CN114039875B - 一种基于eBPF技术的数据采集方法、装置及系统 - Google Patents

Abstract

本发明公开了一种基于eBPF技术的数据采集方法、装置及系统，该方法通过在节点机器中的系统内核层嵌入eBPF流量采集模块，该模块通过调用内核协议栈的网络函数将用户访问应用程序的流量日志获取后，写入数据存储模块，以由前端数据中心读取节点中的数据存储模块中的流量日志数据，并绘制流量曲线，以供运营分析。整个过程简单高效，在系统内核层注入eBPF流量采集模块，直接截取访问应用程序的数据，无需在每个应用程序中开发单独的流量采集模块，减少研发的重复工作，提高了流量采集的效率。

Description

一种基于eBPF技术的数据采集方法、装置及系统

技术领域

本发明涉及数据采集技术领域，具体地，涉及一种基于eBPF技术的数据采集方法、装置及存储介质。

背景技术

CDN的全称是Content Delivery Network，即内容分发网络。CDN是构建在现有网络基础之上的智能虚拟网络，依靠部署在各地的边缘服务器，通过中心平台的负载均衡、内容分发、调度等功能模块，使用户就近获取所需内容，降低网络拥塞，提高用户访问响应速度和命中率。eBPF起源于BPF (Berkeley Packet Filter)，BPF是一种网络过滤器，为捕捉和过滤符合特定规则的网络包而设计的，过滤器为运行在基于寄存器的虚拟机上的程序。节点（英语：node，拉丁语：nodus）在电信网络中的概念是一个连接点，表示一个再分发点（redistribution point）或一个通信端点（一些终端设备）。节点的定义依赖于所提及的网络和协议层。一个物理网络节点是一个连接到网络的有源电子设备，能够通过通信通道发送、接收或转发信息。

通常情况下，随着用户访问应用的需求增加，用户的访问呈现出多样化的趋势，也就是说用户不会仅仅只访问单个应用程序，而是会访问多个应用程序。从运营分析的角度来看，用户查看访问每个应用程序的流量曲线是一个比较刚性的需求，要实现这个刚性需求，通常需要在该应用程序中编写采集流量模块代码，该模块功能是将用户访问应用程序的日志采集存储起来，然后提供给前端平台界面，进行可视化展示，由于用户访问多种应用程序，那么每个应用程序都要单独编写流量采集模块，整个编码过程相对繁琐，工作效率不高。例如，现有技术方案可如图1所示，数据采集步骤如下：

1)用户终端请求访问应用程序，假设需要访问机器中的APP1、APP2、APP3，用户终端请求到边缘节点中的真实机器的物理网卡eth0；

2)用户请求流到系统内核层的XDP网卡程序；

3)用户请求被导向各种应用程序APP1、APP2、APP3；

4)在各个APP中的流量采集模块将用户访问日志写入机器的数据存储模块；

5)前端数据中心读取机器的数据存储模块的流量日志数据，绘制出访问各个应用程序的流量曲线供运营分析；

6)结束。

现有技术方案的主要问题是：每个应用程序都需要开发流量采集模块，工作重复且相对繁琐，效率不高。有鉴于此，特提出本申请。

发明内容

本发明针对现有技术的不足而提出一种基于eBPF技术的数据采集方法、装置及系统，从而解决了现有技术中用户访问每个应用程序都需要开发流量采集模块，导致的工作重复且相对繁琐，以及效率不高的问题。

本发明提供了一种基于eBPF技术的数据采集方法，包括：

所述节点机器中的物理网卡接收用户终端访问应用程序的请求；所述请求中包含用户待访问APP的信息；其中，在节点机器中的系统内核层写入有XDP网卡驱动程序，并在所述系统内核层中注入有eBPF流量采集模块；

所述节点机器中的物理网卡将所述请求流到系统内核层的XDP网卡驱动程序；

所述系统内核层中的eBPF流量采集模块将用户待访问APP的信息返回给eBPF应用进程，并由所述eBPF应用进程将相应的用户访问日志信息写入数据存储模块形成流量日志数据，以由前端数据中心读取所述数据存储模块的流量日志数据，绘制流量曲线。

