标签 ps 下的文章

像查询数据库一样查询你的 Linux 操作系统信息

Gaurav Kamathe 发布于 2021-07-14
另请参阅: 技术,数据库, ps
评论

使用数据库查询操作轻松获取系统信息。

title=

Linux 提供了很多帮助用户收集主机操作系统信息的命令：列出文件或者目录的属性信息；查询安装的软件包、正在执行的命令、开机时启动的服务；或者了解系统的硬件。

每个命令使用自己的输出格式列出系统的信息。你需要使用 grep、sed、awk 这样的工具过滤命令输出的结果，以便找到特定的信息。此外，很多这样的信息会频繁变动，导致系统状态的改变。

将所有的信息格式化为一个数据库的 SQL 查询的输出进行查看将会十分有益。想象一下，你能够像查询具有类似名称的 SQL 数据库表一样查询 ps 和 rpm 命令的输出。

幸运的是，有一个工具刚好实现了这个功能，而且功能更多：Osquery 是一个开源的 “由 SQL 驱动的操作系统仪表、监控和分析框架”。

许多处理安全、DevOps、合规性的应用，以及仓储管理管理（仅举几例）在内部依赖 Osquery 提供的核心功能。

安装 Osquery

Osquery 适用于 Linux、macOS、Windows、FreeBSD。请按照指南为你的操作系统安装最新版本。（我会在下面的例子中使用 4.7.0 版本。）

安装完成后，确保 Osquery 可以工作：

$ rpm -qa | grep osquery
osquery-4.7.0-1.linux.x86_64
$
$ osqueryi --version
osqueryi version 4.7.0
$

Osquery 组件

Osquery 有两个主要组件：

osqueri 是一个交互式的 SQL 查询控制台，可以独立运行，不需要超级用户权限（除非要查询的表格需要访问权限）。
osqueryd 像一个安装在主机的监控守护进程，可以定期调度查询操作执行，从底层架构收集信息。

可以在不运行 osqueryd 的情况下执行 osqueri。另一个工具，osqueryctl，控制守护进程的启动、停止，并检查其状态。

$ rpm -ql osquery-4.8.0-1.linux.x86_64 | grep bin
/usr/bin/osqueryctl
/usr/bin/osqueryd
/usr/bin/osqueryi
$

使用 osqueryi 交互式命令提示符

你和 Osquery 的交互与使用 SQL 数据库十分相似。事实上，osqueryi 是 SQList shell 的一个修改版。执行 osqueryi 命令进入交互式命令提示符，就可以执行 Osquery 的命令，通常以 . 开始：

$ osqueryi
Using a virtual database. Need help, type '.help'
osquery>

要退出交互式命令提示符，执行 .quit 命令回到操作系统的命令提示符：

osquery>
osquery> .quit
$

找出可用的表

如前所述，Osquery 像 SQL 查询一样输出数据，数据库中的信息通常保存在表中。但是如何在不知道表名的情况下查询这些表呢？你可以运行 .tables 命令列出所有可以查询的表。如果你是一个 Linux 长期用户或者一个系统管理员，就会对表名十分熟悉，因为你一直在使用操作系统命令获取同样的信息：

osquery> .tables
  => acpi_tables
  => apparmor_events
  => apparmor_profiles
  => apt_sources

<<裁剪>>

  => arp_cache
  => user_ssh_keys
  => users
  => yara
  => yara_events
  => ycloud_instance_metadata
  => yum_sources
osquery>

