Início / unix / Perguntas / 436074
Accepted
Nathaniel M. Beaver
Asked: 2018-04-07 12:26:56 +0800 CST

Filtrar syscalls com falha do log strace

  • 772

Posso executar straceum comando como sleep 1 e ver quais arquivos ele está acessando assim:

strace -e trace=file -o strace.log sleep 1

No entanto, na minha máquina, muitas das chamadas têm um valor de retorno de -1, indicando que o arquivo não existe. Por exemplo:

$ grep '= -1 ENOENT' strace.log | head
access("/etc/ld.so.nohwcap", F_OK)      = -1 ENOENT (No such file or directory)
access("/etc/ld.so.preload", R_OK)      = -1 ENOENT (No such file or directory)
access("/etc/ld.so.nohwcap", F_OK)      = -1 ENOENT (No such file or directory)
open("/usr/lib/locale/locale-archive", O_RDONLY|O_CLOEXEC) = -1 ENOENT (No such file or directory)
open("/usr/lib/locale/en_US.UTF-8/LC_IDENTIFICATION", O_RDONLY|O_CLOEXEC) = -1 ENOENT (No such file or directory)
open("/usr/lib/locale/en_US.UTF-8/LC_MEASUREMENT", O_RDONLY|O_CLOEXEC) = -1 ENOENT (No such file or directory)
open("/usr/lib/locale/en_US.UTF-8/LC_TELEPHONE", O_RDONLY|O_CLOEXEC) = -1 ENOENT (No such file or directory)
open("/usr/lib/locale/en_US.UTF-8/LC_ADDRESS", O_RDONLY|O_CLOEXEC) = -1 ENOENT (No such file or directory)
open("/usr/lib/locale/en_US.UTF-8/LC_NAME", O_RDONLY|O_CLOEXEC) = -1 ENOENT (No such file or directory)
open("/usr/lib/locale/en_US.UTF-8/LC_PAPER", O_RDONLY|O_CLOEXEC) = -1 ENOENT (No such file or directory)

Não estou realmente interessado nos arquivos que não existem, quero saber quais arquivos o processo realmente encontrou e leu. Além de grep -v '=-1 ENOENT', como posso filtrar com segurança as chamadas com falha?

Termo aditivo

Fiquei surpreso ao saber que straceesse recurso está em andamento desde 2002 na forma de -zflag, que é um alias para -e status=successful, totalmente funcional desde a versão 5.2 ( 2019-07-12 ), também disponível --successful-only desde a versão 5.6 ( 2020- 04-07 ).

Também disponível desde a versão 5.2 está o complemento de -z, o -Zflag, que é um alias para -e status=failed, disponível --failed-onlydesde a versão 5.6.

O -zsinalizador foi adicionado pela primeira vez em um commit de 2002 e lançado na versão 4.5.18 ( 2008-08-28 ), mas nunca foi documentado porque não estava funcionando corretamente.

links relevantes:

strace system-calls

3 respostas

  1. Best Answer

    Além de pós-processar a stracesaída, não há nada disponível para ignorar chamadas de sistema com falha em arquivos strace. Não seria muito difícil adicionar, veja a syscall_exiting_tracefunção em syscall.c.

    Se você preferir seguir o ângulo de pós-processamento, Ole Tange já cuidou disso para você de uma maneira mais abrangente do que você provavelmente encontrará aqui: a tracefileferramenta será executada stracee filtrará as informações que você procura em uma forma bem legível. Consulte Listar os arquivos acessados ​​por um programa para obter detalhes. Outra resposta a essa pergunta lista outras abordagens possíveis, incluindo LoggedFS , que considero muito útil.

    Outra opção é usar o SystemTap ; por exemplo

    #!/usr/bin/env stap

global stored_filename, stored_path

probe syscall.open {
  stored_filename = filename
}

probe syscall.open.return {
  if (execname() == "cat" && $return >= 0) {
    printf("opened %s\n", stored_filename)
  }
}

probe syscall.openat {
  stored_filename = filename
  stored_path = dfd_str
}

probe syscall.openat.return {
  if (execname() == "cat" && $return >= 0) {
    printf("opened %s in %s\n", stored_filename, stored_path)
  }
}

    mostrará o nome de qualquer arquivo aberto com sucesso por qualquer catprocesso.

    • 4

  2. Solução possível:

    strace -e trace=file sleep 1 2>&1 | grep -v "= -1 ENOENT" > strace.log

    stracepor padrão imprime para stderrredirecioná-lo para stdout.

    • 3

  3. Um padrão ligeiramente mais confiável (ou seja, um risco ligeiramente menor de pular as linhas erradas por acidente) pode ser

    | grep -v "= -1 ENOENT [(]No such file or directory[)]$"

    Ou seja, copie e cole o final da linha, "escapando" os colchetes (que podem ser tratados como caracteres especiais) e adicione o caractere especial $ao final que "ancora" o padrão ao final da linha.

    Não consigo encontrar nenhuma opção melhor em man strace. Hacks de manipulação de texto rápidos e sujos são o estilo Unix :-P.

    É quase certo que seja possível fazer o que você deseja com um gdbscript personalizado. No entanto, isso dá mais trabalho e não tenho esse script preparado.

    Outra questão faz referência a um tracefilescript, que você executaria com a -eopção. Isso ainda é implementado analisando a saída de stracee, portanto, também não parece totalmente confiável, mas acho que é possível que você prefira. https://gitlab.com/ole.tange/tangetools/blob/master/tracefile/tracefile

    • 1

relate perguntas