首先是两个概念:
-
断点跟踪类型,其是在进行取样时,中断目标程序的执行来获取数据的,比如strace命令。
- 缓冲跟踪类型,这就和断点跟踪不一样了,它是可以将获取到的检测数据缓存在内核里,而目标程序可以不中断执行。dtrace命令就属于缓冲跟踪。
系统调用有很多,Linux操作系统可能就有几百个(具体没有统计)。
案例1:
我们以进程间通信相关的一个系统调用kill为例来检测系统中的具体情况。命令如下:
sudo dtrace -qn ‘syscall::kill:entry { printf("%Y: %s (PID %d) sent a SIG %d to PID %d\n",walltimestamp,execname,pid,arg1,arg0);}‘执行结果如下,其中PID=1位init进程,它是所有其他用户进程的祖先进程,并且会监视其他进程。
我们来分析下第一行:init 进程发送了一个SIG信号 15 到PID -13929,其中SIG 15 是指SIGTERM 信号
案例2:
我们可以利用dtrace命令对Postgres数据库进程进行系统调用分析。
命令:
sudo dtrace -n ‘syscall:::entry /execname == "postgres"/ { @[probefunc] = count(); }‘执行结果如下,其中可以看到系统调用lseek/read_nocancel,调用比较多,其都是和文件操作相关,可以猜测此刻postgres数据库在做文件的处理比较多,如果要深入分析还需要再看当前postgresql管理系统的其它指标,比如系统正在执行的动作,SQL,任务等。