从 0 到 1:用 SystemTap 打造你的 Linux 内核级诊断利器

在调试和性能优化方面，SystemTap（系统探针） 是 Linux 世界中一把真正的“瑞士军刀”。相比 strace、perf 等工具，SystemTap 具备强大的内核态观察能力，能够在不中断系统运行的前提下，对内核函数、IO、进程调度等进行精准探测。

今天我们从 0 到 1，教你快速掌握 SystemTap 的基础用法，实现内核级别的实时诊断，打造属于你的系统性能监控利器。

一、SystemTap 是什么？

SystemTap 是由 Red Hat 主导开发的 Linux 性能分析和诊断工具，能够动态插入探针（probe）并实时输出分析数据。它的强大之处在于：

o 不需修改内核源码

o 支持用户态与内核态的诊断

o 提供类 C 语言脚本语法

o 能用于排查内核死锁、内存泄漏、性能瓶颈等问题

二、环境准备

# 安装依赖包（以 CentOS 为例）

sudo yum install systemtap systemtap-runtime kernel-devel kernel-debuginfo -y

# 检查 stap 工具是否正常

stap -v

如果你使用的是 Ubuntu/Debian，可以使用：

sudo apt install systemtap systemtap-runtime linux-headers-$(uname -r) -y

三、编写第一个 SystemTap 脚本

创建一个简单脚本，监听每次执行 open() 系统调用：

vim trace_open.stp

probe syscall.open {

printf("进程 %s 打开文件: %s\n", execname(), filename)

}

执行脚本：

sudo stap trace_open.stp

然后在另一个终端打开任意文件，即可看到实时监控结果。

四、进阶使用：统计 top10 被频繁访问的文件

global file_count

probe syscall.open {

file_count[filename]++

}

probe end {

foreach (f in file_count- limit 10)

printf("%s: %d 次\n", f, file_count[f])

}

这个脚本将在执行结束后，输出访问最频繁的 10 个文件。

五、SystemTap vs eBPF

虽然 eBPF 近年来火热，但 SystemTap 在某些场景下依然具有优势：

建议在前期调试、老系统或需要深入内核分析时，优先考虑 SystemTap。

六、总结

SystemTap 是 Linux 高级性能调试领域的“内核级侦探”，非常适合运维工程师、系统开发者和内核爱好者使用。通过本文，你已经掌握了从安装到脚本编写的基本流程，接下来可以深入探究 TCP 连接、进程调度、内存访问等高级探针分析。

后续推荐

o 如何在使用 SystemTap 监控内核内存分配（kmalloc/kfree）

o SystemTap 与 eBPF 的协同实战

o 利用 SystemTap 编写定制化系统健康巡检脚本