読者です 読者をやめる 読者になる 読者になる

Web就活日記

愛と夢と人生について書きます

system callのtraceについて

Mac CentOs

system call trace

起動プログラムからOSのシステムコールを呼び出される箇所をトレースするコマンドがあります。
strace / itrace / ktrace / kdumpなど。
単純なPHPのプログラムでは特にトレースする意味はないと思いますが、PHPのエクステンション作成やミドルウェア構築の時にはトレースして状態を確認してみるのが良いかと考えます。 今回はstraceの使い方についてまとめます。

使いそうなオプション

strace

オプション 意味
-c カウント数やコール、エラーなどを記録し、サマリーも表示
-e 特定のシステムコールのみ拾う
-f forkされた子プロセスも拾う
-F vforkを拾う
-T 処理にかかった時間を表示
-o ファイルに記録する
-p プロセスIDを指定する

通常の起動

strace httpd

execve("/usr/sbin/httpd", ["httpd"], [/* 16 vars */]) = 0
brk(0)                                  = 0x2ae87fab0000
mmap(NULL, 4096, PROT_READ|PROT_WRITE, MAP_PRIVATE|MAP_ANONYMOUS, -1, 0) = 0x2ae879abe000
uname({sys="Linux", node="localhost.localdomain", ...}) = 0
access("/etc/ld.so.preload", R_OK)      = -1 ENOENT (No such file or directory)
open("/etc/ld.so.cache", O_RDONLY)      = 3
fstat(3, {st_mode=S_IFREG|0644, st_size=111599, ...}) = 0
mmap(NULL, 111599, PROT_READ, MAP_PRIVATE, 3, 0) = 0x2ae879abf000
close(3)                                = 0
open("/lib64/libm.so.6", O_RDONLY)      = 3
(略)

処理にかかった時間を表示( -T )

strace -T httpd

execve("/usr/sbin/httpd", ["httpd"], [/* 16 vars */]) = 0 <0.001002>
brk(0)                                  = 0x2ac1fd186000 <0.000019>
mmap(NULL, 4096, PROT_READ|PROT_WRITE, MAP_PRIVATE|MAP_ANONYMOUS, -1, 0) = 0x2ac1ddf60000 <0.000021>
uname({sys="Linux", node="localhost.localdomain", ...}) = 0 <0.000018>
access("/etc/ld.so.preload", R_OK)      = -1 ENOENT (No such file or directory) <0.000033>
open("/etc/ld.so.cache", O_RDONLY)      = 3 <0.000026>
fstat(3, {st_mode=S_IFREG|0644, st_size=111599, ...}) = 0 <0.000020>
mmap(NULL, 111599, PROT_READ, MAP_PRIVATE, 3, 0) = 0x2ac1ddf61000 <0.000022>
close(3)                                = 0 <0.000019>
open("/lib64/libm.so.6", O_RDONLY)      = 3 <0.000034>
(略)

特定のシステムコールのみ拾う( -e )

strace -e write httpd

write(2, "(13)Permission denied: make_sock"..., 68(13)Permission denied: make_sock: could not bind to address [::]:80
) = 68
write(2, "(13)Permission denied: make_sock"..., 71(13)Permission denied: make_sock: could not bind to address 0.0.0.0:80
) = 71
write(2, "no listening sockets available, "..., 46no listening sockets available, shutting down
) = 46
write(2, "Unable to open logs\n", 20Unable to open logs
)   = 20

サマリー表示( -c ), forkを拾う( -f , -F )

strace -c -f -F httpd

% time     seconds  usecs/call     calls    errors syscall
------ ----------- ----------- --------- --------- ----------------
 34.33    0.000721           9        84           munmap
 31.43    0.000660           3       232           mmap
 15.81    0.000332           3       105           mprotect
  5.29    0.000111           1       131         6 open
  3.67    0.000077           1       144           read
  3.48    0.000073           7        11         6 connect
  3.10    0.000065           0       142           close
  1.62    0.000034           5         7           setsockopt
  1.29    0.000027           0       121           fstat
  0.00    0.000000           0         4           write
  0.00    0.000000           0        20         3 stat
  0.00    0.000000           0         1           lseek
  0.00    0.000000           0        12           brk
  0.00    0.000000           0         2           rt_sigaction
  0.00    0.000000           0         1           rt_sigprocmask
  0.00    0.000000           0         2           readv
  0.00    0.000000           0         2         1 access
  0.00    0.000000           0        18           socket
  0.00    0.000000           0         3           sendto
  0.00    0.000000           0         1           sendmsg
  0.00    0.000000           0         9           recvmsg
  0.00    0.000000           0         5         2 bind
  0.00    0.000000           0         7           getsockname
  0.00    0.000000           0         1           execve
  0.00    0.000000           0         2           uname
  0.00    0.000000           0        19           fcntl
  0.00    0.000000           0         2           getdents
  0.00    0.000000           0         1           getrlimit
  0.00    0.000000           0         1           getuid
  0.00    0.000000           0         1           getppid
  0.00    0.000000           0         1           arch_prctl
  0.00    0.000000           0         1           gettid
  0.00    0.000000           0         4           futex
  0.00    0.000000           0         1           set_tid_address
  0.00    0.000000           0         1           set_robust_list
------ ----------- ----------- --------- --------- ----------------
100.00    0.002100                  1099        18 total

トレース結果をファイルに保存( -o )

strace -c -f -F -o trace.txt httpd
※トレースした結果をtrace.txtに保存

プロセスIDを指定する( -p )

strace -p `ps auxww | grep 'httpd' | awk '{ print $2 }' | head -n 1`
※psなどの結果からプロセスIDを取得しstraceに流す

おまけ( -e execve )

strace -e execve -p PID
※不審なプロセスを調査する。
http://www.atmarkit.co.jp/fsecurity/rensai/securitytips/012strace.html

スポンサーリンク