strace 手册

程序的运行离不开操作系统，而系统调用正是操作系统和应用的边界，通过观察边界的行为，进而了解程序的行为。

每行包含了系统调用名称，被括号包围的参数，以及返回值，例如strace cat /dev/null 的输出包括 open("/dev/null", O_RDONLY) = 3 。当错误发生时（通常返回-1），会包含额外的错误码和错误字符串，例如 open("/notexist", O_RDONLY) = -1 ENOENT (No such file or directory)

收到信号会打印信号名称，以及解码后的siginfo结构，例如 sleep 666 被 SIGINT 中断后，打印：

sigsuspend([] <unfinished ...>
--- SIGINT {si_signo=SIGINT, si_code=SI_USER, si_pid=...} ---
+++ killed by SIGINT +++

如果系统调用正在执行，同时另一个系统调用被其它线程调用（strace 可以同时跟踪多个线程），strace会保留调用的顺序，同时标记该系统调用为 unfinished ，当该系统调用返回时，会被标记为 resumed 。

[pid 28772] select(4, [3], NULL, NULL, NULL <unfinished ...>
[pid 28779] clock_gettime(CLOCK_REALTIME, {1130322148, 939977000}) = 0
[pid 28772] <... select resumed>   = 1 (in [3])

可重启系统调用被信号中断后，打印略有不同，因为操作系统会立即重启该系统调用。

read(0, 0x7ffff72cf5cf, 1)       = ? ERESTARTSYS (To be restarted)
--- SIGALARM ... ---
rt_sigreturn(0xe)                = 0
read(0, "", 1)                   = 0

很多时候函数参数都是数字、指针，在输出时，strace尽量讲这些不可读的内容转成有意义的字符串。

输出时参数会被尽量转成符号。例如，执行strace重定向 >>xyzzy 时输出 open("xyzzy", O_WRONLY|O_APPEND|O_CREAT, 0666) = 3 这里 open 的第二个参数被逆向转成宏，第三个参数被转成8进制。（熟悉C的同学了解，二进制程序里，这些参数都是数字，宏是源码里的东西，可见strace做了很多可读性的转换）。

结构体指针会被解引用，打印成接近源码的形式，例如，strace ls -l /dev/null 时输出 lstat("/dev/null", {st_mode=S_IFCHR|0666, st_rdev=makedev(0x1,0x3), ...}) = 0 ，这里第二个参数 struct stat 的指针，存放返回值，输出时尽量可读。如果系统调用失败了，指针不会被解引用。

字符指针打印成C字符串，默认打印32个，超过部分用省略号代替。

-p pid 用于trace运行中的程序， CTRL-C 退出trace。

-f 连同trace的子进程一起trace。

-s strsize 指定输出字符串时的最大长度，默认32。

-r 打印两次系统调用之间的相对时间

-t 打印系统调用的时间

-tt 打印系统调用的时间，包含毫秒数据

-ttt 打印系统调用的时间，以 秒.毫秒 的形式