Merge pull request #1060 from qmonnet/kernelfeatures

docs: update features list (new maps: array/hash of maps)

docs: update features list (new maps: array/hash of maps)

Merge pull request #1046 from pchaigno/check-fmt-printk

Verify format specifiers in bpf_trace_printk in rewriter

Merge pull request #1059 from pchaigno/fix-readme-markdown

Fix the Markdown list in the README

Merge pull request #1058 from ColinIanKing/master

snapcraft: add in some new tools missing from the snapcraft apps list

Fix the Markdown list in the README

snapcraft: add in some new tools missing from the snapcraft apps list

Add in bpflist and mysqld_qslower to apps list and re-order
dbstat in the list.

Signed-off-by: Colin Ian King <colin.king@canonical.com>

Verify format specifiers in bpf_trace_printk in rewriter

Verifies format specifiers while rewriting calls to bpf_trace_printk
and prints a warning the printk will be rejected by the kernel at
runtime.

For tests, redirects stderr at the file descriptor level in order to
catch warnings from the C library.

Merge pull request #1053 from palmtenor/bufferepoll

Use epoll in BPFPerfBuffer

Merge pull request #1056 from goldshtn/bpflist-enh

bpflist: Add to tests and use Python directory listing

Merge pull request #1055 from goldshtn/syms-encode

python: Allow module=None when resolving kernel symbols

tcplife for Lua (#1052)

Use epoll in BPFPerfBuffer

Close all opened CPU perf buffer (not only currently online ones)

Merge pull request #1050 from palmtenor/exampleinstall

Add build option for installing C++ examples

Add build option for installing C++ examples

Merge pull request #1032 from goldshtn/tools-tests

Smoke tests for the tools

tests: Add smoke tests for most tools

This commit adds basic smoke tests for most tools in tools/ by
running the tool with either a short duration, or interrupting it
with a SIGINT after a short duration. The tests check the return
value from the tool to detect any Python exceptions or other
errors, but they do not read the standard error or standard output
and parse the tool's result.

Some tools are not covered by these smoke tests for reasons
documented in the test itself:

* btrfsdist and btrfsslower need btrfs
* cachetop doesn't like to run without a terminal
* dbslower, dbstat, and mysqld_qslower need a database engine
* deadlock_detector allocates a huge amount of memory
* softirqs doesn't work on new kernels and needs fixing (#1031)
* ugc needs a USDT-enabled runtime with GC probes
* zfsdist and zfsslower need zfs

This is a good place to start, but clearly for some tools,
especially those with a complex interface like trace and argdist,
we need more than just basic smoke tests.

trace: Exit with nonzero return code on error

Merge pull request #1044 from goldshtn/ausyscall

syscount: Use ausyscalls if available to get syscall list

Merge pull request #1043 from goldshtn/bpflist

bpflist: Display processes with running BPF programs and maps

Merge pull request #1039 from iovisor/tag_v0.3.0

Prepare debian changelog for v0.3.0 tag

Prepare debian changelog for v0.3.0 tag

Signed-off-by: Brenden Blanco <bblanco@gmail.com>

bpflist: Display processes with running BPF programs and maps

This tool displays processes with running BPF programs and maps,
and also optionally kprobes and uprobes. This is a poor-man's version
that snoops BPF file descriptors, as proposed by @brendangregg.

Example:

```
PID    COMM             TYPE     COUNT
4058   fileslower       prog     4
4058   fileslower       map      2
4106   bashreadline     map      1
4106   bashreadline     prog     1
```

Resolves #1036.

syscount: Use ausyscalls if available to get syscall list

If ausyscall is installed, it can provide a clean, up-to-date list of
syscall numbers for the current architecture. This is much more useful
than the default hardcoded list for x86-64, which is currently used by
syscount.

Try to run `ausyscall --dump` and parse the output before resorting to
the static list. Tested on FC/Linux 4.9 and produces 327 syscalls.

