61阅读

linux命令使用详解-linux下ping命令使用详解

发布时间:2018-03-17 所属栏目:linux命令使用详解

一 : linux下ping命令使用详解

•ping命令一般用于检测网络通与不通,也叫时延,其值越大,速度越慢PING(PacketInternetGrope),因特网包探索器,用于测试网络连接量的程序。

•ping发送一个ICMP回声请求消息给目的地并报告是否收到所希望的ICMP回声应答。它是用来检查网络是否通畅或者网络连接速度的命令。

•原理:网络上的机器都有唯一确定的IP地址,我们给目标IP地址发送一个数据包,对方就要返回一个同样大小的数据包,根据返回的数据包我们可以确定目标主机的存在,可以初步判断目标主机的操作系统等。

二、ping的工作流程

•1、在同一网段内

•ping

•主机A--------------------->主机B

•ICMP请求包

•在本机(主机A)查找ARP缓存表查找主机B的IP与其对应的MAC,

•没有找到主机B的IP与其MAC的映射关系,则发送一个arp请求广播,

•主机B接收到arp请求包后,回复一个arp应答包(里面包含本机MAC),

•主机A<----------------------主机B

•ICMP应答包

•2、不在同一网段

•在主机A上运行“ping主机C(不在同一网段)”后,开始跟上面一样,到了怎样得到MAC地址时,IP协议通过计算发现C机与自己不在同一网段内,就直接将交由路由处理,也就是将路由的MAC取过来,至于怎样得到路由的MAC,跟上面一样,先在ARP缓存表找,找不到就广播包。路由得到这个数据帧后,再跟主机C进行联系,如果找不到,就向主机A返回一个超时的信息。

三、ping命令的使用

•ping命令的一般格式为:

•ping[-dfnqrRv][-c发送次数][-i间隔秒数][-I(大写i)网络界面][-l(小写L)前置载入][-p范本样式][-s数据包大小][-t存活数值][主机名或IP地址]

参数说明:

【-ccount】指定要被发送(或接收)的回送信号请求的数目,由Count变量指出。

【-wtimeout】这个选项仅和-c选项一起才能起作用。它使ping命令以最长的超时时间去等待应答(发送最后一个信息包后)。默认超时时间为4000ms(4s)

【-d】使用Socket的SO_DEBUG功能。

【-D】这个选项引起ICMPECHO_REPLY信息包向标准输出的十六进制转储。

【-f】指定flood-ping选项。-f标志“倾倒”或输出信息包,在它们回来时或每秒100次,选择较快一个。每一次发送ECHO_REQUEST,都打印一个句号,而每接收到一个ECHO_REPLY信号,就打印一个退格。这就提供了一种对多少信息包被丢弃的信息的快速显示。仅仅root用户可以使用这个选项。

注:这在网络上将非常困难,必须小心使用。Floodping命令仅仅root用户可以使用。-f标志与-iWait标志不兼容.

【-n】只输出数值。

-r】忽略路由表,直接将数据包送到远端主机上。通常是查看本机的网络接口是否有问题。

【-R】记录路由过程。-R标志包括ECHO_REQUEST信息包中的RECORD_ROUTE选项,并且显示返回信息包上的路由缓冲。

【-v】详细显示指令的执行过程。

【-iwait】在每个信息包发送之间等待被Wait变量指定的时间(秒数)。缺省值是在每个信息包发送之间等待1秒。这个选项与-f标志不兼容。

【-Ia.b.c.d】指定被a.b.c.d标明的接口将被用于向外的IPv4多点广播。-I标志是大写的i。

【-lPreload】在进入正常行为模式(每秒1个)前尽快发送Preload变量指定数量的信息包。-l标志是小写的L。

【-L】对多点广播ping命令禁用本地回送。

【-pPattern】指定用多达16个“填充”字节去填充你发送的信息包。这有利于诊断网络上依赖数据的问题。例如“-pff”全部用1填充信息包。

【-q】不显示任何传送封包的信息,只显示最后的结果。

【-spacketsize】指定发送的数据字节数,预设值是56,加上8字节的ICMP头,一共是64ICMP数据字节。

【-Shostname/IPaddr】将IP地址用作发出的ping信息包中的源地址。在具有不止一个IP地址的主机上,可以使用-S标志来强制源地址为除了软件包在其上发送的接口的IP地址外的任何地址。如果IP地址不是以下机器接口地址之一,则返回错误并且不进行任何发送。

【-ttll】设置存活数值TTL的大小。

【-ointerface】指出interface将被用于向外的IPv6多点广播。接口以“en0”,“tr0”等的形式指定。

使用举例:

(1)指定要被发送(或接收)的回送信号请求的数目:

#ping-c5172.17.0.254(请求5次)

(2)信息包被丢弃的信息的快速显示:

#ping-f172.17.0.254

(3)在每个信息包发送之间等待被Wait变量指定的时间(秒数):

#ping-i2172.17.0.254(间隔2s)

四、ping测试

•1、ping本机IP

•#ping172.17.0.11/127.0.0.1

•(测试:#ifdowneth0之后再ping试试)

•如果ping不通的话则表明网卡安装或配置有问题。将网线断开再次执行此命令,如果显示正常,则说明本机使用的IP地址可能与另一台正在使用的机器IP地址重复了。如果仍然不正常,则表明本机网卡安装或配置有问题,需继续检查相关网络配置。

•Ubuntu下配置文件位置:

•[IP]:/etc/network/interfaces

•[DNS]:/etc/resolv.conf

•2、ping网关IP

•#ping172.17.0.254

•能正常ping通,则表明局域网中的网关路由器正在正常运行。反之,则说明网关有问题。

•3、ping远程IP

•#pingwww.baidu.com

•这一命令可以检测本机能否正常访问Internet。

五、怎样使用Ping这命令来测试网络连通呢?

•连通问题是由许多原因引起的,如本地配置错误、远程主机协议失效等,当然还包括设备等造成的故障。首先我们讲一下使用Ping命令的步骤。

•使用Ping检查连通性有六个步骤:

•1.使用ifconfig观察本地网络设置是否正确;

•2.Ping127.0.0.1,127.0.0.1回送地址Ping回送地址是为了检查本地的TCP/IP协议有没有设置好;

•3.Ping本机IP地址,这样是为了检查本机的IP地址是否设置有误;

•4.Ping本网网关或本网IP地址,这样的是为了检查硬件设备是否有问题,也可以检查本机与本地网络连接是否正常;(在非局域网中这一步骤可以忽略)

•5.Ping本地DNS地址,这样做是为了检查DNS是否能够将IP正确解析。

•6.Ping远程IP地址,这主要是检查本网或本机与外部的连接是否正常。

原文链接:http://blog.csdn.net/star_xiong/article/details/17320473

如果您喜欢本文请分享给您的好友,谢谢!

二 : linux sort命令详解

linux sort命令详解

功能说明:将文本文件内容加以排序,sort可针对文本文件的内容,以行为单位来排序。

语  法:sort [-bcdfimMnr][-o<输出文件>][-t<分隔字符>][+<起始栏位>-<结束栏位>][--help][--verison][文件]

参  数:

-b 忽略每行前面开始出的空格字符。

-c 检查文件是否已经按照顺序排序。

-d 排序时,处理英文字母、数字及空格字符外,忽略其他的字符。

-f 排序时,将小写字母视为大写字母。

-i 排序时,除了040至176之间的ASCII字符外,忽略其他的字符。

-m 将几个排序好的文件进行合并。

-M 将前面3个字母依照月份的缩写进行排序。

-n 依照数值的大小排序。

-o<输出文件> 将排序后的结果存入指定的文件。

-r 以相反的顺序来排序。

-t<分隔字符> 指定排序时所用的栏位分隔字符。

+<起始栏位>-<结束栏位> 以指定的栏位来排序,范围由起始栏位到结束栏位的前一栏位。

--help 显示帮助。

--version 显示版本信息。

sort的-u选项

作用很简单,就是在输出行中去除重复行。

[root@geralt-workpc ~]# sort A.txt

apple

gold

iron

orenge

silver

steel

steel

[root@geralt-workpc ~]# sort -u A.txt

apple

gold

iron

orenge

silver

steel

sort的-r选项

sort默认的排序方式是升序,如果想改成降序,就加个-r就搞定。

[root@geralt-workpc ~]# sort A.txt

apple

gold

iron

orenge

silver

steel

steel

[root@geralt-workpc ~]# sort -r A.txt

steel

steel

silver

orenge

iron

gold

apple

sort的-o选项

把排序结果输出到原文件

[root@geralt-workpc ~]# sort B.txt

carrot

cookies

gold

orenge

[root@geralt-workpc ~]# sort -r B.txt -o B.txt

[root@geralt-workpc ~]# cat B.txt

orenge

gold

cookies

carrot

sort的-t选项和-k选项

如果有一个文件的内容是这样:

[root@geralt-workpc ~]# cat facebook.txt

banana:30:5.5

apple:10:2.5

pear:90:2.3

orange:20:3.4

文件有三列,列与列之间用冒号隔开了,第一列表示水果类型,第二列表示水果数量,第三列表示水果价格。

以水果数量来排序,也就是以第二列来排序,如何利用sort实现?

