V2EX = way to explore
V2EX 是一个关于分享和探索的地方
现在注册
已注册用户请  登录
爱意满满的作品展示区。
kernelerror
V2EX  ›  分享创造

Fox Ear: 基于 eBPF 的 Linux 进程行为监控

  •  1
     
  •   kernelerror · 2022-01-24 13:54:05 +08:00 · 2747 次点击
    这是一个创建于 1036 天前的主题,其中的信息可能已经有所发展或是发生改变。

    Hello 大家好,今天来分享我制作的一款 Linux 进程行为监控软件 Fox Ear 。目前支持监控一个进程和其衍生出来的全部子进程的如下行为:

    • 创建进程
    • 文件访问
    • TCP 连接创建

    输出演示:

    graph.png

    进程间关系图

    v4.png

    TCP IPv4 连接

    GitHub: https://github.com/KernelErr/foxear

    Example (推荐看看): https://github.com/KernelErr/foxear/blob/main/docs/example.md

    5 条回复    2022-01-25 16:32:43 +08:00
    jingslunt
        1
    jingslunt  
       2022-01-24 15:05:33 +08:00
    eBPF 应用前景挺可观的,比如以后 istio 很可能走这条路
    2i2Re2PLMaDnghL
        2
    2i2Re2PLMaDnghL  
       2022-01-24 15:54:54 +08:00
    想先问下,对比 strace (及其输出的二次处理)有什么优势(包括潜在的优势)。
    strace 可以在普通权限下执行来着,而且目前来说已经可以读取 TCP 的内容(粒度为每次 syscall )。
    tinybaby365
        3
    tinybaby365  
       2022-01-24 18:51:27 +08:00
    ebpf 很强大,而且会越来越强大!
    VVVYGD
        4
    VVVYGD  
       2022-01-24 20:57:23 +08:00 via iPhone
    很不错,eBPF 是未来网络监控的一把利器。
    yqf0215
        5
    yqf0215  
       2022-01-25 16:32:43 +08:00
    能关联到程序、uid ,很有用。如果有 golang 版就好了,golang 部署很方便
    关于   ·   帮助文档   ·   博客   ·   API   ·   FAQ   ·   实用小工具   ·   5024 人在线   最高记录 6679   ·     Select Language
    创意工作者们的社区
    World is powered by solitude
    VERSION: 3.9.8.5 · 28ms · UTC 09:54 · PVG 17:54 · LAX 01:54 · JFK 04:54
    Developed with CodeLauncher
    ♥ Do have faith in what you're doing.