Estou seguindo o tutorial bcc e tentando executar o trace-bpfcccomando:sudo trace-bpfcc 'sys_execve "%s", arg1'
O comando falha com um erro:
cannot attach kprobe, probe entry may not exist Failed to attach BPF program b'probe_sys_execve_1' to kprobe b'sys_execve'
Ao pesquisar na web, descobri que esse erro pode ocorrer se o símbolo __x64_sys_execveestiver ausente em /proc/kallsyms, mas eu tenho um lá.
Não tenho nenhuma experiência em desenvolvimento de kernel, o que preciso fazer para corrigir esse problema?
Minha distro é o Ubuntu 20
Você mesmo encontrou o símbolo correto:
__x64_sys_execve, você deseja usar o mesmo ao executar o comando:Não há nenhuma função chamada simplesmente
__sys_execveem seu kernel e você tem que combinar o símbolo exato de BCC para encontrar a função relevante.