第十七章、进程与资源管理 - for Fedora Core 4

在上面的说明里面，我们有提到所谓的『衍生出来的进程』，那是个啥咚咚？ 这样说好了，当我们登录系统后，会取得一个 bash 的 shell ，然后，我们用这个 bash 提供的接口去运行另一个指令，例如 /usr/bin/passwd 或者是 touch 等等， 那些另外运行的指令也会被触发成为 PID ，呵呵！那个 PID 就是『子进程』了， 而在我们的 bash 环境下，就称为『父进程』了！

另外，是否还记得我们在 bash shell 那一篇里面有提到 『环境变量』在不同进程之间的调用呢？现在稍微晓得是什么意思了吗？ 是啦！因为我们有运行不同的 bash 嘛！既然运行两次，自然就会取得两个 PID， 而因为要让两个 PID 之间具有一些相关性，我们的 bash 就使用了环境变量啰！

例题：请在目前的 bash 环境下，再触发一次 bash ，并以『 ps -l 』这个指令观察进程相关的输出信息。 答： 直接运行 bash ，会进入到子进程的环境中，然后输入 ps -l 后，出现： F S UID PID PPID C PRI NI ADDR SZ WCHAN TTY TIME CMD 0 S 500 21337 21336 0 75 0 - 1348 wait pts/1 00:00:00 bash 0 S 500 22573 21337 2 75 0 - 1348 wait pts/1 00:00:00 bash 0 R 500 22591 22573 0 76 0 - 1302 - pts/1 00:00:00 ps 有看到那个 PID 与 PPID 吗？第一个 bash 的 PID 与第二个 bash 的 PPID 都是 21337 啊， 因为第二个 bash 是来自于第一个所产生的嘛！

重点来啦！所以说，在系统上面的各个进程可能是有相关性的喔！ 也就是有所谓的父进程与子进程的关系～至于进程的相关性，我们可以使用 pstree 这支程序去查验， 就能知道彼此之间的关系了。

另外要注意的是：所谓『擒贼先擒王』， 如果哪天你一直发现『奇怪，怎么有个程序关闭后，不久又会自动产生？ 而且自动产生的 PID 还不一样！』，呵呵！大概不需要怀疑的是，如果不是 例行性命令 的影响， 肯定有一支父进程存在，他会一直重新触发你想要关闭的那个进程， 导致你老是关不了。那怎么办？不是说过擒贼先擒王吗？关闭那支父进程啦！ ^_^

其实子进程与父进程之间的关系还挺复杂的，最大的复杂点在于程序互相之间的调用， 以及两者权限的相关性！这个可能就得要您自己多多创建自己的经验了～

如果就我们之前学到的一些指令数据来看，其实我们下达的指令都很简单， 包括用 ls 显示文件啊、用 touch 创建文件啊、rm/mkdir/cp/mv 等指令管理文件啊、 chmod/chown/passwd 等等的指令来管理权限等等的，不过，这些指令都是运行完就结束了。 也就是说，该项指令被触发后所产生的 PID 很快就会终止呢！ 那有没有一直在运行的进程啊？当然有啊！而且多的是呢！

举个简单的例子来说好了，我们知道系统每分钟都会去扫瞄 /etc/crontab 以及相关的设置档， 来进行工作调度吧？那么那个工作调度是谁负责的？当然不是鸟哥啊！ 呵呵！是 crond 这个程序所管理的，我们将他启动在背景当中一直持续不断的运作， 套句以前 DOS 年代常常说的一句话，那就是『常驻在内存当中的进程』啦！

这些常驻在内存当中的进程有很多，不过主要大致分成系统本身所需要的服务， 例如刚刚提到的 crond 及 atd ，还有 syslog 等等的。还有一些则是负责网络连接的服务， 例如 Apache, named, postfix, vsftpd... 等等的。这些网络服务比较有趣的地方， 在于这些程序被运行后，他会启动一个可以负责网络监听的端口口 (port) ， 以提供外部用户端 (client) 的连接要求。

这部分我们会在认识系统服务的地方再好好的讲一讲， 在这里，您先有个概念，大概知道一下，系统上面的 PID 几乎都是通过运行一些指令所产生的， 而这些指令可能会负责一些重要的工作，例如网络服务器啊、系统性能维持啊、 或是其他系统重要工作等等。若有兴趣的话，可以先以 netstat 检查一下您主机上的网络服务喔！