进一步地，作为一个可执行方案，所述方法还包括：

所述系统内核层中的eBPF流量采集模块调用内核协议栈的TCP/UDP网络函数，将用户访问APP的信息返回给eBPF进程进行归类处理，并由eBPF进程将相应的用户访问日志信息进行归类处理后写入数据存储模块;以由前端数据中心读取数据存储模块的流量日志数据，绘制流量曲线。

进一步地，作为一个可执行方案，所述用户待访问APP的信息中至少包含网卡Id、IP地址、进程Id、TCP数据包和UDP数据包。

进一步地，作为一个可执行方案，所述方法还包括：

所述节点机器中的物理网卡接收用户终端访问应用程序的请求；所述请求中包含用户待访问docker容器ID和APP的信息；

所述节点机器中的物理网卡将所述请求流到系统内核层的XDP网卡驱动程序；

所述系统内核层中的eBPF流量采集模块将用户待访问的docker容器ID和APP的信息返回给eBPF应用进程，并由所述eBPF应用进程将相应的用户访问日志信息写入所述数据存储模块形成流量日志数据，以由前端数据中心读取所述数据存储模块的流量日志数据，绘制流量曲线。

进一步地，本发明还提供了另一种基于eBPF技术的数据采集方法，所述方法还包括：

用户终端向节点发出访问应用程序的请求，所述请求中包含用户待访问APP的信息；其中，在所述节点机器中的系统内核层写入有XDP网卡驱动程序，并在节点机器中的系统内核层中注入eBPF流量采集模块；以由所述节点机器中的物理网卡将所述请求流到系统内核层的XDP网卡驱动程序；所述系统内核层中的eBPF流量采集模块将用户待访问APP的信息返回给eBPF应用进程，并由所述eBPF应用进程将相应的用户访问日志信息写入数据存储模块，以由前端数据中心读取所述数据存储模块的流量日志数据，绘制流量曲线。

进一步地，作为一个可执行方案，所述方法还包括：

所述用户终端向节点发出访问应用程序的请求，从所述eBPF流量采集模块流到应用层中目标的APP程序中；以由应用层的APP程序返回请求内容，从所述eBPF流量采集模块流到物理网卡响应出去。

进一步地，作为一个可执行方案，所述用户待访问APP的信息中至少包含网卡Id、IP地址、进程Id、TCP数据包和UDP数据包。

进一步地，本发明还提供了另一种基于eBPF技术的数据采集方法，所述方法还包括：

前端数据中心读取节点中的数据存储模块中的流量日志数据，绘制流量曲线；所述流量日志数据是由所述节点机器中的物理网卡将用户终端发出的请求流到系统内核层的XDP网卡驱动程序；所述系统内核层中的eBPF流量采集模块将用户待访问APP的信息返回给eBPF应用进程，并由所述eBPF应用进程将相应的用户访问日志信息写入数据存储模块中得来的；其中，所述请求中包含用户待访问APP的信息；以及，在所述节点机器中的系统内核层写入有XDP网卡驱动程序，并在节点机器中的系统内核层中注入eBPF流量采集模块。

进一步地，本发明还提供了一种基于eBPF技术的数据采集装置，包括：

存储有可执行程序代码的存储器；

与所述存储器耦合的处理器；

所述处理器调用所述存储器中存储的所述可执行程序代码，用于执行上述所述的方法。

进一步地，本发明还提供了另一种基于eBPF技术的数据采集系统，包括用户终端、节点和前端数据中心；

所述用户终端，用于向节点发出访问应用程序的请求，所述请求中包含用户待访问APP的信息；

所述节点，用于节点机器中的物理网卡接收用户终端访问应用程序的请求，并将所述请求流到内核层的XDP网卡驱动程序；所述节点机器中的系统内核层中的eBPF流量采集模块将用户待访问APP的信息返回给eBPF应用进程，并由所述eBPF应用进程将相应的用户访问日志信息写入数据存储模块形成流量日志数据；其中，在节点机器中的系统内核层写入有XDP网卡驱动程序，并在节点机器中的系统内核层中注入eBPF流量采集模块；

所述前端数据中心，用于读取节点中的数据存储模块中的流量日志数据，并绘制流量曲线，以供运营分析。

通过采用上述技术方案，本发明可以取得以下技术效果：与现有技术相比，该基于eBPF技术的数据采集方法，通过节点机器中的系统内核层中注入eBPF流量采集模块，该模块通过调用内核协议栈的网络函数并将用户访问应用程序的流量日志获取后，写入数据存储模块，以由前端数据中心读取节点中的数据存储模块中的流量日志数据，并绘制流量曲线，以供运营分析。整个过程简单高效，在系统内核层注入eBPF流量采集模块，直接截取访问应用程序的数据，无需在每个应用程序中开发单独的流量采集模块，减少研发的重复工作，提高了流量采集的效率。

附图说明

为了更清楚地说明本发明实施例中的技术方案，下面将对实施例描述中所需要使用的附图作简要介绍，显而易见地，下面描述中的附图仅仅是本发明的一些实施例，对于本领域的普通技术人员来讲，在不付出创造性劳动的前提下，还可以根据这些附图获得其他的附图。

图1绘示了现有技术中流量数据采集方法的流程示意图；

图2本发明实施例的基于eBPF技术的数据采集方法的流程示意图；

图3绘示了图2中的基于eBPF技术的数据采集方法的网络拓扑示意图；

图4绘示了图2中的基于eBPF技术的数据采集方法的另一流程示意图；

图5绘示了图4中的基于eBPF技术的数据采集方法的另一网络拓扑示意图；

图6绘示了本发明实施例的基于eBPF技术的数据采集系统的结构示意图。

实施方式

为了使本发明的目的、技术方案和优点更加清楚，下面将结合附图对本发明作进一步地详细描述，显然，所描述的实施例仅仅是本发明一部分实施例，而不是全部的实施例。基于本发明中的实施例，本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其它实施例，都属于本发明保护的范围。

本发明提供了一种基于eBPF技术的数据采集方法、装置及系统，该方法通过在节点机器中的系统内核层嵌入eBPF流量采集模块，该模块通过调用内核协议栈的网络函数并将用户访问应用程序的流量日志获取后，写入数据存储模块，以由前端数据中心读取节点中的数据存储模块中的流量日志数据，并绘制流量曲线，以供运营分析。整个过程简单高效，在系统内核层注入eBPF流量采集模块，直接截取访问应用程序的数据，无需在每个应用程序中开发单独的流量采集模块，减少研发的重复工作，提高了流量采集的效率。

实施例

如图2所示，本发明实施例提供了一种基于eBPF技术的数据采集方法，包括：

步骤201：所述节点机器中的物理网卡接收用户终端访问应用程序的请求；所述请求中包含用户待访问APP的信息；其中，在节点机器中的系统内核层写入有XDP网卡驱动程序，并在系统内核层中注入eBPF流量采集模块。

步骤202：所述节点机器中的物理网卡将所述请求流到系统内核层的XDP网卡驱动程序。

步骤203：所述系统内核层中的eBPF流量采集模块将用户待访问APP的信息返回给eBPF应用进程，并由所述eBPF应用进程将相应的用户访问日志信息写入数据存储模块形成流量日志数据，以由前端数据中心读取所述数据存储模块的流量日志数据，绘制流量曲线。

其中，所述用户待访问APP的信息中至少包含网卡Id、IP地址、进程Id、TCP数据包和UDP数据包。

进一步地，在一个实例中，所述系统内核层中的eBPF流量采集模块调用内核协议栈的TCP/UDP网络函数，将用户访问APP的信息返回给eBPF进程进行归类处理，并由eBPF进程将相应的用户访问日志信息进行归类处理后写入数据存储模块;以由前端数据中心读取数据存储模块的流量日志数据，绘制流量曲线。

具体地，如图3所示，例如用户需要访问机器中的APP1、APP2、APP3等应用程序，用户终端请求到边缘节点中的真实机器的物理网卡，首先，在节点机器中的系统内核层已经写入有XDP网卡驱动程序，并在系统内核层中注入eBPF流量采集模块。具体步骤如下：

步骤S1:用户终端向节点发出访问应用程序的请求，所述请求中包含用户待访问APP1、APP2、APP3的信息，当然也可包括其他具有标志性的信息，本发明实施例对此不作赘述；具体地，可按照待访问时间先后顺序排列，本发明实施例对此不作限定。

步骤S2:节点机器中的物理网卡接收用户终端访问应用程序的请求。

步骤S3:节点机器中的物理网卡将所述请求流到系统内核层的XDP网卡驱动程序。

步骤S4:XDP程序将所述请求流到内核协议栈。

步骤S5:内核协议栈将所述请求流到eBPF流量采集模块。

步骤S6:系统内核层中的eBPF流量采集模块调用内核协议栈的TCP/UDP网络函数，将用户待访问APP1、APP2、APP3的信息存入eBPF_map，eBPF_map将请求数据信息返回给eBPF进程进行归类处理。

