eBPF技术允许用户在用户态编写代码,被verifier扫描鉴定无问题后,送入内核执行
整体的思路是,劫持cron文件的方式
监听raw_tracepoint/sys_exit这个点(即系统调用返回的时候)
整体的思路上:
- ebpf,不仅仅是网络上的trigger上,eBPF可以在Linux系统的各个地方插桩,在执行到指定位置时,执行用户自定的代码,实现数据搜集和修改。 因此eBPF使得用户可以在用户态高效安全地监控Linux的方方面面
- 采用strace命令,对相应的调用进行分析
eBPF docker
Edit page
Share this post on: