相关文章推荐
Linux 进程管理

Linux 进程管理

1.1 什么是进程?

进程是 UNIX/Linux 用来表示正在运行的程序的一种抽象概念,所有系统上面运行的的数据都会以进程的形态存在。

1.2 进程的组成部分

一个进程由一个地址空间和内核内部的一组数据公同组成,地址空间是由内核标记出来供进程使用的一组内存页面(页面是管理内存的单位,页面大小通常是 1KB 或 8KB)。它包含进程正在执行的代码、库、进程变量、进程栈以及进程正在运行时内核所需要的各种其他信息。

内核的内部数据结构记录了有关每个进程的各种信息,其中非常重要的一些信息有:

  • 进程的属主;
  • 进程的信号掩码(一个记录,确定要封锁哪些信号);
  • 进程已打开的文件和网络端口的信息;
  • 进程执行的优先级;
  • 进程的当前状态(睡眠状态、停止状态、可运行状态等等);
  • 进程的地址空间映射。

1.3 子进程与父进程

每个进程都有一个唯一的 PID (Process ID),进程必须克隆自身去创建一个新进程。克隆出的进程能够把它正在运行的那个程序替换成另一个不同的程序。

当一个进程被克隆时,原来的进程就叫做父进程 PPID (Parent Process ID),而克隆出的副本则叫做子进程。进程的 PPID 属性就是克隆它的父进程的 PID

我们以一个实例加深对子进程与父进程的理解:在目前的 bash 环境下,再出发一次 bash ,并以 ps -l 命令观察进程 PID PPID 的输出信息。

[root@web ~]# ps -l     //第一个 bash 的 PID 是 1363
F S   UID   PID  PPID  C PRI  NI ADDR SZ WCHAN  TTY          TIME CMD
4 S     0  1363  1322  0  80   0 - 28864 do_wai pts/1    00:00:00 bash
0 R     0  1484  1363  0  80   0 - 38314 -      pts/1    00:00:00 ps
[root@web ~]# bash    //执行 bash 进入到子程序的环境中      
[root@web ~]# ps -l  //第二个 bash 的 PID 是 1487 , 它的 PPID 就是第一个 bash 的 PID 1363 
F S   UID   PID  PPID  C PRI  NI ADDR SZ WCHAN  TTY          TIME CMD
4 S     0  1363  1322  0  80   0 - 28864 do_wai pts/1    00:00:00 bash
4 S     0  1487  1363  0  80   0 - 28864 do_wai pts/1    00:00:00 bash
0 R     0  1500  1487  0  80   0 - 38314 -      pts/1    00:00:00 ps

1.4 特殊进程

Linux 有三个特殊进程,idle 进程(PID=0),init 进程(PID=1),kthreadd(PID=2)。

idle 进程

idle 进程由系统自动创建的第一个进程, 运行在内核态,也是唯一一个没有通过 fork 或者 kernel_thread 产生的进程。完成加载系统后,演变为进程调度、交换。

init 进程

Linux 的所有进程都是有 init 进程创建并运行的。首先 Linux 内核启动,然后在用户空间中启动 init 进程,再启动其他系统进程。在系统启动完成完成后,init 将变为守护进程监视系统其他进程。

在我的 CentOS 7 系统里面,可以 ls 看到 init 进程是被软连接到 systemd 的。

[root@web ~]# ls -al /usr/sbin/init
lrwxrwxrwx 1 root root 22 Apr 26 11:07 /usr/sbin/init -> ../lib/systemd/system

系统启动之后,init 进程会启动很多 daemon 进程,为启动运行提供服务,比如 httpd、ssh 等等,然后就是 agetty,让用户登录,登录后运行 shell(bash),用户启动的进程都是通过shell 运行的。

执行 ps -ef 命令会发现 PID 1 的进程就是我们的 init 进程 systemd ,PID 2 的进程是内核现场 kthreadd ,这两个在内核启动的时候都见过,其中用户态的不带中括号,内核态的带中括号。

