基于 CO-RE（Compile Once – Run Everywhe）实现的 Coolbpf 项目，新推出轻量级脚本化编程特性 lwcb（Lightweight Coolbpf）。lwcb 是一款面向 eBPF 的脚本语言和 tracing 开发工具，它可以解析用户编写的脚本，生成 eBPF 字节码，从而实现对 Linux 内核系统的跟踪诊断、性能分析和监控。此外，lwcb 还提供了大量内置函数，如 tcpstate 可以轻松将整数转换成 tcp 状态字符串，tcphdr、iphdr 可以让用户从 skb 里获取 tcphdr 或 iphdr 结构体，有助于快速编写内核网络相关的 eBPF 程序。lwcb 也让用户方便地添加更多的内置函数，覆盖更多应用场景。

01lwcb 特性

轻量级、易部署

lwcb 使用 rust 开发了一个小巧的解析器，不依赖于 Clang。它采用轻量级的编译器，并且为编译器添加了 eBPF 后端，使其不需要依赖于 llvm。lwcb 编译后只有一个大小约为 8MB 的独立二进制程序，部署非常方便快捷。以往部署 BCC 和 bpftrace 等工具，需要在目标执行机器上安装一堆编译和运行库。

脚本化、开发快

lwcb 当前支持类似于 bpftrace 的脚本解释执行能力，优势是不需要编译。同时提供了更多内置函数，方便开发和使用。另外，他天然支持 CO-RE 的能力，在不同内核版本上安全运行。可以说，功能比较强大。

lwcb 功能性强主要体现在以下几点：

1. 更多的内置函数：如tcphdr、iphdr、tcpstate 等等。

2. 探测点函数参数自动注入功能：

lwcb -t 'kprobe:tcp_rcv_established { ih = iphdr(skb); print("sip: %s dip: %s\n", ntop(bswap(ih->saddr)), ntop(bswap(ih->daddr))); }'

用户可以直接访问 tcp_rcv_established 函数的 skb 参数，进而获取 IP 地址和端口号信息。

3. 支持 BTF，能够进行类型推导。如 th = tcphdr(skb);，lwcb能够根据 BTF 信息，知道 skb 的类型是 struct sk_buff*，th 的类型是 struct tcphdr *。用户可以直接来访问 struct tcphdr结构体中的成员，如 th->source，而无需再声明 th 的类型。

4. 支持 python，使得 lwcb 可以充分利用python来进行复杂的数据处理，类似于 bcc 的开发方式。用户可以通过 import pylwcb 来使用 lwcb 的功能。下面是一个简单的例子：

import pylwcb
lwcb_program = """
    kprobe:tcp_rcv_established {
        th = tcphdr(skb);
        ih = iphdr(skb);
        print(ntop(bswap(ih->saddr)), ntop(bswap(ih->daddr)), bswap(th->source), bswap(th->dest));
    }
    """

lwcb = pylwcb.Pylwcb(lwcb_program)
lwcb.attach()

events = lwcb.read_events()
for event in events:
    print(event)

5. 支持批量探测点，kprobe:(struct sock *sk) 会跟踪内核里所有携带有 struct sock *sk 参数的函数。可以利用该功能，实现更细粒度的 function graph。

kprobe:(struct sock *sk) {
  sport = sk->__sk_common.skc_num;
  if (sport == 22) {
    print("%s %s\n", timestr(ns()), ksym(reg("ip")));
  }
}

02lwcb 使用方法

只需要更新 Coolbpf (
https://gitee.com/anolis/coolbpf) 到 1.0.0 版本，就可以使用 lwcb 脚本化编程功能。

编译 lwcb

1. 准备编译环境（
https://coolbpf.readthedocs.io/en/latest/lwcb/build.html#id1）

• 安装 rust 编译工具链：curl --proto '=https' --tlsv1.2 -sSf https://sh.rustup.rs | sh
• 克隆 Coolbpf 代码：git clone https://gitee.com/anolis/coolbpf.git
• 进入到 lwcb 目录：cd coolbpf/lwcb

2. 编译：cargo build --release 即可完成编译，生成的 lwcb 可执行程序在：target/release/lwcb。

3. 此外，lwcb 运行还需要 BTF 文件，可以从该网址下载对应内核的 BTF 文件，然后放在 /boot 目录下。

lwcb 执行单行命令

lwcb -t <TEXT> 可以直接运行单条命令形式的 eBPF 程序，如：

lwcb -t 'kprobe:tcp_rcv_established {print("%s :triggerred by tcp_rcv_established\n", timestr(ns()));}

lwcb 执行脚本

lwcb <*.cb> 可以直接执行脚本。在 coolbpf/tools/lwcb 目录已经有若干个 lwcb 脚本，我们可以通过命令：lwcb tcpdrop.cb 来执行 tcpdrop 脚本。

03pylwcb：lwcb 的 python 模块

pylwcb 是 lwcb 的 python 模块。通过 pylwcb 我们可以使用 lwcb 提供的脚本化能力，同时可以利用 python 强大的数据处理能力。

04pylwcb 使用方法

编译 pylwcb

1. 编译环境准备

a. 进入到 pylwcb 项目目录：cd coolbpf/lwcb/pylwcb。

b. 创建独立的 python 虚拟环境：python -m venv .env。

c. 激活该开发虚拟环境：source .env/bin/activate。

d. 安装 pylwcb 编译环境依赖的 python 库：pip install tomli && pip install setuptools_rust && pip install maturin。

2. 编译 pylwcb：我们可以通过命令：maturin develop 来编译 pylwcb，进而生产相应的 python 模块。一般生成的 python 模块所在目录是：
.env/lib64/python3.6/site-packages/。

使用 pylwcb

下面是一个简单的 pylwcb 脚本示例：

import pylwcb
lwcb_program = """
kprobe:tcp_rcv_established {
    th = tcphdr(skb);
    ih = iphdr(skb);
    print(ntop(bswap(ih->saddr)), ntop(bswap(ih->daddr)), bswap(th->source), bswap(th->dest));
}
"""

lwcb = pylwcb.Pylwcb(lwcb_program)
lwcb.attach()

events = lwcb.read_events()
for event in events:
    print(event)

• lwcb_program 存放了 lwcb 脚本代码，其主要功能是探测内核的 tcp_rcv_established 函数，打印 tcp 接收到报文的四元组，即源地址、目的地址、源端口和目的端口。
• lwcb = pylwcb.Pylwcb(lwcb_program) 创建了 Pylwcb 实例。
• lwcb.attach() 编译并加载 eBPF 程序。
• lwcb.read_events() 读取 eBPF 程序的输出。

相关阅读

lwcb 文档：

https://coolbpf.readthedocs.io/en/latest/lwcb/index.html

pylwcb 文档：

https://coolbpf.readthedocs.io/en/latest/pylwcb/index.html

相关链接

eBPF技术探索 SIG 主页：

https://openanolis.cn/sig/ebpfresearch

—— 完 ——