strace可用于跟踪程序系统调用以排查资源访问问题:一、跟踪新程序(如strace ls -l /tmp);二、附加到运行进程(如strace -p PID);三、过滤输出(如strace -T显示耗时);四、处理权限限制(如调整ptrace_scope);五、解析错误码(如EACCES表示权限拒绝)。
如果您需要了解某个程序在运行时执行了哪些系统调用,或排查程序因系统资源访问失败而异常退出的问题,则可以使用 strace 工具对进程进行实时跟踪。以下是使用 strace 查看系统调用的具体方法:
一、使用 strace 跟踪新启动的程序
该方法适用于尚未运行的目标程序,通过 strace 启动它,从而捕获从程序入口开始的所有系统调用。strace 会将每个系统调用的名称、参数、返回值及错误码完整输出到终端。
1、在终端中输入 strace ls -l /tmp,即可跟踪 ls 命令执行过程中的全部系统调用。
2、若需将输出保存至文件以便后续分析,执行 strace -o trace.log cat /etc/hostname,结果将写入 trace.log。
3、为减少冗余信息,可添加 -e trace=open,read,write,close 仅跟踪指定类型的系统调用。
二、使用 strace 附加到已运行的进程
该方法适用于正在运行但行为异常的后台进程,无需重启即可动态注入跟踪能力。strace 通过 ptrace 系统调用与目标进程建立调试关系,获取其内核态行为快照。
1、先通过 ps aux | grep nginx 获取目标进程 PID(例如 1234)。
2、执行 strace -p 1234 开始实时跟踪该进程的系统调用流。
3、如需同时跟踪所有子线程,追加选项 -f,即 strace -f -p 1234。
三、过滤和精简 strace 输出
默认输出包含大量细节,可能掩盖关键线索;合理过滤可提升问题定位效率。strace 支持按调用类型、返回状态、耗时等维度筛选,避免信息过载。
1、仅显示失败的系统调用(返回值为 -1),执行 strace -e trace=all -z ./test_program。
2、显示每次系统调用的执行耗时,使用 strace -T ./test_program,末尾括号内为微秒级耗时。
3、统计各系统调用被调用次数,运行 strace -c ./test_program,结束后自动打印汇总表。
四、以非 root 权限安全跟踪受限进程
普通用户无法跟踪不属于自己的进程,且部分系统调用(如 ptrace)受 ptrace_scope 限制。绕过权限障碍需调整内核参数或利用 capabilities,而非直接提权。
1、检查当前 ptrace 限制级别:cat /proc/sys/kernel/yama/ptrace_scope;值为 0 表示允许任意进程跟踪。
2、临时放宽限制(需 root):echo 0 | sudo tee /proc/sys/kernel/yama/ptrace_scope。
3、对目标程序授予 cap_sys_ptrace 能力:sudo setcap cap_sys_ptrace+ep ./myapp,之后普通用户可跟踪该程序。
五、解析 strace 输出中的关键符号与错误码
strace 输出中常见符号具有固定语义,准确识别可快速判断失败原因。例如 EACCES 表示权限拒绝,ENOENT 表示路径不存在,EAGAIN/EWOULDBLOCK 表示非阻塞操作暂不可行。
1、当看到 open("/etc/shadow", O_RDONLY) = -1 EACCES (Permission denied),说明进程无权读取该文件。
2、遇到 connect(3, {sa_family=AF_INET, sin_port=htons(80), ...}, 16) = -1 ECONNREFUSED (Connection refused),表明目标端口未监听。
3、若某次 read 返回 read(3, "", 1024) = 0,表示对端已关闭连接,符合 POSIX EOF 定义。