检查各个表的模式

知道表名后，可以查看每个表提供的信息。既然 ps 命令经常用于获取进程信息，就以 processes 为例。执行 .schema 命令加上表名查看表中保存的信息。如果要验证命令返回的结果，可以快速执行 ps -ef 或 ps aux，对比命令的输出和表中的内容：

osquery> .schema processes
CREATE TABLE processes(`pid` BIGINT, `name` TEXT, `path` TEXT, `cmdline` TEXT, `state` TEXT, `cwd` TEXT, `root` TEXT, `uid` BIGINT, `gid` BIGINT, `euid` BIGINT, `egid` BIGINT, `suid` BIGINT, `sgid` BIGINT, `on_disk` INTEGER, `wired_size` BIGINT, `resident_size` BIGINT, `total_size` BIGINT, `user_time` BIGINT, `system_time` BIGINT, `disk_bytes_read` BIGINT, `disk_bytes_written` BIGINT, `start_time` BIGINT, `parent` BIGINT, `pgroup` BIGINT, `threads` INTEGER, `nice` INTEGER, `is_elevated_token` INTEGER HIDDEN, `elapsed_time` BIGINT HIDDEN, `handle_count` BIGINT HIDDEN, `percent_processor_time` BIGINT HIDDEN, `upid` BIGINT HIDDEN, `uppid` BIGINT HIDDEN, `cpu_type` INTEGER HIDDEN, `cpu_subtype` INTEGER HIDDEN, `phys_footprint` BIGINT HIDDEN, PRIMARY KEY (`pid`)) WITHOUT ROWID;
osquery>

要进一步确认，可以使用下面的命令查看 RPM 包的结构信息，然后与操作系统命令 rpm -qa 和 rpm -qi 的输出比较：

osquery>
osquery> .schema rpm_packages
CREATE TABLE rpm_packages(`name` TEXT, `version` TEXT, `release` TEXT, `source` TEXT, `size` BIGINT, `sha1` TEXT, `arch` TEXT, `epoch` INTEGER, `install_time` INTEGER, `vendor` TEXT, `package_group` TEXT, `pid_with_namespace` INTEGER HIDDEN, `mount_namespace_id` TEXT HIDDEN, PRIMARY KEY (`name`, `version`, `release`, `arch`, `epoch`, `pid_with_namespace`)) WITHOUT ROWID;
osquery>

从 Osquery 的表格文档获取更多信息。

使用 PRAGMA 命令

或许模式信息对你来说太难看懂，还有另一种途径能够以详细的表格格式打印表中的信息：PRAGMA 命令。例如，我想通过 PRAGMA 用一种易于理解的格式查看 rpm_packages 表的信息：

osquery> PRAGMA table_info(rpm_packages);

这种表格式信息的一个好处是你可以关注想要查询的字段，查看命令提供的类型信息：

osquery> PRAGMA table_info(users);
+-----+-------------+--------+---------+------------+----+
| cid | name        | type   | notnull | dflt_value | pk |
+-----+-------------+--------+---------+------------+----+
| 0   | uid         | BIGINT | 1       |            | 1  |
| 1   | gid         | BIGINT | 0       |            | 0  |
| 2   | uid_signed  | BIGINT | 0       |            | 0  |
| 3   | gid_signed  | BIGINT | 0       |            | 0  |
| 4   | username    | TEXT   | 1       |            | 2  |
| 5   | description | TEXT   | 0       |            | 0  |
| 6   | directory   | TEXT   | 0       |            | 0  |
| 7   | shell       | TEXT   | 0       |            | 0  |
| 8   | uuid        | TEXT   | 1       |            | 3  |
+-----+-------------+--------+---------+------------+----+
osquery>

进行你的第一次查询

在你从表、模式、条目中获取到所有进行查询所需要的信息后，进行你的第一次 SQL 查询查看其中的信息。下面的查询返回系统中的用户和每个用户的用户 ID、组 ID、主目录和默认的命令行解释器。Linux 用户通过查看 /etc/passwd 文件的内容并执行 grep、sed、awk 命令获取同样的信息。

osquery>
osquery> select uid,gid,directory,shell,uuid FROM users LIMIT 7;
+-----+-----+----------------+----------------+------+
| uid | gid | directory      | shell          | uuid |
+-----+-----+----------------+----------------+------+
| 0   | 0   | /root          | /bin/bash      |      |
| 1   | 1   | /bin           | /sbin/nologin  |      |
| 2   | 2   | /sbin          | /sbin/nologin  |      |
| 3   | 4   | /var/adm       | /sbin/nologin  |      |
| 4   | 7   | /var/spool/lpd | /sbin/nologin  |      |
| 5   | 0   | /sbin          | /bin/sync      |      |
| 6   | 0   | /sbin          | /sbin/shutdown |      |
+-----+-----+----------------+----------------+------+
osquery>

不进入交互模式的查询

如果你想要在不进入 osqueri 交互模式的情况下进行查询，该怎么办？要用查询操作写命令行解释器脚本，这种方式可能十分有用。这种情况下，可以直接从 Bash 解释器 echo SQL 查询，通过管道输出到 osqueri ：

$ echo "select uid,gid,directory,shell,uuid FROM users LIMIT 7;" | osqueryi
+-----+-----+----------------+----------------+------+
| uid | gid | directory      | shell          | uuid |
+-----+-----+----------------+----------------+------+
| 0   | 0   | /root          | /bin/bash      |      |
| 1   | 1   | /bin           | /sbin/nologin  |      |
| 2   | 2   | /sbin          | /sbin/nologin  |      |
| 3   | 4   | /var/adm       | /sbin/nologin  |      |
| 4   | 7   | /var/spool/lpd | /sbin/nologin  |      |
| 5   | 0   | /sbin          | /bin/sync      |      |
| 6   | 0   | /sbin          | /sbin/shutdown |      |
+-----+-----+----------------+----------------+------+
$

获悉系统启动时开始的服务

Osquery 还可以列出系统启动时开始的所有服务。例如，可以查询 startup_items 表获取启动时开始的前五项服务的名称、状态和路径：

osquery> SELECT name,type,status,path FROM startup_items LIMIT 5;
  name = README
  type = Startup Item
status = enabled
  path = /etc/rc.d/init.d/README

  name = anamon
  type = Startup Item
status = enabled
  path = /etc/rc.d/init.d/anamon

  name = functions
  type = Startup Item
status = enabled
  path = /etc/rc.d/init.d/functions

  name = osqueryd
  type = Startup Item
status = enabled
  path = /etc/rc.d/init.d/osqueryd

  name = AT-SPI D-Bus Bus
  type = Startup Item
status = enabled
  path = /usr/libexec/at-spi-bus-launcher --launch-immediately
osquery>

查阅二进制文件的 ELF 信息

假如你想要弄清 ls 二进制文件的更多细节，通常会通过 readelf -h 命令，加上 ls 命令的路径。查询 Osquery 的 elf_info 表你可以得到同样的信息：

osquery> SELECT * FROM elf_info WHERE path="/bin/ls";
      class = 64
        abi = sysv
abi_version = 0
       type = dyn
    machine = 62
    version = 1
      entry = 24064
      flags = 0
       path = /bin/ls
osquery>

现在你应该初步了解如何使用 osqueri 查询自己想要的信息。然而，这些信息保存在数量巨大的表中；我查询过的一个系统中，有 156 个不同的表，这个数字可能是十分惊人的：

$ echo ".tables" | osqueryi | wc -l
156
$

要让事情变得更容易，可以从这些表开始获取你的 Linux 系统的信息：

系统信息表：

osquery> select * from system_info;

系统限制信息：

osquery> select * from ulimit_info;

由各种进程打开的文件：

osquery> select * from process_open_files;

系统上开放的端口：

osquery> select * from listening_ports;

运行中的进程信息：

osquery> select * from processes;

已安装的包信息：

osquery> select * from rpm_packages;

用户登录信息：

osquery> select * from last;

系统日志信息：

osquery> select * from syslog_events;

