded_at2026-03-25T14:26:170800 uid1000xlated 296B jited 164B memlock 4096B map_ids48172: cgroup_skb name sd_fw_egress tag 772db7720b2728e9 gpl loaded_at2026-03-25T15:18:080800 uid0xlated 64B jited 56B memlock 4096B173: cgroup_skb name sd_fw_ingress tag 772db7720b2728e9 gpl loaded_at2026-03-25T15:18:080800 uid0xlated 64B jited 56B memlock 4096B rootzhongsc-ThinkPad-P51:/work/bpf/linux-obser加载自己的bpf程序# 编译 eBPF 程序clang-g-O2-targetbpf-cmybpf.c-omybpf.o -I/usr/include/x86_64-linux-gnu/# 加载到内核并挂载事件bpftool prog loadall mybpf.o /sys/fs/bpf/mybpf autoattach# 卸载sudorm/sys/fs/bpf/my_prog总结原来linux提供了如此强大的工具让用户可以跟踪内核和用户态的任意函数很多强大的工具都是通过它实现的linux还有什么好玩的工具敬请期待后续章节。