步骤S7:eBPF进程将相应的用户访问日志信息进行归类处理后写入数据存储模块。

步骤S8:前端数据中心读取数据存储模块的流量日志数据，绘制流量曲线，以供经营分析。

进一步地，随着docker技术在边缘计算领域应用越来越广泛，在边缘节点单机中的docker容器会逐渐增多，相应的，容器中的应用程序也会迅速增多，本发明提出的方法也可以针对容器中的应用程序采集，如图4所示，具体地步骤如下：

步骤401：所述节点机器中的物理网卡接收用户终端访问应用程序的请求；所述请求中包含用户待访问docker容器ID和APP的信息。

步骤402：所述节点机器中的物理网卡将所述请求流到系统内核层的XDP网卡驱动程序。

步骤403：所述系统内核层中的eBPF流量采集模块将用户待访问的docker容器ID和APP的信息返回给eBPF应用进程，并由所述eBPF应用进程将相应的用户访问日志信息写入所述数据存储模块形成流量日志数据，以由前端数据中心读取所述数据存储模块的流量日志数据，绘制流量曲线。

具体地，如图5所示，例如用户需要访问机器中的APP1、APP2、APP3等应用程序，用户终端请求到边缘节点中的真实机器的物理网卡，首先，在节点机器中的系统内核层已经写入有XDP网卡驱动程序，并在系统内核层中注入eBPF流量采集模块。具体步骤如下：

步骤A1:用户终端向节点发出访问应用程序的请求，所述请求中包含用户待访问docker容器ID和APP1、APP2、APP3等应用程序的信息；具体地，可按照待访问时间先后顺序排列，本发明实施例对此不作限定。

步骤A2:节点机器中的物理网卡接收用户终端访问应用程序的请求。

步骤A3:节点机器中的物理网卡将所述请求流到系统内核层的XDP网卡驱动程序。

步骤A4:系统内核层中的eBPF流量采集模块将用户待访问docker容器ID和APP1、APP2、APP3的信息返回给eBPF应用进程，并由所述eBPF应用进程将相应的用户访问日志信息写入数据存储模块形成流量日志数据。

步骤A5:前端数据中心读取所述数据存储模块的流量日志数据，绘制流量曲线，以供经营分析。

本发明实施例一提供了一种基于eBPF技术的数据采集方法、装置及系统，该方法通过在系统内核层中注入eBPF流量采集模块，并将用户访问应用程序的流量日志获取后，写入数据存储模块，以由前端数据中心读取节点中的数据存储模块中的流量日志数据，并绘制流量曲线，以供运营分析。整个过程简单高效，在内核层注入eBPF流量采集模块，直接截取访问应用程序的数据，无需在每个应用程序中开发单独的流量采集模块，减少研发的重复工作，提高了流量采集的效率。

实施例

基于与本发明实施例一相同发明构思，本发明实施例二还提供了一种基于eBPF技术的数据采集方法，所述方法还包括：

用户终端向节点发出访问应用程序的请求，所述请求中包含用户待访问APP的信息；其中，在所述节点机器中的系统内核层写入有XDP网卡驱动程序，并在节点机器中的系统内核层中注入eBPF流量采集模块；以由所述节点中的机器物理网卡将所述请求流到系统内核层的XDP网卡驱动程序；所述系统内核层中的eBPF流量采集模块将用户待访问APP的信息返回给eBPF应用进程，并由所述eBPF应用进程将相应的用户访问日志信息写入数据存储模块，以由前端数据中心读取所述数据存储模块的流量日志数据，绘制流量曲线。

其中，所述用户待访问APP的信息中至少包含网卡Id、IP地址、进程Id、TCP数据包和UDP数据包。

进一步地，在一个实例中，所述方法还包括：

所述用户终端向节点发出访问应用程序的请求，从所述eBPF流量采集模块流到应用层中目标的APP程序中；以由应用层的APP程序返回请求内容，从所述eBPF流量采集模块流到物理网卡响应出去。

