Linux里面ps - ef是查看ps卡在进程了怎么办的吗？

点击联系发帖人 时间：2022-11-22 00:41

ps卡在进程了怎么办

要对进程进行监测和控制，首要有必要要了解当时进程的情况,也便是需求检查当时进程，ps指令便是最基本进程检查指令。运用该指令可以确定有哪些进程正在运转和运转的状况、进程是否完毕、进程有没有僵尸、哪些进程占用了过多的资源等等.总之大部分信息都是可以经过履行该指令得到。
ps是显现瞬间进程的状况，并不动态连续；假如想对进程进行实时监控应该用top指令。
-A：一切的进程均显现出来，与-e具有同样的功效；
-a：显现现行终端机下的一切进程，包括其他用户的进程；
-u：以用户为主的进程状况；
x：通常与a这个参数一同运用，可列出较完好信息。
l：较长、较具体的将该PID的的信息列出；
-f：做一个更为完好的输出。
下面咱们就来一个指令进行实践，看看不同的参数都有些什么效果。
2.不加参数履行ps指令会输出什么？
这是一个基本的ps运用，咱们来看看控制台中履行这个指令并检查成果。
成果默认会显现4列信息：
PID:运转着的指令(CMD)的进程编号
TTY:指令所运转的位置（终端）
TIME:运转着的该指令所占用的CPU处理时刻
CMD:该进程所运转的指令
这些信息在显现时未排序。
3.怎么显现一切当时进程？
运用-a参数，-a代表all。一同加上x参数会显现没有控制终端的进程。
这个指令的成果或许会很长。为了便于检查，可以结合less指令和管道来运用。
4.怎么依据进程的用户进行信息过滤呢？
在需求检查特定用户进程的情况下，咱们可以运用-u参数。比方咱们要检查用户’pungki’的进程，可以经过下面的指令：
5.怎么经过cpu和内存运用来过滤进程？
也许你希望把成果依照CPU或许内存用量来筛选，这样你就找到哪个进程占用了你的资源。要做到这一点，咱们可以运用aux参数，来显现全面的信息:
当成果很长时，咱们可以运用管道和less指令来筛选。
默认的成果集是未排好序的。可以经过–sort指令来排序。
5.1依据CPU运用率来升序排序
5.2依据内存运用率来升序排序
5.3咱们也可以将它们合并到一个指令，并经过管道显现前10个成果：
6.怎么经过进程名和PID进行过滤呢？
运用-C参数，后边跟你要找的进程的名字。比方想显现一个名为getty的进程的信息，就可以运用下面的指令：
假如想要看到更多的细节，咱们可以运用-f参数来检查格局化的信息列表：
7.怎么依据线程来过滤进程呢？
假如咱们想知道特定进程的线程，可以运用-L参数，后边加上特定的PID。
8.怎么树形的显现进程？
有时候咱们希望以树形结构显现进程，可以运用-axjf参数。
或许可以运用另一个指令。
9.怎么显现安全信息？
假如想要检查现在有谁登入了你的服务器。可以运用ps指令加上相关参数:
参数-e显现一切进程信息，-o参数控制输出。Pid,User和Args参数显现PID，运转应用的用户和该应用。
10.怎么格局化输出root用户（实在的或有用的UID）创立的进程？
体系管理员想要检查由root用户运转的进程和这个进程的其他相关信息时，可以经过下面的指令:
-U参数按实在用户ID(RUID)筛选进程，它会从用户列表中选择实在用户名或ID。实在用户即实际创立该进程的用户。
-u参数用来筛选有功效户ID（EUID）。
这里有上面的指令的输出成果：
11.怎么运用PS实时监控进程状况？
ps指令会显现你体系当时的进程状况，可是这个成果是静态的。
当有一种情况，咱们需求像上面第四点中说到的经过CPU和内存的运用率来筛选进程，并且咱们希望成果可以每秒改写一次。为此，咱们可以将ps指令和watch指令结合起来。
假如输出太长，咱们也可以限制它，比方前20条，咱们可以运用head指令来做到。
这里的动态检查并不像top或许htop指令相同。可是运用ps的好处是你可以定义显现的字段，你可以选择你想检查的字段。
举个比如，假如你只需求看名为’pungki’用户的信息，你可以运用下面的指令：
你也许每天都会运用ps指令来监控你的Linux体系。可是事实上，你可以经过ps指令的参数来生成各种你需求的报表。
ps指令的另一个优势是ps是各种Linux体系都默认装置的，因而你只要用就行了。不要忘了经过manps来检查更多的参数。