[root@geralt-workpc ~]# sort -n -k 2 -t : facebook.txt

apple:10:2.5

orange:20:3.4

banana:30:5.5

pear:90:2.3

-k选项

[root@geralt-workpc ~]# cat facebook.txt

google 110 5000

baidu 100 5000

guge 50 3000

sohu 100 4500

假设第一个域是公司名称,第二个域是公司人数,第三个域是员工平均工资

按公司的字母顺序排序

[root@geralt-workpc ~]# sort -t &#39; &#39; -k 1 facebook.txt

baidu 100 5000

google 110 5000

guge 50 3000

sohu 100 4500

按照公司人数排序

[root@geralt-workpc ~]# sort -n -t &#39; &#39; -k 2 facebook.txt

guge 50 3000

baidu 100 5000

sohu 100 4500

google 110 5000

按照公司人数排序,人数相同的按照员工平均工资升序排序

[root@geralt-workpc ~]# sort -n -t &#39; &#39; -k 2 -k 3 facebook.txt

guge 50 3000

sohu 100 4500

baidu 100 5000

google 110 5000

按照员工工资降序排序,如果员工人数相同的,则按照公司人数升序排序

[root@geralt-workpc ~]# sort -n -t &#39; &#39; -k 3r -k 2 facebook.txt

baidu 100 5000

google 110 5000

sohu 100 4500

guge 50 3000

从公司英文名称的第二个字母开始进行排序

[root@geralt-workpc ~]# sort -t &#39; &#39; -k 1.2 facebook.txt

baidu 100 5000

sohu 100 4500

google 110 5000

guge 50 3000

-u选项

[root@geralt-workpc ~]# sort -n -k 2 facebook.txt

guge 50 3000

baidu 100 5000

sohu 100 4500

google 110 5000

[root@geralt-workpc ~]# sort -n -k 2 -u facebook.txt

guge 50 3000

baidu 100 5000

google 110 5000

[root@geralt-workpc ~]# sort -k 1.1,1.1 -u facebook.txt

baidu 100 5000

google 110 5000

sohu 100 4500

发现-u只识别用-k设定的域,发现相同,就将后续相同的行都删除。

[root@geralt-workpc ~]# sort -n -k 2 -k 3 -u facebook.txt

guge 50 3000

sohu 100 4500

baidu 100 5000

google 110 5000

设置了两层排序优先级的情况下,使用-u就没有删除任何行。原来-u是会权衡所有-k选项,将都相同的才会删除,只要其中有一级不同都不会轻易删除的

三 : ddif=/dev/zeroof=的含义是什么?Linux下的dd命令使用详解

一、dd命令的解释

dd:用指定大小的块拷贝一个文件,并在拷贝的同时进行指定的转换。注意:指定数字的地方若以下列字符结尾,则乘以相应的数字:b=512;c=1;k=1024;w=2参数注释:1. if=文件名:输入文件名,缺省为标准输入。即指定源文件。< if=input file >2. of=文件名:输出文件名,缺省为标准输出。即指定目的文件。< of=output file >3. ibs=bytes:一次读入bytes个字节,即指定一个块大小为bytes个字节。obs=bytes:一次输出bytes个字节,即指定一个块大小为bytes个字节。bs=bytes:同时设置读入/输出的块大小为bytes个字节。4. cbs=bytes:一次转换bytes个字节,即指定转换缓冲区大小。5. skip=blocks:从输入文件开头跳过blocks个块后再开始复制。6. seek=blocks:从输出文件开头跳过blocks个块后再开始复制。注意:通常只用当输出文件是磁盘或磁带时才有效,即备份到磁盘或磁带时才有效。7. count=blocks:仅拷贝blocks个块,块大小等于ibs指定的字节数。8. conv=conversion:用指定的参数转换文件。ascii:转换ebcdic为asciiebcdic:转换ascii为ebcdicibm:转换ascii为alternate ebcdicblock:把每一行转换为长度为cbs,不足部分用空格填充unblock:使每一行的长度都为cbs,不足部分用空格填充lcase:把大写字符转换为小写字符ucase:把小写字符转换为大写字符swab:交换输入的每对字节noerror:出错时不停止notrunc:不截短输出文件sync:将每个输入块填充到ibs个字节,不足部分用空(NUL)字符补齐。二、dd应用实例1.将本地的/dev/hdb整盘备份到/dev/hdd#ddif=/dev/hdb of=/dev/hdd2./dev/hdb全盘数据备份到指定路径的image文件#ddif=/dev/hdb of=/root/image3.将备份文件恢复到指定盘#ddif=/root/image of=/dev/hdb4.备份/dev/hdb全盘数据,并利用gzip工具进行压缩,保存到指定路径#ddif=/dev/hdb | gzip > /root/image.gz5.将压缩的备份文件恢复到指定盘#gzip-dc /root/image.gz | dd of=/dev/hdb6.备份与恢复MBR备份磁盘开始的512个字节大小的MBR信息到指定文件:#ddif=/dev/hda of=/root/image count=1 bs=512count=1指仅拷贝一个块;bs=512指块大小为512个字节。恢复:#ddif=/root/image of=/dev/had将备份的MBR信息写到磁盘开始部分7.备份软盘#ddif=/dev/fd0 of=disk.img count=1 bs=1440k (即块大小为1.44M)8.拷贝内存内容到硬盘#ddif=/dev/mem of=/root/mem.bin bs=1024 (指定块大小为1k)9.拷贝光盘内容到指定文件夹,并保存为cd.iso文件#ddif=/dev/cdrom(hdc) of=/root/cd.iso10.增加swap分区文件大小第一步:创建一个大小为256M的文件:#ddif=/dev/zero of=/swapfile bs=1024 count=262144第二步:把这个文件变成swap文件:#mkswap/swapfile第三步:启用这个swap文件:#swapon/swapfile第四步:编辑/etc/fstab文件,使在每次开机时自动加载swap文件:/swapfileswapswapdefault 0 011.销毁磁盘数据#ddif=/dev/urandom of=/dev/hda1注意:利用随机的数据填充硬盘,在某些必要的场合可以用来销毁数据。12.测试硬盘的读写速度#ddif=/dev/zero bs=1024 count=1000000 of=/root/1Gb.file#ddif=/root/1Gb.file bs=64k | dd of=/dev/null通过以上两个命令输出的命令执行时间,可以计算出硬盘的读、写速度。13.确定硬盘的最佳块大小:#ddif=/dev/zero bs=1024 count=1000000 of=/root/1Gb.file#ddif=/dev/zero bs=2048 count=500000 of=/root/1Gb.file#ddif=/dev/zero bs=4096 count=250000 of=/root/1Gb.file#ddif=/dev/zero bs=8192 count=125000 of=/root/1Gb.file通过比较以上命令输出中所显示的命令执行时间,即可确定系统最佳的块大小。14.修复硬盘:#ddif=/dev/sda of=/dev/sda或ddif=/dev/hda of=/dev/hda当硬盘较长时间(一年以上)放置不使用后,磁盘上会产生magnetic fluxpoint,当磁头读到这些区域时会遇到困难,并可能导致I/O错误。当这种情况影响到硬盘的第一个扇区时,可能导致硬盘报废。上边的命令有可能使这些数据起死回生。并且这个过程是安全、高效的。15.利用netcat远程备份#ddif=/dev/hda bs=16065b | netcat < targethost-IP >1234在源主机上执行此命令备份/dev/hda#netcat-l -p 1234 | dd of=/dev/hdc bs=16065b在目的主机上执行此命令来接收数据并写入/dev/hdc#netcat-l -p 1234 | bzip2 > partition.img#netcat-l -p 1234 | gzip > partition.img以上两条指令是目的主机指令的变化分别采用bzip2、gzip对数据进行压缩,并将备份文件保存在当前目录。将一个很大的视频文件中的第i个字节的值改成0x41(也就是大写字母A的ASCII值)echoA | dd of=bigfile seek=$i bs=1 count=1 conv=notrunc三、/dev/null和/dev/zero的区别/dev/null,外号叫无底洞,你可以向它输出任何数据,它通吃,并且不会撑着!/dev/zero,是一个输入设备,你可你用它来初始化文件。该设备无穷尽地提供0,可以使用任何你需要的数目——设备提供的要多的多。他可以用于向设备或文件写入字符串0。/dev/null------它是空设备,也称为位桶(bitbucket)。任何写入它的输出都会被抛弃。如果不想让消息以标准输出显示或写入文件,那么可以将消息重定向到位桶。#if=/dev/zeroof=./test.txt bs=1k count=1
#ls –ltotal 4
-rw-r--r-- 1oracle dba 1024 Jul 1516:56 test.txt#find/ -nameaccess_log2>/dev/null3.1使用/dev/null把/dev/null看作"黑洞", 它等价于一个只写文件,所有写入它的内容都会永远丢失.,而尝试从它那儿读取内容则什么也读不到。然而,/dev/null对命令行和脚本都非常的有用l禁止标准输出#cat$filename >/dev/null文件内容丢失,而不会输出到标准输出.l禁止标准错误#rm$badname 2>/dev/null这样错误信息[标准错误]就被丢到太平洋去了l禁止标准输出和标准错误的输出#cat$filename 2>/dev/null >/dev/null如果"$filename"不存在,将不会有任何错误信息提示;如果"$filename"存在,文件的内容不会打印到标准输出。因此,上面的代码根本不会输出任何信息。当只想测试命令的退出码而不想有任何输出时非常有用。#cat$filename &>/dev/null这样其实也可以, 由 Baris Cicek 指出自动清空日志文件的内容lDeletingcontents of a (www.61k.com)file, but preserving the file itself, with allattendant permissions(from Example 2-1 and Example2-3):#cat/dev/null > /var/log/messages
# : >/var/log/messages有同样的效果,但不会产生新的进程.(因为:是内建的)
#cat /dev/null > /var/log/wtmp隐藏cookie而不再使用特别适合处理这些由商业Web站点发送的讨厌的"cookies"#if[ -f ~/.netscape/cookies ]#如果存在则删除.
#then
#rm -f ~/.netscape/cookies
#fi
#ln -s /dev/null ~/.netscape/cookies现在所有的cookies都会丢入黑洞而不会保存在磁盘上了.3.2使用/dev/zero像/dev/null一样, /dev/zero也是一个伪文件,但它实际上产生连续不断的null的流(二进制的零流,而不是ASCII型的)。 写入它的输出会丢失不见,而从/dev/zero读出一连串的null也比较困难, 虽然这也能通过od或一个十六进制编辑器来做到。/dev/zero主要的用处是用来创建一个指定长度用于初始化的空文件,就像临时交换文件。/dev/zero创建一个交换临时文件#!/bin/bash#创建一个交换文件.ROOT_UID=0# Root用户的$UID 是 0.E_WRONG_USER=65#不是root?FILE=/swapBLOCKSIZE=1024MINBLOCKS=40SUCCESS=0#这个脚本必须用root来运行.if[ "$UID" -ne "$ROOT_UID" ]thenecho; echo "You must be root to run this script.";echoexit $E_WRONG_USERfiblocks=${1:-$MINBLOCKS}#如果命令行没有指定,#+则设置为默认的40块.#上面这句等同如:#--------------------------------------------------#if [ -n "$1" ]#then#blocks=$1#else#blocks=$MINBLOCKS#fi#--------------------------------------------------if[ "$blocks" -lt $MINBLOCKS ]thenblocks=$MINBLOCKS#最少要有40 个块长.fiecho"Creating swap file of size $blocks blocks (KB)."ddif=/dev/zero of=$FILE bs=$BLOCKSIZE count=$blocks#把零写入文件.mkswap$FILE $blocks #将此文件建为交换文件(或称交换分区).swapon$FILE #激活交换文件.echo"Swap file created and activated."exit$SUCCESS关于 /dev/zero 的另一个应用是为特定的目的而用零去填充一个指定大小的文件, 如挂载一个文件系统到环回设备 (loopbackdevice)或"安全地" 删除一个文件例子创建ramdisk#!/bin/bash#ramdisk.sh#"ramdisk"是系统RAM内存的一段,#+它可以被当成是一个文件系统来操作.#它的优点是存取速度非常快(包括读和写).#缺点:易失性, 当计算机重启或关机时会丢失数据.#+会减少系统可用的RAM.#10 #那么ramdisk有什么作用呢?#保存一个较大的数据集在ramdisk,比如一张表或字典,#+这样可以加速数据查询,因为在内存里查找比在磁盘里查找快得多.E_NON_ROOT_USER=70#必须用root来运行.ROOTUSER_NAME=rootMOUNTPT=/mnt/ramdiskSIZE=2000# 2K个块(可以合适的做修改)BLOCKSIZE=1024#每块有1K(1024 byte) 的大小DEVICE=/dev/ram0#第一个ram 设备username=`id-nu`if[ "$username" != "$ROOTUSER_NAME" ]thenecho "Must be root to run \"`basename $0`\"."exit $E_NON_ROOT_USERfiif [ ! -d "$MOUNTPT" ] #测试挂载点是否已经存在了,then#+如果这个脚本已经运行了好几次了就不会再建这个目录了mkdir $MOUNTPT #+因为前面已经建立了.fiddif=/dev/zero of=$DEVICE count=$SIZE bs=$BLOCKSIZE#把RAM设备的内容用零填充.#为何需要这么做?mke2fs$DEVICE #在RAM设备上创建一个ext2文件系统.mount$DEVICE $MOUNTPT #挂载设备.chmod777 $MOUNTPT #使普通用户也可以存取这个ramdisk.#但是,只能由root来缷载它.echo"\"$MOUNTPT\" now available for use."#现在ramdisk 即使普通用户也可以用来存取文件了.#注意,ramdisk是易失的, 所以当计算机系统重启或关机时ramdisk里的内容会消失.#拷贝所有你想保存文件到一个常规的磁盘目录下.#重启之后,运行这个脚本再次建立起一个 ramdisk.#仅重新加载/mnt/ramdisk 而没有其他的步骤将不会正确工作.#如果加以改进,这个脚本可以放在 /etc/rc.d/rc.local,#+以使系统启动时能自动设立一个ramdisk.#这样很合适速度要求高的数据库服务器.exit0

CodeForge源码分享

CodeForge源码分享

CodeForge源码分享CodeForge源码分享

四 : Linux proc详解

Linux proc详解

Linux procfs详解

1.0 proc文件系统总览

在类Unix系统中体现了一种良好的抽象哲学,就是几乎所有的数据实体都被抽象成一个统一的接口--文件来看待,这样我们就可以用一些简单的基本工具完成大量复杂的操作。在Linux中存在着一类 特殊的伪文件系统,用于使用与文件接口统一的操作来完成各种功能,例如ptyfs、devfs、sysfs和procfs。而procfs就是其中应用最广泛的一种伪文件系统。

procfs是Linux内核信息的抽象文件接口,大量内核中的信息以及可调参数都被作为常规文件映射到一个目录树中,这样我们就可以简单直接的通过echo或cat这样的文件操作命令对系统信息进行查取

和调整了。同时procfs也提供了一个接口,使得我们自己的内核模块或用户态程序可以通过procfs进行参数的传递。在当今的Linux系统中,大量的系统工具也通过procfs获取内核参数,例如ps、 lspci等等,没有procfs它们将可能不能正常工作。

procfs的使用如同常规的文件系统一样,例如加载一个procfs (首先确定你的内核已经支持procfs默认如此):

# mount -t proc none /proc

也可以在/etc/fstab中加入如下一行使系统在启动时自动加载procfs(大多数系统中也是默认如此): none /proc proc defaults 0 0

在proc文件系统中,主要包含三大类内容,进程相关部分,系统信息部分,以及系统子系统部分。在下面我们可以看到一个典型的procfs布局:

> ls /proc

1 2 2166 2281 cmdline interrupts meminfo stat

13 2001 2167 3 cpuinfo iomem misc swaps

1646 2042 2168 4 crypto ioports modules sys

1780 2058 2169 5 devices irq mounts sysrq-trigger

1834 2087 2170 6 dma isapnp mtrr sysvipc

1838 2096 2171 7 driver kcore net tty

1857 2107 2207 71 execdomains kmsg partitions uptime

1877 2117 2208 8 fb ksyms pci version

1889 2143 2216 9 filesystems loadavg scsi

1905 2153 2217 apm fs locks self

1960 2165 2219 bus ide mdstat slabinfo

在上面的布局中我们可以看到procfs包含的内容:

* 进程相关部分 (只读)

这部分文件都是以数字为名的子目录,这个数字就是相关进程的进程ID,在 1.1节中会详细介绍进程相关子目录的结构和信息。

需要注意的是procfs中进程子系统部分的一个特殊点,就是/proc/self,它是指向当前执行进程的符号连接,或者说--是指向未来你将要执行指令的心灵感应:

> cat self/cmdline

catself/cmdline

在这个命令中,我们希望它显示当前进程的cmdline参数,它恰恰就显示了当前进程--我们所执行的这条命令,cat self/cmdline。幸好这条指令显示出的信息会忽略空格,导致显示略微的不正常,否则我们倒是可以很容易的使用`cat self/cmdline`这样的命令制造出永远循环执行的进程来。;> * 内核信息部分 (只读)

这部分文件同样处于/proc的顶层目录,不过它们大部分都是常规、只读的文本文件,可以直接用cat查看信息。作为系统内核执行体的抽象,我们也可以把它看作内核"进程"的信息部分,当然虽然并不存在这个进程实体。这里比较特别的一个文件是 /proc/cmdline :

>cat cmdline

ro root=/dev/hda2

在这个文件中存放的是系统内核引导时的命令行参数。此部分内容将在 1.3节中说明。

* 内核各子系统相关部分 (部分可调)

这部分是系统内核参数调整的重头戏,在procfs中,除去上面所述的两部分内容外,还有很大一部分信息文件被存放在了一些并非以数字命名的特殊目录中,这些目录下的信息就是内核各个重要子系统的信息和可调参数,主要有:

bus 总线信息(只读)

drivers 驱动信息(只读)

fs 文件系统特别信息(只读)

ide IDE接口信息(只读)

irq IRQ信息(只读)

net 网络子系统信息(只读)

scsi SCSI系统信息(只读)

sysvipc IPC子系统信息(只读)

tty tty子系统信息(只读)

sys 系统内核可调参数 (可调)

作为Linux系统内核参数的抽象文件接口,Linux内核的大部分默认可调参数都被放在了 /proc/sys目录下,这些参数都以常规文件的形式体现,并且可以用echo/cat等文件操作命令进行调整,调整的效果是即时的,并且在系统运行的整个生命周期之间都有效(知道再次改变它们或者系统重启)。 当然Linux也提供了另外一种途径sysctl来调整这些参数,sysctl是从BSD系统继承而来的一种系统参数动态调整方法,sysctl的使用更为简单,并且可以使用/etc/sysctl.conf保存配置以在下次启动时自动加载这些设置。对于sysctl可调参数体积调整方法将在另一篇文章中说明。

对于内核信息和参数的说明将在 1.4 - 1.7节中解释;对于/proc/sys中的可调参数将在第二章中详细说明。

1.1 进程相关子目录

在/proc目录中包含了一些以数字为名的子目录,这些目录就是系统当前运行进程的proc抽象。每一个目录都以相关联的活动系统进程PID为目录名,在目录下包含了一些文件,用于显示进程相关的信息。每个进程映射子目录的结构都如 Table 1-1.

..............................................................................

文件名 内容

cmdline 执行进程的命令行参数

cpu 在SMP系统中近程最后的执行CPU (2.4)(smp)

cwd 到当前工作目录的符号链接

environ 环境变量

exe 链接到进程对应的源可执行文件

fd 包含所有进程打开的文件描述符的子目录

maps 进程内存映射,包含进程执行空间以及动态链接库信息 (2.4)

mem 进程内存空间

root 连接到进程执行时的 / (root)目录

stat 进程状态

statm 进程内存状态信息

status 进程状态总览,包含进程名字、当前状态和各种信息统计

..............................................................................

举例来说,要获取一个进程的状态,只要读取下面进程PID子目录下的status文件 /proc/PID/status: >cat /proc/self/status

Name: cat

State: R (running)

Pid: 5452

PPid: 743

TracerPid: 0 (2.4)

Uid: 501 501 501 501

Gid: 100 100 100 100

Groups: 100 14 16

VmSize: 1112 kB

VmLck: 0 kB

VmRSS: 348 kB

VmData: 24 kB

VmStk: 12 kB

VmExe: 8 kB

VmLib: 1044 kB

SigPnd: 0000000000000000

SigBlk: 0000000000000000

SigIgn: 0000000000000000

SigCgt: 0000000000000000

CapInh: 00000000fffffeff

CapPrm: 0000000000000000

CapEff: 0000000000000000

如同第一节所说,/proc/self连接指向读取它自身的进程映像,在之后一节的例子中都将以它作为我们的范例。

这条命令显示的信息与你通过 /bin/ps 命令获取到的进程信息基本相同,这恰巧是因为,ps也是通过读取procfs来获取这些信息的。statm 文件包含了更详细的进程内存状态,statm的详细内容按照数据项由左向右依次如 Table 1-2.

> cat /proc/self/statm

105 105 93 4 12 89 12

..............................................................................

数据项 内容

size 程序大小

resident 常驻内存空间大小

shared 共享内存页数

trs 代码段占用内存页数

drs 数据/堆栈段占用内存页数

lrs 引用库占用内存页数

dt 脏页数量

..............................................................................

1.2 内核数据

相似于进程入口,在/proc目录下的其他一些文件给出了内核信息数据,这些文件包含了系统当前运行内核相关信息。/proc目录下内核相关信息文件在Table 1-3 中列出,依赖于您的系统配置和加载的内核模块,在您的系统中的显示可能会略有不同。

..............................................................................

文件 内容

apm 高级电源管理信息

bus bus总线相关信息

cmdline 内核引导命令行参数

cpuinfo cpu信息

devices 当前可用设备 (包含所有块设备和字符设备)

dma DMA通道使用状况

filesystems 当前内核支持的文件系统

driver 驱动相关信息 (2.4)

execdomains 安全相关的Execdomains信息 (2.4)

fb Frame Buffer 设备 (2.4)

fs 本地文件系统参数 (2.4)

ide IDE子系统相关信息的子目录

interrupts 中断使用状况

iomem 内存映射图 (2.4)

ioports I/O端口使用状况

irq 关联到cpu的irq使用状况 (2.4)(smp?)

isapnp ISA PnP (即插即用) 信息 (2.4)

kcore Kernel core image,内核转储映像 (2.4)

kmsg Kernel messages

ksyms Kernel symbol table,内核符号表

loadavg 最后1、5 、15 分钟的平均负载

locks Kernel locks, 内核锁信息

meminfo 内存信息

misc 内核信息杂项

modules 已加载内核模块列表

mounts 已加载的文件系统

net 网络子系统信息

partitions 已识别的本地系统分区表

pci PCI总线相关信息,在新版本中指向 /proc/bus/pci/ 目录 (2.4)

rtc rtc实时钟

scsi SCSI 总线信息

slabinfo Slab 内存分配池信息

stat 内核状态总览

swaps Swap 空间状态

sys 内核系统参数 (参见第二章)

sysvipc SysVIPC 资源状态 (msg, sem, shm) (2.4)

tty TTY驱动信息

uptime 系统 uptime

version 内核版本

video video 资源状态 (2.4)

..............................................................................

在proc文件系统中大多数文件都是可读的文本,可以直接使用系统中的常规文件处理命令进行操作。当然,这也依赖于目标文件的权限属性。例如要查看系统中断信息 /proc/interrupts:

> cat /proc/interrupts

CPU0

0: 8728810 XT-PIC timer

1: 895 XT-PIC keyboard

2: 0 XT-PIC cascade

3: 531695 XT-PIC aha152x

4: 2014133 XT-PIC serial

5: 44401 XT-PIC pcnet_cs

8: 2 XT-PIC rtc

11: 8 XT-PIC i82365

12: 182918 XT-PIC PS/2 Mouse

13: 1 XT-PIC fpu

14: 1232265 XT-PIC ide0

15: 7 XT-PIC ide1

NMI: 0

在2.4版内核中,当使用了SMP时这个文件末尾会多出两行SMP相关属性 LOC & ERR : > cat /proc/interrupts

CPU0 CPU1

0: 1243498 1214548 IO-APIC-edge timer

1: 8949 8958 IO-APIC-edge keyboard

2: 0 0 XT-PIC cascade

5: 11286 10161 IO-APIC-edge soundblaster

8: 1 0 IO-APIC-edge rtc

9: 27422 27407 IO-APIC-edge 3c503

12: 113645 113873 IO-APIC-edge PS/2 Mouse

13: 0 0 XT-PIC fpu

14: 22491 24012 IO-APIC-edge ide0

15: 2183 2415 IO-APIC-edge ide1

17: 30564 30414 IO-APIC-level eth0

18: 177 164 IO-APIC-level bttv

NMI: 2457961 2457959

LOC: 2457882 2457881

ERR: 2155

NMI是每个CPU上产生的不可屏蔽中断(Non Maskable Interrupt)的计数;

LOC是每个CPU上APIC本地中断的计数。

ERR是SMP系统中IO-APIC总线失败错误的计数,如果这个数量太高,可能你的内核运行会有问题,这时候就需要测试内核,查看硬件和APIC是否有兼容性问题。

在2.4内核中irq相关的内核信息被放在/proc/irq目录下,在这个目录下包含一个文件

prof_cpu_mask和每个IRQ独属的一个子目录。

> ls /proc/irq/

0 10 12 14 16 18 2 4 6 8 prof_cpu_mask

1 11 13 15 17 19 3 5 7 9

> ls /proc/irq/0/

smp_affinity

2.4内核中可以使用IRQ绑定属性,是某个或全部的IRQ挂接到SMP集合中的某个CPU上,这个特性可以通过prof_cpu_mask和smp_affinity来调整。在默认情况下这两个文件的内容都"ffffffff",作为一个位映射而存在,你可以使用echo命令来指定一个CPU处理IRQ事件。

> cat /proc/irq/0/smp_affinity

ffffffff

> echo 1 > /proc/irq/prof_cpu_mask

这天命令的结果就是系统中只有第一个CPU可以捕获IRQ事件,如果您使用的是"echo 5"的话那么第一和第四个CPU都可以捕获和处理事件(1 + 4)。

在默认情况下IRQ事件由IO-APIC分配,它将轮询每个配置中的CPU,等待其中一个处理事件响应。 在slabinfo文件文件中我们可以看到Linux内核的内存分配池信息,2.4版本内核中使用slab算法来为内核对象(网络缓存、目录高速缓存以及文件分配表等等)分配内存页。

在/proc目录下还有三个重要的目录: net,scsi和sys,我们会在后面的章节中陆续描述;此外如果您的系统中没有SCSI设备(或没有SCSI驱动)的话,/proc/scsi目录是不存在的。

1.3 IDE设备 /proc/ide

/proc/ide目录下包含了所有内核识别出的IDE设备的信息。在/proc/ide目录下包含drivers文件和若干个以IDE设备名或IDE控制器名为名的子目录。

> ls -alF /proc/ide/

total 3

dr-xr-xr-x 4 root root 0 10月 9 23:36 ./

dr-xr-xr-x 54 root root 0 2004-10-10 ../

-r--r--r-- 1 root root 0 10月 9 23:36 drivers

lrwxrwxrwx 1 root root 8 10月 9 23:36 hda -> ide0/hda/

lrwxrwxrwx 1 root root 8 10月 9 23:36 hdb -> ide0/hdb/

lrwxrwxrwx 1 root root 8 10月 9 23:36 hdc -> ide1/hdc/

dr-xr-xr-x 4 root root 0 10月 9 23:36 ide0/

dr-xr-xr-x 3 root root 0 10月 9 23:36 ide1/

-r--r--r-- 1 root root 0 10月 9 23:36 piix

drivers文件包含了当前加载的IDE设备驱动:

> cat /proc/ide/drivers

ide-floppy version 0.99.newide

ide-disk version 1.17

ide-default version 0.9.newide

在/proc/ide目录下还可以看到其他一些以设备命名的目录,在这些目录下我们可以看到更详细的信息。piix是IDE控制芯片组的名字,在你的系统中可能是其他名字。此外还包含若干个(一般的PC上是2个)IDE控制器为名的目录,以及以IDE终端设备名命名的快捷方式,它门将链接到控制器目录下对应的设备文件上。

在ide*目录中我们可以得到更多的信息,如 Table 1-4.

..............................................................................

文件名 内容

channel IDE通道 (0 or 1)

config 配置 (only for PCI/IDE bridge)

mate Mate name

model IDE控制器的类型/芯片组

hd? IDE总线上连接的可用设备

..............................................................................

当前连接在控制器上的每个设备也将成为一个单独的子目录,如 Table 1-5.

..............................................................................

文件名 内容

cache 设备缓存大小

capacity 设备数据块数量 (按 512Byte 块)

driver 驱动和版本

geometry 物理和逻辑的设备参数

identify 设备标示块

media 媒体类型

model 设备标识符(型号或名字)

settings 设备配置参数

smart_thresholds IDE disk management thresholds

smart_values IDE disk management values

..............................................................................

在这里比较有用的信息是settings文件,它包含了一个驱动器相关的信息总览:

# cat /proc/ide/ide0/hda/settings

name value min max mode

---- ----- --- --- ----

bios_cyl 526 0 65535 rw

bios_head 255 0 255 rw

bios_sect 63 0 63 rw

breada_readahead 4 0 127 rw

bswap 0 0 1 r

file_readahead 72 0 2097151 rw

io_32bit 0 0 3 rw

keepsettings 0 0 1 rw

max_kb_per_request 122 1 127 rw

multcount 0 0 8 rw

nice1 1 0 1 rw

nowerr 0 0 1 rw

pio_mode write-only 0 255 w

slow 0 0 1 rw

unmaskirq 0 0 1 rw

using_dma 0 0 1 rw

1.4 网络信息 /proc/net

/proc/net 子目录包含了系统中网络相关的内核统计信息和视图,常规的文件列表如Table 1-7 中说明; 如果你的内核支持IPV6,那么还有一些IPV6相关信息在 Table 1-6中

..............................................................................

文件名 内容

udp6 UDP sockets (IPv6)

tcp6 TCP sockets (IPv6)

raw6 Raw 设备状态 (IPv6)

igmp6 系统当前加入的IP多播地址 (IPv6)

if_inet6 IPv6 网络接口地址列表

ipv6_route IPv6 内核路由表

rt6_stats IPv6 全局路由表状态

sockstat6 Socket 状态 (IPv6)

snmp6 Snmp 数据 (IPv6)

..............................................................................

..............................................................................

文件名 内容

arp 内核 ARP 表

atm atm设备接口信息

drivers 加载的驱动模块信息

dev 网络设备以及状态

dev_mcast 二层多播组以及监听设备信息

(包含interface index, label, number of references, number of bound addresses).

dev_stat 网络设备状态

ip_fwchains ipchains 防火墙规则链 (2.2)

ip_fwnames ipchains 防火墙规则链名 (2.2)

ip_masq 包含IP伪装映射表的目录 (2.2)

ip_masquerade 主IP伪装映射表 (2.2)

netstat 网络状态

raw 原始设备状态

route 内核路由表

rpc 包含rpc信息的目录

rt_cache 路由cache

snmp SNMP 数据

sockstat Socket 状态

tcp TCP sockets

tr_rif Token ring RIF 令牌环网路由表

udp UDP sockets

unix UNIX domain sockets

wireless Wireless 接口数据 (Wavelan etc)

igmp 主机当前加入的IP多播组地址

psched 全局数据包调度参数

netlink PF_NETLINK sockets 列表

ip_mr_vifs 多播虚拟地址列表

ip_mr_cache 多播路由cache列表

..............................................................................

由于2.4之后的内核引入了netfilter/iptables防火墙,因此在防火墙部分的信息与2.2略有不同:

..............................................................................

文件名 内容

ip_tables_matches iptables支持的过滤模式

ip_tables_names iptables规则表名字

ip_tables_targets iptables规则链目标

ip_conntrack iptables状态检测跟踪表

..............................................................................

您可以使用这些信息来查看当前系统中可用的网络设备,以及这些设备上通过的流量和路由信息: > cat /proc/net/dev

Inter-|Receive |[...

face |bytes packets errs drop fifo frame compressed multicast|[...

lo: 908188 5596 0 0 0 0 0 0 [...

ppp0:15475140 20721 410 0 0 410 0 0 [...

eth0: 614530 7085 0 0 0 0 0 1 [...

...] Transmit

...] bytes packets errs drop fifo colls carrier compressed

...] 908188 5596 0 0 0 0 0 0

...] 1375103 17405 0 0 0 0 0 0

...] 1703981 5535 0 0 0 3 0 0

如果系统中使用了Ethernet Channel特性,使若干个物理接口绑定为一个逻辑设备的话,这个逻辑设备将会拥有一个以设备名命名的子目录,其中包含一些bond模块相关的特殊信息。例如把eth0和eth1绑定为设备 bond0 ,那么可以在 /proc/net/bond0/目录下看到bond的特殊信息,例如主从接口、链路状态等等。

1.5 SCSI 设备信息

如果你的系统中含有任何SCSI设备,那么在 /proc/scsi 目录下可以看到系统识别到的SCSI设备相关信息:

>cat /proc/scsi/scsi

Attached devices:

Host: scsi0 Channel: 00 Id: 00 Lun: 00

Vendor: IBM Model: DGHS09U Rev: 03E0

Type: Direct-Access ANSI SCSI revision: 03

Host: scsi0 Channel: 00 Id: 06 Lun: 00

Vendor: PIONEER Model: CD-ROM DR-U06S Rev: 1.04

Type: CD-ROM ANSI SCSI revision: 02

系统中的SCSI设备将映射到/proc/scsi目录下形成一个子树,按照对应的设备模块和设备总线号可以查看相应设备的参数信息,例如一个Adaptec AHA-2940 SCSI 适配器:

> cat /proc/scsi/aic7xxx/0

Adaptec AIC7xxx driver version: 5.1.19/3.2.4

Compile Options:

TCQ Enabled By Default : Disabled

AIC7XXX_PROC_STATS : Disabled

AIC7XXX_RESET_DELAY : 5

Adapter Configuration:

SCSI Adapter: Adaptec AHA-294X Ultra SCSI host adapter

Ultra Wide Controller

PCI MMAPed I/O Base: 0xeb001000

Adapter SEEPROM Config: SEEPROM found and used.

Adaptec SCSI BIOS: Enabled

IRQ: 10

SCBs: Active 0, Max Active 2,

Allocated 15, HW 16, Page 255

Interrupts: 160328

BIOS Control Word: 0x18b6

Adapter Control Word: 0x005b

Extended Translation: Enabled

Disconnect Enable Flags: 0xffff

Ultra Enable Flags: 0x0001

Tag Queue Enable Flags: 0x0000

Ordered Queue Tag Flags: 0x0000

Default Tag Queue Depth: 8

Tagged Queue By Device array for aic7xxx host instance 0:

{255,255,255,255,255,255,255,255,255,255,255,255,255,255,255,255}

Actual queue depth per device for aic7xxx host instance 0:

{1,1,1,1,1,1,1,1,1,1,1,1,1,1,1,1}

Statistics:

(scsi0:0:0:0)

Device using Wide/Sync transfers at 40.0 MByte/sec, offset 8

Transinfo settings: current(12/8/1/0), goal(12/8/1/0), user(12/15/1/0)

Total transfers 160151 (74577 reads and 85574 writes)

(scsi0:0:6:0)

Device using Narrow/Sync transfers at 5.0 MByte/sec, offset 15

Transinfo settings: current(50/15/0/0), goal(50/15/0/0), user(50/15/0/0)

Total transfers 0 (0 reads and 0 writes)

1.6 并口信息 /proc/parport

/proc/parport 包含系统并口信息,按照并口端口号(0,1,2,...)每个设备将映射到一个子目录中。在这个目录下包含的信息如 Table 1-8.

..............................................................................

文件名 内容

autoprobe IEEE-1284 标准兼容的设备ID信息

devices 端口使用的设备驱动列表

hardware 端口使用的base address, IRQ line 和 DMA channel.

irq 端口使用的IRQ号,你可以写入一个新值指定IRQ号 (IRQ number or none).

..............................................................................

1.7 TTY信息 /proc/tty

-------------------------

在/proc/tty目录中包含了系统中当前在用的tty及其信息,在这个目录中也可以找到设备 信息和线路disciplines,如 Table 1-9.

Table 1-9: /proc/tty 中的文件

..............................................................................

文件名 内容

drivers 设备及引用计数

ldiscs registered line disciplines

driver/serial tty线路状态

..............................................................................

要查看系统中的当前在用ttys,可以简单的查看 /proc/tty/drivers:

> cat /proc/tty/drivers

pty_slave /dev/pts 136 0-255 pty:slave

pty_master /dev/ptm 128 0-255 pty:master

pty_slave /dev/ttyp 3 0-255 pty:slave

pty_master /dev/pty 2 0-255 pty:master

serial /dev/cua 5 64-67 serial:callout

serial /dev/ttyS 4 64-67 serial

/dev/tty0 /dev/tty0 4 0 system:vtmaster

/dev/ptmx /dev/ptmx 5 2 system

/dev/console /dev/console 5 1 system:console

/dev/tty /dev/tty 5 0 system:/dev/tty

unknown /dev/tty 4 1-63 console

本章介绍了 /proc 文件系统提供的系统运行时信息. 在 /proc 文件系统中,您不仅可以简单直接的访问进程相关信息,也可以通过它查看各个方面的系统内核状态。

在 /proc 文件系统中,大部分信息都以常规或文本文件的形式反映出来,您可以任意使用简单的文件处理命令来查看它(只要权限允许);如果某些文件不能被查看或者产生乱码,那么它可能是一些特殊类型的文件,需要其它手段来处理,例如 /proc/kcore 可以通过gdb等内核调试工具来查看,而其他一些数据则可以被ps、top等工具所理解。

在这一章中,我们对procfs的结构进行了一下纵览,对它的作用也该有一些了解了。在procfs中除了得到大量系统内核信息之外,它最重要的一个作用莫过于对进程的监控和分析了。有了procfs,你也可以写出自己的ps/top来,甚至不用任何编程工具......