了解更多

Osquery 是一个强大的工具，提供了许多可以用于解决各种使用案例的主机信息。你可以阅读文档了解更多 Osquery 的信息。

via: https://opensource.com/article/21/6/osquery-linux

作者：Gaurav Kamathe 选题：lujun9972 译者：YungeG 校对：wxy

本文由 LCTT 原创编译，Linux中国荣誉推出

我是被 “root@notty” 黑了吗？

Sysadminworld 发布于 2018-02-17
另请参阅: 技术,ps, TTY
评论

当你在 ps aux 的输出中看到 sshd：root@notty 时会觉得很奇怪吧，notty 算是哪门子的主机，是不是黑客计算机的名字啊。不过不用担心；notty 仅仅是表示没有 tty 而已。

当你在本地登录 Linux 机器时，登录终端会在进程列表中显示为 tty（比如，tty7）。若你通过 ssh 登录一台远程服务器，则会看到类似 root@pts/0 这样的东西。

而若某个连接是由 sftp 或者是由 scp 拷贝文件而创建的，则该连接会会显示成没有 tty （notty）。

如果你仍然想知道服务器上发生了什么事情，可以检查 ps auxf 的输出来查看进程树，或者运行 netstat -vatn 来检查所有的 TCP 连接。

via: http://www.sysadminworld.com/2011/ps-aux-shows-sshd-rootnotty/

作者：sysadminworld 译者：lujun9972 校对：wxy

本文由 LCTT 原创编译，Linux中国荣誉推出

极客漫画：最后一个问题

Daniel Stori 发布于 2017-06-17
另请参阅: 极客漫画,进程, ps, 漫画
3 条评论

One Last Question

ps aux 以及 ps -elf 都是查看进程的方式，分别来自于 BSD 风格（必须不带 -）和 UNIX 风格（必须带 -），这两种方式都有不少人用，此外除了这种可组合的单字母选项方式之外，还有以 -- 开头的 GNU 选项方式。

这个漫画就是说使用这两种方式的人就像 vim 党和 Emacs 党一样，随时都可能爆发圣战（大误。

附录：

ps aux 是最常用的 BSD 风格选项组合，其中的 a 简单的说，表示所有关联到终端的进程，如果同时使用 x 则代表所有进程；u 表示列出进程的用户。

另外，可能是由于错用 ps -aux 的人太多，一些新的 ps 版本会在输入 ps -aux 时显示 ps aux 的结果，而不是 ps -aux 原本的意义：列出用户 x 所有的进程，如果没有则报错。

ps -elf 的 -e 代表列出所有进程，-l 代表长格式，-f 代表完整的格式，有时候也用 -F 代表超完整的格式，具体大家试试便知。不过，不同操作系统（如 Linux、BSD）的 ps 的版本和参数有很大差异，具体还是要以自己的手册而定。

另外一句题外话，之所以 aux 和 -elf 这两种选项组合常用，是由于这个组合正好是易记、易读的英文单词（辅助、精灵），其组合后的用途也很有用。这种情况也出现在其它的常见命令中。

注：本漫画中原来用的是 ps -eLF，在某些版本上这个参数是成立的，但是，大部分情况下都使用的是 ps -elf，因此我们做了修改。

via: http://turnoff.us/geek/one-last-question/

作者：Daniel Stori 译者：name1e5s 校对：wxy 合成：name1e5s 点评：name1e5s

本文由 LCTT 原创编译，Linux中国荣誉推出

10个重要的Linux ps命令实战

Pungki Arianto 发布于 2015-01-26
另请参阅: 技术,进程, ps
7 条评论

Linux作为Unix的衍生操作系统，Linux内建有查看当前进程的工具ps。这个工具能在命令行中使用。

PS 命令是什么

查看它的man手册可以看到，ps命令能够给出当前系统中进程的快照。它能捕获系统在某一事件的进程状态。如果你想不断更新查看的这个状态，可以使用top命令。

ps命令支持三种使用的语法格式

UNIX 风格，选项可以组合在一起，并且选项前必须有“-”连字符
BSD 风格，选项可以组合在一起，但是选项前不能有“-”连字符
GNU 风格的长选项，选项前有两个“-”连字符

