>我正在使用 bcc 来跟踪多个系统调用,为什么我可以使用简单的attach_kprobe跟踪像write、close、fchown这样的系统调用,但不能像stat、fstat那样跟踪系统调用?
我假设这些是我无法跟踪但尚未找到哪些系统调用。我如何追踪stat、fstat,这些与通常的write、close有何不同?
示例代码:
b = BPF(text=prog)
b.attach_kprobe(event=b.get_syscall_fnname("fstat"), fn_name="syscall_fstat")
在我的程序中,我做了一个简单的打印
int syscall_fstat(void *ctx){
bpf_trace_printk("fstatn");
return 0;
}
与其使用stat,不如使用 newstat。