Upgrade to Pro — share decks privately, control downloads, hide ads and more …

eBPF超入門「o11yに使える」とは (20250424_eBPF_o11y)

Koki Senda
April 24, 2025
Programming
1
100

eBPF超入門「o11yに使える」とは (20250424_eBPF_o11y)

2025年4月24日 (木) に開催された「いつも監視(み)てるよ 〜ヤバいオブザーバビリティLT会〜」での発表資料です。

https://livesense.connpass.com/event/349898/

Koki Senda

April 24, 2025
Tweet

More Decks by Koki Senda

See All by Koki Senda
音声プラットフォームのアーキテクチャ変遷から学ぶ、クラウドネイティブなバッチ処理 (20250422_CNDS2025_Batch_Architecture)
thousanda
0
360
VoicyのTiDB移行とトラフィック量の変化に応じたリソース管理 (20241211_Findy_replace_Voicy_TiDB)
thousanda
0
16
VoicyのTiDB移行 失敗ポイント集 (20240613_Findy_TiDB)
thousanda
0
9
[Go Conference 2024] golang/goのbuiltin packageを覗いてみる (20240608_Go_Conference_2024_builtin_package)
thousanda
0
5
[Qiita Conference 2024] 音声プラットフォームVoicyがTiDBを検証し採用に至るまで (20240418_Qiita_Conference_PingCAP_Voicy_TiDB)
thousanda
0
7
パイプラインの並行化により音量正規化を8倍高速化した話 (20230705_concurrent_normalization)
thousanda
0
13
GASをバックエンドにしたLINE BotをChatGPTに作ってもらった話 (20230331_LINE_Bot_GAS_ChatGPT)
thousanda
0
3
FluxからArgo CDに移行したら お手製カナリアリリースが動かなくなった話 (20230317_k8s_flux_to_argocd)
thousanda
0
6
32bitフロート録音で音割れしない理由 (20221111_32float)
thousanda
0
3

Other Decks in Programming

See All in Programming
Dissecting and Reconstructing Ruby Syntactic Structures
ydah
2
1.4k
カウシェで Four Keys の改善を試みた理由
ike002jp
1
120
Enterprise Web App. Development (1): Build Tool Training Ver. 5
knakagawa
1
120
エンジニア向けCursor勉強会 @ SmartHR
yukisnow1823
2
11k
Glue Studio Visual ETL実装時にハマったこと
kokitamura
0
100
파급효과: From AI to Android Development
l2hyunwoo
0
150
Optimizing JRuby 10
headius
0
520
Cursor/Devin全社導入の理想と現実
saitoryc
27
20k
The Nature of Complexity in John Ousterhout’s Philosophy of Software Design
philipschwarz
PRO
0
150
ASP.NETアプリケーションのモダナイゼーションについて
tomokusaba
0
210
RubyKaigi Dev Meeting 2025
tenderlove
1
860
Youtube Lofier - Chrome拡張開発
ninikoko
0
2.5k

Featured

See All Featured
CoffeeScript is Beautiful & I Never Want to Write Plain JavaScript Again
sstephenson
160
15k
The Art of Delivering Value - GDevCon NA Keynote
reverentgeek
14
1.4k
Optimizing for Happiness
mojombo
378
70k
What's in a price? How to price your products and services
michaelherold
245
12k
Git: the NoSQL Database
bkeepers
PRO
430
65k
Bootstrapping a Software Product
garrettdimon
PRO
307
110k
How to Ace a Technical Interview
jacobian
276
23k
Statistics for Hackers
jakevdp
798
220k
Fontdeck: Realign not Redesign
paulrobertlloyd
84
5.5k
A Modern Web Designer's Workflow
chriscoyier
693
190k
ピンチをチャンスに:未来をつくるプロダクトロードマップ #pmconf2020
aki_iinuma
119
51k
The Myth of the Modular Monolith - Day 2 Keynote - Rails World 2024
eileencodes
23
2.7k

Transcript

  1. eBPF超入門 「o11yに使える」とは 株式会社Voicy ソフトウェアエンジニア 千田 航己 @thousan_da

  2. はじめに わたしは超初心者です!! 2

  3. はじめに わたしは超初心者です!! 「eBPFってObservabilityに使えそうだな〜 (具体的には分からないけど) 」 くらいの気持ちになってもらいたい 3

  4. eBPFとは extended BPF → 拡張されたBPF 4

  5. BPFとは BPF = Berkeley Packet Filter (さいしょはBSD Packet Filter) ▪

    パケットをOS世界でフィルタリングするもの 5 Kernel Packet Filter Network Pakcets

  6. BPFとは BPF = Berkeley Packet Filter ▪ パケットをOS世界でフィルタリングするもの 6 Kernel

    Packet Filter Network Userland Pakcets Application

  7. BPFとは BPF = Berkeley Packet Filter ▪ パケットをOS世界でフィルタリングするもの 7 Kernel

    Packet Filter Network Userland Pakcets Application ここをまたぐとコストが高い!

  8. BPFのパケットフィルターとは 8 ▪ いくつかの命令を持つ仮想マシン Packet Filter 仮想マシン カーネル上で動く フィルタロジック を自分で書ける

  9. eBPFとは 9 ▪ この仮想マシンが、パケットフィルター以外もできればいいのでは? • → これがextended (拡張された) なところ カーネル上で動く

    プログラム を自分で書ける Packet Filter 仮想マシン カーネルの再コンパイルや計算機の再起動をすることなく、 カーネルに挙動を追加できる!

  10. eBPFでできること ▪ Hook pointにeBPFプログラムをアタッチしておく ▪ → Hookが発火したときにそのプログラムが実行される 10 パケットが届く パケットをフィルターする

    システムコール が実行される プロセスIDをログに出しておく

  11. デモ 11 $ sudo bpftrace -e ' tracepoint:syscalls:sys_enter_execve { printf("PID

    %d executed %s\n", pid, str(args->filename) ); }' Attaching 1 probe... $ Terminal 1 eBPFプログラムをシステムコール呼び 出しにアタッチしてログを出す Terminal 2 システムコールを伴う コマンドを実行する

  12. デモ 12 $ sudo bpftrace -e ' tracepoint:syscalls:sys_enter_execve { printf("PID

    %d executed %s\n", pid, str(args->filename) ); }' Attaching 1 probe... $ ls file_a file_b file_c $ Terminal 1 eBPFプログラムをシステムコール呼び 出しにアタッチしてログを出す Terminal 2 システムコールを伴う コマンドを実行する

  13. デモ 13 $ sudo bpftrace -e ' tracepoint:syscalls:sys_enter_execve { printf("PID

    %d executed %s\n", pid, str(args->filename) ); }' Attaching 1 probe... PID 9817 executed /usr/bin/ls $ ls file_a file_b file_c $ Terminal 1 eBPFプログラムをシステムコール呼び 出しにアタッチしてログを出す Terminal 2 システムコールを伴う コマンドを実行する

  14. 参考文献 ▪ https://ebpf.io/ ▪ The BSD Packet Filter: A New

    Architecture for User-level Packet Capture • Steven McCanne • Van Jacobso • 論文 ▪ Learning eBPF • Liz Rice • 本 ▪ 入門 eBPF ―Linuxカーネルの可視化と機能拡張 • Liz Rice 著 • 武内 覚、近藤 宇智朗 訳 • Learning eBPFの日本語訳 14