标签[tracepoint] - 堆栈内存溢出

eBPF 验证器：R1 不是标量 - eBPF verifier: R1 is not a scalar

我有这个 eBPF 代码：struct sock_info { struct sockaddr addr; }; SEC("tracepoint/syscalls/sys_enter_accept4") int sys_enter_accept4(int fd, struct sockad ...

使用 eBPF 跟踪点获取 HTTP 请求和响应对 - Get HTTP Request and response pairs with eBPF tracepoints

我正在尝试编写一个小程序，它利用 Linux 的跟踪点sys_enter_recvfrom和sys_enter_sendto来显示系统上发生的 HTTP 请求和响应对。首先，我定义了下面的 C 结构，它可以容纳一个 HTTP Object，所以要么是请求，要么是响应：以下是我的跟踪点：以下是获 ...

如何将跟踪点 output 重定向到 Ruby 中的文件？ - How to redirect tracepoint output to a file in Ruby?

我正在使用 TracePoint class 来跟踪大型项目中的特定方法，但是，我还需要与项目提供的控制台进行交互。虽然互动有效。我需要查看控制台发出的任何提示，由于跟踪点的 output（有很多方法调用），这是不可能的。因此，我想将 Tracepoint 的 output 重定向到另一个文 ...

在 Linux 系统调用中，系统调用完成后（在 sys_exit 跟踪点处），系统调用参数是否保存在寄存器中？ - In a Linux system call, are system call parameters preserved in registers after the syscall finished (at the sys_exit tracepoint)?

是否保证能够读取sys_exit跟踪点的所有系统调用参数？ sysdig 驱动程序是一个 kernel 模块，用于使用 kernel static 跟踪点捕获系统调用。在这个项目中，一些系统调用参数是在sys_enter tracepoint 读取的，而其他一些参数是在sys_exit读取的（ ...

如何在 Eclipse 中调试时将 Java 对象的当前值打印到控制台，而不是挂起线程？ - How to print Java object's current value to console, instead of suspend thread while debug in the Eclipse?

有时您只需要检查应用程序中的某些值是如何随时间变化的。通常，您可以使用日志，但假设您的应用程序已经在服务器上并进行整个 CI/CD 循环，仅添加一些临时日志语句就大材小用了。或者变量在 3-rd 方库中，您不想修补它。当然，您可以（远程）调试您的应用程序，但暂停线程并一次又一次地检查多个变量 ...

列出和使用自定义 Linux 内核跟踪点 - Listing and using custom Linux kernel tracepoints

我按照https://www.kernel.org/doc/Documentation/trace/tracepoints.txt上的教程在内核核心（即不在可加载模块中）创建自定义跟踪点。但是，我没有看到perf list或tplist （来自 bcc 工具）的输出中列出的跟踪点。所以，我不 ...

进程名称（comm）作为 BPF map 的键 - process name (comm) as key for BPF map

我一直在尝试设计一个工具，我可以在其中进行每个进程的跟踪，但这意味着我需要为每个进程提供一个键，以便我可以为每个进程存储键值 map 配对。我本能地不喜欢使用结构或字符串作为键，有一段时间我在考虑如何访问 inode 值以将它们用作键。然而，有许多使用结构或字符串作为 hashmap 键的示例， ...

内核符号__tracepoint_module_load 在哪里定义的？ - Where is the kernel symbol __tracepoint_module_load defined?

内核符号__tracepoint_module_load在哪里定义的？我在/proc/kallsyms看到过一次，但现在找不到了。 bootlin.com/linux/也找不到它。 ...

无法正确访问跟踪点上下文结构字段 - Can't access correctly to tracepoint context struct fields

目标：仅当使用O_RDONLY标志调用openat时，才在trace_pipe中写入。我已经构建了结构，以查找此处包含的格式/ sys / kernel / debug / tracing / events / syscalls / sys_enter_open / format 问题 ...

为什么bpf代码无法访问cpumap_enqueue_ctx的前8个字节？ - Why are the first 8 bytes of cpumap_enqueue_ctx not accessible by bpf code?

阅读一些附加到跟踪点的ebpf示例后，我注意到每个结构都是从这样的填充开始构建的（来自samples/bpf/xdp_redirect_cpu_kern.c ）我发现的所有评论都是bpf代码无法访问前8个字节，但我不明白为什么。 ...

tracepoint / syscalls / sys_enter不会触发bpf_trace_printk - tracepoint/syscalls/sys_enter doesn't trigger bpf_trace_printk

目标：每次执行系统调用时打印Hello。码： _kern.c _user.c 问题：当我运行该程序时，即使调用了开放系统调用，它也会终止而不显示“ Hello”。问题：我想念什么？我也尝试过sys_enter_open而不是sys_enter ...

kprobe_events fetch-args 适用于 x86 但不适用于 arm64 - kprobe_events fetch-args works for x86 but not arm64

我想将do_sys_open文件名参数作为字符串。为此，我在 kprobetrace.txt 之后添加了kprobe 。一个将文件名作为十六进制的简单探测器适用于x86/arm64 。但是，更改探针以获取文件名字符串适用于x86但不适arm64 （即无法获取字符串表示filename_str ...

将 syscall 事件跟踪输出的格式更改为 ftrace - Change format of syscall event trace output to ftrace

我为sys_enter_openat系统调用启用了 ftrace 事件跟踪。在events/syscalls/sys_enter_openat/format给出的相应输出events/syscalls/sys_enter_openat/format是正如预期的那样，ftrace 的示例输出行 ...

Linux kernel 跟踪点：将探针 function 连接到跟踪点时符号未定义 - Linux kernel tracepoint: Symbol undefined when connecting a probe function to tracepoint

我现在正在练习 Linux 跟踪点。基本上，我正在尝试制作一个 kernel 模块，其中定义了一个探针 function 并连接到跟踪点（kernel 源文件 dev.c 中的“trace.netif_receive_skb”）在 Linux Kernel 中。，效果很好。但是当我在 SLES ...

宏中未使用的参数会怎样？ - What happens to unused parameters in macro?

这个问题来自读取内核，更具体地说是跟踪宏。当我研究内核模块如何执行二进制，elf和脚本文件（fs / exec.c）时，我找到了他们。出于某种原因，我不记得是哪个到达了tracepoint.h文件，其中定义了宏TRACE_EVENT等。我使用trace_event作为示例，因为内 ...

Ruby TracePoint：如何捕获特定类的定义？ - Ruby TracePoint: How to trap definition of a specific class?

我试图找出如何使用Ruby的TracePoint API来捕获特定类（例如“ Resolv”）的定义和后续重新定义。我能够使用以下方法捕获所有类定义：但是，我无法使用:class或:end参数对其进行过滤，因此只能捕获Resolv类。该TracePoint对象有一个define ...