strace是linux下用于跟踪系统调用的核心工具,支持附加运行进程、启动新进程跟踪、按类别/名称过滤、添加时间维度分析及统计调用分布与错误频次五种方法。
如果您需要观察程序在内核层面的具体行为,例如文件打开失败、网络连接被拒或进程异常退出,则必须直接查看其执行过程中的系统调用。strace 是 Linux 下最常用且权威的系统调用跟踪工具,它能实时捕获并输出每个系统调用的名称、参数、返回值及错误码。以下是针对不同场景的多种跟踪方法:
一、附加到正在运行的进程进行实时跟踪
该方法适用于无法重启目标程序、但需诊断其当前运行状态的情形,例如服务进程卡顿、无响应或间歇性崩溃。strace 通过 -p 参数与指定 PID 建立动态连接,不干扰进程原有父子关系。
1、执行 ps aux | grep 进程名 获取目标进程的 PID,例如输出中显示 user 12345 0.1 0.2 123456 7890 ? S 10:22 0:01 /usr/bin/nginx,则 PID 为 12345。
2、运行 strace -p 12345 开始跟踪,终端将实时滚动显示该进程发起的所有系统调用。
3、按 Ctrl+C 中断跟踪;此时 strace 会自动输出汇总统计(如启用 -c 选项),包括各系统调用的调用次数、耗时和错误发生次数。
二、启动新进程并全程捕获系统调用
此方式可完整覆盖程序从 execve 初始化、动态库加载、配置读取到主逻辑执行的全部阶段,特别适合定位启动失败、初始化异常或环境依赖缺失等问题。
1、在命令行中输入 strace ls -l /tmp,strace 将先执行 execve 系统调用加载 ls 程序,再逐条记录后续所有操作。
2、观察输出中每行格式:系统调用名(参数) = 返回值,例如 openat(AT_FDCWD, "/etc/ld.so.cache", O_RDONLY|O_CLOEXEC) = 3 表示成功以只读方式打开缓存文件,返回文件描述符 3。
3、若需保存结果供离线分析,添加 -o trace_output.log 参数,例如:strace -o init_trace.log /usr/local/bin/myapp --config conf.yaml。
三、按类别或具体名称过滤系统调用输出
当目标程序系统调用数量庞大(如数千行)时,全量输出难以聚焦关键路径。使用 -e trace= 限定范围,可显著提升排查效率,避免信息过载。
1、仅关注文件操作类调用,执行 strace -e trace=file ls /home,输出将仅包含 openat、read、write、close、stat 等与文件 I/O 相关的系统调用。
2、专注网络行为,运行 strace -e trace=network curl http://example.com,可快速识别 connect、sendto、recvfrom 等调用是否成功或返回 ECONNREFUSED 等错误。
3、精确匹配多个特定调用,例如诊断日志写入问题:strace -e trace=openat,write,fsync -o log_io.log ./app,仅捕获日志路径打开、内容写入及刷盘同步动作。
四、添加时间维度定位性能瓶颈
某些系统调用虽成功返回,但耗时异常(如 read 阻塞数秒、open 等待 NFS 挂载超时),仅看返回值无法发现延迟问题。通过时间标记可准确定位慢调用位置。
1、使用 -T 参数使每行末尾显示该次调用实际执行微秒数,例如:strace -T -e trace=read,write cat large_file.txt。
2、结合 -tt 输出微秒级绝对时间戳,便于与外部监控时间对齐,命令为:strace -tt -T -p 5678。
3、若需观察调用间隔节奏,改用 -r 参数,输出连续两次系统调用起始时刻之间的相对时间差(单位:秒),有助于识别周期性阻塞或调度延迟。
五、统计系统调用分布与错误频次
当需量化评估程序行为特征(如高频小文件读取、大量无效信号处理、频繁失败的系统调用)时,-c 选项可自动生成结构化统计报告,无需人工计数或 grep 分析。
1、执行 strace -c ls -la /var/log,程序结束后 strace 将在标准错误输出一个表格,含 % time(耗时占比)、seconds(总耗时)、usecs/call(平均耗时)、calls(调用次数)、errors(出错次数)及 syscall 名称。
2、重点关注 errors 列非零的项,例如 openat 调用出现 12 次错误,配合返回值如 = -1 ENOENT 可立即确认路径缺失问题。
3、若跟踪多进程程序(如带 fork 的守护进程),需额外添加 -f 选项,并配合 -C 在运行中持续打印统计,避免仅统计主进程而遗漏子进程行为。