Resolves #1001.

Merge pull request #1034 from brendangregg/master

funclatency: remove unnecessary include

Merge pull request #1030 from zvonkok/zvonkok-s390x

Added s390x support. Needs 4.10 Kernel

funclatency: remove unnecessary include

Added s390x support. Needs 4.10 Kernel

Merge pull request #1005 from pchaigno/rewrite-only-deref

Restrict rewrite of unary operators to dereference operator

Restrict rewrite of unary operators to dereference operator

Since the whole expression, unary operator included, is replaced by a
call to bpf_probe_read, the dereference operator is currently the
only unary operator properly rewritten. When rewriting an increment
expression (++val) for instance, the increment operator is lost in
translation.

Trying to rewrite all unary operators sometimes confuses bcc and
results in improper code, for instance when trying to rewrite a
logical negation.

Merge pull request #1027 from fajs/debuild_no_parallel_tests

debuild: Do not parallelize tests

debuild: Do not parallelize tests

The tests in the test suite are not parallelizable and will fail if run
in parallel. Make the test step non-parallel to fix this issue.

Merge pull request #1006 from pchaigno/fix-bpf_dins_pkt-rewrite

Fix bpf_dins_pkt rewrite in BinaryOperator

Merge pull request #1024 from r4f4/explicit-static

cmake: Explicitly mark static libraries as such

Merge pull request #1023 from dneiter/filetop_sort

filetop: support specifying sort column via cmdline argument

cmake: Explicitly mark static libraries as such

Some distros (e.g Fedora) override the default behaviour of building
static libraries to building dynamic ones instead. By explicitly
building the correct libraries as static, we make sure BCC properly
compiles everywhere.

Fix bpf_dins_pkt rewrite in BinaryOperator

Binary operator expressions where the left hand-side expression is a
reference to the packet are replaced by a call to the bpf_dins_pkt
helper. When replacing text, the Clang Rewriter tries to maintain a
list of offsets between the original and the new position of tokens.

Replacing the whole binary operator expression with the call to
bpf_dins_pkt confuses the Rewriter and it is unable to track the new
position of the right hand-side expression. Rewriting the binary
operator expression in two times without rewriting the right
hand-side expression itself solves the issue.

Travis CI build to check compliance with PEP8 (#987)

* Travis CI build to check compliance with PEP8

* argdist: linter cleanup

* dbslower: linter cleanup

* dbstat: linter cleanup

* memleak: linter cleanup

* syscount: linter cleanup

* tplist: linter cleanup

* trace: linter cleanup

* ucalls: linter cleanup

* uflow: linter cleanup

* ugc: linter cleanup

* uobjnew: linter cleanup

* ustat: linter cleanup

offwaketime.py for older kernels (#977)

Merge pull request #1021 from markdrayton/sym-mod-fix

python: handle null module in BPF.sym

Merge pull request #1022 from goldshtn/syms-multiple-regions

Symbol resolution with multiple executable regions per module

Merge pull request #1018 from GabrielGanne/python-xdp-return-values

add XDP return values to python interface

cc: Symbol resolution with multiple executable regions per module

The symbol resolution code used to assume for most purposes that
there is a single executable region per module. When there were
several, there was no crash, but symbols were not resolved correctly.
The reason is that the symbol offsets are relative to the first
executable region's start address, but bcc would resolve them
relative to the region in which they appeared. For example, given
the following regions and spans for a module libfoo.so loaded into
some process:

  1000-2000 r-xp libfoo.so
  2000-3000 rw-p libfoo.so
  3000-4000 r-xp libfoo.so
  4000-5000 r--- libfoo.so

Now, suppose there is a symbol bar() loaded at address 3500. In
the binary on disk, bar() is at offset 2500 from the beginning of
the module (but not the beginning of the 3000-4000 region!). When
we look at the candidate regions, we find 3000-4000, and discover
that 3500 lies within it. Then we subtract 3500-3000 to find the
offset from the beginning of the region, get 500, and now look
for a symbol that contains the relative address 500. As a result,
we might find some random symbol in the region 1000-2000, and
report that address 3500 corresponds to that random symbol rather
than to bar().

