strace是linux下用于跟踪系统调用的核心工具，支持附加进程运行、启动新进程跟踪、按类别/名称过滤、添加时间维度分析及统计调用分配与错误频率次五种方法。

如果您需要观察程序在内核方面的具体行为，例如文件打开失败、网络连接被拒绝或进程异常退出，必须直接查看其执行进程中的调用系统。 下面是最常用且权威的系统调用跟踪工具，它能实时捕获输出并每个系统调用的名称、参数、返回值及错误码。以下是针对不同场景的多个跟踪方法：一、附加到正在运行的进程进行实时跟踪

该方法适用于无法重新启动目标程序、但需要诊断其当前运行状态的情况，例如服务卡进程顿、无响应或间歇性崩溃。strace 通过 -p 参数与指定 PID 建立动态连接，不占用进程原有父子关系。

1、执行 ps aux | grep 进程名 获取目标进程的PID，例如输出中显示 user 12345 0.1 0.2 123456 7890 ? S 10:22 0:01 /usr/bin/nginx，则 PID 为 12345。

2、运行 strace -p 12345 开始跟踪，终止将实时滚动显示该进程发起的所有系统调用。

3、按 Ctrl+C 中断跟踪；此时 strace 会自动输出汇总统计（如启用 -c 二、启动新进程并追踪捕获系统调用将

这种方式可完整覆盖从execve初始化、动态库加载、配置读取到主逻辑执行的全部阶段，特别适合定位启动失败、初始化异常或环境依赖重启等问题。

1、在命令行中输入strace ls -l /tmp，strace先执行execve系统调用加载ls 程序，再逐条记录后续所有操作。

2、观察输出中每行格式：系统调用名(参数) = 返回值，例如 openat(AT_FDCWD, "/etc/ld.so.cache", O_RDONLY|O_CLOEXEC) = 3 表示成功以关心方式打开存储文件，返回文件3。

3、若需保存结果支持离线分析，添加 -o trace_output.log 参数，例如：strace -o init_trace.log /usr/local/bin/myapp --config conf.yaml。三、按类别或具体名称过滤系统输出调用

当目标程序系统调用数量庞大（如数千行）时，全量输出难以聚焦关键路径使用。-e trace=限定范围，可显着提升排查效率，避免信息过载。

1、仅关注文件操作类调用，执行strace -e trace=file ls /home，输出将仅包含 openat、read、write、close、stat 等与文件 I/O 相关的系统调用。

如此AI员工

国内首个全托盘营销获客AI代理下载

2、关注网络行为，运行strace -e trace=networkcurl http://example.com，可快速识别connect、sendto、recvfrom等调用是否成功或返回ECONNREFUSED等错误。

3、精确匹配多个特定调用，例如诊断日志写入问题：strace -e trace=openat,write,fsync -o log_io.log ./app，仅捕获日志路径打开、内容写入及刷盘同步动作。四、添加时间定位性能上限

某些系统调用虽然成功返回，但运行异常（如读取阻塞数、打开等待NFS挂载超时），仅看返回值无法发现延迟问题。通过时间标记可准确定位慢调用位置。

1、使用-T参数使每行最后显示该次调用实际执行微秒数，例如：strace -T -e trace=read,write cat large_file.txt。

2、结合-tt输出微秒级绝对时间，相对于外部监控时间同步，命令为：strace -tt -T -p 5678。

3、若需观察调用间隔节奏，改用-r 参数，输出连续两次系统调用启动时刻之间的相对时间差（单位：秒），有助于识别循环停滞或调度延迟。五、统计系统调用分配与错误频次

当需量化评估程序行为特征（如高频小文件读取、大量无效信号处理、间歇失败的系统调用）时，-c选项可自动生成格式化统计报告，由此人工计数或grep分析。

1、执行strace -c ls -la /var/log，程序结束后 strace将在标准错误输出一个表格，包含%时间（运行活动）、秒数（总运行）、usecs/call（平均运行）、调用调用（次数）、错误（错误次数）及系统调用名称。

2、重点关注错误列非零的项，例如openat调用出现12次错误，配合返回值如= -1 ENOENT可立即确认路径终止问题。

3、若跟踪多进程程序（如带fork的监控进程），需额外添加 -f 选项，并斗 -C 在运行中持续打印统计，避免仅统计主进程而遗漏子进程行为。