1、问题:
工程实践中,总是会出现一种情况:我的配置文件莫名其妙的被修改了,但是,具体是被用户修改了?还是因为bug被工程中代码修改了?不得而知。
2、思路:
1)一般来说,我们可以通过lsof命令去跟踪到底是谁动了我的配置文件。例如:
lsof config.xml
但是,如果执行命令时,在此时此刻,修改者没有触碰config.xml,那么lsof是捕捉不到他的。
2)进阶版就是利用watch命令,定时追踪,例如:
nwatch -n 1 "lsof config.xml"
但是,这也仍然是碰机会,只不过把概率加大了,即使碰到,我们可能也只能得到修改者的pid而已,修改者修改完config.xml后如果已经退出了,我们拿到一个过去的pid仍然没有什么作用。
3、解决
此时,我们可以使用systemstap实现lsof功能,当有人写config.xml时,捕捉他的踪迹。
具体什么是systemstap,此处我就简要带过,感兴趣的同学可以自行查询,
systemtap 是利用Kprobe 提供的API来实现动态地监控和跟踪运行中的Linux内核的工具,相比Kprobe,systemtap更加简单,提供给用户简单的命令行接口,以及编写内核指令的脚本语言。
可以参考:内核探测工具systemtap简介 - hazir - 博客园 (cnblogs.com)
下面实现stap脚本,例如:
probe syscall.open {
if (filename =~ ".*config\.xml" && ((flags & 0x3) == 1 || (flags & 0x3) == 2)) {
printf("PID=%u CMD=\"%s\" TIME=%u\n", pid(), cmdline_str(), gettimeofday_s())
}
}
注释:检查文件名正则包含config.xml的文件,flags表明是写操作打开。
运行stap脚本,看结果
stap -v lsof.stp
注意:当出现“Pass 5:starting run.”字样后,代表监控开始,此时,我们尝试vim config.xml
可以看到,本次vim的写操作,被stap脚本捕捉到了。
4、总结
systemstap优点:不用碰运气,能100%捕捉跟踪;缺点:需要学习stp脚本编码规范,规范及其常用函数可以参考:SystemTap Tapset Reference Manual