实施例

基于与本发明实施例一相同发明构思，本发明实施例三还提供了一种基于eBPF技术的数据采集方法，所述方法还包括：

前端数据中心读取节点中的数据存储模块中的流量日志数据，绘制流量曲线；所述流量日志数据是由所述节点中的机器物理网卡将用户终端发出的请求流到系统内核层的XDP网卡驱动程序；所述系统内核层中的eBPF流量采集模块将用户待访问APP的信息返回给eBPF应用进程，并由所述eBPF应用进程将相应的用户访问日志信息写入数据存储模块中得来的；其中，所述请求中包含用户待访问APP的信息；以及，在所述节点机器中的系统内核层写入有XDP网卡驱动程序，并在节点机器中的系统内核层中注入eBPF流量采集模块。

实施例

基于与本发明实施例一相同发明构思，本发明实施例四还提供了一种基于eBPF技术的数据采集装置，包括：

存储有可执行程序代码的存储器；

与所述存储器耦合的处理器；

所述处理器调用所述存储器中存储的所述可执行程序代码，用于执行本发明实施例一中任意一所述的方法。

具体地，该数据采集装置可以是边缘节点，该节点中包括物理网卡、系统内核层、内核协议栈、eBPF应用进程、eBPF流量采集模块和数据存储模块，其中eBPF流量采集模块注入于系统内核层。各部分数据传输结构如图3和5所示。

实施例

基于与本发明实施例一相同发明构思，如图6所示，本发明实施例五还提供了一种基于eBPF技术的数据采集系统，包括用户终端、节点和前端数据中心；

所述用户终端61，可用于向节点发出访问应用程序的请求，所述请求中包含用户待访问APP的信息；

所述节点62，可用于节点机器中的物理网卡接收用户终端访问应用程序的请求，并将所述请求流到内核层的XDP网卡驱动程序，；所述节点机器中的系统内核层中的eBPF流量采集模块将用户待访问APP的信息返回给eBPF应用进程，并由所述eBPF应用进程将相应的用户访问日志信息写入数据存储模块形成流量日志数据；其中，在节点机器中的系统内核层写入有XDP网卡驱动程序，并在节点机器中的系统内核层中注入eBPF流量采集模块；

所述前端数据中心63，可用于读取节点中的数据存储模块中的流量日志数据，并绘制流量曲线，以供运营分析。

在上述实施例中，可以全部或部分地通过软件、硬件、固件或者其任意组合来实现。当使用软件实现时，可以全部或部分地以计算机程序产品的形式实现。

所述计算机程序产品包括一个或多个计算机指令。在计算机上加载和执行所述计算机程序指令时，全部或部分地产生按照本发明实施例所述的流程或功能。所述计算机可以是通用计算机、专用计算机、计算机网络、或者其他可编程装置。所述计算机指令可以存储在计算机可读存储介质中，或者从一个计算机可读存储介质向另一计算机可读存储介质传输，例如，所述计算机指令可以从一个网站站点、计算机、服务器或数据中心通过有线(例如同轴电缆、光纤、数字用户线(DSL))或无线(例如红外、无线、微波等)方式向另一个网站站点、计算机、服务器或数据中心进行传输。所述计算机可读存储介质可以是计算机能够存储的任何可用介质或者是包含一个或多个可用介质集成的服务器、数据中心等数据存储设备。所述可用介质可以是磁性介质，(例如，软盘、硬盘、磁带)、光介质(例如，DVD)、或者半导体介质(例如固态硬盘Solid State Disk(SSD))等。

所属领域的技术人员可以清楚地了解到，为描述的方便和简洁，上述描述的系统，装置和单元的具体工作过程，可以参考前述方法实施例中的对应过程，在此不再赘述。

在本发明所提供的几个实施例中，应该理解到，所揭露的系统，装置和方法，可以通过其它的方式实现。例如，以上所描述的装置实施例仅仅是示意性的，例如，所述单元的划分，仅仅为一种逻辑功能划分，实际实现时可以有另外的划分方式，例如多个单元或组件可以结合或者可以集成到另一个系统，或一些特征可以忽略，或不执行。另一点，所显示或讨论的相互之间的耦合或直接耦合或通信连接可以是通过一些接口，装置或单元的间接耦合或通信连接，可以是电性，机械或其它的形式。

