linux系性能和使用活动监控工具sysstat

下载安装sysstat工具：

wget http://pagesperso-orange.fr/sebastien.godard/sysstat-11.0.0.tar.gz

tar xvf sysstat-11.0.0.tar.gz

cd sysstat-11.0.0

./configure

make & make install

查看sysstat的版本：

mpstat -V sysstat version

默认的sysstat目录前缀是在/usr/local中，所有的二进制数据/工具可能在/usr/local/bin,安装完之后有以下命令：

sar,iostat,sa1,sa2,sadf,mpstat,sadc,sysstat

Sysstat 软件包集成如下工具：

    * iostat 工具提供CPU使用率及硬盘吞吐效率的数据；
    * mpstat 工具提供单个处理器或多个处理器相关数据；
    * sar 工具负责收集、报告并存储系统活跃的信息；
    * sa1 工具负责收集并存储每天系统动态信息到一个二进制的文件中。它是通过计划任务工具cron来运行，
        是为sadc所设计的程序前端程序；
    * sa2 工具负责把每天的系统活跃性息写入总结性的报告中。它是为sar所设计的前端 ，要通过cron来调用
    * sadc 是系统动态数据收集工具，收集的数据被写一个二进制的文件中，它被用作sar工具的后端；
    * sadf 显示被sar通过多种格式收集的数据；

sar 2 5:查看CPU的使用情况

总共查看5次，每隔2秒查看

sar -r 2 5:查看内存的使用情况

sar -n DEV 2 5:查看系统吞吐量使用情况

查看CPU的使用情况：

09时51分41秒     CPU     %user     %nice   %system   %iowait    %steal     %idle
09时51分43秒     all      1.63      0.00      0.75      0.63      0.00     97.00
09时51分45秒     all      3.28      0.00      0.25      0.00      0.00     96.47
09时51分47秒     all      1.53      0.00      0.51      0.00      0.00     97.96
09时51分49秒     all      1.26      0.00      0.25      0.13      0.00     98.36
09时51分51秒     all      1.13      0.00      0.13      0.00      0.00     98.74
Average:        all      1.77      0.00      0.38      0.15      0.00     97.71

all:表示所有的CPU

%user:表示用户级别的使用情况

%nice:表示在用户级别，使用nice操作，占用的CPU时间比

%system:在核心级别占用所有CPU的时间比

%iowait:表示等待I/O操作占用CPU的时间比

%steal:管理程序(hypervisor)为另一个虚拟进程提供服务而等待虚拟 CPU 的百分比。

%idle:表示CPU的空闲时间占用的总的CPU的时间比

注意：

%nice:

Linux中nice程序的作用，想必大家都知道，就是通过一个 -20到19 的数字，来控制CPU分配到这个进程的时间片得多少。数字越小，CPU分配的时间片越多，也就是所谓的优先级越高。我其实第一眼看到这个程序的名字，就有一个疑问，为什么数字越小的反而运行的越好（nice）了呢？原来 nice 除了表示某个东西很美好之外，在形容一个人的时候，是 “友善的，好心的” 的意思。所以，如果某个进程的 nice 值越高，就表示这个进程（拟人的手法）越好心，越友善，也就是将CPU的时间都让给别人用了，故而优先级低。这些进程应该配发“好人卡”啊！那些nice值很低，甚至为负数，很不nice的进程，“自私”地占据了非常多的CPU时间片，如果CPU可以提供的话，最多可以占据CPU99%的时间！当然，负数级别的nice，只能root用户来用，不是谁都可以那么自私的！

%iowait:如果这个的值太高表明硬盘存在I/O瓶颈

%idle:这个值很高但系统响应慢时，说明CPU等待内存资源，因此瓶颈在于内存

这个值很低且持续低于10时，说明CPU资源不够成为了瓶颈

sar -b 1 5:

Linux 3.13.0-37-generic (nimei)     2014年10月20日     _x86_64_    (4 CPU)