Linux 最棒的地方就在于他的多人多任务环境了！那么，什么是『多人多任务』？！在 Linux 上面允许不同的人使用，而且每个人都有其特殊的权限，只有一个人具有至高无上的权力，那就是 root (系统管理员)，除了他之外，其他人都必须要受一些限制的！而每个人进入 Linux 的环境设置都可以随着每个人的喜好来设置 (还记得我们在 BASH 那一章提过的 ~/.bashrc 吧！？对了！就是那个光！)！现在知道为什么了吧？ 因为每个人登录后取得的 shell 的 PID 不同嘛！

我想，在某些其他操作系统中，您可能会遇到这样的事情：『这个文件正在使用中， 您无法打开这个文件！』我哩勒！还得将正在运行当中的程序关掉之后才能开这个中间暂存盘！！ 而且这个时候还只有我自己一个人在使用呢～受不了～呵呵！不过， Linux 就不会这样啰！您可以同时在不同的画面，同时由不同的人 (当然啰，有的是经由 SSH 网络连接过来，有的是直接在屏幕前面的朋友啰！)使用『同一个文件』， 不论是打开或者是修改，只要您有权限，就可以使用该文件！！

这个东西可有用的紧！由于鸟哥是很常使用程序的 (就是 Fortran 啦，吃饭的工具！) ，而由于我们有一部主机专门用来工作的，所以配备比较高档一点 PIII 的双 CPU )，那么我就可以同时的进行两个 compiler 的进程，而且还不会互相的影响， 并且资源分配的还蛮均匀的！哈哈！怎么会跑得这么顺畅呀！爽毙了！

其实操作系统的多任务是很复杂的行为啦！尤其涉及将多个工作直接丢给一颗 CPU 来处理～ 现在我们应该比较清楚的是，所谓的『工作』其实是将多个指令触发成为系统进程 (PID)， 而这些进程若同时被触发时，那么一颗 CPU 就得要同时负责许多任务作了。 但我们晓得的是，并非每个进程都很耗系统资源，例如前一节提到的 crond 与 atd 这两个系统服务， 他们并没有消耗很多系统资源的。此时，当然啰， CPU 就可以进行其他工作， 这就是所谓的多任务！

在 Linux 当中，缺省提供了六个文本界面登录窗口，以及一个图形界面，你可以使用 [Alt]+[F1].....[F7] 来切换不同的终端机界面，而且每个终端机界面的登录者还可以不同人！ 很炫吧！这个东西可就很有用啦！尤其是在某个进程死掉的时候！

其实，这也是多任务环境下所产生的一个情况啦！ 我们的 Linux 缺省会启动六个终端机登录环境的程序，所以我们就会有六个终端机接口。 您也可以减少啊！就是减少启动的终端机程序就好了。详细的数据可以先查阅 /etc/inittab 这个文件，未来我们在开机管理流程会再仔细的介绍的！

以前的鸟哥笨笨的，总是以为使用 Windows 98 就可以啦！后来，因为工作的关系，需要使用 Unix 系统，想说我只要在工作机前面就好， 才不要跑来跑去的到 Unix 工作站前面去呢！所以就使用 Windows 连到我的 Unix 工作站工作！

好死不死，我一个进程跑下来要 2~3 天，唉～偏偏常常到了第 2.5 天的时候， Windows 98 就给他挂点去！当初真的是给他怕死了～后来因为换了新电脑，用了随机版的 Windows 2000 ，呵呵，这东西真不错 (指对单人而言) ，在当机的时候， 他可以仅将错误的进程踢掉，而不干扰其他的进程进行，呵呵！ 从此以后，就不用担心会当机连连啰！不过，2000 毕竟还不够好，因为有的时候还是会死当！！

那么 Linux 呢？哈哈！更棒了，几乎可以说绝对不会当机的！因为他可以在任何时候， 将某个被困住的进程杀掉，然后在重新运行该进程而不用重新开机！够炫吧！那么如果我在 Linux 下以文本界面登录，在屏幕当中显示错误消息后就挂了～动都不能动，该如何是好！？ 这个时候那缺省的七个窗口就帮上忙啦！你可以随意的再按  [Alt]+[F1].....[F7] 来切换到其他的终端机界面，然后以 ps -aux 找出刚刚的错误进程，然后给他 kill 一下，哈哈，回到刚刚的终端机界面！恩～棒！又回复正常啰！

为什么可以这样做呢？我们刚刚不是提过吗？每个进程之间可能是独立的，也可能有相依性， 只要到独立的进程当中，删除有问题的那个进程，当然他就可以被系统移除掉啦！^_^

