从 0 到 1:如何用 eBPF 深入监控 Linux 内核?

随着云计算、容器化和微服务架构的兴起，对 Linux 内核的深入监控变得至关重要。传统的监控工具（如 top、strace、tcpdump）虽然实用，但往往受限于性能开销、数据粒度等问题。而 eBPF（Extended Berkeley Packet Filter）提供了一种高效、安全且灵活的方法来深入观察 Linux 内核的运行状态。

本篇文章将从 0 到 1，带你了解 eBPF 的基础概念，并实践如何使用 eBPF 来监控 Linux 内核。

2. 什么是 eBPF？

eBPF 是 Linux 内核中的一个技术，可以在 不修改内核代码 的情况下动态加载和执行程序。它最初用于网络数据包过滤（类似 iptables），但如今已扩展到安全监控、性能分析、系统追踪等领域。

eBPF 的优势

o 高性能：eBPF 在内核态执行，避免了用户态和内核态频繁切换的开销。

o 安全性：eBPF 具有严格的验证机制，确保不会影响系统稳定性。

o 灵活性：无需修改内核代码，即可实时插桩，适用于多种监控需求。

3. eBPF 的应用场景

① 系统监控

o 监控 CPU、内存、磁盘 I/O、网络流量等系统资源使用情况。

o 追踪系统调用（syscall），分析应用程序的行为。

② 性能优化

o 分析长时间运行的进程，优化 CPU 和内存使用。

o 监测磁盘 I/O 和网络流量，定位性能瓶颈。

③ 安全审计

o 记录异常系统调用，检测潜在的攻击行为。

o 监控容器内部的进程活动，增强安全防护。

4. eBPF 实战：用 bcc 监控 Linux 内核

① 安装 eBPF 相关工具

要使用 eBPF，我们可以选择 BCC（BPF Compiler Collection） 作为开发框架。首先，在 Linux 机器上安装 BCC：

# 安装 bcc 工具（Ubuntu/Debian）

sudo apt update

sudo apt install -y bpfcc-tools linux-headers-$(uname -r)

# 安装 bcc 工具（CentOS/Red Hat）

sudo yum install -y epel-release

sudo yum install -y bcc-tools kernel-devel-$(uname -r)

# 验证安装

ls /sys/fs/bpf/

如果 /sys/fs/bpf/ 目录存在，说明 eBPF 运行环境已准备就绪。

② 使用 eBPF 监控进程系统调用

我们使用 execsnoop 这个 eBPF 脚本来监控所有进程的 exec() 调用（即执行新进程）：

sudo /usr/sbin/bcc/tools/execsnoop

执行后，你将会看到所有新进程的执行情况，例如：

PCOMM PID PPID RET ARGS

bash 3456 1234 0 /bin/bash

python3 6789 3456 0 script.py

curl 7890 6789 0 https://example.com

这可以用于检测系统中可疑的进程执行情况。

③ 使用 eBPF 监控网络流量

如果你想分析 TCP 连接建立情况，可以使用 tcpconnect 这个 eBPF 工具：

sudo /usr/sbin/bcc/tools/tcpconnect

执行后，你将看到类似如下的输出：

PID COMM LADDR LPORT RADDR RPORT

1234 curl 192.168.1.2 56789 93.184.216.34 443

5678 python3 192.168.1.2 23456 142.251.36.46 443

这有助于分析网络连接情况，防止恶意程序偷偷建立外部连接。

④ 自定义 eBPF 监控脚本

如果我们想监控某个特定进程的 open 系统调用（即文件打开操作），可以编写一个 eBPF 脚本：

from bcc import BPF

# 定义 eBPF 代码

program = """

#include <uapi/linux/ptrace.h>

int trace_open(struct pt_regs *ctx) {

bpf_trace_printk("File opened!\\n");

return 0;

}

"""

# 加载 eBPF 代码

b = BPF(text=program)

b.attach_kprobe(event="sys_open", fn_name="trace_open")

# 打印 eBPF 输出

print("Tracing file open calls... Press Ctrl+C to exit.")

while True:

try:

print(b.trace_readline())

except KeyboardInterrupt:

exit()

这个 eBPF 脚本可以拦截 open 系统调用，并打印日志，适用于文件操作监控。

5. eBPF 的未来

eBPF 目前已经在 Facebook、Google、Netflix、Alibaba 等大规模应用中，用于系统监控、安全防护和性能优化。未来，它将在 自动化运维、容器监控、零信任安全 等领域发挥更大作用。

对于 DevOps 工程师和 Linux 运维人员，掌握 eBPF 监控技能，将成为核心竞争力之一。

6. 总结

o eBPF 是 Linux 内核的一项强大技术，可以在不修改内核代码的情况下实现高效的系统监控。

o eBPF 可以用于系统监控、性能优化和安全审计，广泛应用于云计算和容器化环境。

o 使用 BCC 框架可以快速开发 eBPF 监控工具，例如 execsnoop、tcpconnect 等。

o 掌握 eBPF 能让你在 Linux 运维领域更具竞争力，未来发展潜力巨大。

如果你对 eBPF 感兴趣，可以尝试更多的 eBPF 案例，例如 opensnoop（监控文件打开操作）、biolatency（监控磁盘 I/O 延迟）等。

这篇文章涵盖了 eBPF 从概念到实战的全过程，希望能帮助你更好地理解 Linux 内核监控。如果你觉得有用，欢迎点赞、评论、关注，一起交流技术！