DTrace

Процесс написания скрипта на языке DTrace - D - очень прост. После того, как вы выяснили, за чем вы хотели бы проследить в системе, нужно просто указать эти критерии в виде простейших фильтров проб, и подсказать, что делать DTrace, когда в процессе отладки попадается что-то удовлетворяющее критериям этих фильтров.

Начнём с простейшего: в DTrace есть две пробы, которые очень легко запомнить. В то же время, они бывают очень полезными при написании сложных d-скриптов. Называются эти пробы BEGIN и END, и исполняются они, как видно из названия, перед началом отладки и по её завершению.

Как видно из примера ниже, синтаксис у языка D прост, понятен и многим знаком по другим языкам программирования:



Если сохранить этот текст в файл, то позже его можно скормить команде dtrace в помощью ключика -s:

dtrace -s ./try.d

А результатом выполнения такой команды будет следующее:


Первое поле - CPU - указывает процессор, на котором сработала та или иная проба DTrace. В данном случае мы пытались поймать встроенные пробы BEGIN и END, и потому они поймались на том же процессоре, который исполнял команду dtrace - 0.

Поле ID - это числовой код проб BEGIN и END, и если вернуться к предыдущей записи в блоге - Пробы в DTrace, то в таблице всех проб, доступных для использования, первыми стоят именно пробы BEGIN и END, под номерами 1 и 2.

Ну и последнее поле выводит имя той пробы, которая сработала. И если в теле процедуры обработки пробы есть какие-то операции, они будут выполнены. В нашем случае там стоят printf'ы, которые и выводят сообщения Hello, world и The End.

С такой же лёгкостью можно ловить какие угодно пробы! Например, следующий пример будет ловить всё новые случаи выполнения системного вызова write и указывать, какой процесс его запросил - pid и execname это встроенные переменные DTrace, я позже расскажу о них подробнее.

Итак, наш новый скрипт try.d, я для удобства не стал убирать из него BEGIN и END, чтобы была возможность сравнить и убедиться, что добавление любой другой пробы ничуть не сложнее. Как я уже говорил, можно отследить моменты входа и выхода из системного вызова - я в этом примере слежу за точками входа (entry):



Результатом будет бесконечная таблица, похожая на приведённую ниже. Вам следует нажать Ctrl+C чтобы прервать трассировку.



Видите, как просто и понятно получается отлаживать работающую систему? Сразу становится видно, что за эти несколько секунд, что я ждал, к системному вызову write прибегли: собственно dtrace (потому что вывод данных производил), rxvt (терминал), mozilla-bin (браузер, естессно) и icewm - мой оконный менеджер.

С таким же успехом можно вместо syscall::write:entry указать любую другую маску для проб DTrace.
Вот лишь несколько вариантов:

syscall::write:return - отслеживать лишь выходы из вызовов write
syscall::write: - отслеживать и входы, и выходы из вызовов write
syscall::: - отслеживать входы и выходы всех системных вызовов

Раз уж начал потихоньку рассказывать про DTrace, попробую самого простого не упускать тоже.

DTrace позволяет отлаживать любые процессы в Solaris 10, посредством проб. В ядро системы встроены модули, которые называются провайдеры - и каждый из них позволяет отлаживать какую-то область операционной системы.

Скажем, есть провайдер syscall, который позволяет отслеживать системные вызовы. Есть провайдеры sysinfo или vminfo, о функциональности которых можно догадаться из названия... И так далее.

Так вот, каждый провайдер предоставляет DTrace список проб - тех точек перехвата, где провайдер может отдать DTrace какую-то статистику. Скажем, для syscall пробами будут все системные вызовы, которые можно отслеживать с его помощью - read, write, wait, exec - вернее даже, те точки их выполнения, которые данный провайдер позволить отследить. Обычно это момент входа в системный вызов (entry) и возврата после его выполнения (return).

Чтобы просмотреть список всех провайдеров и всех проб, доступных DTrace, следует использовать такую команду:

dtrace -l



Весь список здесь приводить не стану - он просто огромен - у меня он занимает 36654 строки.

Есть ещё один очень полезный вариант команды, который позволяет найти конкретный системный вызов с целью выяснения, каким провайдером он предоставляется:

dtrace -l -f read



Из результата выполнения команды сразу же видно, что несколько провайдеров предоставляют возможность перехватывать их функции с именем read. Причём, если бы мы сделали dtrace -l | grep read, то было бы гораздо больше результатов, потому что есть очень много функций, в названии которых включается это слово.

Данный вариант вызова команды позволяет отследить, какие именно системные вызовы выполняются определённым процессом. Или целой их кучей, если делать выборку по символьному имени, а не по PIDам...

Такакя вот строчка покажет статистику системных вызовов X-сервера Xorg за каждые 5 секунд:
dtrace -n 'syscall:::entry /execname == "Xorg"/ {@[probefunc] = count(); } tick-5sec {printa(@); clear(@);}'



pS: как-нибудь чуть попозже соберусь и всё-таки напишу подробнее, что такое DTrace и язык D.

Потихоньку привыкаю использовать DTrace в повседневной работе...

Например, вот начало элементарного анализа. Система чем-то постоянно занята, и нужно попытаться найти, кто же виноват. Как? Вот одно из возможных решений - просто посмотреть, кто за конкретный промежуток времени (в нашем случае - 5 секунд) делает больше всего системных вызовов... И сразу становится понятно, что это всё Java VM, которая как раз сейчас работает со сложным графическим апплетом. Ну а терминалы rxvt так много насчитали потому, что мы строим список по названию команд, а у меня на машине открыто штук 40 терминалов, и все они, естественно, rxvt - т.е. если бы я по PID делал сортировку, они все были бы отдельно.

Итак, команда:
dtrace -n syscall:::entry'{@[execname] = count()} tick-5sec {printa(@); clear(@);}'

А результат её - каждые пять секунд мы будем видить что-нибудь вроде этого: