虽然golang并不推荐使用goid来构建gls(goroutine local storage)，仍然有着很多的实现gls并使用的尝试。github-gls这里是一个常见的实现，基本表述了golang里gls的实现思路：获取goid，基于goid构建一个存储。本文中笔者尝试基于ebpf来构建一个golang的gls。

基本功能

本文中基于ebpf实现的gls具有如下功能：

• 基于goid的存储。即map[goid]=value；
• 基于goroutine派生关系设置的value缺省值。即map[goid=1]=121，且goid=1派生goid=2，则map[goid=2]=map[goid=1]=121；
  本文建议参照黑魔法-ebpf-对用户空间数据的写入进行理解。

在之前的示例中，仅涉及到ebpf对用户空间数据的读取。工程性较强的如：ebpf采集mysql请求信息及ebpf对应用安全的思考也仅是通过urpobe采集用户空间的数据。本文介绍点ebpf的“黑魔法”：将用户空间数据的读取、用户空间数据的写入结合起来，成为用户空间数据交互的桥梁。

本文笔者继续介绍ebpf 的应用：使用bpftrace采集mysql连接信息，包括数据库地址、db_name、user_name。在展示采集操作的同时，附上对ebpf对云时代应用安全的一些思考。

目标

使用bpftrace对一个运行中进程的mysql请求进行采集，目标采集内容包括数据库地址、db_name、user_name。

bpftrace 基于 bcc 进行开发的工具，语法简洁、功能强大。用其分析Linux 环境下的程序会很方便。本文构造了一个入参为链表头节点的函数使用场景，通过使用bpftrace无侵入遍历链表成员的方式，介绍bpftrace attach uprobe 的使用。更多使用说明见:bpftrace官网使用文档