[root@web ~]# ps -ef
UID        PID  PPID  C STIME TTY          TIME CMD
root         1     0  0  2019 ?        00:12:54 /usr/lib/systemd/systemd --system --deserialize 24
root         2     0  0  2019 ?        00:00:01 [kthreadd]
root         3     2  0  2019 ?        00:03:10 [ksoftirqd/0]
root         5     2  0  2019 ?        00:00:00 [kworker/0:0H]
root         7     2  0  2019 ?        00:00:00 [migration/0]
root     23086 23085  0 10:23 pts/3    00:00:00 su - root
root     23087 23086  0 10:23 pts/3    00:00:00 -bash
root     24529     2  0 16:28 ?        00:00:00 [kworker/0:2]
root     25448     2  0 16:33 ?        00:00:00 [kworker/0:0]
root     25861     2  0 16:36 ?        00:00:00 [kworker/u2:0]
root     25863     1  0 Mar20 ?        01:58:45 /usr/local/qcloud/YunJing/YDEyes/YDService
root     25916     1  0 Mar20 ?        00:06:03 /usr/local/qcloud/YunJing/YDLive/YDLive
root     26359     2  0 16:38 ?        00:00:00 [kworker/0:1]
root     26957     2  0 16:42 ?        00:00:00 [kworker/u2:1]
root     27254 23087  0 16:43 pts/3    00:00:00 ps -ef
root     27732     1  0 Apr28 ?        00:00:00 ./fork.o
root     29944     1  0 Apr06 ?        00:18:37 /usr/bin/dockerd-current --add-runtime docker-runc=/usr/libexec/docker/docker-runc-current --default-runtime=docker-runc --ex
root     29949 29944  0 Apr06 ?        00:12:40 /usr/bin/docker-containerd-current -l unix:///var/run/docker/libcontainerd/docker-containerd.sock --metrics-interval=0 --star
root     30648     1  0  2019 ?        00:00:00 /usr/lib/systemd/systemd-udevd
root     30936     1  0  2019 ?        00:01:06 /usr/sbin/crond -n
chrony   32061     1  0  2019 ?        00:00:07 /usr/sbin/chronyd

sshd 的父进程是 1,pts 的父进程是 sshd,bash 的父进程是 pts, ps -ef 这个命令的父进程是 bash,这样这个子父进程的关系就比较清晰了。

[root@web ~]# ps -ef|grep sshd
root      1299     1  0 12:06 ?        00:00:04 /usr/sbin/sshd -D
root      6008  1299  0 16:49 ?        00:00:00 sshd: root@pts/0
root      6415  1299  2 17:07 ?        00:00:00 sshd: root [priv]
sshd      6416  6415  0 17:07 ?        00:00:00 sshd: root [net]
root      6420  6012  0 17:07 pts/0    00:00:00 grep --color=auto sshd
[root@web ~]# ps -ef|grep bash
root      6012  6008  0 16:49 pts/0    00:00:00 -bash
root      6457  6012  0 17:10 pts/0    00:00:00 grep --color=auto bash
[root@web ~]# 

kthreadd 进程

kthreadd 进程由 idle 通过 kernel_thread 创建,并始终运行在内核空间,负责所有内核线程的调度和管理,所有的内核线程都是直接或者间接的以 kthreadd 为父进程。

【文章福利】 小编推荐自己的Linux内核技术交流群: 【977878001】 整理一些个人觉得比较好得学习书籍、视频资料!进群私聊管理领取 内核资料包 (含视频教程、电子书、实战项目及代码)

内核资料直通车: Linux内核源码技术学习路线+视频教程代码资料

免费加入学习: Linux/c/c++/内核源码/音视频/DPDK/Golang云原生/QT


1.5 进程的优先级

Linux 是多人多任务的环境,由 top 的输出结果我们也发现, 系统同时间有非常多的程序在运行中,叧是大部分的程序都在休眠 (sleeping) 状态而已。如果所有的程序同时被唤醒,那 CPU 应该要先处理那个程序呢?

具有优先级的程序队列图:

我们知道 CPU 一秒钟可以运作多达数 G 的微指令次数,透过核心的 CPU 排程可以让各程序被 CPU 所切换运作, 因此每个程序在一秒钟内或多或少都会被 CPU 执行部分的脚本。Linux 给予程序一个所谓的优先执行顺序 (priority, PRI ), 这个 PRI 值越低代表越优先的意思。不过这个 PRI 值是由内核动态调整的,用户无法直接调整 PRI 值的。

[root@web ~]# ps -l
F S   UID   PID  PPID  C PRI  NI ADDR SZ WCHAN  TTY          TIME CMD
4 S     0  6012  6008  0  80   0 - 28864 do_wai pts/0    00:00:00 bash
0 R     0  7028  6012  0  80   0 - 38314 -      pts/0    00:00:00 ps

由于 PRI 是内核动态调整的,无法去干涉 PRI ,可以通过调整 Nice 的值去调整程序的优先执行顺序,就是上面的 NI 值。PRI 与 NI的相关性如下:

