kprobe_events shell模式使用教程
kprobe使用前提
需要內核啟用以下配置
CONFIG_KPROBES=y
CONFIG_HAVE_KPROBES=y
CONFIG_KPROBE_EVENT=y
kprobe_events
kprobe_events有兩種型別:kprobe,kretprobe
kprobe_evnets規則添加的入口:/sys/kernel/debug/tracing/kprobe_events
- kprobe
在函式呼叫時進行探測,可以用來判斷函式是否被呼叫以及呼叫函式的傳參值是什么.
用法:
echo "p:probe1 input_event type=%x1 code=%x2 value=https://www.cnblogs.com/forwards/p/%x3" > /sys/kernel/debug/tracing/kprobe_events - kretprobe
在函式呼叫完成后探測,可以用來判斷函式執行的結果.
用法:echo "r:probe2 input_event $retval" > /sys/kernel/debug/tracing/kprobe_events
用法說明:
p代表kprobe模式
r代表kretprobe模式
probe1,probe2為探測點的名稱,可以任意命名
input_event被探測的函式
type,code,value自定義欄位
%x1,%x2,%x3ARM架構下傳參暫存器分別代表探測函式的第2,3,4個引數,用于給自定義欄位賦值
$retval用于kretprobe模式,代表探測函式的回傳值
如果有多個探測點可以將重定向>替換成追加>>
kprobe模式下如何查看探測函式引數串列中的結構體成員的值
例如:探測函式void hidinput_hid_event(struct hid_device *hid, struct hid_field *field, struct hid_usage *usage, __s32 value),獲取usage->hid,usage->type,usage->code的值,并根據hid過濾.
在kernel 4.4.131中:
struct hid_usage {
unsigned hid; /* hid usage code */
unsigned collection_index; /* index into collection array */
unsigned usage_index; /* index into usage array */
/* hidinput data */
__u16 code; /* input driver code */
__u8 type; /* input driver type */
__s8 hat_min; /* hat switch fun */
__s8 hat_max; /* ditto */
__s8 hat_dir; /* ditto */
};
其中hid欄位結構體內offset=0
code offset=12
type offset=14echo "p:probeG6 hidinput_hid_event hid=+0(%x2):u32 type=+14(%x2):u8 code=+12(%x2):u16" >> /sys/kernel/debug/tracing/kprobe_events
echo "hid < 0x700e0 || hid > 0x700e7" > /sys/kernel/debug/tracing/events/kprobes/probeG6/filter%x2獲取hidinput_hid_event函式的第3個引數
+0(%x2)對第3個引數進行取值操作
:u32定義資料型別為u32,如果欄位為字串可定義為string
+14(%x2)先對第3個引數進行取值操作,然后+14個位元組的偏移
filter
對探測結果進行條件過濾
echo "p:probe1 input_event type=%x1 code=%x2 value=https://www.cnblogs.com/forwards/p/%x3" > /sys/kernel/debug/tracing/kprobe_events
echo "type == 1" > /sys/kernel/debug/tracing/events/kprobes/probe1/filtertype == 1僅輸出type值為1的條目,在kretprobe模式下也可以對探測函式的回傳值進行過濾.
查看探測輸出
cat /sys/kernel/debug/tracing/trace_pipe該操作會阻塞
kprobe輸出欄位的含義
# tracer: nop
#
# entries-in-buffer/entries-written: 0/0 #P:4
#
# _-----=> irqs-off
# / _----=> need-resched
# | / _---=> hardirq/softirq
# || / _--=> preempt-depth
# ||| / delay
# TASK-PID CPU# |||| TIMESTAMP FUNCTION
# | | | |||| | |啟動kprobe
echo "1" > /sys/kernel/debug/tracing/events/kprobes/enable
關閉kprobe
echo "0" > /sys/kernel/debug/tracing/events/enable
echo "" > /sys/kernel/debug/tracing/kprobe_events轉載請註明出處,本文鏈接:https://www.uj5u.com/caozuo/554104.html
標籤:Linux
上一篇:STM32-RTC
下一篇:返回列表