50 | 案例篇：动态追踪怎么用？（上）

在Linux系统管理的广阔领域中，性能优化无疑是每位系统管理员和开发者必须掌握的核心技能之一。而动态追踪（Dynamic Tracing）作为深入理解系统行为、诊断性能瓶颈的利器，其重要性不言而喻。本章将深入探讨动态追踪的基本概念、常用工具（以SystemTap和BPF为例），并通过一系列实战案例，展示如何在Linux环境下高效运用动态追踪技术来解决问题。

一、动态追踪基础

1.1 动态追踪的定义

动态追踪是指在系统运行时不中断其执行流程，通过插入额外的代码（探针）来监视、记录和分析系统内部事件、函数调用、内存访问等行为的技术。它允许开发者或系统管理员在不重启系统、不修改应用程序源代码的情况下，实时获取系统运行时的详细信息。

1.2 为什么要使用动态追踪

• 非侵入性：不需要修改应用程序或系统代码，减少了对生产环境的干扰。
• 实时性：能够即时捕获系统状态，便于快速定位问题。
• 灵活性：通过编写脚本定义追踪点，可以精确控制追踪的内容和范围。
• 深度洞察：能够深入到系统内核层面，揭示传统监控工具难以捕捉的细节。

1.3 主流动态追踪工具

• SystemTap：基于脚本语言的动态追踪工具，易于编写复杂的追踪逻辑。
• BPF（Berkeley Packet Filter）：原本用于网络数据包过滤，后扩展为支持更广泛的系统追踪和性能分析。
• eBPF（Extended BPF）：增强了BPF的功能，支持更复杂的追踪和性能监控任务。
• perf：Linux内核自带的性能分析工具，也支持基于BPF的动态追踪。

二、SystemTap实战案例

2.1 环境准备

在开始之前，确保你的Linux系统已安装SystemTap。在大多数Linux发行版中，可以通过包管理器安装SystemTap。例如，在基于Debian的系统上，可以使用apt-get install systemtap命令安装。

2.2 案例一：追踪系统调用

场景描述：假设你需要分析某个进程频繁进行磁盘I/O操作的原因，想要了解它调用了哪些系统调用。

解决方案：

1. 编写SystemTap脚本：

   global syscalls
   probe kernel.function("sys_read") {
       syscalls[execname()] <<< tid()
   }
   probe kernel.function("sys_write") {
       syscalls[execname()] <<< tid()
   }
   probe timer.s(10) {
       foreach ([exec, tids] in syscalls-) {
           printf("%s made %d read/write syscalls\n", exec, #tids)
           delete syscalls[exec]
       }
   }

   这个脚本监控了sys_read和sys_write两个系统调用，记录了每个进程（通过execname()获取）的线程ID（tid()），并在每10秒输出一次统计结果。

2. 执行脚本：使用stap命令运行脚本，并可能需要指定-g参数以获取更详细的调试信息。

3. 分析结果：观察输出，识别出频繁进行磁盘I/O操作的进程，进而分析其原因。

2.3 案例二：追踪内存分配

场景描述：你怀疑某个程序存在内存泄漏，希望追踪其内存分配情况。

解决方案：

1. 编写SystemTap脚本：

   probe kernel.function("kmalloc") {
       printf("kmalloc called by %s, size = %d\n", ustack(), $size)
   }
   probe kernel.function("kfree") {
       printf("kfree called by %s\n", ustack())
   }

   这个脚本追踪了内核中的kmalloc和kfree函数调用，打印出调用堆栈和分配/释放的内存大小。注意，这里的ustack()函数用于获取用户态的调用堆栈，对于内核态的函数调用，可能需要其他方法来获取堆栈信息。

2. 执行脚本并观察：运行脚本后，注意查看输出，特别是关注那些频繁分配内存但很少释放（或释放量远小于分配量）的代码路径。

3. 深入分析：结合源代码或其他调试工具，进一步分析这些路径上的代码逻辑，查找内存泄漏的根源。

三、BPF实战案例预告（下章）

虽然本章主要聚焦于SystemTap的使用，但BPF作为Linux动态追踪领域的新兴力量，其强大功能和灵活性同样不容忽视。在下一章节中，我们将详细介绍BPF的基本概念、工作原理，并通过实战案例展示如何利用BPF进行网络性能分析、内核函数调用追踪等高级应用。

四、总结

动态追踪是Linux性能优化和故障排查的强大工具，通过SystemTap等工具的使用，我们可以以非侵入性的方式深入系统内部，实时获取系统运行时的详细信息。本章通过两个实战案例，展示了SystemTap在追踪系统调用和内存分配方面的应用，希望能够帮助读者更好地理解并掌握这一技术。在接下来的章节中，我们将继续探索BPF等更多动态追踪工具的应用，为读者提供更加全面的Linux性能优化实战指南。