你有没有遇到过这种场景：线上服务偶发延迟，top 看 CPU 正常、iostat 看磁盘不忙、strace 抓不到关键调用，但应用就是慢。想看某个系统调用真实的耗时分布？想找"一闪而过"的短进程？传统工具集体失灵。

问题的根源在于：Linux 内核对你"关着门"。你想观测的所有关键路径——系统调用、网络收发、调度、文件 I/O——都在内核里，而你已经很多年没编译过内核了。

eBPF（extended Berkeley Packet Filter）就是 Linux 给开发者开的一扇窗。它让你不重启内核、不写内核模块，就能在内核的关键路径上跑一段自定义逻辑。本文用三件事讲清它：eBPF 是什么、怎么工作、怎么先用起来。