This commit fixes the situation by keeping only a single `Module`
instance for each module, even if that module spans multiple
executable regions. We remember all executable region start and
end ranges so we can determine whether an address (like 3500 in
the above example) lies within the module. But for the purpose of
finding the actual symbol, we need only the offset from the start
of the _first_ executable region, and then need to look up a symbol
based on that.

This was discovered and fixed while tracing .NET Core processes on
Linux, where libcoreclr.so (the main CLR binary) has several
executable regions. Resolving symbols from any but the first region
would produce totally bogus results.

cc: Fix assertion for debug builds

range Python 2 -> 3 compatibility (#983)

usdt: fix argument passing on python3 (#984)

This fixes the following error:

$: ./tplist -v -v -l /usr/lib64/dri/i965_dri.so
argument 1: <class 'TypeError'>: wrong type

Update tutorial_bcc_python_developer.md (#1017)

small typo

Merge pull request #1020 from goldshtn/duplicate_modules

cc: Don't parse the same module multiple times for USDT probes

cc: Don't parse the same module multiple times for USDT probes

If a module has more than one executable region, it is reported
multiple times by `bcc_procutils_each_module`. This is fine for
symbol resolution, but we don't need the duplicates for parsing
the ELF header looking for USDT probes: the first appearance of
that module is enough. This also prevents issues with the same
probe appearing multiple times with the same location, which
results in an invalid program when reading USDT arguments.

Fix by storing each visited module in the USDT::Context class,
and ignoring modules that were already visited.

add XDP return values to python interface

Signed-off-by: Gabriel Ganne <gabriel.ganne@enea.com>
Signed-off-by: Romain Ly <romain.ly@enea.com>

python: handle null module in BPF.sym

Check to see if `module` is None before attempting to call `os.path.basename`
on it. Before:

```
>>> BPF.sym(0x400001, 12345, show_module=True)
Traceback (most recent call last):
..
AttributeError: 'NoneType' object has no attribute 'rfind'
```

After:

```
>>> BPF.sym(0x400001, 12345, show_module=True)
'[unknown]'
```

filetop: support specifying sort column via cmdline argument

Merge pull request #1015 from goldshtn/perfmap-retry

cc: Retry symbol resolution using perfmap

Merge pull request #1002 from goldshtn/nested-symbols

cc: Handle nested functions correctly when resolving symbols

Merge pull request #1012 from goldshtn/buildid-fix

cc: Fix SEGV when there is no build-id section

Merge pull request #1014 from iovisor/test-debuginfo-fix

Fix long running test_debuginfo and python3 fix

Fix long running test_debuginfo and python3 fix

Make sure subclass calls super().tearDown to clean up dummy process.
Also, fixup a python3 str.encode().

Fixes: #1013
Signed-off-by: Brenden Blanco <bblanco@gmail.com>

cc: Retry symbol resolution using perfmap

When a symbol lies within a module, and that module doesn't have
debuginfo (or doesn't even have an ELF header), the symbol will
always be resolved as [unknown]. However, the /tmp/perf-PID.map
(perf map) for that process might actually have an entry for that
symbol, if it was dynamically generated by some external tool.
This commit changes the resolution process such that if the desired
address lies in a module but that module doesn't have debuginfo,
we keep trying to resolve it in subsequent modules (including the
perf map). If we resolve it successfully using the perf map, the
reported symbol information will have the original module's name,
so we don't lose fidelity.

The motivation for this change is the way symbols work with .NET
Core on Linux. The runtime binaries are compiled ahead-of-time to
native code, but do not have debuginfo. There is an external tool,
which generates a file similar to a perf map (albeit with relative
addresses) for these binaries. This file can then be merged into
the main perf map for the process and used for symbol resolution,
but only if we keep trying to use the perf map when the symbol is
in a previously-seen module.