Linux下显现体系进程的指令ps，最常用的有ps-ef和psaux。这两个到底有什么区别呢？两者没太大不同，讨论这个问题，要追溯到Unix体系中的两种风格，SystemＶ风格和BSD风格，psaux最初用到UnixStyle中，而ps-ef被用在SystemVStyle中，两者输出略有不同。现在的大部分Linux体系都是能够一起运用这两种方法的。
ps-ef是用标准的格局显现进程的、其格局如下：
其间各列的内容意思如下
UID//用户ID、但输出的是用户名
C//进程占用CPU的百分比
STIME//进程发动到现在的时刻
TTY//该进程在那个终端上运转，若与终端无关，则显现?若为pts/0等，则表明由网络连接主机进程。
CMD//指令的称号和参数
psaux是用BSD的格局来显现、其格局如下：
同ps-ef不同的有列有
%MEM//占用内存的百分比
VSZ//该进程运用的虚拟內存量（KB）
RSS//该进程占用的固定內存量（KB）（驻留中页的数量）
START//该进程被触发发动时刻
TIME//该进程实际运用CPU运转的时刻
其间STAT状况位常见的状况字符有
D//无法中断的休眠状况（通常IO的进程）；
R//正在运转可中在队列中可过行的；
W//进入内存交换（从内核2.6开始无效）；
X//死掉的进程（基本很少见）；
<//优先级高的进程
N//优先级较低的进程
L//有些页被锁进内存；
s//进程的领导者（在它之下有子进程）；
+//位于后台的进程组；

}

了解进程的时候先来了解几个问题，明白以下问题，就懂了进程的概念

1.什么是程序，什么是进程，两者之间的区别？

程序是静态的概念，gcc xxx.c -o pro 磁盘中生成pro文件，叫做程序程序如：电脑上的图标
进程是程序的一次运行活动，通俗点说就是程序跑起来了，系统中就多了一个进程

2.如何查看系统中有哪些进程？

使用ps指令查看： ps-aux 在ubuntu下查看，在实际工作中，配合grep来查找程序中是否存在某一个进程

2.使用top指令查看，类似windows任务管理器

3.什么是进程标识符？

每一个进程都有一个非负整数表示的唯一ID，叫做pid，类似身份证

pid =0 ：称为交换进程（swapper）作用：进程调度pid=1 ：init 进程作用：系统初始化

编程调用getpid函数获取自身的进程标识符;

getppid获取父进程的进程标识符;

Linux内核启动之后，会创建第一个用户级进程init，由上图可知， init 进程 (pid=1) 是除了 idle 进程(pid=0，也就是 init_task) 之外另一个比较特殊的进程，它是 Linux 内核开始建立起进程概念时第一个通过 kernel_thread 产生的进程，其开始在内核态执行，然后通过一个系统调用，开始执行用户空间的

5.什么叫父进程，什么叫子进程？

进程A创建了进程B，那么A叫做父进程，B叫做子进程，父进程是相对的概念，理解为人类中的父子关系

6. c程序的存储空间是如何分配的？

gcc xxx.c -o a.out 当执行 ./a.out 时候，操作系统会划分一块内存空间，如何分配呢？如下图：

【文章福利】：小编整理了一些个人觉得比较好的学习书籍、视频资料共享在群文件里面，有需要的可以自行添加哦！~（需要自取）

二、创建进程函数fork的使用

fork函数调用成功，返回两次返回值为0 ，代表当前进程是子进程返回值非负数，代表当前进程为父进程调用失败，返回-1

打印出了两遍 my pid 说明，有了两个进程！执行了两次打印pid

2. 查看父进程/子进程代码：

父子进程都会进入if 中，但是输出结果会不同在fork之前的pid 是8915 是父进程，fork之后pid是子进程 8916

3. 用返回值来判断父/子进程代码(1)：

返回值为0 ，代表当前进程是子进程返回值非负数，代表当前进程为父进程

4. 用返回值来判断父子进程代码(2)：

三、进程创建后发生了什么事？

1 在内存空间中fork后发生了什么？

四、创建新进程的实际应用场景

1. fork创建子进程的一般目的：

一个父进程希望复制自己，使父、子进程同时执行不同的代码段。这在网络服务进程中是常见的——父进程等待客户端的服务请求。当这种情求达到时，父进程调用fork，使子进程处理此请求。父进程则继续等待下一个服务请求到达。
一个进程要执行一个不同的程序。这对shell是常见的情况，在这种情况下子进程从fork返回后立即调用exec。

