定義:strace常用來跟蹤進程執行時的系統調用和所接收的信號。
在Linux世界,進程不能直接訪問硬件設備,當進程需要訪問硬件設備(比如讀取磁盤文件,接收網絡數據等等)時,必須由用戶態模式切換至內核態模式,通過系統調用訪問硬件設備。strace可以跟蹤到一個進程產生的系統調用,包括參數,返回值,執行消耗的時間。
命令示例
strace -o output.txt -T -tt -e trace=all -p 28979
跟蹤28979進程的所有系統調用(-e trace=all),並統計系統調用的花費時間,以及開始時間(並以可視化的時分秒格式顯示),最後將記錄結果存在output.txt文件裏面。
3. 參數
-c 統計每一系統調用的所執行的時間,次數和出錯的次數等. -d 輸出strace關於標準錯誤的調試信息. -f 跟蹤由fork調用所產生的子進程. -ff 如果提供-o filename,則所有進程的跟蹤結果輸出到相應的filename.pid中,pid是各進程的進程號. -F 嘗試跟蹤vfork調用.在-f時,vfork不被跟蹤. -h 輸出簡要的幫助信息. -i 輸出系統調用的入口指針. -q 禁止輸出關於脫離的消息. -r 打印出相對時間關於,,每一個系統調用. -t 在輸出中的每一行前加上時間信息. -tt 在輸出中的每一行前加上時間信息,微秒級. -ttt 微秒級輸出,以秒了表示時間. -T 顯示每一調用所耗的時間. -v 輸出所有的系統調用.一些調用關於環境變量,狀態,輸入輸出等調用由於使用頻繁,默認不輸出. -V 輸出strace的版本信息. -x 以十六進制形式輸出非標準字符串 -xx 所有字符串以十六進制形式輸出. -a column 設置返回值的輸出位置.默認 爲40. -e expr 指定一個表達式,用來控制如何跟蹤.格式如下: [qualifier=][!]value1[,value2]... qualifier只能是 trace,abbrev,verbose,raw,signal,read,write其中之一.value是用來限定的符號或數字.默認的 qualifier是 trace.感嘆號是否定符號.例如: -eopen等價於 -e trace=open,表示只跟蹤open調用.而-etrace!=open表示跟蹤除了open以外的其他調用.有兩個特殊的符號 all 和 none. 注意有些shell使用!來執行歷史記錄裏的命令,所以要使用\\. -e trace=set 只跟蹤指定的系統 調用.例如:-e trace=open,close,rean,write表示只跟蹤這四個系統調用.默認的爲set=all. -e trace=file 只跟蹤有關文件操作的系統調用. -e trace=process 只跟蹤有關進程控制的系統調用. -e trace=network 跟蹤與網絡有關的所有系統調用. -e strace=signal 跟蹤所有與系統信號有關的 系統調用 -e trace=ipc 跟蹤所有與進程通訊有關的系統調用 -e abbrev=set 設定 strace輸出的系統調用的結果集.-v 等與 abbrev=none.默認爲abbrev=all. -e raw=set 將指 定的系統調用的參數以十六進制顯示. -e signal=set 指定跟蹤的系統信號.默認爲all.如 signal=!SIGIO(或者signal=!io),表示不跟蹤SIGIO信號. -e read=set 輸出從指定文件中讀出 的數據.例如: -e read=3,5 -e write=set 輸出寫入到指定文件中的數據. -o filename 將strace的輸出寫入文件filename -p pid 跟蹤指定的進程pid. -s strsize 指定輸出的字符串的最大長度.默認爲32.文件名一直全部輸出. -u username 以username 的UID和GID執行被跟蹤的命令
4.作用
strace 命令是一種強大的工具,它能夠顯示所有由用戶空間程序發出的系統調用。
strace 顯示這些調用的參數並返回符號形式的值。
strace 從內核接收信息,而且不需要以任何特殊的方式來構建內核。
下面記錄幾個常用 option .
(1) -f -F選項告訴strace同時跟蹤fork和vfork出來的進程
(2)-o xxx.txt 輸出到某個文件。
(3)-e execve 只記錄 execve 這類系統調用
追蹤系統調用
例子:
[root@localhost test1]# cat test1.c
#include<stdio.h>
int main()
{
printf("fighting!\n");
return 0;
}
[root@localhost test1]# gcc -o test1 test1.c
[root@localhost test1]# strace ./test1
execve("./test1", ["./test1"], [/* 40 vars */]) = 0
brk(0) = 0x85db000
mmap2(NULL, 4096, PROT_READ|PROT_WRITE, MAP_PRIVATE|MAP_ANONYMOUS, -1, 0) = 0xb77b1000
access("/etc/ld.so.preload", R_OK) = -1 ENOENT (No such file or directory)
open("/etc/ld.so.cache", O_RDONLY) = 3
fstat64(3, {st_mode=S_IFREG|0644, st_size=52201, ...}) = 0
mmap2(NULL, 52201, PROT_READ, MAP_PRIVATE, 3, 0) = 0xb77a4000
close(3) = 0
open("/lib/libc.so.6", O_RDONLY) = 3
read(3, "\177ELF\1\1\1\3\0\0\0\0\0\0\0\0\3\0\3\0\1\0\0\0\220\336:\0004\0\0\0"..., 512) = 512
fstat64(3, {st_mode=S_IFREG|0755, st_size=1906112, ...}) = 0
mmap2(0x397000, 1665452, PROT_READ|PROT_EXEC, MAP_PRIVATE|MAP_DENYWRITE, 3, 0) = 0x112000
mprotect(0x2a2000, 4096, PROT_NONE) = 0
mmap2(0x2a3000, 12288, PROT_READ|PROT_WRITE, MAP_PRIVATE|MAP_FIXED|MAP_DENYWRITE, 3, 0x190000) = 0x2a3000
mmap2(0x2a6000, 10668, PROT_READ|PROT_WRITE, MAP_PRIVATE|MAP_FIXED|MAP_ANONYMOUS, -1, 0) = 0x2a6000
close(3) = 0
mmap2(NULL, 4096, PROT_READ|PROT_WRITE, MAP_PRIVATE|MAP_ANONYMOUS, -1, 0) = 0xb77a3000
set_thread_area({entry_number:-1 -> 6, base_addr:0xb77a36c0, limit:1048575, seg_32bit:1, contents:0, read_exec_only:0, limit_in_pages:1, seg_not_present:0, useable:1}) = 0
mprotect(0x2a3000, 8192, PROT_READ) = 0
mprotect(0x393000, 4096, PROT_READ) = 0
munmap(0xb77a4000, 52201) = 0
fstat64(1, {st_mode=S_IFCHR|0620, st_rdev=makedev(136, 0), ...}) = 0
mmap2(NULL, 4096, PROT_READ|PROT_WRITE, MAP_PRIVATE|MAP_ANONYMOUS, -1, 0) = 0xb77b0000
write(1, "fighting!\n", 10fighting!