10时10分37秒       tps      rtps      wtps   bread/s   bwrtn/s
10时10分38秒      0.00      0.00      0.00      0.00      0.00
10时10分39秒      0.00      0.00      0.00      0.00      0.00
10时10分40秒     58.00      0.00     58.00      0.00    632.00
10时10分41秒     24.00      0.00     24.00      0.00    184.00
10时10分42秒      1.00      0.00      1.00      0.00     40.00
Average:        16.60      0.00     16.60      0.00    171.20
tps     每秒钟物理设备的 I/O 传输总量                   
rtps    每秒钟从物理设备读入的数据总量                 
wtps    每秒钟向物理设备写入的数据总量                 
bread/s 每秒钟从物理设备读入的数据量，单位为 块/s   
bwrtn/s 每秒钟向物理设备写入的数据量，单位为 块/s

iostat -x 1 5:

avg-cpu:  %user   %nice %system %iowait  %steal   %idle
          10.72    0.00    2.24    0.00    0.00   87.03

Device:         rrqm/s   wrqm/s     r/s     w/s    rkB/s    wkB/s avgrq-sz avgqu-sz   await r_await w_await  svctm  %util
sda               0.00     0.00    0.00    0.00     0.00     0.00     0.00     0.00    0.00    0.00    0.00   0.00   0.00
dm-0              0.00     0.00    0.00    0.00     0.00     0.00     0.00     0.00    0.00    0.00    0.00   0.00   0.00
dm-1              0.00     0.00    0.00    0.00     0.00     0.00     0.00     0.00    0.00    0.00    0.00   0.00   0.00
dm-2              0.00     0.00    0.00    0.00     0.00     0.00     0.00     0.00    0.00    0.00    0.00   0.00   0.00

rrqm/s:   每秒进行 merge 的读操作数目。即 delta(rmerge)/s

wrqm/s: 每秒进行 merge 的写操作数目。即 delta(wmerge)/s

r/s:           每秒完成的读 I/O 设备次数。即 delta(rio)/s

w/s:         每秒完成的写 I/O 设备次数。即 delta(wio)/s

rsec/s:    每秒读扇区数。即 delta(rsect)/s

wsec/s: 每秒写扇区数。即 delta(wsect)/s

rkB/s:      每秒读K字节数。是 rsect/s 的一半，因为每扇区大小为512字节。(需要计算)

wkB/s:    每秒写K字节数。是 wsect/s 的一半。(需要计算)

avgrq-sz: 平均每次设备I/O操作的数据大小 (扇区)。delta(rsect+wsect)/delta(rio+wio)

avgqu-sz: 平均I/O队列长度。即 delta(aveq)/s/1000 (因为aveq的单位为毫秒)。
await:    平均每次设备I/O操作的等待时间 (毫秒)。即 delta(ruse+wuse)/delta(rio+wio)

svctm:   平均每次设备I/O操作的服务时间 (毫秒)。即 delta(use)/delta(rio+wio)

%util:      一秒中有百分之多少的时间用于 I/O 操作，或者说一秒中有多少时间 I/O 队列是非空的。即 delta(use)/s/1000 (因为use的单位为毫秒)

如果 %util 接近 100%，说明产生的I/O请求太多，I/O系统已经满负荷，该磁盘可能存在瓶颈。

svctm 一般要小于 await (因为同时等待的请求的等待时间被重复计算了)，svctm 的大小一般和磁盘性能有关，CPU/内存的负荷也会对其有影响，请求过多也会间接导致 svctm 的增加。await 的大小一般取决于服务时间(svctm) 以及 I/O 队列的长度和 I/O 请求的发出模式。如果 svctm 比较接近 await，说明 I/O 几乎没有等待时间；如果 await 远大于 svctm，说明 I/O 队列太长，应用得到的响应时间变慢，如果响应时间超过了用户可以容许的范围，这时可以考虑更换更快的磁盘，调整内核 elevator 算法，优化应用，或者升级 CPU。

