Linux 调试三剑客——strace,lsof,tcpdump

最新推荐文章于 2023-06-27 20:43:49 发布
最新推荐文章于 2023-06-27 20:43:49 发布
阅读量468 收藏 2
点赞数
分类专栏: 服务器

Brendan D. Gregg 专注 Linux performance & tuning 许多年,其博客 brendangregg.com 里关于分析和调优的干货琳琅满目。一篇名为 Linux Performance 文章全面而详细的整理了常用工具,覆盖了硬件、存储、网络乃至应用,如下图:

Linux performance

能掌握上图的十八般武艺固然最好,从定位分析的角度来说,我认为三个高级而常用的命令是 strace, lsof 和 tcpdump。

strace

strace - trace system calls and signals

据说,对一个经验丰富的 Linux C/C++ 工程师,他通过 strace 即可分析多数软件的大致实现方式。Linux 进程空间可分为用户空间和内核空间,程序通常运行在用户态,它需要通过 系统调用 访问内核空间。系统调用的重要性不言而喻,凡是涉及到进程、文件管理、设备管理和通信等的操作都必须依赖系统调用完成,如下:

  • Process Control: load/execute/end/abort/create/terminate process, get/set process attributes, wait for time/event/signal, allocate/free memory
  • File management: create/delete/open/read/write/reposition file, get/set file attributes
  • Device Management: request/release/attach/detach device,read/write/reposition, get/set device attributes
  • Communication: create/delete connection, send/receive messages, transfer status information

strace 追踪进程产生的所有系统调用,包括参数、返回值和执行消耗的时间,很多是涉及到内核和资源层面的操作都需要系统调用完成,所以 strace 在诊断以下场景非常有效:

  • 程序意外退出
  • 程序运行缓慢
  • 进程阻塞

strace 的通常使用方式如下:

strace -f -F -T -tt -o output.txt straced_cmd

-f  跟踪 fork 产生的子进程
-F  跟踪 vfork 产生的子进程
-tt 在输出中的每一行前加上时间信息,微秒级
-T  显示每一个调用所耗的时间
-o  输出到指定文件 output.txt
 
 
  • 1
  • 2
  • 3
  • 4
  • 5
  • 6
  • 7

例如:

$ strace -T -tt -f -F ls
14:17:18.096447 execve("/bin/ls", ["ls"], [/* 31 vars */]) = 0 <0.000191>
14:17:18.097156 brk(0)                  = 0x1852000 <0.000196>
14:17:18.097554 access("/etc/ld.so.nohwcap", F_OK) = -1 ENOENT (No such file or directory) <0.000088>
14:17:18.097836 mmap(NULL, 8192, PROT_READ|PROT_WRITE, MAP_PRIVATE|MAP_ANONYMOUS, -1, 0) = 0x7f6056b52000 <0.000186>
14:17:18.098242 access("/etc/ld.so.preload", R_OK) = -1 ENOENT (No such file or directory) <0.000097>
14:17:18.101519 open("/etc/ld.so.cache", O_RDONLY|O_CLOEXEC) = 3 <0.000131>
 
 
  • 1
  • 2
  • 3
  • 4
  • 5
  • 6
  • 7

对于守护进程,strace 的使用为:

strace -T -tt -e trace=all -o output.txt -p daemon_pid
 
 
  • 1

lsof

Linux/Unix 的文件类型有以下 7 种:

  • Regular file
  • Directory
  • Symbolic link
  • Named pipe
  • Socket
  • Device file
  • Door

lsof 用于查看进程打开的文件,使用方式如下:

# 查看某个进程打开的文件
lsof -p pid

# 查看某个文件被哪些进程打开
lsof file_name
 
 
  • 1
  • 2
  • 3
  • 4
  • 5

例如:

# 1250 为 nova-api 的 pid
$ lsof -p 1250
COMMAND   PID USER   FD   TYPE DEVICE SIZE/OFF   NODE NAME
nova-api 1250 nova  cwd    DIR  252,0     4096 133223 /var/lib/nova
nova-api 1250 nova  rtd    DIR  252,0     4096      2 /
nova-api 1250 nova  txt    REG  252,0  3345416 274069 /usr/bin/python2.7
nova-api 1250 nova  mem    REG  252,0    31720 407980 /usr/lib/python2.7/dist-packages/Crypto/Cipher/_AES.x86_64-linux-gnu.so
......
nova-api 1250 nova    5w  FIFO    0,9      0t0  12796 pipe
nova-api 1250 nova    6u  IPv4  12864      0t0    TCP *:8773 (LISTEN)
nova-api 1250 nova    7u  IPv4  12891      0t0    TCP *:8774 (LISTEN)
nova-api 1250 nova    8r   CHR    1,9      0t0   6683 /dev/urandom
nova-api 1250 nova    9u  IPv4  12986      0t0    TCP *:8775 (LISTEN)
nova-api 1250 nova   17u  0000   0,10        0   6631 anon_inode~ bash
 
 
  • 1
  • 2
  • 3
  • 4
  • 5
  • 6
  • 7
  • 8
  • 9
  • 10
  • 11
  • 12
  • 13
  • 14

又如,查询 /var/log/nova/nova-api 被哪些进程打开:

$ lsof /var/log/nova/nova-api.log
COMMAND   PID USER   FD   TYPE DEVICE SIZE/OFF   NODE NAME
nova-api 1250 nova    3w   REG  252,0  2086779 133272 /var/log/nova/nova-api.log
nova-api 2235 nova    3w   REG  252,0  2086779 133272 /var/log/nova/nova-api.log
nova-api 2247 nova    3w   REG  252,0  2086779 133272 /var/log/nova/nova-api.log
nova-api 2255 nova    3w   REG  252,0  2086779 133272 /var/log/nova/nova-api.log
 
 
  • 1
  • 2
  • 3
  • 4
  • 5
  • 6

tcpdump

tcpdump 和 wireshark 类似,都是抓包工具,windows 用户多用 wireshark,linux 用户多用 tcpdump。tcpdump 允许用户拦截和显示发送或收到过网络连接到该计算机的TCP/IP和其他数据包,从数据链路层、网络层、传输层乃至应用层,覆盖了多种常用协议,并提供了丰富的过滤功能,使用如下:

过滤网卡:

tcpdump -i eth1
 
 
  • 1

过滤 IP:

tcpdump net 10.10.10.1
tcpdump src net 10.10.10.1
tcpdump dst net 10.10.10.2
 
 
  • 1
  • 2
  • 3

过滤 port:

tcpdump port 80
tcpdump src port 80
tcpdump dst port 80
 
 
  • 1
  • 2
  • 3

过滤 protocol:

tcpdump arp
tcpdump icmp
tcpdump ip
tcpdump udp
tcpdump tcp
 
 
  • 1
  • 2
  • 3
  • 4
  • 5

常用表达试:

&  or 'and'
|| or 'or'
!  or 'not'
 
 
  • 1
  • 2
  • 3

抓取所有经过 eth0,目的地址是 10.10.10.1:80 的 TCP 数据:

$ tcpdump -i eth0 (tcp) and (dst port 80) and (dst net 10.10.10.1)
创新境界
关注
专栏目录
Linux学习总结(43)——企业运维最常用的150个Linux命令
科技D人生
11-17 6412
一、线上查询及帮助命令 (2 个)man查看命令帮助,命令的词典,更复杂的还有 info,但不常用。help查看 Linux 内置命令的帮助,比如 cd 命令。二、文件和目录操作命令 (18 个)ls全拼 list,功能是列出目录的内容及其内容属性信息。cd全拼 change directory,功能是从当前工作目录切换到指定的工作目录。cp全拼 copy,其功能为复制文件或目录。find查找的意
linux】循序渐进学运维-基础命令篇
互联网老辛
10-17 5010
文章目录线上查询及帮助命令(2个)文件和目录操作命令(18个)查看文件及内容处理命令(21个)文件压缩及解压缩命令(4个)信息显示命令(11个)搜索文件命令(4个)用户管理命令(10个)基础网络操作命令(11个)深入网络操作命令(9个)有关磁盘与文件系统的命令(16个)系统权限及用户授权相关命令(4个)查看系统用户登陆信息的命令(7个)内置命令及其它(19个)系统管理与性能监视命令(9个)关机/重...
Linux程序开发三剑客-2-GDB调试
一路前行
01-31 210
目录前言命令速查info命令设置观察点(Watchpoint)断点(Breakpoint)使用调试器打补丁(commands)查看栈信息单步调试查看运行时数据多线程环境其他调试技巧使用调试器打补丁 前言 在Linux平台下开发程序,不能使用window平台下的集成开发环境,这时候要对程序进行调试,通常使用打印+gdb调试的方法,实际上,集成开发环境里面的功能也是基于gdb调试指令进行的,只不过做成...
php strace 工具,故障排查工具-strace,tcpdump的简单使用
weixin_35965498的博客
03-28 247
进程相关定位进程top //查看进程占用资源 cpu,memps -aux|grep php-fpm //查看php-fpm相关进程分析进程[root@izwz97ww79qca7m2kxb6hqz ~]# ll /proc/28770/fd //查看进程28770中所有操作的文件fdtotal 0lrwx------ 1 root root 64 Jul 20 16:56 0 ->...
execve系统调用_【Linux系统】Linux 调试三剑客——strace,lsof,tcpdump
weixin_36078354的博客
01-01 127
能掌握上图的十八般武艺固然最好,从定位分析的角度来说,我认为三个高级而常用的命令是 strace, lsoftcpdump。stracestrace - trace system calls and signals据说,对一个经验丰富的 Linux C/C++ 工程师,他通过 strace 即可分析多数软件的大致实现方式。Linux 进程空间可分为用户空间和内核空间,程序通常运行在...
tcpdump strace archlinux gento 字符串截取
magoyang的博客
08-14 654
1、TCPDUMP (1)简介: TcpDump可以将网络中传送的数据包完全截获下来提供分析。它支持针对网络层、协议、主机、网络或端口的过滤,并提供and、or、not等逻辑语句来帮助你去掉无用的信息。 Linux作为网络服务器,特别是作为路由器和网关时,数据的采集和分析是不可少的。TcpDumpLinux中强大的网络数据采集分析工具之一。 用简单的话来定义tcpdump,就是:du
linux指令、RTC时间设置、根文件系统
最新发布
2201_75466937的博客
06-27 87
linux指令、RTC时间设置、根文件系统
Linux 运维150个常用命令
JanLEE
07-13 308
linux 命令是对 Linux 系统进行管理的命令。对于 Linux 系统来说,无论是中央处理器、内存、磁盘驱动器、键盘、鼠标,还是用户等都是文件, Linux 系统管理的命令是它正常运行的核心,与之前的 DOS 命令类似。linux 命令在系统中有两种类型:内置 Shell 命令和 Linux 命令。 命令 功能说明 线上查询及帮助命令 (2 个) man 查看命令帮助,命令的词典,更复杂的还有 info,
linux stracelsoftcpdump用法
华章酱的博客
08-08 512
straceLinux环境下的一款程序调试工具,用来监察一个应用程序所使用的系统调用及它所接收的系统信息。 可谓是 linux 下的调试利器,不仅可以用来找程序错误,系统为什么挂死了,命令为什么报错,还可以用来查找哪些程序占用系统资源。 安装 使用strace前需要先在安装它,可使用命令: yum install strace 否则会出现: -bash: strace: command no...
利用strace系统调用和抓包定位——应用性能问题
qq_37945696的博客
04-13 572
