起初systemtap 是聚焦于内核空间的,因为用户层的诊断工具真的很多,后来还是在0.6版本时候可以探测用户进程了,既然可以用,那就用它吧。
Systemtap用uprobes 模块来执行用户层的探测,在内核3.5以后,已经包含了,可以查看内核的config文件中CONFIG_UPROBES参数。
1. 用户层事件
用户事件可以通过PID来限定,也可以通过可执行路径来限定。
有些事件限制了必须使用一个特定的PATH,因为需要debug信息来静态分析将探针放在哪里。
例如:
process(“PATH”).function(“function”),用户空间函数入口。类似内核函数的kernel.function(“function”)。
process(“PATH”).statement(“statement”),类似kernel.statement(“statement”).
process(“PATH”).mark(“marker”),静态点marker定义在PATH .很多应用提供静态探针.例如java的hotspot JVM.
probe hotspot.gc_begin =
process("/usr/lib/jvm/java-1.6.0-openjdk-1.6.0.0.x86_64/jre/lib/amd64/server/libjvm.so").mark("gc__begin")
process.begin,用户进程开始创建
process.thread.begin,用户线程创建
process.end用户进程结束
process.thread.end用户线程结束
process.syscall用户进程使用系统调用。
2. 访问目标变量
对于每个函数,第一个参数是指向数据的
user_char(address) ,包含当前用户进程中地址的字节。此外还有如下,分别是短整型,整型,长整型,字符串。
user_short, user_int, user_long, user_string, user_string_n
3. 用户空间堆栈
探针指针probe point(pp)可以显示是那个事件触发了事件句柄。
但是共享库函数经常被程序不同模块激活,所以函数堆栈就可以看到事件是如何被触发的。
用户层堆栈,通过调试信息段来实现的,不过对于可执行程序需要使用-d executable参数,共享库需要-ldd参数。
例如:
#stap -d /bin/ls --ldd -e 'probe process("ls").function("xmalloc") {print_usyms(ubacktrace())}' -c "ls /"