我们能够混用这几种风格，但是可能会发生冲突。本文使用 UNIX 风格的ps命令。这里有在日常生活中使用较多的ps命令的例子。

1. 不加参数执行ps命令

这是一个基本的 ps 使用。在控制台中执行这个命令并查看结果。

不加选项执行ps命令

结果默认会显示4列信息。

PID: 运行着的命令(CMD)的进程编号
TTY: 命令所运行的位置（终端）
TIME: 运行着的该命令所占用的CPU处理时间
CMD: 该进程所运行的命令

这些信息在显示时未排序。

2. 显示所有当前进程

使用 -a 参数。-a 代表 all。同时加上x参数会显示没有控制终端的进程。

$ ps -ax

这个命令的结果或许会很长。为了便于查看，可以结合less命令和管道来使用。

$ ps -ax | less

ps all 信息

3. 根据用户过滤进程

在需要查看特定用户进程的情况下，我们可以使用 -u 参数。比如我们要查看用户'pungki'的进程，可以通过下面的命令：

$ ps -u pungki

通过用户过滤

4. 通过cpu和内存使用来过滤进程

也许你希望把结果按照 CPU 或者内存用量来筛选，这样你就找到哪个进程占用了你的资源。要做到这一点，我们可以使用 aux 参数，来显示全面的信息:

$ ps -aux | less

显示全面信息

当结果很长时，我们可以使用管道和less命令来筛选。

默认的结果集是未排好序的。可以通过 --sort命令来排序。

根据 CPU 使用来升序排序

$ ps -aux --sort -pcpu | less

根据cpu使用排序

根据 内存使用 来升序排序

$ ps -aux --sort -pmem | less

根据内存使用来排序

我们也可以将它们合并到一个命令，并通过管道显示前10个结果：

$ ps -aux --sort -pcpu,+pmem | head -n 10

5. 通过进程名和PID过滤

使用 -C 参数，后面跟你要找的进程的名字。比如想显示一个名为getty的进程的信息，就可以使用下面的命令：

$ ps -C getty

通过进程名和PID过滤

如果想要看到更多的细节，我们可以使用-f参数来查看格式化的信息列表：

$ ps -f -C getty

通过进程名和PID过滤

6. 根据线程来过滤进程

如果我们想知道特定进程的线程，可以使用-L 参数，后面加上特定的PID。

$ ps -L 1213

根据线程来过滤进程

7. 树形显示进程

有时候我们希望以树形结构显示进程，可以使用 -axjf 参数。

$ps -axjf

树形显示进程

或者可以使用另一个命令。

$ pstree

树形显示进程

8. 显示安全信息

如果想要查看现在有谁登入了你的服务器。可以使用ps命令加上相关参数:

$ ps -eo pid,user,args

参数 -e 显示所有进程信息，-o 参数控制输出。Pid,User 和 Args参数显示PID，运行应用的用户和该应用。

显示安全信息

能够与-e 参数 一起使用的关键字是args, cmd, comm, command, fname, ucmd, ucomm, lstart, bsdstart 和 start。

9. 格式化输出root用户（真实的或有效的UID）创建的进程

系统管理员想要查看由root用户运行的进程和这个进程的其他相关信息时，可以通过下面的命令:

$ ps -U root -u root u

-U 参数按真实用户ID(RUID)筛选进程，它会从用户列表中选择真实用户名或 ID。真实用户即实际创建该进程的用户。

-u 参数用来筛选有效用户ID（EUID）。

最后的u参数用来决定以针对用户的格式输出，由User, PID, %CPU, %MEM, VSZ, RSS, TTY, STAT, START, TIME 和 COMMAND这几列组成。