我们在上一个小节有提到所谓的『父进程、子进程』的关系，那我们登录 bash 之后， 就是取得一个名为 bash 的 PID 了，而在这个环境底下所运行的其他指令， 就几乎都是所谓的子进程了。那么，在这个单一的 bash 接口下，我可不可以进行多个工作啊？ 当然可以啦！可以『同时』进行喔！举例来说，我可以这样做：

[root@linux ~]# cp file1 file2 &

在这一串指令中，重点在那个 & 的功能，他表示将 file1 这个文件拷贝为 file2 ，且放置于背景中运行， 也就是说运行这一个命令之后，在这一个终端接口仍然可以做其他的工作！而当这一个指令 ( cp file1 file2 )运行完毕之后，系统将会在您的终端接口显示完成的消息！很便利喔！

多人多任务确实有很多的好处，但其实也有管理上的困扰，因为用户越来越多， 将导致你管理上的困扰哩！另外，由于用户日盛，当用户达到一定的人数后， 通常你的机器便需要升级了，因为 CPU 的运算与 RAM 的大小可能就会不敷使用！

举个例子来说，鸟哥之前的网站管理的有点不太好，因为使用了一个很复杂的人数统计程序， 这个程序会一直去取用 MySQL 数据库的数据，偏偏因为流量大，造成 MySQL 很忙碌。 在这样的情况下，当鸟哥要登录去写网页数据，或者要去使用讨论区的资源时， 哇！慢的很！简直就是『龟速』啊！后来终于将这个程序停止不用了， 以自己写的一个小程序来取代，呵呵！这样才让 CPU 的负载 (loading) 整个降下来～ 用起来顺畅多了！ ^_^

[root@linux ~]# ps aux
[root@linux ~]# ps -lA
[root@linux ~]# ps axjf
参数：
-A  ：所有的 process 均显示出来，与 -e 具有同样的效用；
-a  ：不与 terminal 有关的所有 process ；
-u  ：有效用户 (effective user) 相关的 process ；
x   ：通常与 a 这个参数一起使用，可列出较完整信息。
输出格式规划：
l   ：较长、较详细的将该 PID 的的信息列出；
j   ：工作的格式 (jobs format)
-f  ：做一个更为完整的输出。
特别说明：
由于 ps 能够支持的 OS 类型相当的多，所以他的参数多的离谱！
而且有没有加上 - 差很多！详细的用法应该要参考 man ps 喔！
范例：

范例一：将目前属于您自己这次登录的 PID 与相关信息列示出来
[root@linux ~]# ps -l
F S   UID   PID  PPID  C PRI  NI ADDR SZ WCHAN  TTY          TIME CMD
0 S     0  5881  5654  0  76   0 -  1303 wait   pts/0    00:00:00 su
4 S     0  5882  5881  0  75   0 -  1349 wait   pts/0    00:00:00 bash
4 R     0  6037  5882  0  76   0 -  1111 -      pts/0    00:00:00 ps
# 上面这个信息其实很多喔！各相关信息的意义为：
# F	代表这个进程的旗标 (flag)， 4 代表用户为 super user；
# S	代表这个进程的状态 (STAT)，关于各 STAT 的意义将在内文介绍；
# PID	没问题吧！？就是这个进程的 ID 啊！底下的 PPID 则上父进程的 ID；
# C	CPU 使用的资源百分比
# PRI	这个是 Priority (优先运行序) 的缩写，详细后面介绍；
# NI	这个是 Nice 值，在下一小节我们会持续介绍。
# ADDR	这个是 kernel function，指出该进程在内存的那个部分。如果是个 running
#	的进程，一般就是『 - 』的啦！
# SZ	使用掉的内存大小；
# WCHAN	目前这个进程是否正在运作当中，若为 - 表示正在运作；
# TTY	登录者的终端机位置啰；
# TIME	使用掉的 CPU 时间。
# CMD	所下达的指令为何！？
# 仔细看到每一个进程的 PID 与 PPID 的相关性为何喔！上头列出的三个进程中，
# 彼此间可是有相关性的呐！