2. 模拟socket 创建进程（服务器对接客户端的应用场景）示例代码：

输入非1时候，模拟没有客户端进行交互

输入1时候，模拟有客户端进行交互，创建子进程来进行交互，子进程号为：9756

模拟多个客户端进行交互时，创建多个子进程来进行交互，子进程号为：9756 / 9758 / 9759

一个现有进程可以调用fork函数创建一个新进程。

process)。fork函数被调用一次，但返回两次。两次返回的唯一区别是子进程的返回值是0，而父进程的返回值则是新子进程的进程ID。将子进程ID返回给父进程的理由是：因为一个进程的子进程可以有多个，并且没有一个函数使一个进程可以获得其所有子进程的进程ID。fork使子进程得到返回值0的理由是：一个进程只会有一个父进程，所以子进程总是可以调用getppid以获得其父进程的进程ID（进程ID0总是由内核交换进程使用，所以一个子进程的进程ID不可能为0)。
子进程和父进程继续执行fork调用之后的指令。子进程是父进程的副本。例如，子进程获得父进程数据空间、堆和栈的副本。注意，这是子进程所拥有的副本。父、子进程并不共享这些存储空间部分。父、子进程共享正文段。由于在fork之后经常跟随着exec，所以现在的很多实现并不执行一个父进程数据段、栈和堆的完全复制。作为替代，使用了写时复制（Copy-On-Write，COW)技术。这些区域由父、子进程共享，而且内核将它们的访问权限改变为只读的。如果父、子进程中的任一个试图修改些区域，则内核只为修改区域的那块内存制作一个副本，通常是虚拟存储器系统中的一“页”。Bach和McKusick等对这种特征做了更详细的说明。

五、vfork创建进程

1. vfork函数也可以创建进程，与fork有什么区别？

关键区别一：vfork直接使用父进程存储空间，不用拷贝关键区别二：vfork保证子进程先运行，当子进程调用exit退出后，父进程才执行

vfork保证子进程先运行，当子进程调用3次 exit退出后，父进程才执行

4. 子进程改变cnt值，在父进程运行时候也被改变

六、ps 常带的一些参数

下面对ps命令选项进行说明：

显示终端上的所有进程，包括其他用户的进程。

只显示正在运行的进程。

以用户为主的格式来显示程序状况。

显示所有程序，不以终端机来区分。

ps -ef 显示所有进程，全格式形式查看进程：

ps -ef 的每列的含义是什么呢？

程序被该 UID 所拥有，指的是用户ID

PID的上级父进程的ID

CPU使用的资源百分比

使用掉的 CPU时间。

进程调用exit()，标准c库

当进程收到某些信号时候，如ctrl+C
最后一个线程对取消（cancellation）,请求作出响应

不管进程如何终止，最后都会执行内核中的同一段代码。这段代码为相应进程关闭所有打开描述符，释放它所使用的存储器等。
对上述任意一种终止情形，我们都希望终止进程能够通知其父进程它是如何终止的。对于三个终止函数（exit、_exit和_Exit），实现这一点的方法是，将其退出状态作为参数传送给函数。【如上面示例里面写到的cnt==3情况下，exit(0); 这个0就是子进程退出状态。】在异常终止情况下，内核（不是进程本身）产生一个指示其异常终止原因的终止状态。在任何一种情况下，该终止进程的父进程都能用wait或者waitpid取得其终止状态。

记得在结束子进程的时候要手动退出，不要使用break；会导致数据被破坏。三种退出函数种，更推荐exit(); exit是 _exit 和_Exit 的一个封装, 会清除，冲刷缓冲区，把缓存区数据进程处理在退出。

==为什么要等待子进程退出？==

创建子进程的目的就是为了让它去干活，在网络请求当中来了一个新客户端介入，创建子进程去交互，干活也要知道它干完没有.比如正常退出（exit/_exit /_Exit）为完成任务若异常退出（abort）不想干了，或被杀了

