內核探測工具systemtap簡介(轉)

 

systemtap是內核開發者必需要掌握的一個工具，本文我將簡單介紹一下此工具，後續將會有系列文章介紹systemtap的用法。

什麼是systemtap

假如如今有這麼一個需求：須要獲取正在運行的 Linux 系統的信息，如我想知道系統何時發生系統調用，發生的是什麼系統調用等這些信息，有什麼解決方案呢？

• 最原始的方法是，找到內核系統調用的代碼，加上咱們須要得到信息的代碼、從新編譯內核、安裝、選擇咱們新編譯的內核重啓。這種作法對於內核開發人員簡直是夢魘，由於一遍作下來至少得須要1個多小時，不只破壞了原有內核代碼，並且若是換了一個需求又得從新作一遍上面的工做。因此，這種調試內核的方法效率是極其底下的。
• 以後內核引入了一種Kprobe機制，能夠用來動態地收集調試和性能信息的工具，是一種非破壞性的工具，用戶能夠用它跟蹤運行中內核任何函數或執行的指令等。相比以前的作法已經有了質的提升了，但Kprobe並無提供一種易用的框架，用戶須要本身去寫模塊，而後安裝，對用戶的要求仍是蠻高的。
• systemtap 是利用Kprobe 提供的API來實現動態地監控和跟蹤運行中的Linux內核的工具，相比Kprobe，systemtap更加簡單，提供給用戶簡單的命令行接口，以及編寫內核指令的腳本語言。對於開發人員，systemtap是一款可貴的工具。

下面將會介紹systemtap的安裝、systemtap的工做原理以及幾個簡單的示例。

systemtap 的安裝

個人主機 Linux 發行版是32位 Ubuntu13.04，內核版本 3.8.0-30。因爲 systemtap 運行須要內核的調試信息支撐，默認發行版的內核在配置時這些調試開關沒有打開，因此安裝完systemtap也是沒法去探測內核信息的。 下面我以兩種方式安裝並運行 systemtap：

方法一

1. 編譯內核以支持systemtap 
   咱們從新編譯內核讓其支持systemtap，首先你想讓內核中有調試信息，編譯內核時須要加上 -g 標誌；其次，你還須要在配置內核時將 Kprobe 和 debugfs 開關打開。最終效果是，你能在內核 .config 文件中看到下面四個選項是設置的：

   CONFIG_DEBUG_INFO
     CONFIG_KPROBES
     CONFIG_DEBUG_FS
     CONFIG_RELAY

   配置完以後，按照以前你編譯內核的步驟編譯便可。

2. 獲取systemtap源碼 
   今後地址 https://sourceware.org/systemtap/ftp/releases下載已經發布的systemtap的源代碼，截至目前（2013.9.17）最新版本爲systemtap-2.3。下載完以後解壓。 固然你還可使用 git 去克隆最新的版本（2.4），命令以下：

   git clone git://sources.redhat.com/git/systemtap.git

3. 編譯安裝systemtap 
   若是你下載的是最新版本的systemtap，那麼你須要新版的 elfutils，能夠從https://fedorahosted.org/releases/e/l/elfutils/ 下載elfutils-0.156 版本。下載以後解壓縮到適合的目錄（我放在~/Document/ 下），不須要安裝，只要配置systemtap時指定其位置便可。 進入以前解壓systemtap的目錄，使用下面命令進行配置：

   ./configure --with-elfutils=~/Document/elfutils-0.156

   以這裏方法配置以後，你只須要再運行 make install 即完成systemtap的編譯安裝。若是須要卸載的話，運行 make uninstall。

方法二

因爲發行版的內核默認無內核調試信息，因此咱們還須要一個調試內核鏡像，在http://ddebs.ubuntu.com/pool/main/l/linux/ 找到你的內核版本相對應的內核調試鏡像（版本號包括後面的發佈次數、硬件體系等都必須一致），如針對我上面的內核版本，就能夠用以下命令下載安裝內核調試鏡像：