PRI(new)=PRI(old)+Nice

nice 值是有正负的 ,PRI 越小越早被执行, 所以当 nice 值为负值时,就会降低 PRI 值,即是会较优先被处理。

  • nice 值范围为 -20 ~ 19 ;
  • root 可随意调整自己或他人程序的 Nice 值;
  • 一般用户仅可条整自己程序的 Nice 值,范围仅为 0 ~ 19 (避免一般用户抢占系统资源);
  • 一般使用者仅可将 nice 值调高,例如本来 nice 为 5 ,只能调整到大于 5;

使用 nice 或 renice 命令调整程序的 nice 值

nice :给予新执行指令新的 nice 值

以下只是一个示例,在实际环境并没有作用,一般在系统中不重要的程序才需要调大 nice 的值,比如备份工作,由于备份比较消耗资源,调大备份指令的 nice 值,可以使系统的资源分配更为公平。

[root@web ~]# nice -n 19 vim /tmp/a.txt &
[1] 7720
[root@web ~]# ps -l
F S   UID   PID  PPID  C PRI  NI ADDR SZ WCHAN  TTY          TIME CMD
4 S     0  6012  6008  0  80   0 - 28864 do_wai pts/0    00:00:00 bash
0 T     0  7720  6012  1  99  19 - 36725 do_sig pts/0    00:00:00 vim
0 R     0  7725  6012  0  80   0 - 38314 -      pts/0    00:00:00 ps

renice :已运行程序的 nice 重新调整

[root@web ~]# ps -l
F S   UID   PID  PPID  C PRI  NI ADDR SZ WCHAN  TTY          TIME CMD
4 S     0  6012  6008  0  80   0 - 28864 do_wai pts/0    00:00:00 bash
0 T     0  7720  6012  0  99  19 - 36725 do_sig pts/0    00:00:00 vim
0 R     0  7911  6012  0  80   0 - 38314 -      pts/0    00:00:00 ps
[root@web ~]# renice 19 6012
6012 (process ID) old priority 0, new priority 19
[root@web ~]# ps -l
F S   UID   PID  PPID  C PRI  NI ADDR SZ WCHAN  TTY          TIME CMD
4 S     0  6012  6008  0  99  19 - 28864 do_wai pts/0    00:00:00 bash
0 T     0  7720  6012  0  99  19 - 36725 do_sig pts/0    00:00:00 vim
0 R     0  7921  6012  0  99  19 - 38314 -      pts/0    00:00:00 ps

1.6 /proc 文件系统

Linux 的 ps、top 命令都是从 /proc 目录读取进程的状态信息,但是它里面的信息却不局限于进程的信息--内核产生的所有状态信息和统计信息也都在 /proc

进程的信息都分别放到 /proc/[PID] 按 PID 命名的子目录里面

[root@web ~]# ls /proc
1    114  119  1252  1296  139  17  21     30499  31763  32066  32174  346  375  380  538  550  609  667  9          bus       crypto     execdomains  iomem     keys         kpageflags  misc     pagetypeinfo  scsi      swaps          timer_list   vmstat
10   115  120  1254  1299  14   18  22     30680  318    32078  32175  355  376  381  546  551  610  705  973        cgroups   devices    fb           ioports   key-users    loadavg     modules  partitions    self      sys            tty          zoneinfo
11   116  123  126   13    140  19  29178  31314  319    321    32176  356  377  4    547  552  615  708  979        cmdline   diskstats  filesystems  irq       kmsg         locks       mounts   pressure      slabinfo  sysrq-trigger  uptime
112  117  124  127   1310  15   2   29184  31610  31952  32113  32177  373  378  460  548  583  618  8    acpi       consoles  dma        fs           kallsyms  kpagecgroup  mdstat      mtrr     sched_debug   softirqs  sysvipc        version
113  118  125  128   1314  16   20  3      317    320    32116  32178  374  379  487  549  6    627  878  buddyinfo  cpuinfo   driver     interrupts   kcore     kpagecount   meminfo     net      schedstat     stat      thread-self    vmallocinfo

/proc 目录包含的几个最有用的文件/目录内容信息:

