отфильтровать определенные процессы и/или pid в ftrace?

Question

Я понял, как сделать то, что описал, но это немного нелогично, поэтому я публикую ответ здесь для тех, кто может попасть на эту страницу при поиске (кратко:на дне). Насколько я знаю,Не существует универсального способа просто отфильтровать процессы с определенным PID из ftrace так же просто, как указать ему рассматривать ТОЛЬКО процессы с определенным PID, но в моем случае меня интересуют только необработанные системные вызовы (sys_enter), и я нашел, как исключить записи с определенными PID из включения в них, и вот как это сделать:

Каталог ftrace:

/sys/kernel/debug/трассировка/

Внутри есть каталог под названием "события"Отсюда вы можете увидеть все, что ftrace может отслеживать, но в моем случае я перехожу в "raw_syscalls."

В пределахraw_syscalls," два подкаталога - этоsys_enterиsys_exit.

Внутри sys_enter (и sys_exit, если на то пошло) находятся следующие файлы:

давать возможность

фильтр

формат

идентификатор

курок

"фильтр"это то, что нас сейчас больше всего волнует, ноформатсодержит полезную информацию о полях записи, созданной ftrace при включенном sys_enter:

name: sys_enter
ID: 17
format:
    field:unsigned short common_type;   offset:0;   size:2; signed:0;
    field:unsigned char common_flags;   offset:2;   size:1; signed:0;
    field:unsigned char common_preempt_count;   offset:3;   size:1; signed:0;
    field:int common_pid;   offset:4;   size:4; signed:1;

    field:long id;  offset:8;   size:8; signed:1;
    field:unsigned long args[6];    offset:16;  size:48;    signed:0;

Здесь мы заботимся оcommon_pid.

Если вы хотите, чтобы ваша трассировка исключала записи из процесса с PIDн, вы бы отредактировали

/sys/kernel/debug/tracing/events/raw_syscalls/sys_enter/filter

Читать:

common_pid != n

Если программа, которую вы пытаетесь игнорировать при трассировке, имеет несколько потоков или несколько процессов, вы просто используете оператор &&. Допустим, вы хотите исключить процессы с PIDн,о, ип, вам следует отредактировать файл так, чтобы он выглядел следующим образом:

common_pid != n && common_pid != o && common_pid != p

Чтобы очистить фильтр, просто напишите "0"к файлу:

echo "0" > /sys/kernel/debug/tracing/events/raw_syscalls/sys_enter/filter

...сделало бы свое дело.

давать возможностьдолжен содержать "1" для отслеживаемого вами события, а такжетрассировка_нав каталоге ftrace. Пишем в0включает трассировку этого события (или всю трассировку в случаетрассировка_на) выключенный.

Для записи в эти файлы требуются права root.

Это все, что я могу придумать. Спасибо всем, кто прочитал/проголосовал за это, и я надеюсь, что мой ответ кому-то поможет. Если кто-то знает способ, который заставляет то, как я это сделал, выглядеть глупо, не стесняйтесь бросить мне вызов.

вкратце:чтобы отфильтровать записи из процесса 48, напишите:

common_pid != 48

...к

/sys/kernel/debug/tracing/events/raw_syscalls/sys_enter/filter

Отфильтруйте несколько PID (например, 48, 49, 53, 58), написав вместо этого следующее:

common_pid != 48 && common_pid != 49 && common_pid != 53 && common_pid !=58

Замените «events/raw_syscalls/sys_enter» на желаемое событие, а мои цифры — на любые PID, которые вы хотите игнорировать.

Answer 1

Я понял, как сделать то, что описал, но это немного нелогично, поэтому я публикую ответ здесь для тех, кто может попасть на эту страницу при поиске (кратко:на дне). Насколько я знаю,Не существует универсального способа просто отфильтровать процессы с определенным PID из ftrace так же просто, как указать ему рассматривать ТОЛЬКО процессы с определенным PID, но в моем случае меня интересуют только необработанные системные вызовы (sys_enter), и я нашел, как исключить записи с определенными PID из включения в них, и вот как это сделать:

Каталог ftrace:

/sys/kernel/debug/трассировка/

Внутри есть каталог под названием "события"Отсюда вы можете увидеть все, что ftrace может отслеживать, но в моем случае я перехожу в "raw_syscalls."

В пределахraw_syscalls," два подкаталога - этоsys_enterиsys_exit.

Внутри sys_enter (и sys_exit, если на то пошло) находятся следующие файлы:

давать возможность

фильтр

формат

идентификатор

курок

"фильтр"это то, что нас сейчас больше всего волнует, ноформатсодержит полезную информацию о полях записи, созданной ftrace при включенном sys_enter:

name: sys_enter
ID: 17
format:
    field:unsigned short common_type;   offset:0;   size:2; signed:0;
    field:unsigned char common_flags;   offset:2;   size:1; signed:0;
    field:unsigned char common_preempt_count;   offset:3;   size:1; signed:0;
    field:int common_pid;   offset:4;   size:4; signed:1;

    field:long id;  offset:8;   size:8; signed:1;
    field:unsigned long args[6];    offset:16;  size:48;    signed:0;

Здесь мы заботимся оcommon_pid.

Если вы хотите, чтобы ваша трассировка исключала записи из процесса с PIDн, вы бы отредактировали

/sys/kernel/debug/tracing/events/raw_syscalls/sys_enter/filter

Читать:

common_pid != n

Если программа, которую вы пытаетесь игнорировать при трассировке, имеет несколько потоков или несколько процессов, вы просто используете оператор &&. Допустим, вы хотите исключить процессы с PIDн,о, ип, вам следует отредактировать файл так, чтобы он выглядел следующим образом:

common_pid != n && common_pid != o && common_pid != p

Чтобы очистить фильтр, просто напишите "0"к файлу:

echo "0" > /sys/kernel/debug/tracing/events/raw_syscalls/sys_enter/filter

...сделало бы свое дело.

давать возможностьдолжен содержать "1" для отслеживаемого вами события, а такжетрассировка_нав каталоге ftrace. Пишем в0включает трассировку этого события (или всю трассировку в случаетрассировка_на) выключенный.

Для записи в эти файлы требуются права root.

Это все, что я могу придумать. Спасибо всем, кто прочитал/проголосовал за это, и я надеюсь, что мой ответ кому-то поможет. Если кто-то знает способ, который заставляет то, как я это сделал, выглядеть глупо, не стесняйтесь бросить мне вызов.

вкратце:чтобы отфильтровать записи из процесса 48, напишите:

common_pid != 48

...к

/sys/kernel/debug/tracing/events/raw_syscalls/sys_enter/filter

Отфильтруйте несколько PID (например, 48, 49, 53, 58), написав вместо этого следующее:

common_pid != 48 && common_pid != 49 && common_pid != 53 && common_pid !=58

Замените «events/raw_syscalls/sys_enter» на желаемое событие, а мои цифры — на любые PID, которые вы хотите игнорировать.

отфильтровать определенные процессы и/или pid в ftrace?

решение1

Связанный контент