队列长度(avgqu-sz)也可作为衡量系统 I/O 负荷的指标，但由于 avgqu-sz 是按照单位时间的平均值，所以不能反映瞬间的 I/O 问题。

命令学习crontab:

crontab是Unix和Linux用于设置周期性被执行的指令，是互联网很常用的技术，很多任务都会设置在crontab循环执行，如果不使用crontab，那么任务就是常驻程序，这对你的程序要求比较高，一个要求你的程序是24X7小时不宕机，一个是要求你的调度程序比较可靠，实际工作中，90%的程序都没有必要花这么多时间和精力去解决上面的两个问题的，只需要写好自己的业务逻辑，通过crond这个工业级程序去调度就行了，crond的可靠性，健壮性，大家应该是毫无疑问的。

crontab -e
# 此时会进入 vi 的编辑画面让您编辑工作！注意到，每项工作都是一行。
#分 时 日  月 周      |<==============任务的完整命令行
 *  *  *  *  *       /home/blue/do/rsyncfile.sh

默认情况下，任何使用者只要不被列入 /etc/cron.deny 当中，那么他就可以直接下达『 crontab -e 』去编辑自己的例行性命令了！

假如我们需要修改为每5分钟运行数据同步的脚本，那么同样使用 crontab -e 进入编辑：


*/5 * * * *  /home/blue/do/rsyncfile.sh
假如服务器出了问题，有一天的数据没有同步，于是我们就需要补数据了，假设这个补数据的脚本是/home/blue/do/rsyncfile_day.sh,但是白天是高峰期，晚上用户不多，是低峰期，我们补数据会占用大量带宽，尤其是白天，会影响正常业务，所以一般我们可以让补数据任务在凌晨2点开始跑，那么同样使用crontab -e 进入编辑：


0 2 1 4 *  /home/blue/do/rsyncfile_day.sh
这样，在4月1号凌晨2点0分就会开始启动我们的补数据的脚本了。

语法：

crontab [-u username] [-l|-e|-r]
选项与参数：
-u  ：只有 root 才能进行这个任务，亦即帮其他使用者创建/移除 crontab 工作排程；
-e  ：编辑 crontab 的工作内容
-l  ：查阅 crontab 的工作内容
-r  ：移除所有的 crontab 的工作内容，若仅要移除一项，请用 -e 去编辑

查询使用者目前的 crontab 内容:

crontab -l
*/5 * * * *  /home/blue/do/rsyncfile.sh
0 2 1 4 *  /home/blue/do/rsyncfile_day.sh

清空使用者目前的 crontab:

crontab -r
crontab -l
no crontab for zhangxin

如果想删除其中一行，则使用-e进行删除一行

crontab的限制:
　　/etc/cron.allow：将可以使用 crontab 的帐号写入其中，若不在这个文件内的使用者则不可使用 crontab；
　　/etc/cron.deny：将不可以使用 crontab 的帐号写入其中，若未记录到这个文件当中的使用者，就可以使用 crontab 。
以优先顺序来说， /etc/cron.allow 比 /etc/cron.deny 要优先， 而判断上面，这两个文件只选择一个来限制而已，因此，建议你只要保留一个即可， 免得影响自己在配置上面的判断！一般来说，系统默认是保留 /etc/cron.deny ， 你可以将不想让他运行 crontab 的那个使用者写入 /etc/cron.deny 当中，一个帐号一行！

/etc/crontab配置文件讲解

『 crontab -e 』是针对使用者的 cron 来设计的，如果是『系统的例行性任务』时，就要编辑 /etc/crontab 这个文件。

那就是 crontab -e 这个 crontab 其实是 /usr/bin/crontab 这个运行档，但是 /etc/crontab 可是一个『纯文字档』,必须用 root 的身份编辑一下这个文件。

首先我们要来看看crontab的文件内容

cat /etc/crontab


# /etc/crontab: system-wide crontab
# Unlike any other crontab you don't have to run the `crontab'
# command to install the new version when you edit this file
# and files in /etc/cron.d. These files also have username fields,
# that none of the other crontabs do.


