1. 概述
在本教程中,我们将了解如何管理和配置coredump。我们将研究kernel.core_pattern然后我们将继续使用coredumpctl。
2. 简介
coredump是程序崩溃后由 Linux 内核自动生成的文件。该文件包含应用程序崩溃时的内存、寄存器值和调用堆栈。
3. 使用信号生成coredump
在本节中,我们将学习如何终止程序并强制其生成coredump。为此,我们将使用kill命令,它使用信号来终止应用程序。这些信号会产生coredump。
举个例子,让我们使用sleep作为无限期运行的程序:
$ sleep 500
[1] 5464
$ kill -s SIGTRAP $(pgrep sleep)
[1]+ Trace/breakpoint trap (core dumped) sleep 500
我们可以看到“core dumped”的信息表明coredump成功。我们还注意到“Trace/breakpoint trap”表示SIGTRAP信号。
现在我们已经有了这个框架,让我们看看如何配置coredump。
4. 配置coredump
有两种方法可以配置coredump。一种是通过管道传递coredump,另一种是将其存储在文件中。
主要配置参数是kernel.core_pattern。这适用于基于文件和基于管道的coredump。除了此配置参数之外,基于文件的转储还有大小限制。我们可以使用ulimit配置此大小。
我们将在以下部分中介绍这两种配置类型。
4.1. 将coredump重定向到管道
让我们看看如何配置我们的系统以通过管道生成coredump。首先,我们需要一个示例程序来从管道中提取coredump。之后,我们将配置内核以提供程序名称作为参数并将coredump提供给我们的程序。
让我们编写一个程序,如果崩溃进程处于睡眠状态,则该程序只会生成coredump:
#!/usr/bin/python2.7
# Filename: /tmp/core_dump_example.py
import sys
# Expect sys.argv to have %e configured in kernel.core_pattern
process_filename = sys.argv[1]
if process_filename == "sleep":
with open("/tmp/sleep_core_dump", "wb") as core_dump:
core_contents = bytearray(sys.stdin.read())
core_dump.write(core_contents)
在这里,我们注意到程序检查第一个参数,并且仅在包含sleep时输出coredump。让我们将其存储在/tmp/core_dump_example.py下并为其授予可执行权限。
现在,我们希望操作系统在生成coredump时调用我们的脚本。通过阅读core的手册页,我们可以通过 使用sysctl配置kernel.core_patttern 属性 来实现这一点:
$ sudo sysctl -w kernel.core_pattern="|/tmp/core_dump_example.py %e"
模式开头的管道指示操作系统应通过 stdin 将coredump的内容传递到我们的脚本。
注意末尾的%e 。%e_是一个扩展为崩溃应用程序的进程名称的模板。还有更多可用的模板,在核心手册页中进行了描述。
让我们尝试创建一个coredump:
$ sleep 500 &
[1] 8828
$ kill -s SIGTRAP $(pgrep sleep)
[1]+ Trace/breakpoint trap (core dumped) sleep 500
让我们检查一下使用 python 脚本创建的文件的签名:
$ file /tmp/sleep_core_dump
/tmp/sleep_core_dump: ELF 64-bit LSB core file, x86-64, version 1 (SYSV), SVR4-style, from 'sleep 500', real uid: 1000, effective uid: 1000, real gid: 1000, effective gid: 1000, execfn: '/usr/bin/sleep', platform: 'x86_64'
通过使用coredump上的文件,我们可以立即看到崩溃的程序是*/usr/bin/sleep。它还向我们展示了其他信息,例如启动此进程的 UID。
4.2. 将coredump重定向到文件
接下来,让我们配置我们的系统以生成coredump文件。为此, 我们将_kernel.core_pattern_设置为我们所需的文件名。使用核心手册页中的模板,我们可以修饰coredump文件名。
首先,让我们设置coredump文件名:
$ sudo sysctl -w kernel.core_pattern="/tmp/%e_core_dump.%p"
当_睡眠应用程序崩溃时,我们期望__/tmp_下出现一个具有_sleep_core_dump.pid_模式的文件。其中_%e_是程序名称,_%p_是程序的 PID。
请注意,我们可以给出文件名,而不是绝对路径。这将在崩溃进程的当前工作目录中创建一个coredump文件。
接下来,我们需要检查使用ulimit施加的任何限制。默认情况下,coredump文件有一个限制设置。ulimit****设置的这些限制不会影响基于管道的coredump处理程序。
coredump大小的单位是_块_。让我们看看每个块有多少字节:
$ stat -fc %s .