$ wget http://ddebs.ubuntu.com/pool/main/l/linux/linux-image-debug-3.8.0-30-generic_dbgsym_3.8.0-30.43_i386.ddeb
$ sudo dpkg -i linux-image-debug-3.8.0-30-generic_dbgsym_3.8.0-30.43_i386.ddeb

通常這種方法下，你只須要使用apt在線安裝systemtap便可：

$sudo apt-get install systemtap

固然方法二僅限於Ubuntu發行版，至於其餘的發行版並不能照搬，網上也有不少相關的資料。

systemtap 測試示例

安裝完systemtap以後，咱們須要測試一下systemtap是否能正確運行：

示例一：打印hello systemtap

以root用戶或者具備sudo權限的用戶運行如下命令：

$stap -ve 'probe begin { log("hello systemtap!") exit() }'

若是安裝正確，會獲得以下相似的輸出結果：

Pass 1: parsed user script and 96 library script(s) using 55100virt/26224res/2076shr/25172data kb, in 120usr/0sys/119real ms.
Pass 2: analyzed script: 1 probe(s), 2 function(s), 0 embed(s), 0 global(s) using 55496virt/27016res/2172shr/25568data kb, in 0usr/0sys/4real ms.
Pass 3: translated to C into "/tmp/stapYqNuF9/stap_e2d1c1c9962c809ee9477018c642b661_939_src.c" using 55624virt/27380res/2488shr/25696data kb, in 0usr/0sys/0real ms.
Pass 4: compiled C into "stap_e2d1c1c9962c809ee9477018c642b661_939.ko" in 1230usr/160sys/1600real ms.
Pass 5: starting run.
hello systemtap!
Pass 5: run completed in 0usr/10sys/332real ms.

示例二：打印4s內全部open系統調用的信息

建立systemtap腳本文件test2.stp:

#!/usr/bin/stap

probe begin 
{
    log("begin to probe")
}

probe syscall.open
{
    printf ("%s(%d) open (%s)\n", execname(), pid(), argstr)
}

probe timer.ms(4000) # after 4 seconds
{
    exit ()
}

probe end
{
    log("end to probe")
}

將該腳本添加可執行的權限 chmod +x test2.stp ，使用./test2.stp 運行該腳本，便可打印4s內全部open系統調用的信息，打印格式爲：進程名（進程號）打開什麼文件。 你們能夠自行去測試，若是兩個示例都能正確運行，基本上算是安裝成功了！

systemtap 工做原理

systemtap 的核心思想是定義一個事件（event），以及給出處理該事件的句柄（Handler）。當一個特定的事件發生時，內核運行該處理句柄，就像快速調用一個子函數同樣，處理完以後恢復到內核原始狀態。這裏有兩個概念：

• 事件（Event）：systemtap 定義了不少種事件，例如進入或退出某個內核函數、定時器時間到、整個systemtap會話啓動或退出等等。
• 句柄（Handler）：就是一些腳本語句，描述了當事件發生時要完成的工做，一般是從事件的上下文提取數據，將它們存入內部變量中，或者打印出來。

Systemtap 工做原理是經過將腳本語句翻譯成C語句，編譯成內核模塊。模塊加載以後，將全部探測的事件以鉤子的方式掛到內核上，當任何處理器上的某個事件發生時，相應鉤子上句柄就會被執行。最後，當systemtap會話結束以後，鉤子從內核上取下，移除模塊。整個過程用一個命令 stap 就能夠完成。 上面只是簡單的原理，更多背後的機理參考網上資料和相應的論文。 圖 systemtap 處理流程

更多參考

• systemtap 官網給出了自學教程及相關論文，選擇看這個已經足夠了：https://sourceware.org/systemtap/documentation.html
• IBM 編寫的systemtap 指南也是很不錯的： http://www.redbooks.ibm.com/abstracts/redp4469.html