Merge pull request #997 from markdrayton/perf-buffer-size

Make perf ring buffer size configurable

Make perf ring buffer size configurable

As discussed in #966, this PR makes the size of the ring buffer used to send
data to userspace configurable. It changes the Python, Lua and C++ APIs to
expose this knob.

It also defaults the buffer size to a larger value (64 pages per CPU, an 8x
increase) for several tools which produce a lot of output, as well as making it
configurable in `trace` via a `-b` flag.

Merge pull request #1003 from ColinIanKing/master

snapcraft: add in some new tools missing from the snapcraft apps list

Merge pull request #1008 from pchaigno/support-macro

Support for macros in rewriter

Support for macros in rewriter

Extends the scope of 98b90974625's fix to support macros anywhere in the
rewriter. All SourceRange objects are replaced to use macro expanded locations.

Merge pull request #994 from qmonnet/kernelfeatures

docs: Update eBPF features list

docs: Update eBPF features list

Update of BPF features list, following the release of kernel 4.10.

snapcraft: add in some new tools missing from the snapcraft apps list

Add in syscount, dbstat and dbslower to apps list.

Signed-off-by: Colin Ian King <colin.king@canonical.com>

cc: Handle nested functions correctly when resolving symbols

`ProcSyms::Module::find_addr` incorrectly resolves symbols when
functions are nested in each other. Specifically, this was discovered
with libpthread, where there are multiple symbols for `write`,
where `write_nocancel` is strictly nested inside `write`. Fix by
explicitly going backward until we reach a matching symbol -- see
details in `ProcSyms::Module::find_addr` comments.

Merge pull request #999 from markdrayton/perf-map-anon

Improve matching of file-backed memory mappings

Improve matching of file-backed memory mappings

Use the same rules as perf to determine if a mapping in /proc/pid/maps is
file-backed. This allows mappings in anonymous huge pages and so on to fall
back to resolving from /tmp/perf-pid.map, if appropriate.

ref: http://lxr.free-electrons.com/source/tools/perf/util/map.c#L28

Merge pull request #996 from markdrayton/fix-find-buildid

Fix "for loop initial declarations only in C99" compile error

Merge pull request #995 from pchaigno/patch-1

Fix minor error in test instructions

Fix "for loop initial declarations only in C99" compile error

Fix error in test instructions

Merge pull request #967 from goldshtn/debuginfo

External debuginfo support and general symbols overhaul

tests: Test debuginfo through debuglink and build-id sections

This commit introduces support for tests of the new debuglink and
build-id debuginfo resolution functionality. The tests build a
dummy.c file with a debuglink section, and again with a build-id
section, and make sure that the symbol resolution code can locate
the debug information correctly (in the binary's directory for
debuglink, and in /usr/lib/debug/.build-id for the build-id).

Fix symbol resolution by name (SymbolCache.resolve_name)

The implementation of `ProcSyms::resolve_name` was only valid for
kernel symbols, when there is no module. When a module was provided,
it would segfault due to the module being null. Fixed by making
`bcc_symcache_resolve_name` take an additional module parameter,
which, for kernel symbols, is simply null (`None` from Python).

cc: Resolve symbols from external debuginfo

Adds support for resolving symbols using external debuginfo files,
which can be retrieved from two locations. First, check the build-id
of the desired binary and look in /usr/lib/debug/.build-id according
to the build-id structure. Second, check the debuglink section of
the desired binary and look in /usr/lib/debug or in the binary's
current directory. These are the rules applied by GDB as well, but
GDB lets the user reconfigure the debug directory path from
/usr/lib/debug to something else; we do not support this.