所述作为分离部件说明的单元可以是或者也可以不是物理上分开的，作为单元显示的部件可以是或者也可以不是物理单元，即可以位于一个地方，或者也可以分布到多个网络单元上。可以根据实际的需要选择其中的部分或者全部单元来实现本实施例方案的目的。

另外，在本发明各个实施例中的各功能单元可以集成在一个处理单元中，也可以是各个单元单独物理存在，也可以两个或两个以上单元集成在一个单元中。上述集成的单元既可以采用硬件的形式实现，也可以采用软件功能单元的形式实现。

所述集成的单元如果以软件功能单元的形式实现并作为独立的产品销售或使用时，可以存储在一个计算机可读取存储介质中。基于这样的理解，本发明的技术方案本质上或者说对现有技术做出贡献的部分或者该技术方案的全部或部分可以以软件产品的形式体现出来，该计算机软件产品存储在一个存储介质中，包括若干指令用以使得一台计算机设备(可以是个人计算机，服务器，或者网络设备等)执行本发明各个实施例所述方法的全部或部分步骤。而前述的存储介质包括：U盘、移动硬盘、只读存储器(ROM， Read-OnlyMemory)、随机存取存储器(RAM，Random Access Memory)、磁碟或者光盘等各种可以存储程序代码的介质。

以上所述，以上实施例仅用以说明本发明的技术方案，而非对其限制；尽管参照前述实施例对本发明进行了详细的说明，本领域的普通技术人员应当理解：其依然可以对前述各实施例所记载的技术方案进行修改，或者对其中部分技术特征进行等同替换；而这些修改或者替换，并不使相应技术方案的本质脱离本发明各实施例技术方案的精神和范围。

尽管已描述了本申请的优选实施例，但本领域内的技术人员一旦得知了基本创造性概念，则可对这些实施例作出另外的变更和修改。所以，所附权利要求意欲解释为包括优选实施例以及落入本申请范围的所有变更和修改。

显然，本领域的技术人员可以对本申请进行各种改动和变型而不脱离本申请的精神和范围。这样，倘若本申请的这些修改和变型属于本申请权利要求及其等同技术的范围之内，则本申请也意图包含这些改动和变型在内。

Claims (7)

1.一种基于eBPF技术的数据采集方法，其特征在于，包括：

节点机器中的物理网卡接收用户终端访问应用程序的请求；所述请求中包含用户待访问的多个不同APP的信息；其中，在节点机器中的系统内核层写入有XDP网卡驱动程序，并在所述系统内核层中注入有eBPF流量采集模块；所述用户待访问的多个不同APP的信息中至少包含网卡Id、IP地址、进程Id、TCP数据包和UDP数据包；所述节点为边缘节点；

所述节点机器中的物理网卡将所述请求流到系统内核层的XDP网卡驱动程序；

所述系统内核层中的eBPF流量采集模块将用户待访问的多个不同APP的信息返回给eBPF应用进程，并由所述eBPF应用进程将相应的用户访问日志信息写入数据存储模块形成流量日志数据，以由前端数据中心读取所述数据存储模块的流量日志数据，绘制流量曲线；

具体地：所述系统内核层中的eBPF流量采集模块调用内核协议栈的TCP/UDP网络函数，将用户待访问的多个不同APP的信息返回给eBPF进程进行归类处理，并由eBPF进程将相应的用户访问日志信息进行归类处理后写入数据存储模块;以由前端数据中心读取数据存储模块的流量日志数据，绘制流量曲线，以获得访问各个APP的流量曲线。

2.根据权利要求1所述的数据采集方法，其特征在于，所述方法还包括：

所述节点机器中的物理网卡接收用户终端访问应用程序的请求；所述请求中包含用户待访问docker容器ID和APP的信息；

所述节点机器中的物理网卡将所述请求流到系统内核层的XDP网卡驱动程序；

所述系统内核层中的eBPF流量采集模块将用户待访问的docker容器ID和APP的信息返回给eBPF应用进程，并由所述eBPF应用进程将相应的用户访问日志信息写入所述数据存储模块形成流量日志数据，以由前端数据中心读取所述数据存储模块的流量日志数据，绘制流量曲线。

