扼杀一个短暂的过程

Question

我试图了解一个由我的应用程序创建的短期进程的行为。我知道这些关于这个过程的事情：

1. 进程名称的一部分。
2. 将创建此进程的应用程序的名称和PID。
3. 大约何时开始(在5-10分钟内)。
4. 进程退出后，进程的PID值。

理想情况下，我想：

1. 让内核(或其他什么)通知我的脚本这个进程已经启动。
2. 针对进程运行一系列工具(iostat、strace等)。

有没有办法让内核通知我某个进程已经启动，这样我就可以对它采取一些行动了吗？

运行类似于while true; do ps -ef | grep ${MY_PROCESS_NAME}; done的东西似乎又笨重又糟糕。我希望能在事情发生时得到通知，而不是用暴力搜索它。

或者，我是否只需要针对父进程和所有子进程运行这些工具，然后对输出进行过滤？例如，strace -ff -o ./some.trace -p ${PARENT_PID}。

Answer 1

您可能需要查看训斥 (假设您的内核配置了CONFIG_FTRACE，通常是这样的)。这是Brendan跟踪和性能集合中的许多脚本之一。在没有args的情况下，它在系统上启动时显示所有命令，或者您可以给它一个regexp来查看。

例如，要查找任何现有或新的zsh可能正在启动的命令，请执行以下操作：

sudo /opt/perf-tools-master/bin/execsnoop zsh

当我启动一个新的zsh时，它向我展示了这个输出：

Tracing exec()s issued by process name "zsh". Ctrl-C to end.
Instrumenting sys_execve
   PID   PPID ARGS
 21920  21919 /usr/libexec/grepconf.sh -c
 21923  21922 /usr/bin/tty -s
 21922  21919 /usr/bin/tput colors
 21924  21919 /usr/bin/dircolors --sh /etc/DIR_COLORS.256color
 21925  21919 /usr/bin/grep -qi ^COLOR.*none /etc/DIR_COLORS.256color
 21926  21919 /usr/libexec/grepconf.sh -c
 21928  21919 /usr/libexec/grepconf.sh -c
 21930  21919 uname -m
 21932  21919 /bin/grep -q /usr/lib64/qt-3.3/bin
 21934  21933 /usr/bin/id -u

一旦您知道正在运行的程序的全名，通常您将用一个脚本替换该文件，该脚本在添加钩子之后运行原始程序。如果您不能这样做，您可以使用类似fanotify(7)的东西让您的窥探程序介入，然后才允许每个文件打开完成。或者，inotifywatch可能足够快，可以将strace附加到进程中。

Answer 2

看看sysdig，它是一个可以监视系统调用的工具。如果您知道将创建流程的进程的pid，您可以这样做：

$ sudo sysdig proc.ppid=

这将为父PID为给定pid的进程执行的任何系统调用生成输出。如果您知道目标程序的全名，则可以将其包括在筛选器中：

$ sudo sysdig proc.ppid= and proc.name=

这将为您提供一些可能是strace的合适替代品。例如，我将使用上面的命令监视我的shell并查找ls的执行情况：

$ sudo sysdig proc.ppid=18659 and proc.name=ls
9762 16:07:05.911583406 0 ls (20545) < execve res=0 exe=ls args=-F.--color=auto. tid=20545(ls) pid=20545(ls) ptid=18659(zsh) cwd= fdlimit=1024 pgft_maj=0 pgft_min=69 vm_size=452 vm_rss=16 vm_swap=0 comm=ls cgroups=cpuset=/.cpu=/.cpuacct=/.io=/.memory=/.devices=/.freezer=/.net_cls=/.perf_eve... env=LANG=en_US.utf8.USER=user.LOGNAME=user.HOME=/home/user.PATH=/usr/loc... tty=34818 pgid=20545(ls) loginuid=1000
9763 16:07:05.911608835 0 ls (20545) > brk addr=0
9764 16:07:05.911609493 0 ls (20545) < brk res=557E882FF000 vm_size=452 vm_rss=176 vm_swap=0
9765 16:07:05.911652583 0 ls (20545) > access mode=4(R_OK)
9766 16:07:05.911657425 0 ls (20545) < access res=-2(ENOENT) name=/etc/ld.so.preload
9767 16:07:05.911663159 0 ls (20545) > openat
9768 16:07:05.911686542 0 ls (20545) < openat fd=3(/etc/ld.so.cache) dirfd=-100(AT_FDCWD) name=/etc/ld.so.cache flags=4097(O_RDONLY|O_CLOEXEC) mode=0 dev=800
9769 16:07:05.911688872 0 ls (20545) > fstat fd=3(/etc/ld.so.cache)
9770 16:07:05.911690846 0 ls (20545) < fstat res=0
9771 16:07:05.911691850 0 ls (20545) > mmap addr=0 length=44827 prot=1(PROT_READ) flags=2(MAP_PRIVATE) fd=3(/etc/ld.so.cache) offset=0
9772 16:07:05.911694436 0 ls (20545) < mmap res=7FD38EDE7000 vm_size=496 vm_rss=256 vm_swap=0
9773 16:07:05.911695345 0 ls (20545) > close fd=3(/etc/ld.so.cache)
9774 16:07:05.911695808 0 ls (20545) < close res=0
...
11068 16:07:05.913562304 0 ls (20545) > close fd=1(/dev/pts/2)
11069 16:07:05.913562881 0 ls (20545) < close res=0
11070 16:07:05.913564527 0 ls (20545) > close fd=2(/dev/pts/2)
11071 16:07:05.913564857 0 ls (20545) < close res=0
11072 16:07:05.913572008 0 ls (20545) > exit_group
11073 16:07:05.913622981 0 ls (20545) > procexit status=0

您可以看到用户指南用于配置筛选和它生成的信息的更多选项。使用它，您可以自定义它打印的内容，让脚本读取输出，然后执行您可能喜欢的任何其他工具。

Answer 3

将strace与-f一起使用在bash上。从外壳中启动这个短暂的程序。

以下是我如何过滤运行时间超过0.1秒的任何系统调用的输出。32330是我的外壳的PID。我忽略了"read(0 )“，因为它们来自于我的shell，并且由于shell等待输入，它们经过了很长时间。

$ strace -p 32330 -f -T -tt |&
awk '$2 != "read(0," {
    elapsed=$(NF)
    l=length(elapsed)
    elapsed=substr(elapsed,2,l-2)+0
    if (elapsed>0.1) {
        print
    }
}'

这是我在shell中运行sleep 2时的输出。

[pid 28454] 17:09:34.271522 nanosleep({2, 0}, NULL) = 0 <2.000138>
17:09:36.271900 <... wait4 resumed> [{WIFEXITED(s) && WEXITSTATUS(s) == 0}], WSTOPPED|WCONTINUED, NULL) = 28454 <2.002035>