深入追踪 Linux 系统调用的利器

本文将介绍 Linux 系统中一个用于追踪系统调用的实用工具 strace。

在 Linux 中，用户态下运行的程序如果需要访问操作系统管理的资源（例如读取文件、创建进程等），就必须通过系统调用（System Call）与内核进行交互。系统调用本质上是在内核态执行的一段操作，完成后再将控制权返回给发起调用的用户程序。

因此，系统调用是用户程序与操作系统之间至关重要的接口。常见的系统调用包括：open（打开文件）、read（读取文件）、close（关闭文件）、fork（创建子进程）、recvfrom（接收数据）、signal（处理信号）、mprotect（设置内存保护）等。

strace 工具的作用是帮助我们实时观察程序在运行过程中发起了哪些系统调用，以及这些调用传递了什么参数、返回了怎样的结果。

当我们使用 strace 启动一个程序，或在程序运行过程中通过 attach 的方式附加到它时，便可以实时追踪该程序所执行的所有系统调用。

例如，在下面的终端输出中，我们使用 strace 启动了 ls 命令，可以清楚地看到它在运行过程中所涉及的各种系统调用。这些调用包括了打开文件、读取文件内容等操作。strace 会依次展示每一个系统调用的名称、传入的参数以及最终的返回结果。

借助 strace，可以方便我们进行调试、性能分析或安全排查。

例如，在某些 Linux 发行版中，有一个名为 nologin 的程序，通常用于阻止特定用户通过终端或 SSH 登录系统。这类用户账户通常是为运行 Web 服务器、FTP 服务器等服务而创建的，不需要进行交互式登录。

当被限制的用户尝试登录时，nologin 会中止登录过程，并向用户显示一条错误提示。这条提示信息可以通过 /etc/nologin.txt 文件进行自定义。我们可以借助 strace 工具，观察 nologin 是否尝试读取该文件，从而确认其工作流程是否符合预期。这个使用场景很好地体现了 strace 在运维和调试中的实际价值。

下面的示例演示了在 /etc/nologin.txt 文件不存在的情况下，如何通过 strace 运行 nologin 并观察其行为。

从 strace 的输出可以看到，nologin 通过 open 系统调用尝试打开 /etc/nologin.txt 文件，但由于该文件不存在，系统返回了一个 ENOENT（No such file or directory）错误。

在这种情况下，nologin 没有读取到自定义提示信息，于是向终端输出了默认的拒绝登录提示。

在下一个示例中，我们手动向 /etc/nologin.txt 文件写入了自定义内容：Custom nologin message，然后再次运行 nologin 程序，并使用 strace 对其进行追踪。

从 strace 的输出中可以清楚看到，nologin 首先通过 open 系统调用成功打开了 /etc/nologin.txt 文件，随后通过 read 调用读取了文件内容，并最终通过 write 调用将这条自定义消息输出到终端。

由于 strace 是直接监听系统调用的工具，因此它不依赖于程序是否开源。无论是开源程序还是闭源的黑盒程序，strace 都能在运行时揭示其动态行为。

借助 strace，我们可以观察程序在启动过程中执行了哪些系统调用，从而判断其无法启动的原因，例如配置文件不存在、路径错误或当前用户权限不足等问题。

同样地，当程序异常退出或崩溃时，strace 也能帮助我们分析其退出的原因，比如进程是否收到了某个终止信号（如 SIGKILL 或 SIGSEGV）等。

strace 还支持使用 -c 参数以统计模式运行。在该模式下，strace 会对程序执行期间所有的系统调用进行统计分析，并在程序结束后以表格形式将各类系统调用的调用次数、总耗时及占比等信息输出到终端。

在下面的示例中，我们使用 strace 对 curl 命令进行监控。在其请求并下载网页的过程中，strace 记录并展示了 curl 所涉及的系统调用统计信息。这种方式不仅有助于了解程序与操作系统之间的交互情况，也能为性能调优和问题排查提供有力的数据支持。

strace 会捕获一个进程从启动开始所执行的所有系统调用，包括最初初始化阶段的调用。由于这些调用数量往往非常庞大，输出内容也可能过于冗长，因此在实际使用中，对系统调用进行筛选是非常有必要的。

我们可以通过 -e 参数对感兴趣的系统调用进行过滤，只追踪特定类型或特定组的调用，从而提高输出的可读性，更聚焦于我们关心的内容。

• -e open：只显示与文件打开相关的系统调用；
• -e trace=network：只显示与网络操作相关的系统调用；
• -e trace=file：只关注文件操作相关的系统调用；
• -e trace=process：只跟踪与进程控制相关的系统调用。

通过合理使用 -e 参数，我们可以更高效地定位问题，避免被无关信息干扰。

通过 -p 参数指定进程的 PID（或多个 PID），strace 可以附加（attach）到已经运行的进程上，实时追踪其执行的系统调用。

这种方式非常适合调试已启动的服务程序或守护进程，无需重新启动它们。例如，在下面的示例中，strace 被用于附加到正在运行的 nginx 进程上，实时捕获其执行的系统调用。

strace 有一个不太为人所知但非常实用的功能：它可以监控进程通过网络进行的数据收发操作。换句话说，strace 不仅能够追踪文件和进程相关的系统调用，还能帮助我们观察程序在网络层面与外部的交互。

需要注意的是，strace 默认只显示字符串的前 32 个字符。为了查看完整的字符串内容（例如网络请求中发送的 HTTP 报文），可以使用 -s 参数来设置最大显示长度。

例如，使用 -s 200 可以将输出的字符串最大长度设为 200 个字符，从而更完整地分析网络请求或响应的具体内容。这在调试网络服务类程序时尤其有价值。

在使用 strace 进行分析时，如果只想观察程序中的某一个或几个特定系统调用，可以结合 -e 参数，直接指定要追踪的调用名称。

例如，在下面的示例中，我们仅对 sendto 和 recvfrom 这两个与网络收发相关的系统调用进行了追踪。这样可以过滤掉其他无关的调用，使输出更加简洁清晰，便于我们专注分析网络通信的具体细节。

除了上面提到的功能之外，strace 还支持许多其他强大选项，可以通过执行 strace -h 命令查看完整的帮助信息，进一步了解其更多用法。

需要注意的是，strace 是专为 Linux 平台开发的工具，只能在 Linux 系统上运行。在其他操作系统中，有对应的替代工具：

• 在 macOS 上，功能类似的工具是 dtrace；
• 在 Windows 系统中，则可以使用 Sysinternals 套件中的 Process Monitor 来实现类似的系统调用追踪功能。

最后补充一点：dtrace 是由 Joyent 的首席技术官 Bryan Cantrill 开发的，而 Sysinternals 工具集（包括 Process Monitor）则是由 Microsoft Azure 的首席技术官 Mark Russinovich 所创建的。