文件/目录 内容
/proc/cmdline 加载 kernel 时下达的相关参数,查看此文件可了解系统启动的一些信息
/proc/meminfo 内存信息
/proc/cpuinfo cpu 相关信息,包含频率、类型、运算功能等等
/proc/mounts 系统已经挂载的数据,执行 mount 命令直接读取此文件
/proc/modules 已经加载的模块列表(驱动程序)
/proc/[pid]/attr 此目录中的文件提供了用于安全相关模块的 API
/proc/[pid]/cwd 链到进程当前目录的符号链接(软链接)
/proc/[pid]/cmdline 进程的完整命令行
/proc/[pid]/environ 进程的环境变量
/proc/[pid]/exe 链到正在被执行的文件的符号链接
/proc/[pid]/fd 子目录,包含链到每个打开文件的描述符的链接
/proc/[pid]/maps 内存映射信息(共享段、库等)
/proc/[pid]/root 链到进程的根目录(由 chroot 设置)的符号链接
/proc/[pid]/status 进程大量的信息,包含进程的 name、state、ppid 等等
/proc/[pid]/stat 进程的总体状态信息(ps使用这个)

注:man proce 查看更多更详细的 /proc信息

1.7 信号

进程是可以通过信号( signal )控制的,比如重启、关闭、停止进程。

主要的信号代号名称以及内容:

代号 名称 内容
1 SIGHUB 启动被终止的进序,可让该 PID 重新读取自己的配置文件,类似重新启动
2 SIGINT 相当于用键盘输入【ctrl +c】来中断一个程序的进行
9 SIGKILL 强制中断进程,如果该进程运行到一半,那么尚未完成的部分可能会有【半产品】产生,类似 vim 会有 .filename.swp 保留下来
15 SIGTERM 以正常的结束进程来终止该进程,由于是正常的终止,所以后续的动作会将它完成,如果该进程已经发生问题,无法使用正常的终止方法,使用这个也没用
17 SIGSTOP 相当于用键盘输入【ctrl +z】来暂停一个进程

注:更多详细信息可执行 kill -l man 7 signal 命令查看

kill:发送信号

顾名思义,kill 命令最常见的用法是终止一个进程,默认情况下发送 TERM 信号,语法是:

kill [signal] pid

signal 就是要发送信号的编号,没有带信号的编号的kill命令不保证进程会被杀死,因为 TERM 信号可能会被捕获、封锁或忽略。下面的命令:

kill -9 pid

将“保证”进程的消亡,因为是信号 9,即 KILL 不能被捕获到。给“保证”加引号是因为进程的生命力有时候能够变得相当“旺盛”,以致连 kill 9 也不能影响他们(通常是由于有些退化的 I/O 虚假锁定,例如等等已经停止旋转的磁盘)。

重新启动系统通常是解决这些“不听话”进程的唯一方法。

killall 命令可以按照进程的名字杀死所有进程,语法:

killall process_name

1.8 ps:监视进程

ps 用于报告当前系统的进程状态,是最基本同时也是非常强大的进程查看命令, ps 通过读取 /proc 中的虚拟文件来工作。

ps 的选项参数众多,只需记住几个常用的选项就可以满足平时查看系统进程 99% 的需要,遇到特殊情况的 1%,不懂的时候使用 man ps

ps 常用选项:

-A:显示所有进程,等于 -e 选项
-C:通过名字搜索进程
-f:显示当前用户运行进程的 UID、PID、PPID 等等
f:以 ASCII 字符显示树状结构,表达进程间的相互关系,类似 -H 选项
L:列出栏位相关信息
-l 或 l:采用详细的格式显示当前用户的进程信息
-o:自定义显示进程信息,比如可以根据ps L显示的栏目信息进行自定义输出的进程信息:ps -eo 'tty,comm,pid,ppid,%cpu,%mem',或者根据AIX格式: ps -eo "%p %y %x %c"
-p:列出指定 pid的进程信息,类似 n 选项
-t/t:指定 tty 终端机编号,并列出属于该终端机的程序的状况。比如 ps -t 4 或 ps -t pts/4
-u/-U:列出指定用户的进程信息
x:显示所有程序,不以终端机来区分。

ps 常用命令组合:

查看所有进程信息:
ps -ef
ps aux
查看进程树:
ps -ejH
ps -axjf
查看线程有关的信息:
ps -eLf
ps axms

ps 常用实例

ps axo pid,comm,pcpu 	# 查看进程的 PID、名称以及 CPU 占用率
ps aux | sort -rnk 4 	# 按内存资源的使用量对进程进行排序
ps aux | sort -nk 3  	# 按 CPU 资源的使用量对进程进行排序
ps -u root 	# 显示指定用户信息
ps -e -o "%C : %p :%z : %a" | sort -k5 -nr 	# 查看进程并按内存使用大小排列
ps -ef	 # 显示所有进程信息,连同命令行
ps -ef | grep ssh 	# ps 与 grep 常用组合用法,查找特定进程
ps -C nginx 	# 通过名字搜索进程
ps aux --sort=-pcpu,+pmem 	# CPU或者内存进行排序,-降序,+升序
ps -f --forest -C nginx 	# 用树的风格显示进程的层次关系
ps -o pid,ppid,uname,comm -C nginx 	# 显示一个父进程的子进程
ps -e -o pid,uname=USERNAME,pcpu=CPU_USAGE,pmem,comm 	# 重定义栏目名字
ps -e -o pid,comm,etime	 # 显示进程运行的时间
ps -aux | grep named 	# 查看named进程详细信息
ps -o command -p 91730 | sed -n 2p	 # 通过进程id获取服务名称

ps 的字段说明

[root@web ~]# ps -l
F S   UID   PID  PPID  C PRI  NI ADDR SZ WCHAN  TTY          TIME CMD
4 S     0  3672  3649  0  80   0 - 28864 do_wai pts/2    00:00:00 bash
0 R     0  4596  3672  0  80   0 - 38314 -      pts/2    00:00:00 ps
key long description
F flags 4代表进程的权限位 root;1代表此子进程仅进行复制(fork)而没有实际执行(exec)
S Stat 进程的状态主要有:R(Running):进程正在运行中或可运行(在队列上);S(Sleep):进程正在睡眠状态(idle),但可以被唤醒(signal);
D:不可被唤醒的睡眠状态,进程可能在等待I/O;
T:停止状态,背景暂停或调试状态;
Z(Zombie):僵尸状态,进程已经被终止但却无法被移除至内存外。
UID User ID 用户ID
PID Process ID 进程ID
C Cpu cpu 使用率,单位是百分比
PRI Priority Priority值
NI Nice nice值
ADDR 内存有关 ADDR是kernel function,指出进程在内存的哪个部分,如果是running,一般显示-
SZ Size 进程使用的内存
WCHAN WCHAN 进程所在的内核函数的名称,如果进程是多线程则显示*
TTY controlling tty (terminal) 登录者的终端机位置,若为远程则使用动态端口接口(pts/n)
TIME TIME 消费CPU运作时间,这里不是系统时间,"[DD-]HH:MM:SS"格式。(别名cputime)。
CMD COMMAND 触发进程的指令名称
VSZ VSIZE 进程的虚拟内存大小,单位为KB
RSS RSS 进程占用的固定内存,单位KB

1.9 top:动态监视进程

ps 命令只能提供系统进程的一次性快照,因此,需要使用 top 命令来获得系统正在发生事情的“全景”。

常用 top 选项:

c/-c:显示完整的 Command-line/Program-name
-d:屏幕刷新间隔时间,默认是1秒
 u/-u/U/-U:指定用户名
-p/p:指定进程 pid
-n:循环显示的次数

top 显示 cpu 相关参数说明:

us, user : 用户进程占用cpu百分比
sy, system :内核进程占用cpu百分比
ni, nice :经过改变优先级的用户进程占用cpu百分比
id, idle : 空闲cpu百分比
wa, IO-wait : 等待I/O进程的百分比
hi : time spent servicing hardware interrupts
si : time spent servicing software interrupts
st : time stolen from this vm by the hypervisor

常用 top 交互指令:

f/F: 从当前显示中添加或者删除项目。
l:切换显示平均负载和启动时间信息。
m/M:切换显示内存信息/根据驻留内存大小进行排序。
t:切换显示进程和CPU状态信息。
c:切换显示命令名称和完整命令行。
P:根据CPU使用百分比大小进行排序。
q 退出

1.10 strace:追踪信号和系统调用

有时候通过 ps、top 这样的命令来判断一个进程实际正在做什么相当困难,但通过 strace 命令直接观察一个进程,进程每调用一次系统调用,以及接受到一个信息,这个命令都能显示出来。

man strace 手册里有其中大多数功能的说明,例如, -f 标准后面跟 fork 出来的进程,这个可以帮助跟踪像 httpd 这个生出好多子进程的守护进程, -e 这个文件选项只显示文件操作,对应找到难以定位的配置文件的位置特别方便。

strace 附在正在执行的进程上,监视一会该进程,再从这个进程脱离。从而获取进程的活动信息情况。

比如下面是 strace 附在一个活动的 top 进程上获得的信息:

