1 关于/proc
/proc是一个内存文件系统,它保存了系统运行的信息,比如,系统启动时间、内存使用率等,同时,对于每个进程,都会有一个目录保存该进程的信息。
2 进程的基本信息
这里不会列出所有的文件,只列出部分文件:
- cmdline:命令行,注意:命令行中的空格会以空字符表示,因此,如果是程序读取命令行时,需要读取整个文件,然后遍历所有字符,将空字符转换为空格
- comm:进程名
- cwd:当前工作目录,是个软链接,指向实际的路径
- environ:环境变量
- exe:进程启动的二进制,也是个软链接,指向实际的文件路径
- fd:进程打开的文件描述符,每个描述符也是个软链接,指向打开的文件,如果涉及到socket,则会显示socket的inode号
- fdinfo/:进程打开文件时的一些属性
- limits:进程的资源限制,内容与
ulimit -a类似 - maps:内存占用的地址空间以及对应的文件
- root:根路径
- stack:进程的堆栈
- stat:进程的状态信息,包括ppid、进程名、进程启动时间等
- status:进程的一些参数信息,包括uid、gid、虚拟内存、capability等
- task/:进程的子线程,每个子目录就是一个线程的信息
3 进程的容器相关信息
进程的信息中跟容器相关的主要有两个:
- 容器ID:container_id
- 进程在容器中的pid:nspid
如果是容器中的进程,在/proc/pid/cgroup中可以看到容器ID:
-bash-4.2# cat /proc/10135/cgroup
11:hugetlb:/docker/9078ff447fb7ade9339bea248a38b8dad1f1745f197d1a10a3c7097a088be5e8
10:cpuacct,cpu:/docker/9078ff447fb7ade9339bea248a38b8dad1f1745f197d1a10a3c7097a088be5e8
9:perf_event:/docker/9078ff447fb7ade9339bea248a38b8dad1f1745f197d1a10a3c7097a088be5e8
8:freezer:/docker/9078ff447fb7ade9339bea248a38b8dad1f1745f197d1a10a3c7097a088be5e8
7:memory:/docker/9078ff447fb7ade9339bea248a38b8dad1f1745f197d1a10a3c7097a088be5e8
6:devices:/docker/9078ff447fb7ade9339bea248a38b8dad1f1745f197d1a10a3c7097a088be5e8
5:pids:/docker/9078ff447fb7ade9339bea248a38b8dad1f1745f197d1a10a3c7097a088be5e8
4:cpuset:/docker/9078ff447fb7ade9339bea248a38b8dad1f1745f197d1a10a3c7097a088be5e8
3:net_prio,net_cls:/docker/9078ff447fb7ade9339bea248a38b8dad1f1745f197d1a10a3c7097a088be5e8
2:blkio:/docker/9078ff447fb7ade9339bea248a38b8dad1f1745f197d1a10a3c7097a088be5e8
1:name=systemd:/docker/9078ff447fb7ade9339bea248a38b8dad1f1745f197d1a10a3c7097a088be5e8
这里面是每个cgroup的路径,每行的最后的64个字符组成的串就是容器ID,执行docker ps --no-trunc可以看到该容器ID对应的容器。
nspid的获取跟内核版本相关:
- 如果内核版本小于4.1,则只能通过容器中的进程的nspid的sched得到宿主机的pid,也就是说,需要进入到容器,然后
- 如果内核版本大于或者等于4.1,可以读取/proc/pid/status,其中有一行以Nspid开头,一般只有两个值,第一个值是该进程在宿主机上的pid,第二个值是该进程在容器中的pid,也就是nspid
-bash-4.2# docker exec -it 9078ff447fb7ade9339bea248a38b8dad1f1745f197d1a10a3c7097a088be5e8 sh
sh-3.2# cat /proc/1/sched
bash (10135, #threads: 1)
-------------------------------------------------------------------
上面就是进入到容器中,然后查看nspid为1的进程的sched文件就可以查询到该进程在宿主机上的pid,但是无法在宿主机上查询到容器中的nspid。
4 进程的网络相关信息
/proc/pid/fd目录是程序中使用的文件描述符,如果打开的是文件,则指向文件,如果打开的是设备,则指向设备文件,如果打开的是网络,也就是socket,指向的则是一个inode:
-bash-4.2# ls -l /proc/1/fd
total 0
lrwx------. 1 root root 64 Nov 16 17:34 0 -> /dev/null
lrwx------. 1 root root 64 Nov 16 17:34 1 -> /dev/null
lrwx------. 1 root root 64 Nov 16 17:37 100 -> socket:[39232]
lrwx------. 1 root root 64 Nov 16 17:37 101 -> socket:[36748]
如上所示,100和101分别指向socket,如何根据socket的inode获取连接信息呢?
/proc/pid/net中是进程的网络相关数据,里面会按照协议分类展示出数据,需要注意的是,有些协议是全局的,但是也会在这里有对应的数据,例如,arp是全局的,/proc/pid/net/arp是当前进程使用的arp信息,可以发现所有进程的该文件内容都是一样的。
/proc/pid/net常见的内容有:
- arp:arp -a
- netlink:netlink的连接
- route:route -n
- tcp/tcp6:TCP的ipv4和ipv6连接
- udp/udp6:UDP的ipv4和ipv6连接
- unix:unix套接字的连接
/proc/pid/net/tcp的文件格式类似以下结构:
sl local_address rem_address st tx_queue rx_queue tr tm->when retrnsmt uid timeout inode 0: 00000000:006F 00000000:0000 0A 00000000:00000000 00:00000000 00000000 0 0 22741 1 ffff9ef170b80000 100 0 0 10 0 1: 0100007F:8892 00000000:0000 0A 00000000:00000000 00:00000000 00000000 0 0 84466 1 ffff9ef170b826c0 100 0 0 10 0 2: 017AA8C0:0035 00000000:0000 0A 00000000:00000000 00:00000000 00000000 0 0 37480 1 ffff9ef164f38000 100 0 0 10 0
这里面比较重要的就是local_address和rem_address,分别以十六进制显示本地和远端的IP地址和端口,后面还有个字段是inode,就对应/proc/1/fd中的inode,另外的tcp、udp、netlink也可以通过一样的方式找到对应的连接的具体信息。
5 总结
/proc/pid中包含了进程的许多信息,这些信息可以供用户查看,也可以供程序读取,程序可以从这里获取到进程的文件、网络等信息并进行分析,但是,频繁读取也可能影响业务性能。
 C++代码)
)
)