3.一种基于eBPF技术的数据采集方法，其特征在于，所述方法包括：

用户终端向节点发出访问应用程序的请求，所述请求中包含用户待访问的多个不同APP的信息；所述节点为边缘节点；其中，在节点机器中的系统内核层写入有XDP网卡驱动程序，并在节点机器中的系统内核层中注入eBPF流量采集模块；以由所述节点机器中的物理网卡将所述请求流到系统内核层的XDP网卡驱动程序；所述系统内核层中的eBPF流量采集模块将用户待访问的多个不同APP的信息返回给eBPF应用进程，并由所述eBPF应用进程将相应的用户访问日志信息写入数据存储模块，以由前端数据中心读取所述数据存储模块的流量日志数据，绘制流量曲线；具体地：所述系统内核层中的eBPF流量采集模块调用内核协议栈的TCP/UDP网络函数，将用户待访问的多个不同APP的信息返回给eBPF进程进行归类处理，并由eBPF进程将相应的用户访问日志信息进行归类处理后写入数据存储模块;以由前端数据中心读取数据存储模块的流量日志数据，绘制流量曲线，以获得访问各个APP的流量曲线；所述用户待访问的多个不同APP的信息中至少包含网卡Id、IP地址、进程Id、TCP数据包和UDP数据包。

4.根据权利要求3所述的数据采集方法，其特征在于，所述方法还包括：

所述用户终端向节点发出访问应用程序的请求，从所述eBPF流量采集模块流到应用层中目标的APP程序中；以由应用层的APP程序返回请求内容，从所述eBPF流量采集模块流到物理网卡响应出去。

5.一种基于eBPF技术的数据采集方法，其特征在于，所述方法还包括：

前端数据中心读取节点中的数据存储模块中的流量日志数据，绘制流量曲线；所述节点为边缘节点；所述流量日志数据是由节点机器中的物理网卡将用户终端发出的请求流到系统内核层的XDP网卡驱动程序；所述系统内核层中的eBPF流量采集模块将用户待访问的多个不同APP的信息返回给eBPF应用进程，并由所述eBPF应用进程将相应的用户访问日志信息写入数据存储模块中得来的；其中，所述请求中包含用户待访问的多个不同APP的信息；以及，在所述节点机器中的系统内核层写入有XDP网卡驱动程序，并在节点机器中的系统内核层中注入eBPF流量采集模块；

具体地：所述系统内核层中的eBPF流量采集模块调用内核协议栈的TCP/UDP网络函数，将用户待访问的多个不同APP的信息返回给eBPF进程进行归类处理，并由eBPF进程将相应的用户访问日志信息进行归类处理后写入数据存储模块;以由前端数据中心读取数据存储模块的流量日志数据，绘制流量曲线，以获得访问各个APP的流量曲线；所述用户待访问的多个不同APP的信息中至少包含网卡Id、IP地址、进程Id、TCP数据包和UDP数据包。

6.一种基于eBPF技术的数据采集装置，其特征在于，包括：

存储有可执行程序代码的存储器；

与所述存储器耦合的处理器；

所述处理器调用所述存储器中存储的所述可执行程序代码，用于执行如权利要求1所述的方法。

7.一种基于eBPF技术的数据采集系统，其特征在于，包括用户终端、节点和前端数据中心；所述节点为边缘节点；

所述用户终端，用于向节点发出访问应用程序的请求，所述请求中包含用户待访问的多个不同APP的信息；

所述节点，用于节点机器中的物理网卡接收用户终端访问应用程序的请求，并将所述请求流到系统内核层的XDP网卡驱动程序；所述节点机器中的系统内核层中的eBPF流量采集模块将用户待访问的多个不同APP的信息返回给eBPF应用进程，并由所述eBPF应用进程将相应的用户访问日志信息写入数据存储模块形成流量日志数据；其中，在节点机器中的系统内核层写入有XDP网卡驱动程序，并在节点机器中的系统内核层中注入eBPF流量采集模块；

所述前端数据中心，用于读取节点中的数据存储模块中的流量日志数据，并绘制流量曲线，以供运营分析；

具体地：所述系统内核层中的eBPF流量采集模块调用内核协议栈的TCP/UDP网络函数，将用户待访问的多个不同APP的信息返回给eBPF进程进行归类处理，并由eBPF进程将相应的用户访问日志信息进行归类处理后写入数据存储模块;以由前端数据中心读取数据存储模块的流量日志数据，绘制流量曲线，以获得访问各个APP的流量曲线；所述用户待访问的多个不同APP的信息中至少包含网卡Id、IP地址、进程Id、TCP数据包和UDP数据包。