范例二：列出目前所有的正在内存当中的进程：
[root@linux ~]# ps aux
USER       PID %CPU %MEM    VSZ   RSS TTY      STAT START   TIME COMMAND
root         1  0.0  0.1   1740   540 ?        S    Jul25   0:01 init [3]
root         2  0.0  0.0      0     0 ?        SN   Jul25   0:00 [ksoftirqd/0]
root         3  0.0  0.0      0     0 ?        S<   Jul25   0:00 [events/0]
.....中间省略.....
root      5881  0.0  0.3   5212  1204 pts/0    S    10:22   0:00 su
root      5882  0.0  0.3   5396  1524 pts/0    S    10:22   0:00 bash
root      6142  0.0  0.2   4488   916 pts/0    R+   11:45   0:00 ps aux

范例三：以范例一的显示内容，显示出所有的进程：
[root@linux ~]# ps -lA
F S   UID   PID  PPID  C PRI  NI ADDR SZ WCHAN  TTY          TIME CMD
4 S     0     1     0  0  76   0 -   435 -      ?        00:00:01 init
1 S     0     2     1  0  94  19 -     0 ksofti ?        00:00:00 ksoftirqd/0
1 S     0     3     1  0  70  -5 -     0 worker ?        00:00:00 events/0
.....以下省略.....

范例四：列出类似进程树的进程显示：
[root@linux ~]# ps -axjf
PPID  PID PGID  SID TTY   TPGID STAT UID  TIME COMMAND
   0    1    0    0 ?        -1 S      0  0:01 init [3]
   1    2    0    0 ?        -1 SN     0  0:00 [ksoftirqd/0]
.....中间省略.....
   1 5281 5281 5281 ?        -1 Ss     0  0:00 /usr/sbin/sshd
5281 5651 5651 5651 ?        -1 Ss     0  0:00  \_ sshd: dmtsai [priv]
5651 5653 5651 5651 ?        -1 S    500  0:00      \_ sshd: dmtsai@pts/0
5653 5654 5654 5654 pts/0  6151 Ss   500  0:00          \_ -bash
5654 5881 5881 5654 pts/0  6151 S      0  0:00              \_ su
5881 5882 5882 5654 pts/0  6151 S      0  0:00                  \_ bash
5882 6151 6151 5654 pts/0  6151 R+     0  0:00                      \_ ps -axjf
# 看出来了吧？其实鸟哥在进行一些测试时，都是以网络连接进主机来测试的，
# 所以啰，你会发现，嘿嘿！其实进程之间是有相关性的啦！不过，
# 其实还可以使用 pstree 来达成这个进程树喔！底下在仔细谈一谈。

范例五：找出与 cron 与 syslog 这两个服务有关的 PID 号码？
[root@linux ~]# ps aux | egrep '(cron|syslog)'
root  1539  0.0  0.1  1616   616 ?        Ss  Jul25  0:03 syslogd -m 0
root  1676  0.0  0.2  4544  1128 ?        Ss  Jul25  0:00 crond
root  6157  0.0  0.1  3764   664 pts/0    R+  12:10  0:00 egrep (cron|syslog)
# 所以号码是 1539 及 1676 这两个啰！就是这样找的啦！

说真的，如果你曾经使用 man ps 的话，呵呵！可能会被里面的说明搞的一脸茫然～ 因为......支持的类型实在太多，所以， ps -aux 与 ps aux 显示的结果『可能』是不一样的， 那个 -u 后面接的是『有效的用户 ID』，所以， -ux 可能是『有一个 user 名称为 x 』 而如果没有 x 这个用户，那么屏幕上面会显示一个警告消息，并以 ps aux 来输出。 哇！真是麻烦～所以，您可以直接记得使用 ps aux 就好了！

在缺省的情况下， ps 仅会列出与目前所在的 bash shell 有关的 PID 而已，所以， 当我使用 ps -l 的时候，只有三个 PID (范例一)。注意一下，我有一个 bash 的 PID ， 而且也有一个 ps 的 PID ，了解了吧？呵呵！在 bash 里面运行程序时，是会触发一个新的 process 的喔！而且，两者之间是有相关性的，看 PID 与 PPID 的号码，你就会晓得两者的差异了！

那么，什么是『有效用户 ID 』呢？还记得我们提过的 SUID 吧？我以 dmtsai 去运行 /usr/bin/passwd 取得的那个 process 竟然是 root 的权限喔！ 此时，实际的用户 (real user) 是 dmtsai ，但是有效的用户 (effective user) 是 root 啦！ 这样说，可以理解吧！？