SHELL=/bin/sh
PATH=/usr/local/sbin:/usr/local/bin:/sbin:/bin:/usr/sbin:/usr/bin


# m h dom mon dow user  command
17 *    * * *   root    cd / && run-parts --report /etc/cron.hourly
25 6    * * *   root    test -x /usr/sbin/anacron || ( cd / && run-parts --report /etc/cron.daily )
47 6    * * 7   root    test -x /usr/sbin/anacron || ( cd / && run-parts --report /etc/cron.weekly )
52 6    1 * *   root    test -x /usr/sbin/anacron || ( cd / && run-parts --report /etc/cron.monthly )

你可以使用『 which run-parts 』搜寻看看，其实那是一个 bash script 啦！如果你直接进入 /usr/bin/run-parts 去看看， 会发现这支命令会将后面接的『目录』内的所有文件捉出来运行！这也就是说『 如果你想让系统每小时主动帮你运行某个命令，将该命令写成 script，并将该文件放置到 /etc/cron.hourly/ 目录下即可』的意思！

现在你知道系统是如何进行他默认的一堆例行性工作排程了吗？如果你下达『 ll /etc/cron.daily 』就可以看到一堆文件， 那些文件就是系统提供的 script ，而这堆 scripts 将会在每天的凌晨 6:25 开始运行！

crontab的原理

当使用者使用 crontab 这个命令来创建工作排程之后，该项工作就会被纪录到 /var/spool/cron/ 里面去了，而且是以帐号来作为判别的喔！举例来说， blue 使用 crontab 后， 他的工作会被纪录到 /var/spool/cron/blue 里头去！但请注意，不要使用 vi 直接编辑该文件， 因为可能由於输入语法错误，会导致无法运行 cron 喔！另外， cron 运行的每一项工作都会被纪录到 /var/log/cron 这个登录档中，所以罗，如果你的 Linux 不知道有否被植入木马时，也可以搜寻一下 /var/log/cron 这个登录档呢！
 crond服务的最低侦测限制是『分钟』，所以『 cron 会每分钟去读取一次 /etc/crontab 与 /var/spool/cron 里面的数据内容 』，因此，只要你编辑完 /etc/crontab 这个文件，并且将他储存之后，那么 cron 的配置就自动的会来运行了！
备注：在 Linux 底下的 crontab 会自动的帮我们每分钟重新读取一次 /etc/crontab 的例行工作事项，但是某些原因或者是其他的 Unix 系统中，由於 crontab 是读到内存当中的，所以在你修改完 /etc/crontab 之后，可能并不会马上运行， 这个时候请重新启动 crond 这个服务吧！『/etc/init.d/crond restart』 

每项工作 (每行) 的格式都是具有六个栏位，这六个栏位的意义为：

代表意义	分钟	小时	日期	月份	周	命令
数字范围	0-59	0-23	1-31	1-12	0-7	命令

 

比较有趣的是那个『周』喔！周的数字为 0 或 7 时，都代表『星期天』的意思！另外， 还有一些辅助的字符，大概有底下这些：

特殊字符	代表意义
*(星号)	代表任何时刻都接受的意思！举例来说，范例一内那个日、月、周都是 * ， 就代表著『不论何月、何日的礼拜几的 12:00 都运行后续命令』的意思！
,(逗号)	代表分隔时段的意思。举例来说，如果要下达的工作是 3:00 与 6:00 时，就会是： 0 3,6 * * * command 时间参数还是有五栏，不过第二栏是 3,6 ，代表 3 与 6 都适用！
-(减号)	代表一段时间范围内，举例来说， 8 点到 12 点之间的每小时的 20 分都进行一项工作： 20 8-12 * * * command 仔细看到第二栏变成 8-12 喔！代表 8,9,10,11,12 都适用的意思！
/n(斜线)	那个 n 代表数字，亦即是『每隔 n 单位间隔』的意思，例如每五分钟进行一次，则： */5 * * * * command 很简单吧！用 * 与 /5 来搭配，也可以写成 0-59/5 ，相同意思！