比如,很多Linux新手都常常遇到的一个问题,就是夹在了一个文件系统之后不能卸载,系统报告这样的错误:

代码:

# umount /db1

umount: /db1: device is busy

经验老到的管理员们都知道,这个问题是由于某些进程的工作目录还在这个目录下,导致系统卷忙而无法卸载,只要杀掉那个进程,文件系统就可以正常卸载了。但究竟是哪个进程还在那里呢?找起来恐怕也要费半天神。虽然有pfile和lsof之类的工具可用,但总 也有应急的时候吧,这棵小脚本就可以为你解忧。

代码:

#!/bin/bash

#pcwd.sh,查找系统中工作在目标路径下的进程,使用方法: pcwd.sh 路径名

test $1 || { echo "Usage: pcwd.sh path(absolute path)" && exit };

PS=`ls /proc/*[0-9]*|grep :` ;

PSList=`echo $PS |tr -d '/proc'|tr -d ':'`;

for PID in $PSList

do

test -e /proc/$PID && (ls -alF /proc/$PID/cwd|grep $1 >/dev/null ) && echo "Process $PID (`cat /proc/$PID/status |grep Name |tr -d 'Name: '`) is work in $1 ";

done

就是这样短短的几行代码,甚至不用任何的临时文件,我们就获取了执行命令前的当前系统进程表映像,然后遍历每个进程的proc目录,找到占用我们目录的"坏进程"。

在我的系统上的输出:

代码:

[elly@frost.llnl]/tmp# ./pcwd.sh

Usage: pcwd.sh path(absolute path)

[elly@frost.llnl]/tmp# ./pcwd.sh /usr

Process 1283 (vi) is work in /usr ;

Process 3113 (bsh) is work in /usr ;

在上面的例子中,我们只用了最简单的四五个文件和文本处理命令,就完成了这个小程序,你甚至可以把所有的语句写在一行上,通过命令行或alias定义就完成这个功能。

把它稍稍修改一下就是另外一个功能,查找正在使用某个文件的进程:

代码:

#!/bin/bash

test $1 || { echo "Usage: pfile.sh filename(absolute path)" && exit };

PS=`ls /proc/*[0-9]*|grep :` ;

PSList=`echo $PS |tr -d '/proc'|tr -d ':'`;

for PID in $PSList

do

test -e /proc/$PID && (ls -alF /proc/$PID/fd|grep $1 >/dev/null ) && echo "Process $PID (`cat /proc/$PID/status |grep Name |tr -d 'Name: '`) is openning $1;";

done

在我系统上的输出:

代码:

[elly@frost.llnl]/tmp# ./pfile.sh

Usage: pfile.sh filename(absolute path)

[elly@frost.llnl]/tmp# ./pfile.sh access_log

Process 109 (httpd) is openning access_log;

Process 110 (httpd) is openning access_log;

Process 112 (httpd) is openning access_log;

Process 113 (httpd) is openning access_log;

Process 116 (httpd) is openning access_log;

Process 99 (httpd) is openning access_log;

目标文件名可以使用相对或绝对路径,甚至可以只输入半个文件名...当然路径越精确查找的结果也越准确。在这个例子中,很容易就可以扩展它的功能,让它实现类似lsof的功能,可以列举系统中所有正在被使用的文件。好啦,我们做一个有用点的程序。

ps,每台机器上都有吧。不幸的是,在某些极端环境下,系统中的PS是不可靠的,比如,坏了...或被人替换了。

很多恶意的黑客入侵系统之后会在系统上安装一类叫rootkit的后门包,用来替换系统中ps、netstat

等重要程序以隐藏自己的痕迹,这个时候一般比较稳妥的办法是自己上传一份可靠的系统工具包,或者静态编译的工具包。当然,也可以用这个土办法,直 接从procfs里读取信息。(如果是比较高明的黑客,使用LKM等内核后门那这个就没有用了哦)

范例:懒人的ps,就叫它lps吧。

代码:

#!/bin/bash

PS=`ls /proc/*[0-9]*|grep :` ;

PSList=`echo $PS |tr -d '/proc' |tr -d ':' |sort `;

echo -e "PID PPID UID GID STAT MEM TTY CMD"

for PID in $PSList

do

test -e /proc/$PID && sPID=`cat /proc/$PID/status |grep ^Pid: |awk '{print $2}'`

&& sPPID=`cat /proc/$PID/status |grep ^PPid: |awk '{print $2}'`

&& sTTY=`ls -alF /proc/$PID/fd |grep /dev/ |awk '{print $11}' |grep ty |head -n 1`

&& sUID=`cat /proc/$PID/status |grep ^Uid: |awk '{print $2}'`

&& sGID=`cat /proc/$PID/status |grep ^Gid: |awk '{print $2}'`

&& sSTAT=`cat /proc/$PID/status |grep ^State: |awk '{print $2 $3}'`

&& sMEM=`cat /proc/$PID/status |grep ^VmSize: |awk '{print $2 $3}'`

&& if [ -e /proc/$PID/exe ]

then

sCMD=`ls -alF /proc/$PID/exe |awk '{print $11}' |tr -d '$*' `

else

sCMD=`cat /proc/$PID/status |grep ^Name: |awk '{print $2}'`

sCMD="[ $sCMD ]"

fi

echo -e "$sPID $sPPID $sUID $sGID $sSTAT $sMEM $sTTY $sCMD"

done

简要介绍,这个lps或列举系统中自身进程(lps)之外的所有进程,然后读取和显示他们的八项属性,依次是:进程ID(PID) 父进程ID(PPID) 属主UID(UID) 属主GID(GID) 当前状态 占用内存 运行终端 完全执行路径。

在显示格式参考了Linux标准ps输出的一部分,例如某些系统线程没有可执行文件的,就会显示他们的内核名字,例如[ ksoftirqd_CPU0 ] 。

懒人的PS中没有任何参数,你也可以扩展它的功能,使之能支持按照进程树状显示等等。 在我系统上的输出:

代码:

[elly@frost.llnl]/tmp# ./lps.sh

PID PPID UID GID STAT MEM TTY CMD

1 0 0 0 S(sleeping) 1116kB /sbin/init

101 1 0 0 S(sleeping) 2168kB /usr/local/sbin/sshd

109 99 99 99 S(sleeping) 6100kB /usr/local/apache/bin/httpd

110 99 99 99 S(sleeping) 6100kB /usr/local/apache/bin/httpd

112 99 99 99 S(sleeping) 6100kB /usr/local/apache/bin/httpd

113 99 99 99 S(sleeping) 6100kB /usr/local/apache/bin/httpd

116 99 99 99 S(sleeping) 6100kB /usr/local/apache/bin/httpd

118 1 0 0 S(sleeping) 1656kB /bin/bash

119 1 0 0 S(sleeping) 1648kB /bin/bash

120 1 0 0 S(sleeping) 1648kB /bin/bash

128 1 0 0 S(sleeping) 2224kB /dev/tty1 /bin/login

1283 3113 0 0 S(sleeping) 1512kB /dev/ttyp0 /bin/vi

129 1 0 0 S(sleeping) 1136kB /dev/tty2 /sbin/getty

130 1 0 0 S(sleeping) 1136kB /dev/tty3 /sbin/getty

131 1 0 0 S(sleeping) 1136kB /dev/tty4 /sbin/getty

135 1 0 0 S(sleeping) 1136kB /dev/tty5 /sbin/getty

136 1 0 0 S(sleeping) 1136kB /dev/tty6 /sbin/getty

137 1 0 0 S(sleeping) 1140kB /dev/ttyS0 /sbin/getty

15329 3112 0 0 S(sleeping) 1792kB /dev/ttyp1 /bin/bash

2 1 0 0 S(sleeping) [ keventd ]

256 128 0 0 S(sleeping) 1712kB /dev/tty1 /bin/bash

3 1 0 0 S(sleeping) [ ksoftirqd_CPU0 ]

3112 101 0 0 S(sleeping) 2452kB /dev/ptyp1 /usr/local/sbin/sshd 3113 3112 0 0 S(sleeping) 1728kB /dev/ttyp0 /bin/bash

3872 120 0 0 S(sleeping) 1084kB /bin/sleep

4 1 0 0 S(sleeping) [ kswapd ]

4 1 0 0 S(sleeping) [ kswapd ]

4 1 0 0 S(sleeping) [ kswapd ]

4089 15329 0 0 S(sleeping) 1664kB /dev/ttyp1 /bin/bash

4089 15329 0 0 S(sleeping) 1664kB /dev/ttyp1 /bin/bash

5 1 0 0 S(sleeping) [ bdflush ]

6 1 0 0 S(sleeping) [ kupdated ]

99 1 0 0 S(sleeping) 6016kB /usr/local/apache/bin/httpd

Solaris上有/usr/proc/bin工具集,里面的ptree和pmap很是好用,甚至比本来的ps还好:P可惜Linux上是没有的,现在你可以自己写一个,用来综合显示更多的进程状态。

代码:

#!/bin/bash

#PROC=`mount |grep 'type proc'|awk '{print $3}'`

test $1 || { echo "Usage: pstat.sh PID" && exit };

PID=$1;

echo "Process $1 Status...";

echo "......................";

echo

cat /proc/$PID/status|grep ^Name:

cat /proc/$PID/status|grep ^Pid:

cat /proc/$PID/status|grep ^PPid:

cat /proc/$PID/status|grep ^Uid:

cat /proc/$PID/status|grep ^Gid:

cat /proc/$PID/status|grep ^State:

cat /proc/$PID/status|grep ^VmSize:

echo

CMD=`ls -alF /proc/$PID/exe |awk '{print $11}' |tr -d '$*'`;echo "Command path: $CMD"; ARG=`cat /proc/$PID/cmdline`;echo "Command line: $ARG";

CWD=`ls -alF /proc/$PID/cwd |awk '{print $11}'`;echo "CWD: $CWD";

echo

ENVI=`cat /proc/$PID/environ`;echo "ENVIRON: $ENVI";

echo

echo

echo "Process shared object:";

echo "......................";

cat /proc/$PID/maps |grep $CMD |grep xp;

cat /proc/$PID/maps |grep .so |grep xp;

echo

echo

echo "Process used file:";

echo "......................";

ls -alF /proc/$PID/fd |grep '->' |awk '{print $11}' |sort |uniq -c |sort -rn ;

echo

这个程序叫pstat.sh,可以显示进程的综合信息。输出分为四段,分别是进程状态(包含父子进程关系、进程信任状以及内存占用),执行环境(包含进程执行程序,命令行参数和环境变量),进程执行对象(包含进程执行体和引用的共享库),最后是进程打开的 所有文件。

代码:

[elly@frost.llnl]/tmp# ./pstat.sh

Usage: pstat.sh PID

[elly@frost.llnl]/tmp# ./pstat.sh 7238

Process 7238 Status...

......................

Name: vi

Pid: 7238

PPid: 3113

Uid: 0 0 0 0

Gid: 0 0 0 0

State: S (sleeping)

VmSize: 1648 kB

Command path: /bin/vi

Command line: vi

CWD: /usr/

ENVIRON: USERNAME=root

Process shared object:

......................

