bpftrace 수행 시 "ERROR: Could not resolve symbol: /proc/self/exe:BEGIN_trigger"

Ubuntu 22.04에 기본 포함된 bpftrace로 기본 예제를 수행했더니 오류가 발생합니다.

$ cat /etc/lsb-release 
DISTRIB_ID=Ubuntu
DISTRIB_RELEASE=22.04
DISTRIB_CODENAME=jammy
DISTRIB_DESCRIPTION="Ubuntu 22.04.4 LTS"

$ uname -r
6.8.0-45-generic

$ which bpftrace
/usr/bin/bpftrace

$ sudo bpftrace -e 'BEGIN { printf("hello\n"); }'
Attaching 1 probe...
ERROR: Could not resolve symbol: /proc/self/exe:BEGIN_trigger

'-e' 옵션으로 스크립트를 실행하도록 하고 있는데, 'BEGIN'을 지정해 시작 단계에서 실행할 스크립트를 지정했지만 BEGIN_trigger가 없다고 오류가 발생한 것입니다.

관련해서 아래의 글을 보면,

BEGIN probe not working #954
; https://github.com/bpftrace/bpftrace/issues/954

사실 eBPF에는 BEGIN에 해당하는 기능은 없는 것 같고 단지 bpftrace 자체적으로 제공하는 것으로 보입니다. 즉, 스스로 제공하는 Symbol 내에 BEGIN_trigger가 있어야 하는데, (제가 테스트한) bpftrace 바이너리에는 Symbol이 없어 BEGIN 기능을 제공하지 못하는 것입니다.

실제로 문제가 발생한 bpftrace 바이너리에는 Symbol이 제거된(stripped) 채로 빌드되었습니다.

$ file /usr/bin/bpftrace
/usr/bin/bpftrace: ELF 64-bit LSB pie executable, ...[생략]...Linux 3.2.0, stripped

$ nm /usr/bin/bpftrace
nm: /usr/bin/bpftrace: no symbols

$ sudo /usr/bin/bpftrace -e 'uprobe:/usr/bin/bpftrace:BEGIN_trigger { printf("hello\n" ); }'
No probes to attach

그래서 혹시나 싶어, bpftrace를 직접 다운로드했는데요,

// https://github.com/bpftrace/bpftrace

$ wget https://github.com/bpftrace/bpftrace/releases/download/v0.21.2/bpftrace

$ chmod u+x bpftrace

$ file bpftrace
bpftrace: ELF 64-bit LSB executable, x86-64, version 1 (SYSV), statically linked, not stripped

// 기존 버전을 덮어쓰는 것도... ^^
$ sudo cp bpftrace  /usr/bin/bpftrace

최신 버전은 BEGIN 동작이 잘됩니다.

$ sudo ./bpftrace -e 'BEGIN { printf("hello\n"); }'
Attaching 1 probe...
hello
^C

그런데, "BEGIN probe not working #954" 이슈에서는 정확히 BEGIN_trigger에 해당하는 symbol이 조회가 되는 걸로 나오는데요,

nm src/bpftrace
0000000000b5a750 T BEGIN_trigger

제가 다운로드한 bpftrace에는 BEGIN_trigger가 없었습니다.

$ nm ./bpftrace | grep BEGIN
000000000048d500 r __EH_FRAME_BEGIN__

대신 uprobe로 하면 복수 개의 BEGIN_trigger를 잡아내는데,

$ sudo ./bpftrace -e 'uprobe:bpftrace:BEGIN_trigger { printf("hello\n"); }'
stdin:1:1-30: WARNING: attaching to uprobe target file 'bpftrace' but matched 3 binaries
uprobe:bpftrace:BEGIN_trigger { printf("hello\n"); }
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
stdin:1:1-30: WARNING: attaching to uprobe target file 'bpftrace' but matched 3 binaries
uprobe:bpftrace:BEGIN_trigger { printf("hello\n"); }
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
...[생략]...

음... 앞뒤가 맞진 않지만, 그래도 이쯤에서 넘어가겠습니다. (혹시 이에 대해 아시는 분은 덧글 부탁드립니다. ^^)

---

이런 경우 마찬가지로 'END { }' 역시 "ERROR: Could not resolve symbol: /proc/self/exe:END_trigger"라는 오류가 발생하게 됩니다.

$ sudo /usr/bin/bpftrace -e 'END { }'
Attaching 1 probe...
^CERROR: Could not resolve symbol: /proc/self/exe:END_trigger

하지만, BEGIN/END에 대한 기능만 없을 뿐 실질적인 eBPF 기능은 잘 동작합니다.

$ sudo /usr/bin/bpftrace -l '*sys_clone*'
kprobe:__ia32_sys_clone
kprobe:__ia32_sys_clone3
kprobe:__x64_sys_clone
kprobe:__x64_sys_clone3

# grep sys_clone /proc/kallsyms
ffffffff8e0fc770 t __do_sys_clone
ffffffff8e0fc7f0 t __do_sys_clone3
ffffffff8e0fca30 T __x64_sys_clone
ffffffff8e0fca60 T __ia32_sys_clone
ffffffff8e0fca80 T __x64_sys_clone3
ffffffff8e0fcaa0 T __ia32_sys_clone3

$ sudo /usr/bin/bpftrace -e 'kprobe:__x64_sys_clone { printf("sys_clone called\n"); }'
...[생략: 정상 동작]...

---

[이 글에 대해서 여러분들과 의견을 공유하고 싶습니다. 틀리거나 미흡한 부분 또는 의문 사항이 있으시면 언제든 댓글 남겨주십시오.]

[최초 등록일: 10/14/2024]
[최종 수정일: 10/23/2024]


이 저작물은 크리에이티브 커먼즈 코리아 저작자표시-비영리-변경금지 2.0 대한민국 라이센스에 따라 이용하실 수 있습니다.

by SeongTae Jeong, mailto:techsharer at outlook.com