超级会员免费看
一、背景
在编写内核态系统监控代码时,有时候为了调试的便捷性,不仅要拿到异常事件有关的线程id,进程id和父进程id,还需要拿到当前进程和父进程的comm和cmdline。主要有几下几个原因:
1)单纯的pid或者tgid其信息本身并不能给我们多少线程有关的有效信息,除了一些系统的内核线程的pid是固定的以外,其他的线程的pid都是每次运行会发生变化的,这些信息如果不配合其他的监控信息就不能独立作为详细的调试依据
2)如果仅仅是获取comm也就是不带上args参数(cmdline当然是带上args参数的完整的命令)的话,那么其信息一般也是非常有限的,因为启动程序如果不是fork运行的话,都是要通过shell来解释运行,这时候该进程一开始运行的时候comm就继承了父进程的comm也就是bash,什么具体信息也提供不了,当然后面通过泛exec的系统调用变成了实际运行的程序以后,光一个程序名字有时候信息还是不够的,比如如果是运行一个脚本,如执行sudo python3 xxx,其实它是父子两个进程,父进程的comm是sudo,子进程的comm是python3,那么这时候如果只是抓comm信息的话,就算也同时抓父进程的comm,那也只能拿到sudo和comm这两个名字,也不知道到底运行的什么python3脚本。如下截图:
但如果去捞cmdline信息的话,你就能拿到详细的信息,能大致知道是跑的什么程序:
订阅专栏 解锁全文
扫一扫
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