08048000-08098000 r-xp 00000000 03:01 3891 /bin/vi

40000000-40013000 r-xp 00000000 03:01 3942 /lib/ld-2.1.3.so

40016000-40019000 r-xp 00000000 03:01 4002 /lib/libtermcap.so.2.0.8

4001a000-40107000 r-xp 00000000 03:01 3949 /lib/libc-2.1.3.so

4010f000-40117000 r-xp 00000000 03:01 3981 /lib/libnss_files-2.1.3.so

Process used file: ...................... /dev/ttyp0 /etc/motd

五 : Linux proc详解

Linux proc详解

Linux procfs详解

1.0 proc文件系统总览

在类Unix系统中体现了一种良好的抽象哲学,就是几乎所有的数据实体都被抽象成一个统一的接口--文件来看待,这样我们就可以用一些简单的基本工具完成大量复杂的操作。[www.61k.com)在Linux中存在着一类 特殊的伪文件系统,用于使用与文件接口统一的操作来完成各种功能,例如ptyfs、devfs、sysfs和procfs。而procfs就是其中应用最广泛的一种伪文件系统。

procfs是Linux内核信息的抽象文件接口,大量内核中的信息以及可调参数都被作为常规文件映射到一个目录树中,这样我们就可以简单直接的通过echo或cat这样的文件操作命令对系统信息进行查取

和调整了。同时procfs也提供了一个接口,使得我们自己的内核模块或用户态程序可以通过procfs进行参数的传递。在当今的Linux系统中,大量的系统工具也通过procfs获取内核参数,例如ps、 lspci等等,没有procfs它们将可能不能正常工作。

procfs的使用如同常规的文件系统一样,例如加载一个procfs (首先确定你的内核已经支持procfs默认如此):

# mount -t proc none /proc

也可以在/etc/fstab中加入如下一行使系统在启动时自动加载procfs(大多数系统中也是默认如此): none /proc proc defaults 0 0

在proc文件系统中,主要包含三大类内容,进程相关部分,系统信息部分,以及系统子系统部分。在下面我们可以看到一个典型的procfs布局:

> ls /proc

1 2 2166 2281 cmdline interrupts meminfo stat

13 2001 2167 3 cpuinfo iomem misc swaps

1646 2042 2168 4 crypto ioports modules sys

1780 2058 2169 5 devices irq mounts sysrq-trigger

1834 2087 2170 6 dma isapnp mtrr sysvipc

1838 2096 2171 7 driver kcore net tty

1857 2107 2207 71 execdomains kmsg partitions uptime

1877 2117 2208 8 fb ksyms pci version

1889 2143 2216 9 filesystems loadavg scsi

1905 2153 2217 apm fs locks self

1960 2165 2219 bus ide mdstat slabinfo

在上面的布局中我们可以看到procfs包含的内容:

* 进程相关部分 (只读)

这部分文件都是以数字为名的子目录,这个数字就是相关进程的进程ID,在 1.1节中会详细介绍进程相关子目录的结构和信息。

需要注意的是procfs中进程子系统部分的一个特殊点,就是/proc/self,它是指向当前执行进程的符号连接,或者说--是指向未来你将要执行指令的心灵感应:

> cat self/cmdline

catself/cmdline

在这个命令中,我们希望它显示当前进程的cmdline参数,它恰恰就显示了当前进程--我们所执行的这条命令,cat self/cmdline。幸好这条指令显示出的信息会忽略空格,导致显示略微的不正常,否则我们倒是可以很容易的使用`cat self/cmdline`这样的命令制造出永远循环执行的进程来。;> * 内核信息部分 (只读)

proc Linux proc详解

这部分文件同样处于/proc的顶层目录,不过它们大部分都是常规、只读的文本文件,可以直接用cat查看信息。(www.61k.com)作为系统内核执行体的抽象,我们也可以把它看作内核"进程"的信息部分,当然虽然并不存在这个进程实体。这里比较特别的一个文件是 /proc/cmdline :

>cat cmdline

ro root=/dev/hda2

在这个文件中存放的是系统内核引导时的命令行参数。此部分内容将在 1.3节中说明。

* 内核各子系统相关部分 (部分可调)

这部分是系统内核参数调整的重头戏,在procfs中,除去上面所述的两部分内容外,还有很大一部分信息文件被存放在了一些并非以数字命名的特殊目录中,这些目录下的信息就是内核各个重要子系统的信息和可调参数,主要有:

bus 总线信息(只读)

drivers 驱动信息(只读)

fs 文件系统特别信息(只读)

ide IDE接口信息(只读)

irq IRQ信息(只读)

net 网络子系统信息(只读)

scsi SCSI系统信息(只读)

sysvipc IPC子系统信息(只读)

tty tty子系统信息(只读)

sys 系统内核可调参数 (可调)

作为Linux系统内核参数的抽象文件接口,Linux内核的大部分默认可调参数都被放在了 /proc/sys目录下,这些参数都以常规文件的形式体现,并且可以用echo/cat等文件操作命令进行调整,调整的效果是即时的,并且在系统运行的整个生命周期之间都有效(知道再次改变它们或者系统重启)。 当然Linux也提供了另外一种途径sysctl来调整这些参数,sysctl是从BSD系统继承而来的一种系统参数动态调整方法,sysctl的使用更为简单,并且可以使用/etc/sysctl.conf保存配置以在下次启动时自动加载这些设置。对于sysctl可调参数体积调整方法将在另一篇文章中说明。

对于内核信息和参数的说明将在 1.4 - 1.7节中解释;对于/proc/sys中的可调参数将在第二章中详细说明。

1.1 进程相关子目录

在/proc目录中包含了一些以数字为名的子目录,这些目录就是系统当前运行进程的proc抽象。每一个目录都以相关联的活动系统进程PID为目录名,在目录下包含了一些文件,用于显示进程相关的信息。每个进程映射子目录的结构都如 Table 1-1.

..............................................................................

文件名 内容

cmdline 执行进程的命令行参数

cpu 在SMP系统中近程最后的执行CPU (2.4)(smp)

cwd 到当前工作目录的符号链接

environ 环境变量

exe 链接到进程对应的源可执行文件

fd 包含所有进程打开的文件描述符的子目录

maps 进程内存映射,包含进程执行空间以及动态链接库信息 (2.4)

mem 进程内存空间

root 连接到进程执行时的 / (root)目录

stat 进程状态

proc Linux proc详解

statm 进程内存状态信息

status 进程状态总览,包含进程名字、当前状态和各种信息统计

..............................................................................

举例来说,要获取一个进程的状态,只要读取下面进程PID子目录下的status文件 /proc/PID/status: >cat /proc/self/status

扩展:linux proc详解 / proc cpuinfo 详解 / proc meminfo 详解

Name: cat

State: R (running)

Pid: 5452

PPid: 743

TracerPid: 0 (2.4)

Uid: 501 501 501 501

Gid: 100 100 100 100

Groups: 100 14 16

VmSize: 1112 kB

VmLck: 0 kB

VmRSS: 348 kB

VmData: 24 kB

VmStk: 12 kB

VmExe: 8 kB

VmLib: 1044 kB

SigPnd: 0000000000000000

SigBlk: 0000000000000000

SigIgn: 0000000000000000

SigCgt: 0000000000000000

CapInh: 00000000fffffeff

CapPrm: 0000000000000000

CapEff: 0000000000000000

如同第一节所说,/proc/self连接指向读取它自身的进程映像,在之后一节的例子中都将以它作为我们的范例。[www.61k.com]

这条命令显示的信息与你通过 /bin/ps 命令获取到的进程信息基本相同,这恰巧是因为,ps也是通过读取procfs来获取这些信息的。statm 文件包含了更详细的进程内存状态,statm的详细内容按照数据项由左向右依次如 Table 1-2.

> cat /proc/self/statm

105 105 93 4 12 89 12

..............................................................................

数据项 内容

size 程序大小

resident 常驻内存空间大小

shared 共享内存页数

trs 代码段占用内存页数

drs 数据/堆栈段占用内存页数

lrs 引用库占用内存页数

dt 脏页数量

..............................................................................

proc Linux proc详解

1.2 内核数据

相似于进程入口,在/proc目录下的其他一些文件给出了内核信息数据,这些文件包含了系统当前运行内核相关信息。[www.61k.com]/proc目录下内核相关信息文件在Table 1-3 中列出,依赖于您的系统配置和加载的内核模块,在您的系统中的显示可能会略有不同。

..............................................................................

文件 内容

apm 高级电源管理信息

bus bus总线相关信息

cmdline 内核引导命令行参数

cpuinfo cpu信息

devices 当前可用设备 (包含所有块设备和字符设备)

dma DMA通道使用状况

filesystems 当前内核支持的文件系统

driver 驱动相关信息 (2.4)

execdomains 安全相关的Execdomains信息 (2.4)

fb Frame Buffer 设备 (2.4)

fs 本地文件系统参数 (2.4)

ide IDE子系统相关信息的子目录

interrupts 中断使用状况

iomem 内存映射图 (2.4)

ioports I/O端口使用状况

irq 关联到cpu的irq使用状况 (2.4)(smp?)

isapnp ISA PnP (即插即用) 信息 (2.4)

kcore Kernel core image,内核转储映像 (2.4)

kmsg Kernel messages

ksyms Kernel symbol table,内核符号表

loadavg 最后1、5 、15 分钟的平均负载

locks Kernel locks, 内核锁信息

meminfo 内存信息

misc 内核信息杂项

modules 已加载内核模块列表

mounts 已加载的文件系统

net 网络子系统信息

partitions 已识别的本地系统分区表

pci PCI总线相关信息,在新版本中指向 /proc/bus/pci/ 目录 (2.4)

rtc rtc实时钟

scsi SCSI 总线信息

slabinfo Slab 内存分配池信息

stat 内核状态总览

swaps Swap 空间状态

sys 内核系统参数 (参见第二章)

sysvipc SysVIPC 资源状态 (msg, sem, shm) (2.4)

tty TTY驱动信息

uptime 系统 uptime

proc Linux proc详解

version 内核版本

video video 资源状态 (2.4)

..............................................................................

在proc文件系统中大多数文件都是可读的文本,可以直接使用系统中的常规文件处理命令进行操作。(www.61k.com]当然,这也依赖于目标文件的权限属性。例如要查看系统中断信息 /proc/interrupts:

> cat /proc/interrupts

CPU0

0: 8728810 XT-PIC timer

1: 895 XT-PIC keyboard

2: 0 XT-PIC cascade

3: 531695 XT-PIC aha152x

4: 2014133 XT-PIC serial

5: 44401 XT-PIC pcnet_cs

8: 2 XT-PIC rtc

11: 8 XT-PIC i82365

12: 182918 XT-PIC PS/2 Mouse

13: 1 XT-PIC fpu

14: 1232265 XT-PIC ide0

15: 7 XT-PIC ide1

NMI: 0

在2.4版内核中,当使用了SMP时这个文件末尾会多出两行SMP相关属性 LOC & ERR : > cat /proc/interrupts

CPU0 CPU1

0: 1243498 1214548 IO-APIC-edge timer

1: 8949 8958 IO-APIC-edge keyboard

2: 0 0 XT-PIC cascade

5: 11286 10161 IO-APIC-edge soundblaster

8: 1 0 IO-APIC-edge rtc

9: 27422 27407 IO-APIC-edge 3c503

12: 113645 113873 IO-APIC-edge PS/2 Mouse

13: 0 0 XT-PIC fpu

14: 22491 24012 IO-APIC-edge ide0

15: 2183 2415 IO-APIC-edge ide1

17: 30564 30414 IO-APIC-level eth0

18: 177 164 IO-APIC-level bttv

NMI: 2457961 2457959

LOC: 2457882 2457881

ERR: 2155

NMI是每个CPU上产生的不可屏蔽中断(Non Maskable Interrupt)的计数;

LOC是每个CPU上APIC本地中断的计数。

ERR是SMP系统中IO-APIC总线失败错误的计数,如果这个数量太高,可能你的内核运行会有问题,这时候就需要测试内核,查看硬件和APIC是否有兼容性问题。

在2.4内核中irq相关的内核信息被放在/proc/irq目录下,在这个目录下包含一个文件

prof_cpu_mask和每个IRQ独属的一个子目录。

proc Linux proc详解

> ls /proc/irq/

0 10 12 14 16 18 2 4 6 8 prof_cpu_mask

1 11 13 15 17 19 3 5 7 9

> ls /proc/irq/0/

smp_affinity

2.4内核中可以使用IRQ绑定属性,是某个或全部的IRQ挂接到SMP集合中的某个CPU上,这个特性可以通过prof_cpu_mask和smp_affinity来调整。[www.61k.com]在默认情况下这两个文件的内容都"ffffffff",作为一个位映射而存在,你可以使用echo命令来指定一个CPU处理IRQ事件。

扩展:linux proc详解 / proc cpuinfo 详解 / proc meminfo 详解

> cat /proc/irq/0/smp_affinity

ffffffff

> echo 1 > /proc/irq/prof_cpu_mask

这天命令的结果就是系统中只有第一个CPU可以捕获IRQ事件,如果您使用的是"echo 5"的话那么第一和第四个CPU都可以捕获和处理事件(1 + 4)。

在默认情况下IRQ事件由IO-APIC分配,它将轮询每个配置中的CPU,等待其中一个处理事件响应。 在slabinfo文件文件中我们可以看到Linux内核的内存分配池信息,2.4版本内核中使用slab算法来为内核对象(网络缓存、目录高速缓存以及文件分配表等等)分配内存页。

在/proc目录下还有三个重要的目录: net,scsi和sys,我们会在后面的章节中陆续描述;此外如果您的系统中没有SCSI设备(或没有SCSI驱动)的话,/proc/scsi目录是不存在的。

1.3 IDE设备 /proc/ide

/proc/ide目录下包含了所有内核识别出的IDE设备的信息。在/proc/ide目录下包含drivers文件和若干个以IDE设备名或IDE控制器名为名的子目录。

> ls -alF /proc/ide/

total 3

dr-xr-xr-x 4 root root 0 10月 9 23:36 ./

dr-xr-xr-x 54 root root 0 2004-10-10 ../

-r--r--r-- 1 root root 0 10月 9 23:36 drivers

lrwxrwxrwx 1 root root 8 10月 9 23:36 hda -> ide0/hda/

lrwxrwxrwx 1 root root 8 10月 9 23:36 hdb -> ide0/hdb/

lrwxrwxrwx 1 root root 8 10月 9 23:36 hdc -> ide1/hdc/

dr-xr-xr-x 4 root root 0 10月 9 23:36 ide0/

dr-xr-xr-x 3 root root 0 10月 9 23:36 ide1/

-r--r--r-- 1 root root 0 10月 9 23:36 piix

drivers文件包含了当前加载的IDE设备驱动:

> cat /proc/ide/drivers

ide-floppy version 0.99.newide

ide-disk version 1.17

ide-default version 0.9.newide

在/proc/ide目录下还可以看到其他一些以设备命名的目录,在这些目录下我们可以看到更详细的信息。piix是IDE控制芯片组的名字,在你的系统中可能是其他名字。此外还包含若干个(一般的PC上是2个)IDE控制器为名的目录,以及以IDE终端设备名命名的快捷方式,它门将链接到控制器目录下对应的设备文件上。

在ide*目录中我们可以得到更多的信息,如 Table 1-4.

