简单说,strace就像是程序和操作系统之间的“监听器”。
你的程序想读文件、申请内存、发送网络请求,都需要通过系统调用来完成。strace就工作在中间层,把这些底层对话原原本本地记录下来。
最关键的是:无需修改源码、无需重启服务、无需添加日志,即可对程序进行深度探查。
对于问题排查而言,这是一个极其强大的工具。先看一个直观的例子:
# 追踪一个正在运行的进程,观察其行为
$ strace -p 12345
connect(3, {sa_family=AF_INET, sin_port=htons(6379),
sin_addr=inet_addr("192.168.1.100")}, 16) = -1 ETIMEDOUT
(Connection timed out) <30.002345>
结果一目了然:该进程正试图连接一个Redis服务器(192.168.1.100:6379),但连接超时了。仅需一行命令,无需理解程序内部逻辑或添加调试信息,直接查看程序与操作系统的交互过程,这正是 strace 的魅力所在。
基础用法:快速上手
从一个最简单的命令开始,了解 strace 的基本输出:
# 追踪 `ls` 命令执行过程中的所有系统调用
$ strace ls
execve(“/usr/bin/ls”, [“ls”], 0x7ffc…) = 0
brk(NULL) = 0x55555576d000
openat(AT_FDCWD, “/etc/ld.so.cache”, O_RDONLY|O_CLOEXEC) = 3
openat(AT_FDCWD, “.”, O_RDONLY|O_NONBLOCK|O_CLOEXEC) = 3
getdents64(3, /* 10 entries */, 32768) = 320
write(1, “file1.txt\nfile2.txt\n”, 20) = 20
close(3) = 0
exit_group(0) = ?
解读关键行:
execve - 加载并执行 /usr/bin/ls 程序。openat - 打开当前目录。getdents64 - 读取目录项。write - 将结果输出到终端。close - 关闭文件描述符。exit_group - 程序退出。
实战场景剖析
场景一:第三方API调用失败
假设一个通过 curl 调用的API接口失败,可以快速定位问题层次。
# -e trace=network 只追踪网络相关系统调用
# -s 1000 将字符串显示长度扩大到1000字符(默认仅32)
$ strace -e trace=network -s 1000 curl https://api.example.com/v1/user
socket(AF_INET, SOCK_STREAM, IPPROTO_TCP) = 3 # 创建TCP套接字
connect(3, {sa_family=AF_INET, sin_port=htons(443),
sin_addr=inet_addr(“1.2.3.4”)}, 16) = 0 # TCP连接成功建立
sendto(3, “GET /v1/user HTTP/1.1\r\nHost: api.example.com\r\nAccept: */*\r\n\r\n”, 71, MSG_NOSIGNAL, NULL, 0) = 71 # 发送HTTP请求
recvfrom(3, “HTTP/1.1 401 Unauthorized\r\nContent-Type: application/json\r\n…{\”error\”:\”invalid token\”}”, 16384, 0, NULL, NULL) = 132 # 接收响应
分析:从输出可见,TCP连接和请求发送均成功,但服务器返回了“401 Unauthorized”及错误信息“invalid token”。问题很可能出在身份认证令牌(Token)上,而非网络连通性。
场景二:定位性能瓶颈
一个数据处理脚本运行缓慢,但CPU和内存使用率均不高。
# -c 进入统计模式:程序运行结束后,汇总显示各个系统调用的次数、耗时
$ strace -c python process_data.py
% time seconds usecs/call calls errors syscall
------ ----------- ----------- --------- --------- ----------------
99.87 45.234567 452345 100 fsync
0.06 0.028901 28 1000 write
0.03 0.012345 12 1000 read
0.02 0.009876 9 1100 openat
0.01 0.004567 4 1000 close
------ ----------- ----------- --------- --------- ----------------
100.00 45.293466 5200 total
分析:统计表清晰显示,脚本99.87%的时间都消耗在 fsync 系统调用上。虽然只调用了100次,但每次平均耗时高达452毫秒。这提示开发人员检查代码,很可能是“每处理一条数据就强制刷盘一次”的逻辑导致了性能灾难。优化方案是改为批量处理,例如每累积1000或5000条数据再执行一次同步操作。
对于深入分析网络层面的性能或故障,可以结合 tcpdump 等网络抓包工具进行综合诊断。
场景三:分析Java服务启动缓慢
一个Java应用启动时间异常。
# -tt 显示精确到微秒的时间戳
# -T 显示每个系统调用的耗时(尖括号内)
$ strace -tt -T java -jar app.jar
10:30:15.123456 execve(“/usr/bin/java”, [“java”, “-jar”, “app.jar”], …) = 0
...
10:30:15.345678 connect(5, {sa_family=AF_INET, sin_port=htons(3306),
sin_addr=inet_addr(“10.0.0.100”)}, 16) = -1 EINPROGRESS <0.000123>
# 非阻塞连接,进入等待
10:30:15.345789 poll([{fd=5, events=POLLOUT}], 1, 30000) = 0 (Timeout) <30.000456>
# 检查连接结果,确认超时
10:30:45.346245 getsockopt(5, SOL_SOCKET, SO_ERROR, [ETIMEDOUT], [4]) = 0 <0.000034>
10:30:45.346279 close(5) = 0 <0.000015>
分析:时间戳清晰地展示了时间消耗点。应用在启动时尝试连接数据库(10.0.0.100:3306),poll 系统调用等待了完整的30秒后超时,这直接导致了启动缓慢。问题根源是数据库连接配置错误或网络不通。
常用参数速查表
# 基础追踪
$ strace ./program # 追踪新启动的程序
$ strace -p 1234 # 追踪正在运行的进程(PID=1234)
$ sudo strace -p 1234 # 追踪其他用户进程需root权限
# 过滤系统调用
$ strace -e trace=file # 只看文件操作(open, read, write...)
