无法正确访问跟踪点上下文结构字段

Question

目标：仅当使用 O_RDONLY 标志调用 openat 时才写入 trace_pipe。我已经构建了结构，查看此处包含的格式 /sys/kernel/debug/tracing/events/syscalls/sys_enter_open/format

问题 我认为我没有访问 flags 字段，因为看起来第二个 if 语句总是错误的。 问题：我是否正确访问了标志字段？有没有办法打印标志变量内容？

struct syscalls_enter_openat_args {
    __u64 pad;
    int __syscall_nr;
    const char * filename;
    int flags;
    unsigned short modep;
};
SEC("tracepoint/syscalls/sys_enter_openat")
int bpf_sys(struct syscalls_enter_openat_args *ctx)
{
    char fmt[] = "llo\n";
    int flags = ctx->flags;

    if (flags){
        if (flags == O_RDONLY)
            bpf_trace_printk(fmt, sizeof(fmt)); 
    }
    return 0;
}
char _license[] SEC("license") = "GPL";

Answer 1

所以你提到以下检查总是评估为假：

if (flags == O_RDONLY)

这可能是因为通过变量flags 传递给openat() 的标志不仅仅是O_RDONLY。来自openat() 手册页：

参数flags 必须包含以下访问模式之一：O_RDONLY、O_WRONLY 或O_RDWR。这些请求分别以只读、只写或读/写方式打开文件。

此外，零个或多个文件创建标志和文件状态标志可以按位或在标志中。 文件创建标志是O_CLOEXEC、O_CREAT、O_DIRECTORY、O_EXCL、O_NOCTTY、O_NOFOLLOW、O_TMPFILE和O_TRUNC。文件状态标志是下面列出的所有剩余标志。这两组标志的区别在于文件创建标志影响打开操作本身的语义，而文件状态标志影响后续I/O操作的语义。 文件状态标志可以被检索和（在某些情况下）修改；详情请见fcntl(2)。

因此，与其检查您的flags 是否等于 到O_RDONLY，不如检查它们是否包含标志，方法是像这个：

if (flags & O_RDONLY)

至于打印flags 的值，用这样的东西可能是可行的（未测试）：

        char fmt[] = "flags: %x\n";
        int flags = ctx->flags;

        if (flags & O_RDONLY)
                bpf_trace_printk(fmt, sizeof(fmt), flags);