..............................................................................

文件名 内容

proc Linux proc详解

channel IDE通道 (0 or 1)

config 配置 (only for PCI/IDE bridge)

mate Mate name

model IDE控制器的类型/芯片组

hd? IDE总线上连接的可用设备

..............................................................................

当前连接在控制器上的每个设备也将成为一个单独的子目录,如 Table 1-5.

..............................................................................

文件名 内容

cache 设备缓存大小

capacity 设备数据块数量 (按 512Byte 块)

driver 驱动和版本

geometry 物理和逻辑的设备参数

identify 设备标示块

media 媒体类型

model 设备标识符(型号或名字)

settings 设备配置参数

smart_thresholds IDE disk management thresholds

smart_values IDE disk management values

..............................................................................

在这里比较有用的信息是settings文件,它包含了一个驱动器相关的信息总览:

# cat /proc/ide/ide0/hda/settings

name value min max mode

---- ----- --- --- ----

bios_cyl 526 0 65535 rw

bios_head 255 0 255 rw

bios_sect 63 0 63 rw

breada_readahead 4 0 127 rw

bswap 0 0 1 r

file_readahead 72 0 2097151 rw

io_32bit 0 0 3 rw

keepsettings 0 0 1 rw

max_kb_per_request 122 1 127 rw

multcount 0 0 8 rw

nice1 1 0 1 rw

nowerr 0 0 1 rw

pio_mode write-only 0 255 w

slow 0 0 1 rw

unmaskirq 0 0 1 rw

using_dma 0 0 1 rw

1.4 网络信息 /proc/net

/proc/net 子目录包含了系统中网络相关的内核统计信息和视图,常规的文件列表如Table 1-7 中说明; 如果你的内核支持IPV6,那么还有一些IPV6相关信息在 Table 1-6中

..............................................................................

proc Linux proc详解

文件名 内容

udp6 UDP sockets (IPv6)

tcp6 TCP sockets (IPv6)

raw6 Raw 设备状态 (IPv6)

igmp6 系统当前加入的IP多播地址 (IPv6)

if_inet6 IPv6 网络接口地址列表

ipv6_route IPv6 内核路由表

rt6_stats IPv6 全局路由表状态

sockstat6 Socket 状态 (IPv6)

snmp6 Snmp 数据 (IPv6)

..............................................................................

..............................................................................

文件名 内容

arp 内核 ARP 表

atm atm设备接口信息

drivers 加载的驱动模块信息

dev 网络设备以及状态

dev_mcast 二层多播组以及监听设备信息

(包含interface index, label, number of references, number of bound addresses).

dev_stat 网络设备状态

ip_fwchains ipchains 防火墙规则链 (2.2)

ip_fwnames ipchains 防火墙规则链名 (2.2)

ip_masq 包含IP伪装映射表的目录 (2.2)

ip_masquerade 主IP伪装映射表 (2.2)

netstat 网络状态

raw 原始设备状态

route 内核路由表

rpc 包含rpc信息的目录

rt_cache 路由cache

snmp SNMP 数据

sockstat Socket 状态

tcp TCP sockets

tr_rif Token ring RIF 令牌环网路由表

udp UDP sockets

扩展:linux proc详解 / proc cpuinfo 详解 / proc meminfo 详解

unix UNIX domain sockets

wireless Wireless 接口数据 (Wavelan etc)

igmp 主机当前加入的IP多播组地址

psched 全局数据包调度参数

netlink PF_NETLINK sockets 列表

ip_mr_vifs 多播虚拟地址列表

ip_mr_cache 多播路由cache列表

..............................................................................

由于2.4之后的内核引入了netfilter/iptables防火墙,因此在防火墙部分的信息与2.2略有不同:

proc Linux proc详解

..............................................................................

文件名 内容

ip_tables_matches iptables支持的过滤模式

ip_tables_names iptables规则表名字

ip_tables_targets iptables规则链目标

ip_conntrack iptables状态检测跟踪表

..............................................................................

您可以使用这些信息来查看当前系统中可用的网络设备,以及这些设备上通过的流量和路由信息: > cat /proc/net/dev

Inter-|Receive |[...

face |bytes packets errs drop fifo frame compressed multicast|[...

lo: 908188 5596 0 0 0 0 0 0 [...

ppp0:15475140 20721 410 0 0 410 0 0 [...

eth0: 614530 7085 0 0 0 0 0 1 [...

...] Transmit

...] bytes packets errs drop fifo colls carrier compressed

...] 908188 5596 0 0 0 0 0 0

...] 1375103 17405 0 0 0 0 0 0

...] 1703981 5535 0 0 0 3 0 0

如果系统中使用了Ethernet Channel特性,使若干个物理接口绑定为一个逻辑设备的话,这个逻辑设备将会拥有一个以设备名命名的子目录,其中包含一些bond模块相关的特殊信息。[www.61k.com)例如把eth0和eth1绑定为设备 bond0 ,那么可以在 /proc/net/bond0/目录下看到bond的特殊信息,例如主从接口、链路状态等等。

1.5 SCSI 设备信息

如果你的系统中含有任何SCSI设备,那么在 /proc/scsi 目录下可以看到系统识别到的SCSI设备相关信息:

>cat /proc/scsi/scsi

Attached devices:

Host: scsi0 Channel: 00 Id: 00 Lun: 00

Vendor: IBM Model: DGHS09U Rev: 03E0

Type: Direct-Access ANSI SCSI revision: 03

Host: scsi0 Channel: 00 Id: 06 Lun: 00

Vendor: PIONEER Model: CD-ROM DR-U06S Rev: 1.04

Type: CD-ROM ANSI SCSI revision: 02

系统中的SCSI设备将映射到/proc/scsi目录下形成一个子树,按照对应的设备模块和设备总线号可以查看相应设备的参数信息,例如一个Adaptec AHA-2940 SCSI 适配器:

> cat /proc/scsi/aic7xxx/0

Adaptec AIC7xxx driver version: 5.1.19/3.2.4

Compile Options:

TCQ Enabled By Default : Disabled

AIC7XXX_PROC_STATS : Disabled

AIC7XXX_RESET_DELAY : 5

Adapter Configuration:

SCSI Adapter: Adaptec AHA-294X Ultra SCSI host adapter

proc Linux proc详解

Ultra Wide Controller

PCI MMAPed I/O Base: 0xeb001000

Adapter SEEPROM Config: SEEPROM found and used.

Adaptec SCSI BIOS: Enabled

IRQ: 10

SCBs: Active 0, Max Active 2,

Allocated 15, HW 16, Page 255

Interrupts: 160328

BIOS Control Word: 0x18b6

Adapter Control Word: 0x005b

Extended Translation: Enabled

Disconnect Enable Flags: 0xffff

Ultra Enable Flags: 0x0001

Tag Queue Enable Flags: 0x0000

Ordered Queue Tag Flags: 0x0000

Default Tag Queue Depth: 8

Tagged Queue By Device array for aic7xxx host instance 0:

{255,255,255,255,255,255,255,255,255,255,255,255,255,255,255,255}

Actual queue depth per device for aic7xxx host instance 0:

{1,1,1,1,1,1,1,1,1,1,1,1,1,1,1,1}

Statistics:

(scsi0:0:0:0)

Device using Wide/Sync transfers at 40.0 MByte/sec, offset 8

Transinfo settings: current(12/8/1/0), goal(12/8/1/0), user(12/15/1/0)

Total transfers 160151 (74577 reads and 85574 writes)

(scsi0:0:6:0)

Device using Narrow/Sync transfers at 5.0 MByte/sec, offset 15

Transinfo settings: current(50/15/0/0), goal(50/15/0/0), user(50/15/0/0)

Total transfers 0 (0 reads and 0 writes)

1.6 并口信息 /proc/parport

/proc/parport 包含系统并口信息,按照并口端口号(0,1,2,...)每个设备将映射到一个子目录中。[www.61k.com)在这个目录下包含的信息如 Table 1-8.

..............................................................................

文件名 内容

autoprobe IEEE-1284 标准兼容的设备ID信息

devices 端口使用的设备驱动列表

hardware 端口使用的base address, IRQ line 和 DMA channel.

irq 端口使用的IRQ号,你可以写入一个新值指定IRQ号 (IRQ number or none).

..............................................................................

1.7 TTY信息 /proc/tty

-------------------------

在/proc/tty目录中包含了系统中当前在用的tty及其信息,在这个目录中也可以找到设备 信息和线路disciplines,如 Table 1-9.

Table 1-9: /proc/tty 中的文件

proc Linux proc详解

..............................................................................

文件名 内容

drivers 设备及引用计数

ldiscs registered line disciplines

driver/serial tty线路状态

..............................................................................

扩展:linux proc详解 / proc cpuinfo 详解 / proc meminfo 详解

要查看系统中的当前在用ttys,可以简单的查看 /proc/tty/drivers:

> cat /proc/tty/drivers

pty_slave /dev/pts 136 0-255 pty:slave

pty_master /dev/ptm 128 0-255 pty:master

pty_slave /dev/ttyp 3 0-255 pty:slave

pty_master /dev/pty 2 0-255 pty:master

serial /dev/cua 5 64-67 serial:callout

serial /dev/ttyS 4 64-67 serial

/dev/tty0 /dev/tty0 4 0 system:vtmaster

/dev/ptmx /dev/ptmx 5 2 system

/dev/console /dev/console 5 1 system:console

/dev/tty /dev/tty 5 0 system:/dev/tty

unknown /dev/tty 4 1-63 console

本章介绍了 /proc 文件系统提供的系统运行时信息. 在 /proc 文件系统中,您不仅可以简单直接的访问进程相关信息,也可以通过它查看各个方面的系统内核状态。[www.61k.com)

在 /proc 文件系统中,大部分信息都以常规或文本文件的形式反映出来,您可以任意使用简单的文件处理命令来查看它(只要权限允许);如果某些文件不能被查看或者产生乱码,那么它可能是一些特殊类型的文件,需要其它手段来处理,例如 /proc/kcore 可以通过gdb等内核调试工具来查看,而其他一些数据则可以被ps、top等工具所理解。

在这一章中,我们对procfs的结构进行了一下纵览,对它的作用也该有一些了解了。在procfs中除了得到大量系统内核信息之外,它最重要的一个作用莫过于对进程的监控和分析了。有了procfs,你也可以写出自己的ps/top来,甚至不用任何编程工具......

