0x1:应用层流程基于Linuxkernelsourcev5.131.加载bpf.o文件并处理elfsection信息1.intbpf_object__open(char*path)//参数是bpf.o文件路径--__bpf_object__open(constchar*path,constvoid*obj_buf,size_tobj_buf_sz,conststructbpf_object_open_opts*opts)//读取obj文件，解析elf中section信息。 -- obj=bpf_object__new(path,obj_buf,obj_buf_sz,obj_name); //

0x1:应用层流程基于Linuxkernelsourcev5.131.加载bpf.o文件并处理elfsection信息1.intbpf_object__open(char*path)//参数是bpf.o文件路径--__bpf_object__open(constchar*path,constvoid*obj_buf,size_tobj_buf_sz,conststructbpf_object_open_opts*opts)//读取obj文件，解析elf中section信息。 -- obj=bpf_object__new(path,obj_buf,obj_buf_sz,obj_name); //

0x1:技术背景bpf：BPF的全称是BerkeleyPacketFilter，是一个用于过滤(filter)网络报文(packet)的架构。（例如tcpdump)，目前称为Cbpf（Classicalbpf）Ebpf：eBPF全称extendedBPF，LinuxKernel3.15中引入的全新设计,是对既有BPF架构进行了全面扩展，一方面，支持了更多领域的应用，比如：内核追踪(KernelTracing)、应用性能调优/监控、流控(TrafficControl)等；另一方面，在接口的设计以及易用性上，也有了较大的改进。eBPF支持在用户态将C语言编写的一小段“内核代码”注入到内核中运行，注

0x1:技术背景bpf：BPF的全称是BerkeleyPacketFilter，是一个用于过滤(filter)网络报文(packet)的架构。（例如tcpdump)，目前称为Cbpf（Classicalbpf）Ebpf：eBPF全称extendedBPF，LinuxKernel3.15中引入的全新设计,是对既有BPF架构进行了全面扩展，一方面，支持了更多领域的应用，比如：内核追踪(KernelTracing)、应用性能调优/监控、流控(TrafficControl)等；另一方面，在接口的设计以及易用性上，也有了较大的改进。eBPF支持在用户态将C语言编写的一小段“内核代码”注入到内核中运行，注

前段时间编译bpfc文件，都是用的bpf2go这个go包，这个包虽然很方便，但是指定参数比较困难，学习到traceefalco这种大型项目都是通过makefile直接编译bpf代码，因此打算自己写Makefileclang-D__KERNEL__-D__ASM_SYSREG_H\ -D__BPF_TRACING__\ -Wunused\ -Wall\ -Wno-frame-address\ -Wno-unused-value\ -Wno-unknown-warning-option\ -Wno-pragma-once-outside-header\ -Wno-pointer-s

前段时间编译bpfc文件，都是用的bpf2go这个go包，这个包虽然很方便，但是指定参数比较困难，学习到traceefalco这种大型项目都是通过makefile直接编译bpf代码，因此打算自己写Makefileclang-D__KERNEL__-D__ASM_SYSREG_H\ -D__BPF_TRACING__\ -Wunused\ -Wall\ -Wno-frame-address\ -Wno-unused-value\ -Wno-unknown-warning-option\ -Wno-pragma-once-outside-header\ -Wno-pointer-s

简介观测云采集器，是一款开源、一体式的数据采集Agent，它提供全平台操作系统支持，拥有全面数据采集能力，涵盖基础设施、指标、日志、应用性能、用户访问以及安全巡检等各种场景。通过eBPF技术的引入，观测云采集器实践了网络传输层和应用层的部分协议的可观测。 采集器架构采集管理：配置加载模块用于配置动态管理与采集插件的开启关闭；监视器模块用于查看采集器资源使用、采集插件开启、数据处理器脚本工作状况、采集器外部数据接入API的响应与延迟信息等数据采集：采集器不仅可以通过内置插件进行数据采集，还能接入外部数据源，如云原生计算基金会下的可观测项目OTEL的链路、指标数据等数据清洗：在采集插件生成数据后和

简介观测云采集器，是一款开源、一体式的数据采集Agent，它提供全平台操作系统支持，拥有全面数据采集能力，涵盖基础设施、指标、日志、应用性能、用户访问以及安全巡检等各种场景。通过eBPF技术的引入，观测云采集器实践了网络传输层和应用层的部分协议的可观测。 采集器架构采集管理：配置加载模块用于配置动态管理与采集插件的开启关闭；监视器模块用于查看采集器资源使用、采集插件开启、数据处理器脚本工作状况、采集器外部数据接入API的响应与延迟信息等数据采集：采集器不仅可以通过内置插件进行数据采集，还能接入外部数据源，如云原生计算基金会下的可观测项目OTEL的链路、指标数据等数据清洗：在采集插件生成数据后和

ebpf简介eBPF是一项革命性的技术，起源于Linux内核，可以在操作系统内核等特权上下文中运行沙盒程序。它可以安全有效地扩展内核的功能，而无需更改内核源代码或加载内核模块。比如，使用ebpf可以追踪任何内核导出函数的参数，返回值，以实现kernelhook的效果；通过ebpf还可以在网络封包到达内核协议栈之前就进行处理，这可以实现流量控制，甚至隐蔽通信。ebpf追踪ebpf本质上只是运行在linux内核中的虚拟机，要发挥其强大的能力还是要跟linuxkernel自带的追踪功能搭配：kprobeuprobetracepointUSDT通常可以通过以下三种工具使用ebpf：bcclibbpfb

ebpf简介eBPF是一项革命性的技术，起源于Linux内核，可以在操作系统内核等特权上下文中运行沙盒程序。它可以安全有效地扩展内核的功能，而无需更改内核源代码或加载内核模块。比如，使用ebpf可以追踪任何内核导出函数的参数，返回值，以实现kernelhook的效果；通过ebpf还可以在网络封包到达内核协议栈之前就进行处理，这可以实现流量控制，甚至隐蔽通信。ebpf追踪ebpf本质上只是运行在linux内核中的虚拟机，要发挥其强大的能力还是要跟linuxkernel自带的追踪功能搭配：kprobeuprobetracepointUSDT通常可以通过以下三种工具使用ebpf：bcclibbpfb