iovisor/bcc

update killsnoop to use tracepoints

Open

#3,592 opened on 2021年8月27日

GitHub で見る
 (7 comments) (0 reactions) (1 assignee)C (22,409 stars) (4,051 forks)batch import
help wanted

説明

This is a request for help.

I wrote killsnoop back in 2015 before tracepoint support, and so I kprobe'd sys_kill(). It still does some derivation of that. But now there's a report it no longer works on Linux 5.11: https://github.com/iovisor/bcc/pull/3572#issuecomment-900357032 CC @chenhengqi

Can someone please update killsnoop (both Python and libbpf-tools) to use tracepoints instead of kprobes (if it works as expected). All of these:

  syscalls:sys_enter_kill                            [Tracepoint event]
  syscalls:sys_enter_tgkill                          [Tracepoint event]
  syscalls:sys_enter_tkill                           [Tracepoint event]
  syscalls:sys_exit_kill                             [Tracepoint event]
  syscalls:sys_exit_tgkill                           [Tracepoint event]
  syscalls:sys_exit_tkill                            [Tracepoint event]

コントリビューターガイド

技術スタック
cpython
領域
observability
Issue 種別
feature
難度新しい貢献者にとっての実装難度です。1 は非常に小さな変更、5 は専門的な作業です。
3
推定時間経験ある貢献者が調査、実装、テスト、pull request 準備にかけるおおよその時間範囲です。
1-2 days
活動状況Issue が今どれだけ取り組みやすいかを示します。新しい、活発、古い、ブロック中、またはメンテナー入力待ちなどです。
active
明確さ期待される変更、受け入れ条件、次の手順がどれだけ明確かを示します。
clear
前提条件
understanding of BPFknowledge of tracepointsfamiliarity with syscall hooks
初心者向け度初回貢献者にどれだけ取り組みやすいかを 1-100 で推定したスコアです。
40
調査方針
Examine the current killsnoop implementation in bcc/tools/killsnoop.py and libbpf tools/killsnoop.c. Look at other bcc tools that use tracepoints (e.g., execsnoop, opensnoop) for reference patterns. Test the new tracepoint based version on Linux 5.11+ to ensure correctness. Note that the issue mentions a previous report of breakage, so verify the fix works across kernel versions.