如何利用strace命令跟踪进程

strace：透视Linux进程的“X光机”

在Linux系统的诊断与调试工具箱里，strace 绝对算得上是一把利器。它就像给运行中的程序拍X光片，能让你清晰地看到进程与操作系统内核之间的每一次“对话”——也就是系统调用和信号。无论是排查疑难杂症、深入调试程序，还是单纯想了解一个命令背后到底发生了什么，strace 都能提供无可替代的视角。

安装 strace

好消息是，绝大多数主流的Linux发行版都已经预装了strace。如果你的系统恰好没有，安装起来也毫不费力。以常见的Debian或Ubuntu系统为例，只需打开终端，执行下面两条命令：

sudo apt-get update
sudo apt-get install strace

其他发行版可以使用对应的包管理器，比如yum或dnf，过程大同小异。

基本用法

掌握了以下几个核心用法，你就能应对大多数场景了。

1. 跟踪一个正在运行的进程

   程序已经跑起来了，怎么跟踪？用-p选项加上进程的PID（进程ID）就行。首先用ps或top找到目标进程的PID，然后：

   strace -p 

   终端会立刻开始输出该进程所有的系统调用活动，实时监控。

2. 跟踪一个新启动的进程

   更常见的用法是从头开始跟踪一个命令。直接把strace放在要执行的命令前面：

   strace 

   比如，想看看简单的ls命令背后隐藏了多少次系统调用？试试：

   strace ls

   输出可能会让你惊讶——一个看似简单的操作，内核却忙活了好一阵子。

3. 跟踪多个进程

   有时候，你需要同时盯住几个进程。可以多次使用-p选项：

   strace -p  -p 

   或者，如果你想跟踪一个命令及其产生的所有子进程，可以使用-f（follow forks）选项，这才是更常用的方法：

   strace -f 

4. 跟踪特定的系统调用

   系统调用种类繁多，输出可能眼花缭乱。用-e trace=选项可以只关注你感兴趣的部分。例如，只监视文件的读写：

   strace -e trace=read,write 

   这样，输出就干净多了，直击要害。

5. 输出到文件

   strace的输出信息量可能很大，在终端里滚动查看不方便。用-o选项直接保存到文件：

   strace -o output.txt 

   事后慢慢分析，或者用grep等工具过滤，会高效得多。

6. 实时查看完整输出

   默认情况下，strace为了显示整洁，会截断较长的字符串参数。如果你需要查看完整的路径名或数据，可以用-s选项指定最大字符串长度。比如，允许显示最多1000个字节：

   strace -s 1000 

7. 附加到已停止的进程

   遇到一个已经挂起（stopped）的进程怎么办？可以先附加strace，再发送信号让它继续执行，从而跟踪其后续行为：

   strace -p  -s 1000 -e trace=all -o output.txt
   kill -CONT 

   这在调试一些交互式或后台进程时特别有用。

高级用法

玩转基本操作后，这些高级技巧能让你的诊断工作更加得心应手：

• 组合与排除过滤：-e选项非常灵活。你可以组合多个系统调用，如-e trace=open,read,write；更强大的是，可以用-e exclude=来排除不想看的噪音调用，让输出更聚焦。
• 聚焦文件操作：怀疑问题出在文件IO？使用-e trace=file，它会跟踪所有与文件描述符相关的系统调用（如open, close, read, write, stat等），一目了然。
• 洞察网络活动：对于网络服务或应用，-e trace=network是你的首选。它能过滤出所有网络相关的系统调用（如socket, connect, sendto, recvfrom），帮你快速定位网络连接问题。

注意事项

功能强大，也意味着需要谨慎使用。有几点必须提醒：

• 性能开销：strace会让进程的执行速度显著变慢，因为它需要拦截并记录每一个系统调用。在高并发或高性能要求的线上环境中使用，可能会带来明显影响。
• 输出体积：一个繁忙的进程可能会产生海量的输出。务必记得使用-o输出到文件，并结合-s和-e进行过滤，否则终端可能会被刷屏，甚至耗尽磁盘空间。
• 生产环境慎用：正因为有性能和干扰的风险，在生产服务器上使用strace需要格外小心，最好在有明确预案和监控的情况下进行，避免影响正常服务。

总而言之，从基本跟踪到高级过滤，strace提供了一套完整的方法论来窥探进程的底层行为。熟练掌握它，就如同拥有了洞察系统问题的“火眼金睛”。