trace openat syscalls with bpftrace
Commentaires
Utilise bpftrace c'est fait pour ça. Tu peux hook le syscall openat et print le comm et le path du fichier direct.
bpftrace -e 'tracepoint:syscalls:sys_enter_openat { printf("%s %s\n", comm, str(args->filename)); }'
Filtre par PID ou par nom d'exécutable dans ton script si tu veux pas cramer ton cpu si t'as trop de logs. Mais bpftrace est super efficace t'inquiète pas trop.
C'est ultra fluide comparé à strace. J'ai trouvé mon process coupable qui floodait le disque en 2 minutes. Merci !
Laisser une réponse
Vous devez être connecté pour poster un message !
Rejoindre la communauté
Recevoir les derniers articles gratuitement en créant un compte !
S'inscrire
penelope-dupuis
Membre depuis le 06/08/2024actif
Je cherche à voir quel process ouvre quel fichier sur un node k8s spécifique. J'ai entendu dire qu'on pouvait faire ça en eBPF sans ramer comme strace. Quelqu'un a un script d'une ligne ?