eBPF docker

原文链接

eBPF技术允许用户在用户态编写代码，被verifier扫描鉴定无问题后，送入内核执行

整体的思路是，劫持cron文件的方式

监听raw_tracepoint/sys_exit这个点（即系统调用返回的时候）

整体的思路上：

• ebpf，不仅仅是网络上的trigger上，eBPF可以在Linux系统的各个地方插桩，在执行到指定位置时，执行用户自定的代码，实现数据搜集和修改。 因此eBPF使得用户可以在用户态高效安全地监控Linux的方方面面
• 采用strace命令，对相应的调用进行分析