[root@web ~]# strace -p 29669
strace: Process 29669 attached
pselect6(1, [0], NULL, NULL, {1, 921941517}, {[WINCH], 8}) = 0 (Timeout)
lseek(6, 0, SEEK_SET)                   = 0
read(6, "MemTotal:        1882216 kB\nMemF"..., 8191) = 1282
lseek(5, 0, SEEK_SET)                   = 0
read(5, "12352734.94 12094491.68\n", 8191) = 24
openat(AT_FDCWD, "/proc", O_RDONLY|O_NONBLOCK|O_DIRECTORY|O_CLOEXEC) = 8
getdents(8, /* 168 entries */, 32768)   = 4776
stat("/proc/1", {st_mode=S_IFDIR|0555, st_size=0, ...}) = 0
open("/proc/1/stat", O_RDONLY)          = 9
read(9, "1 (systemd) S 0 1 1 0 -1 4202752"..., 1024) = 390
close(9)                                = 0
open("/proc/1/statm", O_RDONLY)         = 9
read(9, "12925 919 600 355 0 2354 0\n", 1024) = 27
close(9)                                = 0
stat("/proc/2", {st_mode=S_IFDIR|0555, st_size=0, ...}) = 0
open("/proc/2/stat", O_RDONLY)          = 9
read(9, "2 (kthreadd) S 0 0 0 0 -1 213817"..., 1024) = 170
close(9)                                = 0
open("/proc/2/statm", O_RDONLY)         = 9
read(9, "0 0 0 0 0 0 0\n", 1024)        = 14
......

在本例中,top 先打开 /proc 目录,用stat获得其信息,然后读取该目录的内容,由此获得当前正在运行的进程清单,top 接着用 stat 获得代表 init 进程的那个目录的信息,然后打开 /proc/1/stat 读取 init 的状态信息。

strace 实践

//编写一个简单的c语言代码test.c
#include <stdio.h>
int main()
    int a;
    scanf("%d", &a);
    printf("%09d\n", a);
    return 0;
//编译后得到可执行文件test,然后使用strace调用执行
[root@web demo]# gcc -o test test.c
[root@web demo]# ./test    // 直接执行test的结果
000000068
[root@web demo]# strace ./test   //通过strace执行的结果
execve("./test", ["./test"], [/* 20 vars */]) = 0
brk(NULL)                               = 0x16c9000
mmap(NULL, 4096, PROT_READ|PROT_WRITE, MAP_PRIVATE|MAP_ANONYMOUS, -1, 0) = 0x7f4d7e181000
access("/etc/ld.so.preload", R_OK)      = -1 ENOENT (No such file or directory)
open("/etc/ld.so.cache", O_RDONLY|O_CLOEXEC) = 3
fstat(3, {st_mode=S_IFREG|0644, st_size=38904, ...}) = 0
mmap(NULL, 38904, PROT_READ, MAP_PRIVATE, 3, 0) = 0x7f4d7e177000
close(3)                                = 0
open("/lib64/libc.so.6", O_RDONLY|O_CLOEXEC) = 3
read(3, "\177ELF\2\1\1\3\0\0\0\0\0\0\0\0\3\0>\0\1\0\0\0\20&\2\0\0\0\0\0"..., 832) = 832
fstat(3, {st_mode=S_IFREG|0755, st_size=2156160, ...}) = 0
mmap(NULL, 3985888, PROT_READ|PROT_EXEC, MAP_PRIVATE|MAP_DENYWRITE, 3, 0) = 0x7f4d7db93000
mprotect(0x7f4d7dd56000, 2097152, PROT_NONE) = 0
mmap(0x7f4d7df56000, 24576, PROT_READ|PROT_WRITE, MAP_PRIVATE|MAP_FIXED|MAP_DENYWRITE, 3, 0x1c3000) = 0x7f4d7df56000
mmap(0x7f4d7df5c000, 16864, PROT_READ|PROT_WRITE, MAP_PRIVATE|MAP_FIXED|MAP_ANONYMOUS, -1, 0) = 0x7f4d7df5c000
close(3)                                = 0
mmap(NULL, 4096, PROT_READ|PROT_WRITE, MAP_PRIVATE|MAP_ANONYMOUS, -1, 0) = 0x7f4d7e176000
mmap(NULL, 8192, PROT_READ|PROT_WRITE, MAP_PRIVATE|MAP_ANONYMOUS, -1, 0) = 0x7f4d7e174000
arch_prctl(ARCH_SET_FS, 0x7f4d7e174740) = 0
mprotect(0x7f4d7df56000, 16384, PROT_READ) = 0
mprotect(0x600000, 4096, PROT_READ)     = 0
mprotect(0x7f4d7e182000, 4096, PROT_READ) = 0
munmap(0x7f4d7e177000, 38904)           = 0
fstat(0, {st_mode=S_IFCHR|0620, st_rdev=makedev(136, 1), ...}) = 0
mmap(NULL, 4096, PROT_READ|PROT_WRITE, MAP_PRIVATE|MAP_ANONYMOUS, -1, 0) = 0x7f4d7e180000
read(0, 68
"68\n", 1024)                   = 3
fstat(1, {st_mode=S_IFCHR|0620, st_rdev=makedev(136, 1), ...}) = 0
mmap(NULL, 4096, PROT_READ|PROT_WRITE, MAP_PRIVATE|MAP_ANONYMOUS, -1, 0) = 0x7f4d7e17f000
write(1, "000000068\n", 10000000068
)             = 10
exit_group(0)                           = ?
+++ exited with 0 +++
[root@web demo]# strace -c ./test    //获取进程所有的系统调用的统计分析
^Cstrace: Process 2009 detached
% time     seconds  usecs/call     calls    errors syscall
------ ----------- ----------- --------- --------- ----------------
  0.00    0.000000           0         1           read
  0.00    0.000000           0         2           open
  0.00    0.000000           0         2           close
  0.00    0.000000           0         3           fstat
  0.00    0.000000           0         8           mmap
  0.00    0.000000           0         4           mprotect
  0.00    0.000000           0         1           munmap
  0.00    0.000000           0         1           brk
  0.00    0.000000           0         1         1 access
  0.00    0.000000           0         1           execve
  0.00    0.000000           0         1           arch_prctl
------ ----------- ----------- --------- --------- ----------------
100.00    0.000000                    25         1 total

