eBPF（扩展伯克利包过滤器）是一种内核技术，允许动态挂载小程序以采集系统事件，解决了传统监控的痛点，实现零侵入、内核级可见性和低开销。文章介绍了eBPF的可观测性路径，包括bcc、bpftrace和libbpf + CO-RE，分析了钩子类型及应用场景，并提供了实际案例和选型建议。eBPF的应用使内核成为重要的数据源。