These changes are based on the following description of how GDB
resolves external debuginfo:

https://sourceware.org/gdb/onlinedocs/gdb/Separate-Debug-Files.html

cc: Correctly treat PIE files as shared objects for symbols

When resolving symbols, ProcSyms would treat position-independent
executables (PIE files) incorrectly, resulting in symbol resolution
failures. Specifically, PIE files are treated like shared objects
for ASLR, which means all symbol addresses in the file need to be
taken relative to the executable load address at runtime, the same
as with dynamic library shared objects.

The fix is in the `is_so()` method on `ProcSyms::Module`, which
now uses the correct `bcc_elf_is_shared` helper for testing if a
file is a shared object rather than just looking at the extension
".so", which is very brittle -- and wrong.

trace: Migrate to new symbols API and remove addresses from stacks

off{cpu,wake}time: Migrate to new symbols API and remove addresses

Remove addresses from stack output, as these are not used in the
vast majority of the cases.

uthreads: Migrate to new symbols API and include module name

stacksnoop: Migrate to new symbols API and remove addresses

stackcount: Migrate to new symbol resolution API

profile: Migrate to new symbol API and remove addresses

The default profile output used to include stack addresses,
which are not used in 99+% of the cases.

memleak: Migrate to new symbols resolution API

Remove usyms.py dependency and replace with new symbols API.

Simplify BCC symbol resolution API

The new API has two main methods: `sym` and `ksym` (the second is
a trivial wrapper of the first one). Both methods accept two
Boolean flags arguments: `show_module` and `show_address`. The first
controls whether the resulting symbol name should contain the name
of the symbol's module, in brackets. For kernel symbols, this is
simply "[kernel]". The second controls whether the resulting symbol
name should contain the instruction offset from the beginning of
the symbol, e.g. "start_thread+0x202".

Remove usyms.py and redundant ProcessSymbols class

This class was obsolete and replaced by the SymbolCache class.

Merge pull request #988 from goldshtn/usdt-addressed-arg

Support base + index * scale addressing for USDT arguments

Merge pull request #992 from goldshtn/trace-argdist-usdt-arg

trace, argdist: Treat small USDT arguments correctly

trace, argdist: Treat small USDT arguments correctly

trace and argdist currently only work correctly for USDT arguments
whose size is exactly 8 bytes. Smaller types, such as chars, shorts,
ints (signed or unsigned) are not treated correctly. The reason is
that the produced program would invoke the `bpf_usdt_readarg` helper
with the address of a u64 local variable, and then cast that variable
to the user-specified type derived from the format string. However,
the `bpf_usdt_readarg` rewriting then passes `sizeof(u64)` to the
generated `bpf_..._readarg` macro, which then fails to read anything
because the provided size doesn't match the argument size it knows
about.

The fix is fairly easy: instead of declaring a u64 unconditionally
and reading into that variable with `bpf_usdt_readarg`, declare a
variable that has the correct type according to what we know about
the USDT probe.

Merge pull request #989 from pchaigno/fix-fd-leak

Fix file descriptor leak

Fix file descriptor leak

Support base + index * scale addressing for USDT arguments

It turns out that some software will have USDT probe arguments
referencing memory using the full `nnn@(%basereg + %idxreg * scale`
syntax. This is represented as `nnn@(%basereg,%idxreg,scale)` in
the `NT_STAPSDT` note, encountered in building a recent version of
PostgreSQL on FC25.

This format is now recognized by the USDT parser, and the correct
BPF code is emitted to retrieve arguments that reference memory
using this full addressing syntax.`

Merge pull request #972 from r4f4/fix-llcstat

llcstat: fix TypeError on python3

Merge pull request #970 from goldshtn/db-tools

dbslower and dbstat

Merge branch 'master' into db-tools

Merge pull request #971 from goldshtn/syscount

syscount: Summarize syscall counts and latencies

Merge pull request #982 from irregulator/master

Adds zlib1g-dev Debian package build dependency

Adds zlib1g-dev Debian package build dependency

When building from source in Debian, zlib1g-dev is needed or else
'/usr/bin/ld: cannot find -lz' error will occur.