所有要等待子进程退出，而且还要收集它退出的状态等待就是调用wait函数和 waitpid函数

子进程退出状态不被收集，会变成僵死进程（僵尸进程）

正如以下例子，就是子进程退出没有被收集，成了僵尸进程：

运行三次子进程后，退出，父进程一直运行

结果：在查看进程时发现，父进程11314正在运行 “S+” 而子进程11315 停止运行 “z+” z表示zombie（僵尸）

4. 等待函数：wait(状态码); 的使用：

如果其所有子进程都还在运行，则阻塞。：通俗的说就是子进程在运行的时候，父进程卡在wait位置阻塞，等子进程退出后，父进程开始运行。
如果一个子进程已终止，正等待父进程获取其终止状态，则会取得该子进程的终止状态立即返回。
如果它没有任何子进程，则立即出错返回。

status参数：是一个整型数指针非空：子进程退出状态放在它所指向的地址中。空：不关心退出状态

若为正常终止子进程返回的状态，则为真。对于这种情况可执行WEXITSTATUS（status），取子进程传送给exit、_exit 或_Exit参数的低8位

若为异常终止子进程返回的状态，则为真（接到一个不捕捉的信号）。对于这种情况，可执行WTERMSIG(status),取使子进程终止的信号编号。另外，有些实现（非Single UNIX Specification）宏义宏WCOREDUMP（status），若已产生终止进程的core文件，则它返回真

若为当前暂停子进程的返回的状态，则为真，对于这种情况，可执行WSTIOPSIG（status），取使子进程暂停的信号编号

若在作业控制暂停后已经继续的子进程返回了状态，则为真。（POSIX.1的XSI扩展，仅用于waitpid。）

5. 收集退出进程状态

没有了11567子进程，这样就不是僵尸进程了

收集子进程退出状态示例代码：

6. 等待函数：waitpid（）的使用；

wait使父进程（调用者）阻塞，waitpid有一个选项，可以使父进程（调用者）不阻塞。

对于waitpid函数种pid参数的作用解释如下：

等待任一子进程。就这一方面而言，waitpid与wait等效。
等待其进程ID与pid相等的子进程。
等待其组ID等于调用进程组ID的任一子进程
等待其组ID等于pid绝对值的任一子进程。

若实现支持作业控制，那么由pid指定的任一子进程在暂停后已经继续，但其状态尚未报告，则返回其状态（POSIX.1的XSI扩展）
若由pid指定的子进程并不是立即可用的，则waitpid不阻塞，此时其返回值为0；
若某实现支持作业控制，而由pid指定的任一子进程已处于暂停状态。

waitpid 来使得父进程不阻塞代码：

子进程和父进程同时进行

但是发现子进程12275 在系统查询进程中还是变成了僵尸进程原因是 ==WNOHANG是不等待参数，它只运行一遍== ，当他运行时候，子进程没死，等子进程死后，他没运行，就没有收到停止状态，所以成了僵尸进程。

1. 孤儿进程的概念：

父进程如果不等待子进程退出，在子进程结束前就了结束了自己的“生命”，此时子进程就叫做孤儿进程。

Linux避免系统存在过多孤儿进程，init进程收留孤儿进程，变成孤儿进程的父进程【init进程(pid=1)是系统初始化进程】。init 进程会自动清理所有它继承的僵尸进程。

父进程运行结束前，子进程的父进程pid还是13098。父进程运行结束后，子进程的父进程变成了init进程( pid=1)。

我们用fork函数创建新进程后，经常会在新进程中调用exec函数去执行另外一个程序。当进程调用exec函数时，该进程被完全替换为新程序因为调用exec函数并不创建新进程，所以前后进程的ID并没有改变。

2. 为什么要用exec族函数，有什么作用？

一个父进程希望复制自己，使父、子进程同时执行不同的代码段。这在网络服务进程中是常见的——父进程等待客户端的服务请求。当这种请求到达时，父进程调用fork，使子进程处理此请求。父进程则继续等待下一个服务请求到达。
一个进程要执行一个不同的程序。这对shell是常见的情况。在这种情况下，子进程从fork返回后立即调用exec。

exec函数族提供了一种在进程中启动另一个程序执行的方法，它可以根据指定的文件名或目录名找到可执行文件，并用它来取代原调用进程的数据段、代码段和堆栈段。在执行完之后，原调用进程的内容除了进程号外，其他全部都被替换了。在调用进程内部执行一个可执行文件，可执行文件既可以是二进制文件，也可以是linux下可执行的脚本文件。【通俗理解就是执行demo1的同时，执行一半去执行demo2。】

exec函数族的函数执行成功后不会返回，调用失败时，会设置errno并返回-1，然后从原程序的调用点接着往下执行。

path ：可执行文件的路径名字arg：可执行程序所带的参数，第一个参数为可执行文件名字，没有带路径且arg必须以NULL结束。file：如果参数file中包含/，则就将其视为路径名，否则就按PATH环境变量，在它所指定的各目录中搜寻可执行文件。

exec族函数参数极难记忆和分辨，函数名中的字符会给我们一些帮助：

使用文件名，并从PATH环境寻找可执行文件

应该先构造一个指向各参数的指针数组，然后将该数组的地址作为这些函数的参数。

多了envp[]数组，使用新的环境变量代替调用进程的环境变量

先写一个带参数的程序，输入参数输出参数，在上一篇Linux文件编程里，main参数我们学过。

在执行a.out 代码一半的时候，调用上面的代码echoarg

exec函数族的函数执行成功后不会返回，调用失败时，会设置errno并返回-1，然后从原程序的调用点接着往下执行。

在执行a.out 代码一半的时候，调用上面的代码echoarg: exec函数族的函数执行成功后不会返回，调用失败时，会设置errno并返回-1，然后从原程序的调用点接着往下执行。

若要调用ech 执行一般执行ls ，同理。只需要改动

若要调用ech 执行一般执行ls-l ，同理。

带p : 可以通过环境变量PATH环境寻找可执行文件

在路径中不用写具体路径，就可以自动找到文件

5. 任何目录下执行程序

一个程序在目录下能运行，换一个目录就无法运行，如果把程序配置到环境变量里面去。

就可以在任何目录下执行程序了

一个进程要执行一个不同的程序。这对shell是常见的情况。在这种情况下，子进程从fork返回后立即调用exec。

1. 不用exec的方法： 实现功能，当父进程检查到输入为1的时候，创建子进程把配置文件的字段值修改掉。

//参数1 要找的源文件 2.“要找的字符串”

实现了当父进程检查到输入为1的时候，创建子进程把配置文件的字段值修改掉。

2. 用exec的方法： 实现功能，当父进程检查到输入为1的时候，创建子进程把配置文件的字段值修改掉。

使用execl 和 fork 结合也能做到上面结果，而且更方便，但是在 ./changdata 可执行文件存在的情况下。

system()会调用fork()产生子进程，由子进程来调用/bin/sh-c string来执行参数string字符串所代表的命令，此命令执行完后随即返回原调用的进程。在调用system()期间SIGCHLD 信号会被暂时搁置，SIGINT和SIGQUIT 信号则会被忽略。

system()函数的返回值如下：成功，则返回进程的状态值；当sh不能执行时，返回127；失败返回-1；

用system也可以做到execl的功能用system实现修改配置数值代码：

sysem运行完调用的可执行文件后还会继续执行源代码。

在编写具有SUID/SGID权限的程序时请勿使用system()，system()会继承环境变量，通过环境变量可能会造成系统安全的问题。

command: 是一个指向以NULL结束的shell命令字符串的指针。这行命令将被传到bin/sh并且使用 -c标志，shell将执行这个命令。
type： 只能是读或者写中的一种，得到的返回值（标准I/O流）也具有和type相应的只读或只写类型。如果type是”r“ 则文件指针连接到command的标准输出；如果type是”w“则文件指针连接到command的标准输入。

如果调用成功，则返回一个读或者打开文件的指针，如果失败，返回NULL，具体错误要根据errno判断

popen（）函数用于创建一个管道：其内部实现为调用fork产生一个子进程，执行一个shell以运行命令来开启一个进程这个进程必须由pclose（）函数关闭。

popen比system 在应用中的好处：==可以获取运行的输出结果==

popen函数执行完，执行结果到管道内，数据流出的时候，在管道尾部fread就可以读出执行数据，就能实现把数据读到或写到想要的缓冲区里。

结果发现：popen函数结束后，ps 输出的内容，都捕获到 ret 数组里面去了。popen可以获取运行的输出结果，可以读取也可以写入文件中。

}

tcpdump命令：监视网络接口的数据包

tcpdump命令是一款sniffer工具，是linux上的抓包工具，嗅探器；它可以打印出所有经过网络接口的数据包的头信息。
tcpdump命令工作时先要把网卡的工作模式切换到混杂模式。所以tcpdump命令需要以root身份运行。tcpdump命令是linux下使用最广泛的网络协议分析工具。使用tcpdump命令时，必须精通TCP/IP协议工作原理。

监听eth1网络接口的数据包，默认监听eth0

截取任意网卡上访问192.168.5.10，端口为80的数据包

列出所有端口(包含TCP和UDP)

}

久游无息网