摘要:
本文在前一篇文章的基础上,对进程执行监控工具(execsnoop)进行了升级,实时打印进程执行时传入的参数列表;并通过 `kprobe` 和 `tracepoint` 两种方式,绑定 eBPF 程序,给出了代码实现。同时,对这两种 eBPF 事件类型进行了简单比较。显然,在你手动开发一个 eBPF 程序时,建议使用 `tracepoint`,以追求更好的稳定性和可移植性。文章的最后,简单列出了一些支持的 eBPF 事件类型。
以上抛砖引玉,如有不正确指出,请大家及时斧正。如果你喜欢这篇文章,请点个推荐吧! 阅读全文