eBPF和LTTng之间的主要区别是什么?
我读到LTTng使用仪器:"Linux跟踪工具包下一代(LTTng(是一个跟踪器,能够从2个Linux内核、用户空间库和程序中提取信息。它基于可执行文件的仪器">
https://lttng.org/files/papers/desnoyers-codebreakers.pdf
这是否意味着你必须重建内核,或者这也是关于在使用kprobes时的检测?
我对eBPF比对LTTng更熟悉,根据浏览LTTng文档,我可以看到以下差异:
- LTTng需要加载内核模块,而eBPF是linux内核的本地部分。内核对eBPF程序提供了许多保证,主要是为了保护用户不让内核恐慌或陷入无限循环等。内核模块没有这种保护
- 在我看来,LTTng似乎是专门针对追踪的。另一方面,eBPF的范围要广得多,包括跟踪、网络、安全、红外驱动程序,甚至可能包括CPU调度