我需要监视与 Linux 文件系统的所有交互(包括通过中断、内核函数和系统调用的交互)。为此,我使用SystemTap。我有两个问题:
- 按照我的目标,虚拟文件系统监控是否等同于文件系统监控?
- 我应该使用什么事件来探测
SystemTap?
答案1
我很久以前就找到了答案,但忘了在这里分享。1
.是的。VFS 是一个抽象层,它使应用程序能够访问不同类型的文件系统以及本地和网络存储设备。根据这里通用文件系统代码(VFS)和每个不同文件系统的代码都可以在 /fs 目录中找到。2
. 因此,SystemTap您可以使用kernel.function("*@fs/*.c").call和探测kernel.function("*@fs/*.c").return传入交互和kernel.function("*@fs/*.c").inline传出交互(如果您忽略 *.c 本身中的函数)。