From a220161353018a74dab9cc6bb193ffcdb654dafb Mon Sep 17 00:00:00 2001
From: Ryan Yin <xiaoyin_c@qq.com>
Date: Tue, 17 Sep 2024 23:30:09 +0800
Subject: [PATCH] docs: ebpf

---
 linux/ebpf/README.md | 5 +++++
 1 file changed, 5 insertions(+)

diff --git a/linux/ebpf/README.md b/linux/ebpf/README.md
index 9b860a20..0b5a59b3 100644
--- a/linux/ebpf/README.md
+++ b/linux/ebpf/README.md
@@ -14,3 +14,8 @@
 1. 可观测性：我们用 ebpf 来分析什么东西？解决什么问题？
 2. 网络：ebpf 如何做到拦截处理流量，同时更新 ebpf 程序还不会中断连接？
 3. 安全性：基于 ebpf 的安全技术有哪些，跟 apparmor 想比有什么区别、优势？
+
+## 可观测性
+
+1. bcc - execsnoop: 监控进程的创建及详细信息。
+   - 用途之一：定位由程序不断重启导致的性能问题。由于进程存在时间太短，很难通过 ps/top 等工具观察到。