bpftop - Live eBPF Program Monitor
bpftop (por Netflix) é uma UI de terminal que fornece uma visão em tempo real de todos os programas eBPF em execução em um host. Para cada programa ele mostra o tempo de execução médio, eventos por segundo e utilização de CPU estimada, atualizando em tempo real — então você pode ver quais programas eBPF estão funcionando, com que frequência disparam, e quanto overhead adicionam. Conforme o eBPF se espalha pela observabilidade, rede e tooling de segurança, bpftop responde “que eBPF está funcionando e o que está me custando?”
Requisitos
- Kernel Linux com suporte a estatísticas de tempo de execução eBPF
- Privilégios de root (leia estatísticas de BPF do kernel)
- bpftop habilita
kernel.bpf_stats_enabled enquanto funciona (e o restaura ao sair)
Instalação
Executando
| Comando | Descrição |
|---|
sudo bpftop | Inicie a TUI em tempo real |
bpftop --help | Mostrar opções |
bpftop --version | Versão |
bpftop deve funcionar como root porque lê estatísticas de BPF do kernel e alterna bpf_stats_enabled.
A Exibição
| Coluna | Significado |
|---|
| ID | ID do programa BPF |
| Nome | Nome do programa |
| Tipo | Tipo de programa (kprobe, tracepoint, XDP, cgroup, …) |
| Período Avg Runtime (ns) | Tempo médio por execução no último período |
| Total Avg Runtime (ns) | Média desde que stats foram habilitadas |
| Events/sec | Taxa de invocação |
| Est. CPU % | Utilização estimada de CPU deste programa |
Teclas Interativas
| Tecla | Ação |
|---|
↑ / ↓ | Mova a seleção |
Enter | Abra um gráfico detalhado para o programa selecionado |
| Ordenar | Ordene por runtime / events / CPU (coluna) |
q | Saia (restaura estado bpf_stats_enabled anterior) |
O Que Procurar
| Observação | Interpretação |
|---|
| Alto Est. CPU % em um programa | Um programa eBPF adicionando overhead real |
| Altos events/sec | Um hook quente disparando muito frequentemente |
| Rising avg runtime | Um programa ficando mais caro com o tempo |
| Programas inesperados | eBPF que você não sabia que havia instalado |
Por Que Importa
eBPF sustenta ferramentas como Cilium/Tetragon, Falco, Tracee, Pixie e muitos profilers. Cada uma carrega programas no kernel. bpftop dá um único lugar para ver a pegada agregada e detectar um programa mal-comportado ou overly-hot antes que degrade o host.
Workflows Comuns
# Veja que eBPF está em execução e seu custo agora
sudo bpftop
# Valide o overhead de um agente de segurança eBPF recém-implantado
sudo bpftop # observe o Est. CPU % dos programas do agente sob carga
# Investigue uma regressão misteriosa de CPU que ferramentas de tracing causam
sudo bpftop # ordene por Est. CPU %, faça drill-down no programa superior
bpftop vs Ferramentas Relacionadas
| Aspecto | bpftop | bpftool | btop / htop |
|---|
| Foco | Métricas ao vivo por programa-eBPF | Inspecione/gerencie objetos BPF | Processos do sistema inteiro |
| Custo em tempo real | Sim (runtime, events, CPU) | Listagem estática | CPU/mem do processo |
| UI | TUI com gráficos | CLI | TUI |
| Melhor para | Monitorar overhead de eBPF | Gerenciar programas/mapas BPF | Monitoramento geral |
Recursos