4096
使用_每块 4096 字节_,我们将限制设置为 5 MB,因为我们不希望示例生成大于 5 MB 的coredump。这可以计算为_nblocks =desired_limit / block_size_,其中desired_limit 和 block_size 均以字节为单位。5 MB 相当于 1280 个块 = (5 * 1024 * 1024) / 4096。
默认情况下,coredump的硬限制设置为_0_。要设置限制,我们必须将以下两行添加到_/etc/security/limits.conf_:
baeldung_user hard core 1280
baeldung_user soft core 1280
硬限制是系统范围的限制,软限制是基于用户的限制。软限制应小于相应的硬限制。此后我们需要重新启动。
让我们检查一下重启后coredump文件的大小限制:
$ ulimit -c
1280
太好了,已经生效了。让我们尝试创建一个coredump:
$ sleep 500 &
[1] 9183
$ kill -s SIGTRAP $(pgrep sleep)
[1]+ Trace/breakpoint trap (core dumped) sleep 500
$ ls /tmp/*_core_*
-rw------- 1 user user 372K Jun 26 23:31 /tmp/sleep_core_dump.1780
我们已经创建了具有所需模式的coredump文件。
5. 为正在运行的进程生成coredump
有时,为正在运行的进程生成coredump可能很有用。GDB可以捕获正在运行的进程的coredump,但它还附带一个名为\gcore的实用程序。gcore是一个命令行实用程序,可以捕获正在运行的进程的coredump。
让我们尝试使用gcore捕获coredump:
$ sleep 500 &
[1] 3000
$ sudo gcore -o sleep 3000
0x00007f975eee630e in clock_nanosleep () from /lib/x86_64-linux-gnu/libc.so.6
warning: target file /proc/3000/cmdline contained unexpected null characters
warning: Memory read failed for corefile section, 4096 bytes at 0xffffffffff600000.
Saved corefile sleep.3000
[Inferior 1 (process 3000) detached]
我们可以看到,启动了一个 PID 为 3000 的_sleep进程。随后,gcore被启动并附加到sleep进程中。结果,gcore随后生成了sleep.3000的coredump文件并自行分离。当gcore与进程分离后,进程将愉快地继续运行而不受影响。
注意:gcore_需要sudo才能附加到进程。我们可以使用sysctl将kernel.yama.ptrace_scope设置为0。这将允许gcore附加到没有sudo 的进程。但是,请注意,应谨慎使用,因为这存在安全风险。任何进程都可以使用ptrace系统调用并检查任何程序内部。
6.coredumpctl_简介
在本节中,我们将介绍一个名为coredumpctl的实用程序。与手动配置coredump相反,coredumpctl自动管理coredump。coredumpctl记录coredump本身并维护崩溃历史记录。
在以下部分中,我们假设系统上已安装coredumpctl 。
6.1. 配置coredumpctl
coredumpctl附带一个名为systemd-coredump 的服务。这是一项获取coredump,然后对其进行处理以从中提取元数据的服务。然后它将这些信息存储在/var/lib/systemd/coredump/ 下。
我们可以通过检查kernel.core_pattern来检查是否配置了该服务:
$ sysctl -n kernel.core_pattern
|/lib/systemd/systemd-coredump %P %u %g %s %t 9223372036854775808 %h
我们已确认kernel.core_pattern_设置为使用_systemd-coredump。 这告诉内核将与coredump相关的任何信息传递给systemd-coredump。
要尝试coredumpctl,我们首先需要生成一个新的coredump:
$ sleep 500 &
[1] 2826
$ kill -s SIGTRAP $(pgrep sleep)
[1]+ Trace/breakpoint trap (core dumped) sleep 500
$ coredumpctl
TIME PID UID GID SIG COREFILE EXE
Sun 2020-06-28 18:52:59 BST 2826 1000 1000 5 present /usr/bin/sleep
这真的很酷。通过尝试coredumpctl,我们可以看到我们有崩溃历史!
要提取特定崩溃的coredump文件,我们可以使用 PID、可执行文件的名称或崩溃时间。作为示例,让我们尝试使用 PID保存sleep的coredump:
$ coredumpctl dump 2826 --output=core.dump
PID: 2826 (sleep)
UID: 1000 (user)
...
Stack trace of thread 2826:
#0 0x00007f7ec62f730e __GI___clock_nanosleep (libc.so.6 + 0xe030e)
#1 0x00007f7ec62fceb7 __GI___nanosleep (libc.so.6 + 0xe5eb7)
...
除了coredump文件之外,我们还可以看到简短的摘要和堆栈跟踪。这来自systemd-coredump对coredump的预处理。
6.3. 使用coredumpctl运行调试会话
让我们看看如何使用_debug_命令启动调试会话:
$ coredumpctl debug 2826
...
Reading symbols from /usr/bin/sleep...
(No debugging symbols found in /usr/bin/sleep)
[New LWP 2959]
Core was generated by `sleep 500'.
Program terminated with signal SIGTRAP, Trace/breakpoint trap.
...
(gdb)
请注意gdb如何在加载coredump文件的情况下自动打开。
要检查崩溃情况,我们输入“disassemble”。结果,我们可以看到以下反汇编结果:
Dump of assembler code for function __GI___clock_nanosleep:
<__GI___clock_nanosleep+80>
0x00007fb71b22c307 <+39>: mov eax,0xe6
0x00007fb71b22c30c <+44>: syscall
=> 0x00007fb71b22c30e <+46>: mov edx,eax
我们可以看到,有“ mov Wax,0xe6”后面跟着一条系统调用指令。查看系统调用列表,似乎 230 (0xe6) 是clock_nanosleep 系统调用。这是捕获coredump的点。
七、结论
在本教程中,我们探讨了如何配置coredump。后来,我们探索了实用程序oredumpctl,它使管理coredump变得更加容易。
