有时候想要知道Linux系统中哪个进程打开了某个文件,你会想到使用审计工具,或者自己写一个kprobe模块跟踪do_sys_open函数。
long do_sys_open(int dfd, const char __user *filename, int flags, umode_t mode)不需要这么麻烦,不管你在哪个架构平台上工作,只需使用echo 和 cat命令执行同样的操作就能办到(内核会自动创建kprobe):
cd /sys/kernel/debug/tracingecho 'p do_sys_open arg1=+0($arg2):string' > ./kprobe_eventsecho 1 > ./events/kprobes/p_do_sys_open_0/enable
以上的$argN屏蔽了各个cpu架构获取函数参数必须使用架构相关的寄存器 (比如在x86_64获取第二个函数参数可以用%si, 在riscv上使用%a1),其中对于riscv架构,maintainer已经接受了我的patch,很快就能合入Linux主线支持$argN。
然后任意cat一下,比如/open.c文件,再从ftrace环形队列缓冲区就能读到是进程号28257(cat)打开了什么文件。
cat /open.c
cat ./trace
...cat-28257 [002] .... 730138.355766: p_do_sys_open_0: (do_sys_open+0x0/0x260) arg1="/open.c"
如果也想知道在打开文件时候的call trace:
echo 1 > ./options/stacktrace
cat /open.c
cat ./trace
cat-28271 [003] .... 730253.982115: p_do_sys_open_0: (do_sys_open+0x0/0x260) arg1="/open.c"cat-28271 [003] .... 730253.982115: <stack trace>=> do_sys_open=> do_syscall_64=> entry_SYSCALL_64_after_hwframe
以上只是kprobe_event的小试牛刀,如果想了解更多关于ftrace的功能与实现 ,欢迎扫码下方的二维码订阅《Linux内核tracers的实现原理与应用》(目前已收到很多学员的好评:) )
---end---
