接手别人的工作,由于对难度估计不足,困难远远超过自己的想象,眼看着磁盘空间飞快的增长,就是找不到操作磁盘IO的代码。
首先采用撞大运的方法,希望能从进程中找到蛛丝马迹,如下:
ps -ef|grep sec.log
结果很失望,果然没有找到需要的进程。
只好换种方法,利用“fuser”从文件入手,如下:
# 分析文件,得到进程号5166
fuser -uv ./sec_audit_log/biz/sec_audit-2017-12-19.log
# 分析进程
ps -lfp 5166
最后的输出结果如下:
F S UID PID PPID C PRI NI ADDR SZ WCHAN STIME TTY TIME CMD
0 R yiifaa 5166 46809 99 80 0 - 113741 futex_ 15:08 ? 02:27:15 python run.py mis
但遗憾的是,“run.py”是相对路径,还不足以支持寻找到程序文件,显然“which”、“whereis”是不太可能的,find则面临两个问题,一是可能出现重复的文件,二是可能没有查找的权限,只好继续查找,使用“/proc/”文件夹的特性,如下:
# 获取进程的所有信息
ll /proc/5166
在上面的输出信息中,找到黑色粗体“cwd”所在行,即是可执行文件的所在目录,如下:
lrwxrwxrwx 1 xiaoju xiaoju 0 Dec 19 15:08 cwd -> /home/xiaoju/sec_audit/src/service/scheduler
或者直接一步到位,如下:
ll /proc/5166 | grep cwd
到此找到了被操作的进程与代码的准确位置。
当然,还有逆向的方法,从进程入手,采用“lsof”命令,依次进行查找:
#! /bin/bash
PS=`ps -ef|grep python|awk '{print $2}'`
for p in $PS
do
#echo $p
lsof -p $p|grep sec_audit 2>/dev/null
done
其他可能有帮助的命令
命令 | 用途 |
---|---|
lcat | 查看内存分配 |
pstack | 查看堆栈 |
strace | 查看发出的系统调用 |
查看调用库函数 | ltrace |