这里有上面的命令的输出结果：

show real and effective User ID

10. 使用PS实时监控进程状态

ps 命令会显示你系统当前的进程状态，但是这个结果是静态的。

当有一种情况，我们需要像上面第四点中提到的通过CPU和内存的使用率来筛选进程，并且我们希望结果能够每秒刷新一次。为此，我们可以将ps命令和watch命令结合起来。

$ watch -n 1 ‘ps -aux --sort -pmem, -pcpu’

组合 ps 和 watch

如果输出太长，我们也可以限制它，比如前20条，我们可以使用head命令来做到。

$ watch -n 1 ‘ps -aux --sort -pmem, -pcpu | head 20’

组合 ps 和 watch

这里的动态查看并不像top或者htop命令一样。但是使用ps的好处是你能够定义显示的字段，你能够选择你想查看的字段。

举个例子，如果你只需要看名为'pungki'用户的信息，你可以使用下面的命令：

$ watch -n 1 ‘ps -aux -U pungki u --sort -pmem, -pcpu | head 20’

组合 ps 和 watch

结论

你也许每天都会使用ps命令来监控你的Linux系统。但是事实上，你可以通过ps命令的参数来生成各种你需要的报表。

ps命令的另一个优势是ps是各种 Linux系统都默认安装的，因此你只要用就行了。

不要忘了通过 man ps来查看更多的参数。（LCTT 译注：由于 ps 命令古老而重要，所以它在不同的 UNIX、BSD、Linux 等系统中的参数不尽相同，因此如果你用的不是 Linux 系统，请查阅你的文档了解具体可用的参数。）

via: http://linoxide.com/how-tos/linux-ps-command-examples/

作者：Pungki Arianto 译者：johnhoow 校对：wxy

本文由 LCTT 原创翻译，Linux中国荣誉推出

ps命令的10个例子

linux中国_ 发布于 2013-12-11
另请参阅: 技术,Linux, 命令, 技巧, 教程, 进程, ps
评论

Linux ps 命令

linux的ps命令是一个查看系统运行的进程的一个最基础的工具。它提供了一个当前进程的快照，还带有一些具体的信息，比如用户id，cpu使用率，内存使用，命令名等，它不会像top或者htop一样实时显示数据。虽然它在功能和输出上更加简单，但它仍然是每个linux新手需要了解和学好的必要进程管理/检测工具。

在本篇中，我们会学习ps命令基本的用法：查找、过滤，以不同的方式排序。

语法说明

ps命令有两种不同风格的语法规则：BSD风格和UNIX风格。Linux新手经常感到困惑并会误解这两种风格，所以在继续下一步之前，我们来弄清楚一些基本的信息。

注意: "ps aux"不等同于"ps -aux"。比如"-u"用于显示用户的进程，但是"u"意味着显示具体信息。

BSD 形式 - BSD形式的语法的选项前没有破折号，如：

ps aux

UNIX/LINUX 形式 - linux形式的语法的选项前有破折号，如：

ps -ef

在linux系统上混合这两种语法是可以的。比如 "ps ax -f"。但是本章中我们主要讨论UNIX形式语法。

如何使用ps命令

1. 显示所有进程

下面的命令可以显示所有进程的列表。

$ ps ax
$ ps -ef

通过管道输出到"less"可以分页。

使用"u"或者"-f"选项可以显示进程的具体信息。

$ ps aux
$ ps -ef -f

为什么USER列显示的不是我的用户名，但是其他的像root，www-data等却显示？对于所有的用户(包括你们的)，如果长度大于8个字符，那么ps只会显示你的UID而不是用户名。

