Мы используем атрибут SEC, чтобы сообщить виртуальной машине BPF, когда хотим запустить программу. В данном случае мы запустим программу BPF, когда будет обнаружена точка трассировки в системном вызове execve. Точки трассировки — это статические метки в двоичном коде ядра, которые позволяют разработчикам вводить код для проверки работы ядра
BPF для мониторинга Linux
·
Дэвид Калавера