$ strace -e trace=network # 只看网络操作(socket, connect...)
$ strace -e trace=process # 只看进程操作(fork, exec...)
$ strace -e trace=open,read # 只看指定的系统调用
# 时间和性能分析
$ strace -tt # 显示时间戳(微秒精度)
$ strace -T # 显示每个调用的耗时
$ strace -c # 统计模式(汇总所有调用)
# 输出与控制
$ strace -s 1000 # 设置字符串显示长度(默认32)
$ strace -o output.txt # 输出重定向到文件
$ strace -f # 追踪子进程(fork/跟随)
$ strace -ff -o trace # 每个子进程输出到单独文件(trace.PID)
# 组合使用(典型命令)
$ strace -tt -T -e trace=file -s 200 ./app
进阶技巧与最佳实践
1. 追踪多进程/守护进程
对于像Nginx、Gunicorn这类会创建子进程的服务,需要使用 -f 参数。
# -f 追踪由fork产生的所有子进程
# -o 输出到文件,避免终端显示混乱
$ strace -f -o trace.log nginx
2. 结合grep过滤海量输出
strace 输出通常很冗长,配合 grep 可以快速定位关键信息。
# 只看失败的系统调用(返回值-1)
$ strace ./app 2>&1 | grep “= -1”
# 只看慢调用(耗时超过1秒)
$ strace -T ./app 2>&1 | grep “<[1-9]\.”
# 统计各类错误出现次数
$ strace ./app 2>&1 | grep “= -1” | awk ‘{print $NF}’ | sort | uniq -c
3. 生产环境使用注意事项
strace 会拦截所有追踪的系统调用,带来性能开销。线上使用时务必谨慎:
- 限制追踪范围:使用
-e 参数只追踪必要的调用类型(如 network, file)。
- 控制追踪时长:使用
timeout 命令限制运行时间(例如 timeout 10 strace -p PID)。
- 优先使用统计模式:
-c 参数开销相对较小,适合初步定位性能热点。
- 避免追踪高频进程:如疯狂写日志的进程,可能产生巨大开销。
4. 追踪容器内进程
在 云原生 环境中,strace 同样可以用于诊断容器内应用。
方法一:追踪宿主机命名空间内的容器进程PID
$ docker top my-container
$ sudo strace -p <CONTAINER_PID_ON_HOST>
方法二:进入容器的命名空间进行追踪
$ docker inspect --format ‘{{.State.Pid}}’ my-container
$ nsenter -t <CONTAINER_PID> -p -m strace -p 1
5. 保存与分析追踪结果
完整的追踪记录可以保存下来进行离线分析。
# 保存完整的追踪记录(含时间、耗时、追踪子进程)
$ strace -tt -T -f -s 500 -o trace.log ./app
# 分析文件访问
$ grep “openat” trace.log | awk ‘{print $NF}’ | cut -d’”’ -f2 | sort | uniq
# 找出最耗时的10个调用
$ grep “<” trace.log | awk -F’[<>]’ ‘{print $2}’ | sort -rn | head -10
经典排查思路速查
-
程序启动慢?
strace -tt -T ./app,观察卡在哪个系统调用上。
-
文件找不到?
strace -e trace=file ./app 2>&1 | grep ENOENT,查看程序在哪些路径进行了查找。
-
网络连接失败?
strace -e trace=network -s 500 ./app,检查DNS解析、TCP握手、数据收发全过程。
-
进程卡死无响应?
sudo strace -p $(pgrep myapp),查看运行中进程阻塞在哪个系统调用。
-
性能瓶颈模糊?
strace -c ./app,通过统计模式找出最耗时的系统调用类型。
适用场景与常见“陷阱”
适用场景:
- 程序行为诡异,日志无异常。
- 服务启动缓慢或运行时卡死。
- 配置文件加载失败、权限问题。
- 网络连接超时、拒绝等底层问题。
- 磁盘I/O异常,性能抖动。
- 需要快速定位问题,来不及修改代码添加日志时。
常见“陷阱”与解决方案:
-
输出流:strace 默认将结果输出到标准错误(stderr)。重定向时需使用 2> 或 -o 参数。
strace ./app 2> trace.txtstrace -o trace.txt ./app
-
权限问题:追踪非属主进程需要 root 权限。使用 sudo。
-
架构差异:不同CPU架构(如x86_64与arm64)的系统调用名称和编号可能不同,分析时需注意环境。
-
追踪子进程:对于会创建子进程的程序,务必加上 -f 参数,否则会漏掉关键信息。
-
性能影响:在线上环境短时间、有过滤地使用。评估性能影响时可先在测试环境进行验证。
总结
strace 是每一位 Linux运维 和开发人员都应掌握的底层诊断利器。它提供了一种无需侵入代码即可洞察程序运行细节的能力,尤其擅长解决那些日志无法覆盖的、与操作系统交互相关的“隐形”问题。
下次遇到棘手的线上问题,不妨先尝试使用 strace 进行快速探查,或许能事半功倍。记住,在生成环境使用时,务必遵循“短时间、小范围、先评估”的原则。
发表于 14 小时前
|
查看: 1|
回复: 0