2. 显示用户进程

使用"-u"选项后跟用户名来过滤所属用户的进程。多个用户名可以用逗号分隔。

$ ps -f -u www-data
UID        PID  PPID  C STIME TTY          TIME CMD
www-data  1329  1328  0 09:32 ?        00:00:00 nginx: worker process
www-data  1330  1328  0 09:32 ?        00:00:00 nginx: worker process
www-data  1332  1328  0 09:32 ?        00:00:00 nginx: worker process
www-data  1377  1372  0 09:32 ?        00:00:00 php-fpm: pool a.localhost                                               
www-data  1378  1372  0 09:32 ?        00:00:00 php-fpm: pool a.localhost                                               
www-data  4524  2359  0 10:03 ?        00:00:00 /usr/sbin/apache2 -k start
www-data  4527  2359  0 10:03 ?        00:00:00 /usr/sbin/apache2 -k start
www-data  4528  2359  0 10:03 ?        00:00:00 /usr/sbin/apache2 -k start

3. 通过名字或者进程id显示进程

通过"-C"选项后面加上名字或者命令来搜索进程。

$ ps -C apache2
  PID TTY          TIME CMD
 2359 ?        00:00:00 apache2
 4524 ?        00:00:00 apache2
 4525 ?        00:00:00 apache2
...

要通过进程id显示进程，就使用"-p"选项，并且还可以通过逗号分隔来指定多个进程id。

$ ps -f -p 3150,7298,6544

"-C"必须提供精确的进程名，并且它并不能通过部分名字或者通配符查找。为了更灵活地搜索进程列表，通常使用grep命令。

$ ps -ef | grep apache

4. 通过cpu或者内存使用排序进程

系统管理员通常想要找出那些消耗最多内存或者CPU的进程。排序选项会基于特定的字段或者参数来排序进程列表。

可以用'--sort'指定多个字段，并用逗号分割。除此之外，字段前面还可以跟上'-'或者'+'的前缀来相应地表示递减和递增排序。这里有很多的用于排序的选项，通过man页来获取完整的列表。

$ ps aux --sort=-pcpu,+pmem

显示前5名最耗cpu的进程。

$ ps aux --sort=-pcpu | head -5
USER       PID %CPU %MEM    VSZ   RSS TTY      STAT START   TIME COMMAND
root         1  2.6  0.7  51396  7644 ?        Ss   02:02   0:03 /usr/lib/systemd/systemd --switched-root --system --deserialize 23
root      1249  2.6  3.0 355800 30896 tty1     Rsl+ 02:02   0:02 /usr/bin/X -background none :0 vt01 -nolisten tcp
root       508  2.4  1.6 248488 16776 ?        Ss   02:02   0:03 /usr/bin/python /usr/sbin/firewalld --nofork
silver    1525  2.1  2.3 448568 24392 ?        S    02:03   0:01 /usr/bin/python /usr/share/system-config-printer/applet.py

5. 以树的形式显示进程层级

许多进程实际上是从同一个父进程fork出来的，了解父子关系通常是很有用的。"--forest" 选项会构造一个ascii艺术形式的进程层级视图。

下面的命令会用apache2的进程名来搜索并构造一个树来显示具体信息。

$ ps -f --forest -C apache2
UID        PID  PPID  C STIME TTY          TIME CMD
root      2359     1  0 09:32 ?        00:00:00 /usr/sbin/apache2 -k start
www-data  4524  2359  0 10:03 ?        00:00:00  \_ /usr/sbin/apache2 -k start
www-data  4525  2359  0 10:03 ?        00:00:00  \_ /usr/sbin/apache2 -k start
www-data  4526  2359  0 10:03 ?        00:00:00  \_ /usr/sbin/apache2 -k start
www-data  4527  2359  0 10:03 ?        00:00:00  \_ /usr/sbin/apache2 -k start
www-data  4528  2359  0 10:03 ?        00:00:00  \_ /usr/sbin/apache2 -k start

不要在排序中使用树状显示，因为两者都会以不同方式影响显示的顺序。

6. 显示父进程的子进程

下面一个是找出所有从apache进程fork出来的进程的例子。

$ ps -o pid,uname,comm -C apache2
  PID USER     COMMAND
 2359 root     apache2
 4524 www-data apache2
 4525 www-data apache2
 4526 www-data apache2
 4527 www-data apache2
 4528 www-data apache2

