A Morita">">

🐝 eBPF & Security Observability

1. eBPF とはどういう技術か

1.1. eBPF の概要

eBPF(extended Berkley Packet Filter) は、カーネル空間で動作する小さいレジスタベースの仮想マシンで、Linux カーネルやアプリケーションで発生したイベントをフックし、任意の処理を実行できる仕組み。

次のようなユースケースで使用されている。

Tracing & Profiling & Observability

カーネルやアプリケーションにおける任意のトレース可能な場所に eBPF プログラムをアタッチして、その状態を可視化する。

パフォーマンスやトラブルシューティングの分野で活用されている。

Networking

デバイスドライバで受け取ったパケットを処理する。トレースやパケット内容の変更などが可能で、ロードバランサや DDoS 対策として利用されている。