) = 10
exit_group(0) = ?
+++ exited with 0 +++
[root@localhost test1]#
從trace結構可以看到,系統首先調用execve開始一個新的進行,接着進行些環境的初始化操作,再調用write函數將格式化後的值”fighting!″輸出到屏幕,最後調用exit_group退出進行,完成整個程序的執行過程。
b. 跟蹤信號傳遞,調試程序
[root@localhost test1]# strace -f -F -o ~/dcop-strace.txt dcopserver
-f -F選項告訴strace同時跟蹤fork和vfork出來的進程,-o選項把所有strace輸出寫到~/dcop-strace.txt裏 面,dcopserver是要啓動和調試的程序。
再次出現錯誤之後,檢查錯誤輸出文件dcop-strace.txt,文件裏有很多系統調用的記錄。在程序運行出錯前的有關記錄如下:
27207 mkdir("/tmp/.ICE-unix", 0777) = -1 EEXIST (File exists)
27207 lstat64("/tmp/.ICE-unix", {st_mode=S_IFDIR|S_ISVTX|0755, st_size=4096, ...}) = 0
27207 unlink("/tmp/.ICE-unix/dcop27207-1066844596") = -1 ENOENT (No such file or directory)
27207 bind(3, {sin_family=AF_UNIX, path="/tmp/.ICE-unix/dcop27207-1066844596"}, 38) = -1 EACCES (Permission denied)
27207 write(2, "_KDE_IceTrans", 13) = 13
27207 write(2, "SocketCreateListener: failed to "..., 46) = 46
27207 close(3) = 0 27207 write(2, "_KDE_IceTrans", 13) = 13
27207 write(2, "SocketUNIXCreateListener: ...Soc"..., 59) = 59
27207 umask(0) = 0 27207 write(2, "_KDE_IceTrans", 13) = 13
27207 write(2, "MakeAllCOTSServerListeners: fail"..., 64) = 64
27207 write(2, "Cannot establish any listening s"..., 39) = 39分析:其中第一行顯示程序試圖創建/tmp/.ICE-unix目錄,權限爲0777,這個操作因爲目錄已經存在而失敗了。
第二個系統調用(lstat64)檢查了目錄狀態,並顯示這個目錄的權限是0755,這裏出現了第一個程序運行錯誤的線索:程序試圖創建屬性爲0777的目錄,但是已經存在了一個屬性爲 0755的目錄。
第三個系統調用(unlink)試圖刪除一個文件,但是這個文件並不存在。這並不奇怪,因爲這個操作只是試圖刪掉可能存在的老文件。
但是,第四行確認了錯誤所在。他試圖綁定到/tmp/.ICE-unix/dcop27207-1066844596,但是出現了拒絕訪問錯誤。. ICE_unix目錄的用戶和組都是root,並且只有所有者具有寫權限。一個非root用戶無法在這個目錄下面建立文件,如果把目錄屬性改成0777, 則前面的操作有可能可以執行,而這正是第一步錯誤出現時進行過的操作。
所以我運行了chmod 0777 /tmp/.ICE-unix之後KDE就可以正常啓動了,問題解決了,用strace進行跟蹤調試只需要花很短的幾分鐘時間跟蹤程序運行,然後檢查並分析輸出文件。
注意:運行chmod 0777只是一個測試,一般不要把一個目錄設置成所有用戶可讀寫,同時不設置粘滯位(sticky bit)。給目錄設置粘滯位可以阻止一個用戶隨意刪除可寫目錄下面其他人的文件。
c. 系統調用統計
這裏很清楚的告訴你調用了那些系統函數,調用次數多少,消耗了多少時間等等這些信息,這個對我們分析一個程序來說是非常有用的。
重定向輸入
參數-o用在將strace的結果輸出到文件中,如果不指定-o參數的話,默認的輸出設備是STDERR,也就是說使用”-o filename”和” 2>filename”的結果是一樣的。
# 這兩個命令都是將strace結果輸出到文件test1.txt中 strace -c -o test1.txt ./test1 strace -c ./test1 2>test1.txt
5.安裝(和上篇tcpdump類似)
檢查是否安裝:rpm -qa | grep strace,若出現下圖則證明已安裝;
否則繼續輸入命令 yum -install tcpdump
參考:http://man.linuxde.net/strace