1.11 lsof:列出被进程打开的文件

常用选项:

-a:列出打开某文件的进程;
-c<进程名>:列出指定进程所打开的文件;
+D<目录>:递归列出目录下被打开的文件;
-i<条件>:列出符合条件的进程。(4、6、协议、:端口、 @ip )
-p<进程号>:列出指定进程号所打开的文件;
-u:列出UID号进程详情;

lsof 实例

[root@web ~]# lsof -i    // 显示所有连接
COMMAND     PID   USER   FD   TYPE   DEVICE SIZE/OFF NODE NAME
sshd       2808   root    3u  IPv4 89562037      0t0  TCP web:22999->225.73.55.115:policyserver (ESTABLISHED)
sshd       2816  david    3u  IPv4 89562037      0t0  TCP web:22999->225.73.55.115:policyserver (ESTABLISHED)
......
[root@web ~]# lsof -i 6    // 显示 ipv6连接
COMMAND   PID   USER   FD   TYPE   DEVICE SIZE/OFF NODE NAME
master   5880   root   14u  IPv6 52188842      0t0  TCP VM_0_13_centos:smtp (LISTEN)
chronyd 32061 chrony    6u  IPv6  3289514      0t0  UDP VM_0_13_centos:323 
.......
[root@web ~]# lsof -iTCP    //显示tcp连接
COMMAND     PID  USER   FD   TYPE   DEVICE SIZE/OFF NODE NAME
sshd       2808  root    3u  IPv4 89562037      0t0  TCP web:22999->225.73.55.115:policyserver (ESTABLISHED)
sshd       2816 david    3u  IPv4 89562037      0t0  TCP web:22999->225.73.55.115:policyserver (ESTABLISHED)
taskmgr    3317  root    0u  IPv4 89581455      0t0  TCP web:53644->103.117.121.93:6677 (SYN_SENT)
master     5880  root   13u  IPv4 52188841      0t0  TCP VM_0_13_centos:smtp (LISTEN)
master     5880  root   14u  IPv6 52188842      0t0  TCP VM_0_13_centos:smtp (LISTEN)
sshd       8673  root    3u  IPv4 89580550      0t0  TCP web:22999->225.73.55.115:3comfaxrpc (ESTABLISHED)......
[root@web ~]# lsof -i:80    // 显示监听80端口相关的进程信息
COMMAND   PID USER   FD   TYPE   DEVICE SIZE/OFF NODE NAME
nginx   23008 root    8u  IPv4 56706878      0t0  TCP *:http (LISTEN)
nginx   23009  www    8u  IPv4 56706878      0t0  TCP *:http (LISTEN)
[root@web ~]# lsof [email protected]    // 显示指定主机连接的进程信息
COMMAND   PID  USER   FD   TYPE   DEVICE SIZE/OFF NODE NAME
sshd     2808  root    3u  IPv4 89562037      0t0  TCP web:22999->225.73.55.115:policyserver (ESTABLISHED)
sshd     2816 david    3u  IPv4 89562037      0t0  TCP web:22999->225.73.55.115:policyserver (ESTABLISHED)
sshd     8673  root    3u  IPv4 89580550      0t0  TCP web:22999->225.73.55.115:3comfaxrpc (ESTABLISHED)
sshd     8676 david    3u  IPv4 89580550      0t0  TCP web:22999->225.73.55.115:3comfaxrpc (ESTABLISHED)
nginx   23009   www    3u  IPv4 89582028      0t0  TCP web:http->225.73.55.115:fjhpjp (ESTABLISHED)
[root@web ~]# lsof  -i -sTCP:ESTABLISHED    // 显示tcp连接的进程信息
COMMAND     PID  USER   FD   TYPE   DEVICE SIZE/OFF NODE NAME
sshd       2808  root    3u  IPv4 89562037      0t0  TCP web:22999->225.73.55.115:policyserver (ESTABLISHED)
sshd       2816 david    3u  IPv4 89562037      0t0  TCP web:22999->225.73.55.115:policyserver (ESTABLISHED)
