strace
1、前言:为了为创建文件、进程、复制文件等这些操作提供系统服务,应用程序必须和操作系统之间进行交互。但是,应用程序是不能直接访问Linux内核的。它既不能访问内核所占内存空间,也不能调用内核函数。不过应用程序可以跳转到system_call的内核位置,内核会检查系统调用号,这个号码会告诉内核进程正在请求哪种服务。然后,它查看系统调用表,找到所调用的内核函数的入口地址,调用该函数,然后返回到进程。
所有操作系统在其内核都有一些内建的函数,这些函数可以用来完成一些系统级别的功能,一般称Linux系统上的这些函数为 “ 系统调用 ” (system call)。这些函数代表了用户空间到内核空间的一种转换,例如,在用户空间调用open函数,在内核空间则会调用sys_open。
系统调用的错误码:系统调用并不直接返回错误码,而是将错误码放入一个名为errno的全局变量中。如果一个系统调用失败,你可以读出erron的值来确定问题的所在。errno不同数值所代表的错误消息定义在errno.h中,你也可以通过命令"man 3 errno"来查看它们。
strace 就是一个通过跟踪系统调用来让开发者知道一个程序在后台所做的事情的工具。
2、strace 初识:先用一个简单的例子来演示一下 strace 的基本用法:
#include<iostream>
using namespace std;
int main()
{
int a;
cin>>a;
cout<<a<<endl;
return 0;
}然后用g++编译一下得到可执行文件:
g++ -o test test.cpp
然后再用strace调用执行:
strace ./test
部分截图如上,每一行都是一次系统调用,等号左边是系统调用的函数名及其参数,右边是该调用的返回结果,结果可以看到,系统首先调用execve,以开始一个新的进程,接着进行了一系列的初始化操作,最后停顿在read(0)上面,这也就是执行到了cin函数后,等待用户输入数字,在输入完“8”之后,在调用write函数将格式化之后的数字输入到屏幕,最后调用exit_group退出进程,完成整个执行过程。(其中很多mmap函数都是地址映射)
3、用strace来跟踪信号传递:这里还可以用strace来跟踪信号传递,还是用上面那个例子,先输入" strace ./test “,等待的时候不要输入任何东西,然后打开另外一个窗口,输入命令” killall test " ,执行结果如图:
结果显示test进程 " +++killed by SIGTERM +++ " 事实上,命令killall test,就是杀死所有名为test的进程。
4、统计系统调用:strace不光能追踪系统调用,通过使用参数-c ,它还能将进程所有的系统调用做一个统计分析并返回。下面就测试strace -c ./test:
5、其他常用选项:
-c 统计每一系统调用的所执行的时间,次数和出错的次数等.
-d 输出strace关于标准错误的调试信息.
-f 跟踪由fork调用所产生的子进程.
-ff 如果提供-o filename,则所有进程的跟踪结果输出到相应的filename.pid中,pid是各进程的进程号.
-F 尝试跟踪vfork调用.在-f时,vfork不被跟踪.
-h 输出简要的帮助信息.
-i 输出系统调用的入口指针.
-q 禁止输出关于脱离的消息.
-r 打印出相对时间关于,每一个系统调用.
-t 在输出中的每一行前加上时间信息.
-tt 在输出中的每一行前加上时间信息,微秒级.
-ttt 微秒级输出,以秒了表示时间.
-T 显示每一调用所耗的时间.
-v 输出所有的系统调用.一些调用关于环境变量,状态,输入输出等调用由于使用频繁,默认不输出.
-V 输出strace的版本信息.
-x 以十六进制形式输出非标准字符串
-xx 所有字符串以十六进制形式输出.
-a column
设置返回值的输出位置.默认 为40.
-e expr
指定一个表达式,用来控制如何跟踪.格式如下:
[qualifier=][!]value1[,value2]…
qualifier只能是 trace,abbrev,verbose,raw,signal,read,write其中之一.value是用来限定的符号或数字.默认的 qualifier是 trace.感叹号是否定符号.例如:
-eopen等价于 -e trace=open,表示只跟踪open调用.而-etrace!=open表示跟踪除了open以外的其他调用.有两个特殊的符号 all 和 none.
注意有些shell使用!来执行历史记录里的命令,所以要使用\.
-e trace=set
只跟踪指定的系统 调用.例如:-e trace=open,close,rean,write表示只跟踪这四个系统调用.默认的为set=all.
-e trace=file
只跟踪有关文件操作的系统调用.
-e trace=process
只跟踪有关进程控制的系统调用.
-e trace=network
跟踪与网络有关的所有系统调用.
-e strace=signal
跟踪所有与系统信号有关的 系统调用
-e trace=ipc
跟踪所有与进程通讯有关的系统调用
-e abbrev=set
设定 strace输出的系统调用的结果集.-v 等与 abbrev=none.默认为abbrev=all.
-e raw=set
将指 定的系统调用的参数以十六进制显示.
-e signal=set
指定跟踪的系统信号.默认为all.如 signal=!SIGIO(或者signal=!io),表示不跟踪SIGIO信号.
-e read=set
输出从指定文件中读出 的数据.例如:
-e read=3,5
-e write=set
输出写入到指定文件中的数据.
-o filename
将strace的输出写入文件filename
-p pid
跟踪指定的进程pid.
-s strsize
指定输出的字符串的最大长度.默认为32.文件名一直全部输出.
-u username
以username 的UID和GID执行被跟踪的命令
其余调式工具后面再补充更新~
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