第一个属于root的进程是apache2的主进程，其他的apache进程都是从主进程fork出来的。下面的命令使用apache2主进程的pid列出了所有的apache2的子进程。

$ ps --ppid 2359
  PID TTY          TIME CMD
 4524 ?        00:00:00 apache2
 4525 ?        00:00:00 apache2
 4526 ?        00:00:00 apache2
 4527 ?        00:00:00 apache2
 4528 ?        00:00:00 apache2

7. 显示进程的线程

"-L"选项会随着进程一起显示线程。它可用于显示所有指定进程或者所有进程的线程。

下面的命令会显示进程id为3150的进程的所有线程。

$ ps -p 3150 -L

8. 改变显示的列

ps命令可以被配置用来只显示被选中的列。很多列可以被用来显示，完整的列表可以查看man页。

下面的命令会只显示pid、用户名、cpu、内存、命令列。

$ ps -e -o pid,uname,pcpu,pmem,comm

同样可以重命名列的名字。

$ ps -e -o pid,uname=USERNAME,pcpu=CPU_USAGE,pmem,comm
  PID USERNAME CPU_USAGE %MEM COMMAND
    1 root           0.0  0.0 init
    2 root           0.0  0.0 kthreadd
    3 root           0.0  0.0 ksoftirqd/0
    4 root           0.0  0.0 kworker/0:0
    5 root           0.0  0.0 kworker/0:0H
    7 root           0.0  0.0 migration/0
    8 root           0.0  0.0 rcu_bh
    9 root           0.0  0.0 rcuob/0
   10 root           0.0  0.0 rcuob/1

非常灵活。

9. 显示进程运行的时间

运行的时间指的是，进程已经运行的时间。运行时间的列并没有默认显示，需要使用-o选项带入。

$ ps -e -o pid,comm,etime

10. 将ps转换为实时进程查看器

通常上，watch命令可将ps命令变成实时进程查看器。像这个简单的命令

$ watch -n 1 'ps -e -o pid,uname,cmd,pmem,pcpu --sort=-pmem,-pcpu | head -15'

我桌面上的输出如下。

Every 1.0s: ps -e -o pid,uname,cmd,pmem,pcpu --...  Sun Dec  1 18:16:08 2013

  PID USER     CMD                         %MEM %CPU
 3800 1000     /opt/google/chrome/chrome -  4.6  1.4
 7492 1000     /opt/google/chrome/chrome -  2.7  1.4
 3150 1000     /opt/google/chrome/chrome    2.7  2.5
 3824 1000     /opt/google/chrome/chrome -  2.6  0.6
 3936 1000     /opt/google/chrome/chrome -  2.4  1.6
 2936 1000     /usr/bin/plasma-desktop      2.3  0.2
 9666 1000     /opt/google/chrome/chrome -  2.1  0.8
 3842 1000     /opt/google/chrome/chrome -  2.1  0.8
 4739 1000     /opt/google/chrome/chrome -  1.8  1.0
 3930 1000     /opt/google/chrome/chrome -  1.7  1.0
 3911 1000     /opt/google/chrome/chrome -  1.6  0.6
 3645 1000     /opt/google/chrome/chrome -  1.5  0.4
 3677 1000     /opt/google/chrome/chrome -  1.5  0.4
 3639 1000     /opt/google/chrome/chrome -  1.4  0.4

输出会每秒刷新状态，但是这其实很top不同。你会发现top/htop命令的输出相比上面的ps命令刷新得更频繁。

这是因为top输出是结合了cup使用值和内存使用值后的排序值。但是上面的ps命令是一个更简单的行为的排序，每次获取一列(像学校的数学)，因此它不会像top那样快速更新。

via: http://www.binarytides.com/linux-ps-command/

译者：geekpi 校对：Caroline

本文由 LCTT 原创翻译，Linux中国荣誉推出