周与日月不可同时并存

另一个需要注意的地方在於：『你可以分别以周或者是日月为单位作为循环，但你不可使用「几月几号且为星期几」的模式工作』。 这个意思是说，你不可以这样编写一个工作排程：

30 12 11 9 5 root echo "just test"   <==这是错误的写法

 本来你以为九月十一号且为星期五才会进行这项工作，无奈的是，系统可能会判定每个星期五作一次，或每年的 9 月 11 号分别进行，如此一来与你当初的规划就不一样了～所以罗，得要注意这个地方！上述的写法是不对的！

上述特点很重要！

守护进程：也就是通常说的Daemon进程，是Linux中的后台服务进程。它是一个生存期较长的进程，通常独立于控制终端并且周期性地执行某种任务或等待处理某些发生的事件。守护进程常常在系统引导装入时启动，在系统关闭时终止。Linux系统有很多守护进程，大多数服务都是通过守护进程实现的，同时，守护进程还能完成许多系统任务，例如，作业规划进程crond、打印进程lqd等（这里的结尾字母d就是Daemon的意思）。

守护进程是脱离于终端并且在后台运行的进程。守护进程脱离于终端是为了避免进程在执行过程中的信息在任何终端上显示并且进程也不会被任何终端所产生的终端信息所打断。由于在Linux中，每一个系统与用户进行交流的界面称为终端，每一个从此终端开始运行的进程都会依附于这个终端，这个终端就称为这些进程的控制终端，当控制终端被关闭时，相应的进程都会自动关闭。但是守护进程却能够突破这种限制，它从被执行开始运转，直到整个系统关闭时才退出。如果想让某个进程不因为用户或终端或其他地变化而受到影响，那么就必须把这个进程变成一个守护进程。

创建一个守护进程的过程：

一.创建子进程，退出父进程

这是编写守护进程的第一步。由于守护进程是脱离控制终端的，因此，完成第一步后就会在Shell终端里造成一程序已经运行完毕的假象。之后的所有工作都在子进程中完成，而用户在Shell终端里则可以执行其他命令，从而在形式上做到了与控制终端的脱离。

当子进程成为孤儿进程时，自动由1浩进程(init)进程收养，原先的子进程就会变成init进程的子进程。

二.在子进程中创建会话

进程组：是一个或多个进程的集合。进程组有进程组ID来唯一标识。除了进程号（PID）之外，进程组ID也是一个进程的必备属性。每个进程组都有一个组长进程，其组长进程的进程号等于进程组ID。且该进程组ID不会因组长进程的退出而受到影响。
会话周期：会话期是一个或多个进程组的集合。通常，一个会话开始于用户登录，终止于用户退出，在此期间该用户运行的所有进程都属于这个会话期。

由于创建守护进程的第一步调用了fork函数来创建子进程，再将父进程退出。由于在调用了fork函数时，子进程全盘拷贝了父进程的会话期、进程组、控制终端等，虽然父进程退出了，但会话期、进程组、控制终端等并没有改变，因此，这还不是真正意义上的独立开来，而setsid函数能够使进程完全独立出来，从而摆脱其他进程的控制。

所以调用setsid()函数的作用有三个：

一.让进程摆脱原会话的控制

二.让进程摆脱原进程组的控制

三.让进程摆脱原控制终端的控制

3.改变当前目录为根目录

这一步也是必要的步骤。使用fork创建的子进程继承了父进程的当前工作目录。由于在进程运行中，当前目录所在的文件系统（如“/mnt/usb”）是不能卸载的，这对以后的使用会造成诸多的麻烦（比如系统由于某种原因要进入但用户模式）。因此，通常的做法是让"/"作为用户的当前工作目录，这样就可以避免上述的问题，当然，如有特殊需要，也可以把当前工作目录换成其他的路径，如/tmp。改变工作目录的常见函数式chdir。