背景 某python应用在k8s集群中,调度到某几台机器特别慢。本人被拉去定位该问题,由于不是java应用,不能用javaagent监控定位慢在哪里,本人对python也是一窍不通。遂只能通过更底层的系统调用和抓包来定位慢在哪里 如何排查 由于微服务每个服务只起了一个节点,这就相对减少了工作量,所以只要在调用链的pod被调度的主机上attach strace和在对应端口抓包即可。strace所需...
linux的strace命令
无界编程
03-21 9319
linux的strace命令strace 命令是一种强大的工具,它能够显示所有由用户空间程序发出的系统调用。   strace 显示这些调用的参数并返回符号形式的值。strace 从内核接收信息,而且不需要以任何特殊的方式来构建内核。   下面记录几个常用 option .   1 -f -F选项告诉strace同时跟踪fork和vfork出来的进程   2 -o xxx.txt 输出到某个文件。
性能分析工作strace命令用法详解及使用例子
ym012的专栏
01-13 6251
1 功能说明 strace 命令是一种强大的工具, 能够显示任何由用户空间程式发出的系统调用. strace 显示这些调用的参数并返回符号形式的值. strace 从内核接收信息, 而且无需以任何特别的方式来构建内核. strace 的每一行输出包括系统调用名称, 然后是参数和返回值. 下面记录几个常用option: -f -F选项告诉strace同时跟踪fork和vfork出来的进程
Linux下使用strace,pstack,pstree,lsof 等工具跟踪进程
maple_leaves_for_me的专栏
01-04 5307
Strace功能说明 Strace命令是一种强大的工具,能够显示任何由用户空间发出的系统调用。Strace显示这些调用的参数并返回符号形式的值。 下面记录几个常用的option: -f选项告诉strace同时跟踪fork和vfork出来的进程。 -o**.txt输出到某个文档。 -e execve只记录execve这类系统调用。 -p pid trace一个现有的进程。 Psta
linux 性能监控分析以及调优(netstat, ps , strace , lsof )
黑咖啡的博客
02-18 1083
1. netstat 介绍Netstat命令用于显示本机网络连接、运行端口、路由表等信息. 2. netstat 命令用法 命令行启动参数: netstat[选项] -a (all):显示一个所有的有效连接信息列表,包括已建立的连接(ESTABLISHED),也包括监听连接请求(LISTENING)的那些连接,断开连接(CLOSE_WAIT)或者处于联机等待状态的(TIME_WAIT)
strace -f strace ls 引发的问题
css
04-18 1225
straceLinux下常用的跟踪程序系统调用的工具。strace简介可使用  strace &lt;cmd&gt;  来跟踪 cmd 所使用的系统调用,原理是 strace 进程 fork 一个子进程并使用 ptrace 系统调用设置和监听子进程的状态。使用   strace -f &lt;cmd&gt;  可以跟踪cmd和它的子进程下面给出一个简单的使用 strace 的例子:$ stra...
BPF 之路:技术背景
阿呆的隐秘角落
03-28 1984
BPF 之路
《BPF( 伯克利数据包过滤器 ) Performance Tools》 第二章 技术背景
weixin_55255438的博客
10-05 1914
下图是Sasha Goldshtein用户态预定义静态跟踪(user-level statically defined tracing, USDT)提供了一个用户空间版的跟踪点机制。BCC的USDT支持是Sasha Goldshtein实现的,bpfrace的USDT支持是由笔者和Matheus Marchini完成的。用户态的软件有很多与跟踪和日志相关的技术,而且许多应用程序自身也内置了自定义的事件日志系统,可以根据需要随时开启。USDT与众不同之处在于,它依赖于外部的系统跟踪器来唤起。
php gdb strace抓包,Linux上进程追踪与调试(strace和gdb)
weixin_42176612的博客
04-08 183
引言:我们某些服务出现故障的时候,我们都是根据屏幕的输出以及打印的日志来查找出出现了什么样的错误,但是有时候我们的很多守护进程启动正常却访问不到,比如我们使用Nginx服务,登陆web的时候,却迟迟不发生页面跳转或者访问页面迟迟没反应,这个时候我们就需要对Nginx这个服务做一次进程追踪,我们使用strace/gdb这样的命令对进程做一次追踪,strace:1,strace命令说明strace是能...
Linux调试利器:strace深度解析
"Linux编程调试详解" 在Linux环境中,编程和调试是开发过程中不可或缺的环节。本文将详细介绍Linux下的调试方法,主要包括两种方式:插入打印语句和使用调试工具。我们将重点讨论使用调试工具,特别是strace工具。 ...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值