Linux如何使用kprobes追踪内核事件_Linux内核动态调试

kprobes是Linux内核的动态调试机制，允许在函数执行前或返回时插入探测点以追踪执行流程、分析性能。它支持通过debugfs接口快速设置探测点，如在do_fork函数插入探测并查看trace日志；也可编写内核模块注册pre_handler和post_handler来获取寄存器、参数等信息；还可结合perf和ftrace工具实现高效性能分析，但需注意性能影响及禁止在handler中睡眠等问题。

在Linux内核调试中，kprobes 是一种强大的动态调试机制，允许你在几乎任何内核函数中插入探测点，而无需重新编译内核或重启系统。它非常适合用于追踪内核执行流程、分析性能瓶颈或诊断问题。

什么是kprobes？

kprobes（Kernel Probes）是Linux内核提供的一种轻量级机制，支持在指定的内核函数执行前（kprobe）、返回时（kretprobe）或指令级别（jprobe，已逐渐弃用）插入自定义处理逻辑。通过它，你可以获取寄存器状态、函数参数、执行时间等信息。

kprobes 的主要类型包括：

• kprobe：在函数入口或任意指令地址插入断点，触发 pre_handler 和 post_handler
• kretprobe：在函数返回时触发 handler，可用于测量函数执行时间或获取返回值

如何使用kprobes进行追踪

你既可以通过编写内核模块使用C语言注册kprobe，也可以利用ftrace和perf等工具间接使用kprobes功能。下面介绍两种常见方式。

方法一：通过debugfs手动创建kprobe（简单快速）

现代内核通常启用 CONFIG_KPROBES 和 CONFIG_DEBUG_FS，允许通过 debugfs 接口直接设置探测点。

步骤如下：

1. 挂载 debugfs（如未自动挂载）：
   mount -t debugfs none /sys/kernel/debug
2. 进入 kprobes 目录：
   cd /sys/kernel/debug/kprobes
3. 在特定函数上设置探测点，例如追踪 do_fork 的调用：
   echo 'p:myprobe do_fork' > events
4. 启用该事件：
   echo 1 > events/myprobe/enable
5. 查看追踪结果：
   cat trace （位于 /sys/kernel/debug/tracing/trace）
6. 禁用并删除探测点：
   echo 0 > events/myprobe/enable
echo 'myprobe' > events/unregister

输出示例：

   bash-3285  [001] ....  1234.567890: myprobe: (do_fork+0x0/0x320)

方法二：编写内核模块注册kprobe

适用于需要获取参数、返回值或执行复杂逻辑的场景。

示例代码片段：

#include 
#include 
#include 

static struct kprobe kp = {
    .symbol_name = "do_fork"
};

static int handler_pre(struct kprobe *p, struct pt_regs *regs)
{
    printk(KERN_INFO "Pre handler: %s called\n", p->symbol_name);
    return 0;
}

static void handler_post(struct kprobe *p, struct pt_regs *regs, unsigned long flags)
{
    printk(KERN_INFO "Post handler: %s finished\n", p->symbol_name);
}

static int __init kprobe_init(void)
{
    kp.pre_handler = handler_pre;
    kp.post_handler = handler_post;

    if (register_kprobe(&kp) < 0) {
        return -1;
    }
    return 0;
}

static void __exit kprobe_exit(void)
{
    unregister_kprobe(&kp);
}

module_init(kprobe_init);
module_exit(kprobe_exit);
MODULE_LICENSE("GPL");

编译后加载模块即可看到日志：
dmesg | tail

结合perf和ftrace使用kprobes

perf 和 ftrace 在底层依赖 kprobes 实现部分功能，可更方便地进行性能分析。

例如，使用 perf probe 添加一个探测点：

perf probe -x /vmlinuz do_fork

然后记录事件：

perf record -e 'probe:do_fork' -a sleep 10

查看结果：

perf script

ftrace 也支持通过 /sys/kernel/debug/tracing/kprobe_events 动态添加事件，与 debugfs 方法类似。

注意事项

• kprobes 可能影响系统性能，尤其在高频调用函数上使用时应谨慎
• 某些敏感函数（如中断处理、内存管理核心路径）可能不支持探测
• 生产环境使用需评估稳定性，建议在测试环境中验证
• handler 中不能睡眠，避免使用可能引发调度的函数（如 copy_from_user）

基本上就这些。kprobes 提供了灵活且非侵入式的内核调试手段，配合 trace 工具链能有效提升问题定位效率。掌握其基本用法对内核开发者和系统工程师非常有帮助。