sshd       8673  root    3u  IPv4 89580550      0t0  TCP web:22999->225.73.55.115:3comfaxrpc (ESTABLISHED)
sshd       8676 david    3u  IPv4 89580550      0t0  TCP web:22999->225.73.55.115:3comfaxrpc (ESTABLISHED)
nginx     23009   www    3u  IPv4 89582028      0t0  TCP web:http->225.73.55.115:fjhpjp (ESTABLISHED)
YDService 25863  root    6u  IPv4 64551180      0t0  TCP web:51422->169.254.0.55:lsi-bobcat (ESTABLISHED)
[root@web ~]# lsof -u david    //显示指定用户打开的文件
COMMAND  PID  USER   FD   TYPE             DEVICE  SIZE/OFF     NODE NAME
sshd    2816 david  cwd    DIR              253,1      4096        2 /
sshd    2816 david  rtd    DIR              253,1      4096        2 /
sshd    2816 david  txt    REG              253,1    852856    16203 /usr/sbin/sshd
sshd    2816 david  mem    REG              253,1     37168    16740 /usr/lib64/libnss_sss.so.2
sshd    2816 david  mem    REG              253,1     15480     8530 /usr/lib64/security/pam_lastlog.so
......
[root@web ~]# kill -9 `lsof -t -u david`    // 杀死指定用户运行的进程
[root@web ~]# lsof -c nginx    // 列出指定进程打开的文件
COMMAND   PID USER   FD      TYPE             DEVICE SIZE/OFF     NODE NAME
nginx   23008 root  cwd       DIR              253,1     4096   919161 /data/application/nginx-1.16.0/conf/vhosts
nginx   23008 root  rtd       DIR              253,1     4096        2 /
nginx   23008 root  txt       REG              253,1  7299448   919146 /data/application/nginx-1.16.0/sbin/nginx
nginx   23008 root  mem       REG              253,1    61624    21247 /usr/lib64/libnss_files-2.17.so
nginx   23008 root  mem       REG              253,1   155784     4428 /usr/lib64/libselinux.so.1
nginx   23008 root  mem       REG              253,1   105824    21252 /usr/lib64/libresolv-2.17.so
......
[root@web ~]# lsof -p 23009    //列出指定进程号打开的文件
COMMAND   PID USER   FD      TYPE             DEVICE SIZE/OFF     NODE NAME
nginx   23009  www  cwd       DIR              253,1     4096   919161 /data/application/nginx-1.16.0/conf/vhosts
nginx   23009  www  rtd       DIR              253,1     4096        2 /
nginx   23009  www  txt       REG              253,1  7299448   919146 /data/application/nginx-1.16.0/sbin/nginx
nginx   23009  www  mem       REG              253,1    37168    16740 /usr/lib64/libnss_sss.so.2
nginx   23009  www  mem       REG              253,1    61624    21247 /usr/lib64/libnss_files-2.17.so
nginx   23009  www  mem       REG              253,1   155784     4428 /usr/lib64/libselinux.so.1
nginx   23009  www  mem       REG              253,1   105824    21252 /usr/lib64/libresolv-2.17.so
nginx   23009  www  mem       REG              253,1    15688     4556 /usr/lib64/libkeyutils.so.1.5
nginx   23009  www  mem       REG              253,1    67104    16148 /usr/lib64/libkrb5support.so.0.1
......
 
推荐文章