4.重设文件权限掩码

文件权限掩码是指屏蔽掉文件权限中的对应位。比如，有个文件权限掩码是050，它就屏蔽了文件组拥有者的可读与可执行权限。由于使用fork函数新建的子进程继承了父进程的文件权限掩码，这就给该子进程使用文件带来了诸多的麻烦。因此，把文件权限掩码设置为0，可以大大增强该守护进程的灵活性。设置文件权限掩码的函数是umask。在这里，通常的使用方法为umask(0)。

5.关闭文件描述符
同文件权限码一样，用fork函数新建的子进程会从父进程那里继承一些已经打开了的文件。这些被打开的文件可能永远不会被守护进程读写，但它们一样消耗系统资源，而且可能导致所在的文件系统无法卸下。
在上面的第二步之后，守护进程已经与所属的控制终端失去了联系。因此从终端输入的字符不可能达到守护进程，守护进程中用常规方法（如printf）输出的字符也不可能在终端上显示出来。所以，文件描述符为0、1和2 的3个文件（常说的输入、输出和报错）已经失去了存在的价值，也应被关闭。通常按如下方式关闭文件描述符：
===============================
for(i=0;i<MAXFILE;i++)
close(i);

6.当用户需要外部停止守护进程运行时，往往会使用 kill命令停止该守护进程。所以，守护进程中需要编码来实现kill发出的signal信号处理，达到进程的正常退出。
===============================
signal(SIGTERM, sigterm_handler);
void sigterm_handler(int arg)
{
_running = 0;
}

综上所述：

编写守护进程的步骤：

一.创建子进程，父进程退出

二.创建会话

三.改变当前目录为根目录

四.重设文件权限

五.关闭相关的文件描述

实例：

实现守护进程的完整实例（每隔10s在/tmp/dameon.log中写入一句话）：

=====================================================================

#include<stdio.h>

#include<stdlib.h>

#include<string.h>

#include<fcntl.h>

#include<sys/types.h>

#include<unistd.h>

#include<sys/wait.h>

#define MAXFILE 65535

void sigterm_handler(int arg);

volatile  sig_atomic_t _running = 1;

int main()

{

pid_t pc,pid;

int i,fd,len,flag = 1;

char *buf="this is a Dameon\n";

len = strlen(buf);

pc = fork(); //第一步

if(pc<0){

printf("error fork\n");

exit(1);

}

else if(pc>0)

exit(0);

pid = setsid(); //第二步 [1]  

if (pid < 0)

perror("setsid error");

chdir("/"); //第三步

umask(0); //第四步

for(i=0;i<MAXFILE;i++) //第五步

close(i);

signal(SIGTERM, sigterm_handler);

while( _running )

{

if( flag ==1 &&(fd=open("/tmp/daemon.log",O_CREAT|O_WRONLY|O_APPEND,0600))<0)

{

perror("open");

flag=0;

exit(1);

}

write(fd,buf,len);

close(fd);

usleep(10*1000); //10毫秒

}

}

void sigterm_handler(int arg)

{

_running = 0;

