go conntracer bpf

go-conntracer-bpf は、weaveworks/tcptracer-bpf からインスピレーションを得た、BPF kprobe でネットワーク接続 (TCP/UDP) イベント (connect、accept、sendto、recvfrom) をトレースするための Go 用ライブラリです。 go-conntracer-bpf は、BPF に含まれる Linux カーネルの代表的な C ライブラリである libbpf 上に実装されています。

• カーネルで接続イベントを集約することによる、低オーバーヘッドのトレース。
• BPF CO-RE (Compile Once – Run Everywhere) 対応

• libbpf ソースコード
• Clang/LLVM >= 9

• Linux カーネル バージョン >= 5.6 (bpf マップへのバッチ操作のため)
• BTF タイプ情報を使用してビルドされる Linux カーネル。 https://github.com/libbpf/libbpf#bpf-co-re-compile-once--run-everywhere を参照してください。

• libelf ライブラリと zlib ライブラリ

go-conntracer-bpf は、Linux カーネルのいくつかの最新機能を利用します。

• カーネル バージョン 4.18 の BPF タイプ フォーマット (BTF)。
• カーネル バージョン 5.6 の BPF マップへのバッチ API (BPF_MAP_UPDATE_BATCH、BPF_MAP_LOOKUP_AND_DELETE_BATCH)。
• カーネル バージョン 5.8 のリング バッファ (カーネルにおける非集約のフレーバーのみ)。

• ゴドック

conntop は、接続イベントを表示する CLI ツールです。

 $ make DOCKER=1

• ユウキ/ショウ