比如,很多Linux新手都常常遇到的一个问题,就是夹在了一个文件系统之后不能卸载,系统报告这样的错误:

代码:

# umount /db1

umount: /db1: device is busy

经验老到的管理员们都知道,这个问题是由于某些进程的工作目录还在这个目录下,导致系统卷忙而无法卸载,只要杀掉那个进程,文件系统就可以正常卸载了。但究竟是哪个进程还在那里呢?找起来恐怕也要费半天神。虽然有pfile和lsof之类的工具可用,但总 也有应急的时候吧,这棵小脚本就可以为你解忧。

代码:

#!/bin/bash

#pcwd.sh,查找系统中工作在目标路径下的进程,使用方法: pcwd.sh 路径名

test $1 || { echo "Usage: pcwd.sh path(absolute path)" && exit };

PS=`ls /proc/*[0-9]*|grep :` ;

PSList=`echo $PS |tr -d '/proc'|tr -d ':'`;

for PID in $PSList

proc Linux proc详解

do

test -e /proc/$PID && (ls -alF /proc/$PID/cwd|grep $1 >/dev/null ) && echo "Process $PID (`cat /proc/$PID/status |grep Name |tr -d 'Name: '`) is work in $1 ";

done

就是这样短短的几行代码,甚至不用任何的临时文件,我们就获取了执行命令前的当前系统进程表映像,然后遍历每个进程的proc目录,找到占用我们目录的"坏进程"。[www.61k.com]

在我的系统上的输出:

代码:

[elly@frost.llnl]/tmp# ./pcwd.sh

Usage: pcwd.sh path(absolute path)

[elly@frost.llnl]/tmp# ./pcwd.sh /usr

Process 1283 (vi) is work in /usr ;

Process 3113 (bsh) is work in /usr ;

在上面的例子中,我们只用了最简单的四五个文件和文本处理命令,就完成了这个小程序,你甚至可以把所有的语句写在一行上,通过命令行或alias定义就完成这个功能。

把它稍稍修改一下就是另外一个功能,查找正在使用某个文件的进程:

代码:

#!/bin/bash

test $1 || { echo "Usage: pfile.sh filename(absolute path)" && exit };

PS=`ls /proc/*[0-9]*|grep :` ;

PSList=`echo $PS |tr -d '/proc'|tr -d ':'`;

for PID in $PSList

do

test -e /proc/$PID && (ls -alF /proc/$PID/fd|grep $1 >/dev/null ) && echo "Process $PID (`cat /proc/$PID/status |grep Name |tr -d 'Name: '`) is openning $1;";

done

在我系统上的输出:

代码:

[elly@frost.llnl]/tmp# ./pfile.sh

Usage: pfile.sh filename(absolute path)

[elly@frost.llnl]/tmp# ./pfile.sh access_log

Process 109 (httpd) is openning access_log;

Process 110 (httpd) is openning access_log;

Process 112 (httpd) is openning access_log;

Process 113 (httpd) is openning access_log;

Process 116 (httpd) is openning access_log;

Process 99 (httpd) is openning access_log;

目标文件名可以使用相对或绝对路径,甚至可以只输入半个文件名...当然路径越精确查找的结果也越准确。在这个例子中,很容易就可以扩展它的功能,让它实现类似lsof的功能,可以列举系统中所有正在被使用的文件。好啦,我们做一个有用点的程序。

ps,每台机器上都有吧。不幸的是,在某些极端环境下,系统中的PS是不可靠的,比如,坏了...或被人替换了。

很多恶意的黑客入侵系统之后会在系统上安装一类叫rootkit的后门包,用来替换系统中ps、netstat

proc Linux proc详解

等重要程序以隐藏自己的痕迹,这个时候一般比较稳妥的办法是自己上传一份可靠的系统工具包,或者静态编译的工具包。[www.61k.com)当然,也可以用这个土办法,直 接从procfs里读取信息。(如果是比较高明的黑客,使用LKM等内核后门那这个就没有用了哦)

范例:懒人的ps,就叫它lps吧。

代码:

#!/bin/bash

PS=`ls /proc/*[0-9]*|grep :` ;

PSList=`echo $PS |tr -d '/proc' |tr -d ':' |sort `;

echo -e "PID PPID UID GID STAT MEM TTY CMD"

for PID in $PSList

do

test -e /proc/$PID && sPID=`cat /proc/$PID/status |grep ^Pid: |awk '{print $2}'`

&& sPPID=`cat /proc/$PID/status |grep ^PPid: |awk '{print $2}'`

扩展:linux proc详解 / proc cpuinfo 详解 / proc meminfo 详解

&& sTTY=`ls -alF /proc/$PID/fd |grep /dev/ |awk '{print $11}' |grep ty |head -n 1`

&& sUID=`cat /proc/$PID/status |grep ^Uid: |awk '{print $2}'`

&& sGID=`cat /proc/$PID/status |grep ^Gid: |awk '{print $2}'`

&& sSTAT=`cat /proc/$PID/status |grep ^State: |awk '{print $2 $3}'`

&& sMEM=`cat /proc/$PID/status |grep ^VmSize: |awk '{print $2 $3}'`

&& if [ -e /proc/$PID/exe ]

then

sCMD=`ls -alF /proc/$PID/exe |awk '{print $11}' |tr -d '$*' `

else

sCMD=`cat /proc/$PID/status |grep ^Name: |awk '{print $2}'`

sCMD="[ $sCMD ]"

fi

echo -e "$sPID $sPPID $sUID $sGID $sSTAT $sMEM $sTTY $sCMD"

done

简要介绍,这个lps或列举系统中自身进程(lps)之外的所有进程,然后读取和显示他们的八项属性,依次是:进程ID(PID) 父进程ID(PPID) 属主UID(UID) 属主GID(GID) 当前状态 占用内存 运行终端 完全执行路径。

在显示格式参考了Linux标准ps输出的一部分,例如某些系统线程没有可执行文件的,就会显示他们的内核名字,例如[ ksoftirqd_CPU0 ] 。

懒人的PS中没有任何参数,你也可以扩展它的功能,使之能支持按照进程树状显示等等。 在我系统上的输出:

代码:

[elly@frost.llnl]/tmp# ./lps.sh

PID PPID UID GID STAT MEM TTY CMD

1 0 0 0 S(sleeping) 1116kB /sbin/init

101 1 0 0 S(sleeping) 2168kB /usr/local/sbin/sshd

109 99 99 99 S(sleeping) 6100kB /usr/local/apache/bin/httpd

110 99 99 99 S(sleeping) 6100kB /usr/local/apache/bin/httpd

112 99 99 99 S(sleeping) 6100kB /usr/local/apache/bin/httpd

113 99 99 99 S(sleeping) 6100kB /usr/local/apache/bin/httpd

116 99 99 99 S(sleeping) 6100kB /usr/local/apache/bin/httpd

proc Linux proc详解

118 1 0 0 S(sleeping) 1656kB /bin/bash

119 1 0 0 S(sleeping) 1648kB /bin/bash

120 1 0 0 S(sleeping) 1648kB /bin/bash

128 1 0 0 S(sleeping) 2224kB /dev/tty1 /bin/login

1283 3113 0 0 S(sleeping) 1512kB /dev/ttyp0 /bin/vi

129 1 0 0 S(sleeping) 1136kB /dev/tty2 /sbin/getty

130 1 0 0 S(sleeping) 1136kB /dev/tty3 /sbin/getty

131 1 0 0 S(sleeping) 1136kB /dev/tty4 /sbin/getty

135 1 0 0 S(sleeping) 1136kB /dev/tty5 /sbin/getty

136 1 0 0 S(sleeping) 1136kB /dev/tty6 /sbin/getty

137 1 0 0 S(sleeping) 1140kB /dev/ttyS0 /sbin/getty

15329 3112 0 0 S(sleeping) 1792kB /dev/ttyp1 /bin/bash

2 1 0 0 S(sleeping) [ keventd ]

256 128 0 0 S(sleeping) 1712kB /dev/tty1 /bin/bash

3 1 0 0 S(sleeping) [ ksoftirqd_CPU0 ]

3112 101 0 0 S(sleeping) 2452kB /dev/ptyp1 /usr/local/sbin/sshd 3113 3112 0 0 S(sleeping) 1728kB /dev/ttyp0 /bin/bash

3872 120 0 0 S(sleeping) 1084kB /bin/sleep

4 1 0 0 S(sleeping) [ kswapd ]

4 1 0 0 S(sleeping) [ kswapd ]

4 1 0 0 S(sleeping) [ kswapd ]

4089 15329 0 0 S(sleeping) 1664kB /dev/ttyp1 /bin/bash

4089 15329 0 0 S(sleeping) 1664kB /dev/ttyp1 /bin/bash

5 1 0 0 S(sleeping) [ bdflush ]

6 1 0 0 S(sleeping) [ kupdated ]

99 1 0 0 S(sleeping) 6016kB /usr/local/apache/bin/httpd

Solaris上有/usr/proc/bin工具集,里面的ptree和pmap很是好用,甚至比本来的ps还好:P可惜Linux上是没有的,现在你可以自己写一个,用来综合显示更多的进程状态。[www.61k.com]

代码:

#!/bin/bash

#PROC=`mount |grep 'type proc'|awk '{print $3}'`

test $1 || { echo "Usage: pstat.sh PID" && exit };

PID=$1;

echo "Process $1 Status...";

echo "......................";

echo

cat /proc/$PID/status|grep ^Name:

cat /proc/$PID/status|grep ^Pid:

cat /proc/$PID/status|grep ^PPid:

cat /proc/$PID/status|grep ^Uid:

cat /proc/$PID/status|grep ^Gid:

cat /proc/$PID/status|grep ^State:

cat /proc/$PID/status|grep ^VmSize:

扩展:linux proc详解 / proc cpuinfo 详解 / proc meminfo 详解

echo

proc Linux proc详解

CMD=`ls -alF /proc/$PID/exe |awk '{print $11}' |tr -d '$*'`;echo "Command path: $CMD"; ARG=`cat /proc/$PID/cmdline`;echo "Command line: $ARG";

CWD=`ls -alF /proc/$PID/cwd |awk '{print $11}'`;echo "CWD: $CWD";

echo

ENVI=`cat /proc/$PID/environ`;echo "ENVIRON: $ENVI";

echo

echo

echo "Process shared object:";

echo "......................";

cat /proc/$PID/maps |grep $CMD |grep xp;

cat /proc/$PID/maps |grep .so |grep xp;

echo

echo

echo "Process used file:";

echo "......................";

ls -alF /proc/$PID/fd |grep '->' |awk '{print $11}' |sort |uniq -c |sort -rn ;

echo

这个程序叫pstat.sh,可以显示进程的综合信息。[www.61k.com)输出分为四段,分别是进程状态(包含父子进程关系、进程信任状以及内存占用),执行环境(包含进程执行程序,命令行参数和环境变量),进程执行对象(包含进程执行体和引用的共享库),最后是进程打开的 所有文件。

代码:

[elly@frost.llnl]/tmp# ./pstat.sh

Usage: pstat.sh PID

[elly@frost.llnl]/tmp# ./pstat.sh 7238

Process 7238 Status...

......................

Name: vi

Pid: 7238

PPid: 3113

Uid: 0 0 0 0

Gid: 0 0 0 0

State: S (sleeping)

VmSize: 1648 kB

Command path: /bin/vi

Command line: vi

CWD: /usr/

ENVIRON: USERNAME=root

Process shared object:

......................

08048000-08098000 r-xp 00000000 03:01 3891 /bin/vi

40000000-40013000 r-xp 00000000 03:01 3942 /lib/ld-2.1.3.so

40016000-40019000 r-xp 00000000 03:01 4002 /lib/libtermcap.so.2.0.8

4001a000-40107000 r-xp 00000000 03:01 3949 /lib/libc-2.1.3.so

4010f000-40117000 r-xp 00000000 03:01 3981 /lib/libnss_files-2.1.3.so

proc Linux proc详解

Process used file: ...................... /dev/ttyp0 /etc/motd

扩展:linux proc详解 / proc cpuinfo 详解 / proc meminfo 详解

本文标题:linux命令使用详解-linux下ping命令使用详解
本文地址: http://www.61k.com/1121375.html

61阅读| 精彩专题| 最新文章| 热门文章| 苏ICP备13036349号-1