}

linux守护进程列表
amd：自动安装NFS（网络文件系统）守侯进程
apmd:高级电源治理
Arpwatch：记录日志并构建一个在LAN接口上看到的以太网地址和ip地址对数据库
Autofs：自动安装治理进程automount，与NFS相关，依靠于NIS
Bootparamd：引导参数服务器，为LAN上的无盘工作站提供引导所需的相关信息
crond：linux下的计划任务
Dhcpd：启动一个DHCP（动态IP地址分配）服务器
Gated：网关路由守候进程，使用动态的OSPF路由选择协议
Httpd：WEB服务器
Inetd：支持多种网络服务的核心守候程序
Innd：Usenet新闻服务器
Linuxconf：答应使用本地WEB服务器作为用户接口来配置机器
Lpd：打印服务器
Mars-nwe：mars-nwe文件和用于Novell的打印服务器
Mcserv：Midnight命令文件服务器
named：DNS服务器
netfs：安装NFS、Samba和NetWare网络文件系统
network：激活已配置网络接口的脚本程序
nfs：打开NFS服务
nscd：nscd(Name Switch Cache daemon)服务器，用于NIS的一个支持服务，它高速缓存用户口令和组成成员关系
portmap：RPC portmap治理器，与inetd类似，它治理基于RPC服务的连接
postgresql：一种SQL数据库服务器
routed：路由守候进程，使用动态RIP路由选择协议
rstatd：一个为LAN上的其它机器收集和提供系统信息的守候程序
ruserd：远程用户定位服务，这是一个基于RPC的服务，它提供关于当前记录到LAN上一个机器日志中的用户信息
rwalld：激活rpc.rwall服务进程，这是一项基于RPC的服务，答应用户给每个注册到LAN机器上的其他终端写消息
rwhod：激活rwhod服务进程，它支持LAN的rwho和ruptime服务
sendmail：邮件服务器sendmail
smb：Samba文件共享/打印服务
snmpd：本地简单网络治理候进程
squid：激活代理服务器squid
syslog：一个让系统引导时起动syslog和klogd系统日志守候进程的脚本
xfs：X Window字型服务器，为本地和远程X服务器提供字型集
xntpd：网络时间服务器
ypbind：为NIS（网络信息系统）客户机激活ypbind服务进程
yppasswdd：NIS口令服务器
ypserv：NIS主服务器
gpm：管鼠标的
identd：AUTH服务，在提供用户信息方面与finger类似

僵尸进程：

一个进程在调用exit命令结束自己的生命的时候，其实它并没有真正的被销毁，而是留下一个称为僵尸进程（Zombie）的数据结构（系统调用 exit，它的作用是使进程退出，但也仅仅限于将一个正常的进程变成一个僵尸进程，并不能将其完全销毁）。

在linux僵尸进程中，几乎不占用内存空间，不能被调度，也没有什么可执行代码，仅仅在进程列表处保留了一个位置，记录其退出状态，它需要它的父进程来为它收尸，如果他的父进程没安装 SIGCHLD信号处理函数调用wait或waitpid()等待子进程结束，又没有显式忽略该信号，那么它就一直保持僵尸状态，如果这时父进程结束了， 那么init进程自动会接手这个子进程，为它收尸，它还是能被清除的。但是如果父进程是一个循环，不会结束，那么子进程就会一直保持僵尸状态，这就是为什么系统中有时会有很多的僵尸进程。

怎样来清除僵尸进程：
　 　1.改写父进程，在子进程死后要为它收尸。具体做法是接管SIGCHLD信号。子进程死后，会发送SIGCHLD信号给父进程，父进程收到此信号后，执行waitpid()函数为子进程收尸。这是基于这样的原理：就算父进程没有调用 wait，内核也会向它发送SIGCHLD消息，尽管对的默认处理是忽略，如果想响应这个消息，可以设置一个处理函数。
　　2.把父进程杀掉。父进程死后，僵尸进程成为"孤儿进程"，过继给1号进程init，init始终会负责清理僵尸进程．它产生的所有僵尸进程也跟着消失。

状态为Z的进程即为僵尸进程

ps -A -ostat ppid pid cmd|grep -e '^[zZ]'

表示列出所有的进程，且显示他的状态，父进程，子进程的pid,命令

且只抓取状态为Z和z的进程,即僵尸进程

如上可以看出父进程是一个，杀死：kill -9 8310

一台服务器上产生了100多少僵死进程，而且每一僵死进程的父进程都不一样，如果用上面的方法，需要一条一条的杀，应该采用如下方法：

ps -A -ostat ppid pid cmd|grep -e '^[zZ]'|awk '{print $2}'|xargs kill -9