一般来说，鸟哥会建议您，直接使用『ps aux』这个指令参数即可， 显示的结果例如上面的范例二啰。在范例二的各个显示项目代表的意义为：

• USER：该 process 属于那个用户帐号的？
• PID ：该 process 的号码。
• %CPU：该 process 使用掉的 CPU 资源百分比；
• %MEM：该 process 所占用的物理内存百分比；
• VSZ ：该 process 使用掉的虚拟内存量 (Kbytes)
• RSS ：该 process 占用的固定的内存量 (Kbytes)
• TTY ：该 process 是在那个终端机上面运作，若与终端机无关，则显示 ?，另外， tty1-tty6 是本机上面的登录者进程，若为 pts/0 等等的，则表示为由网络连接进主机的进程。
• STAT：该进程目前的状态，主要的状态有：
  • R ：该进程目前正在运作，或者是可被运作；
  • S ：该进程目前正在睡眠当中 (可说是 idle 状态啦！)，但可被某些信号 (signal) 唤醒。
  • T ：该进程目前正在侦测或者是停止了；
  • Z ：该进程应该已经终止，但是其父进程却无法正常的终止他，造成 zombie (疆尸) 进程的状态
• START：该 process 被触发启动的时间；
• TIME ：该 process 实际使用 CPU 运作的时间。
• COMMAND：该进程的实际指令为何？

我们取这一行来做个简单的说明：

root      5881  0.0  0.3   5212  1204 pts/0    S    10:22   0:00 su

该进程属于 root 所有，他的 PID 号码是 5881，该进程对于 CPU 的使用率很低啊！ 至于占用的物理内存大概有 0.3% 这么多。至于该进程使用掉的虚拟内存量为 5212 K， 物理内存为 1204 K，该进程属于 pts/0 这个终端机，看来这个进程应该是来自网络的连接登录。 该进程目前是 Sleep 的状态，但其实是可以被运行的。这个进程由今天的 10:22 开始运作， 不过，仅耗去 CPU 运作时间的 0:00 分钟。该进程的运行就是 su 这个指令啦！

除此之外，我们必须要知道的是『疆尸 (zombie) 』进程是什么？ 通常，造成疆尸进程的成因是因为该进程应该已经运行完毕，或者是因故应该要终止了， 但是该进程的父进程却无法完整的将该进程结束掉，而造成那个进程一直存在内存当中..... 如果您发现在某个进程的 CMD 后面还接上 <defunct> 时，就代表该进程是疆尸进程啦，例如：

apache  8683  0.0  0.9 83384 9992 ?   Z  14:33   0:00 /usr/sbin/httpd <defunct>

当系统不稳定的时候就容易造成所谓的疆尸进程，可能原因是因为程序写的不好啦， 或者是用户的操作习惯不良等等所造成。如果您发现系统中很多疆尸进程时， 呵呵！记得啊！要找出该进程的父进程，然后好好的做个追踪，好好的进行主机的环境优化啊！ 看看有什么地方需要改善的，不要只是直接将他 kill 掉而已呢！ 不然的话，万一他一直产生，那可就麻烦了！ @_@

[root@linux ~]# top [-d] | top [-bnp]
参数：
-d  ：后面可以接秒数，就是整个进程画面更新的秒数。缺省是 5 秒；
-b  ：以批量的方式运行 top ，还有更多的参数可以使用喔！
      通常会搭配数据流重导向来将批量的结果输出成为文件。
-n  ：与 -b 搭配，意义是，需要进行几次 top 的输出结果。
-p  ：指定某些个 PID 来进行观察监测而已。
在 top 运行过程当中可以使用的按键指令：
	? ：显示在 top 当中可以输入的按键指令；
	P ：以 CPU 的使用资源排序显示；
	M ：以 Memory 的使用资源排序显示；
	N ：以 PID 来排序喔！
	T ：由该 Process 使用的 CPU 时间累积 (TIME+) 排序。
	k ：给予某个 PID 一个信号  (signal)
	r ：给予某个 PID 重新制订一个 nice 值。
范例：

范例一：每两秒钟更新一次 top ，观察整体信息：
[root@linux ~]# top -d 2
top - 18:30:36 up 30 days, 7 min,  1 user,  load average: 0.42, 0.48, 0.45
Tasks: 163 total,   1 running, 161 sleeping,   1 stopped,   0 zombie
Cpu(s):  4.7% us,  4.0% sy,  6.3% ni, 82.5% id,  0.4% wa,  0.1% hi,  2.0% si
Mem:   1033592k total,   955252k used,    78340k free,   208648k buffers
Swap:  1052216k total,      728k used,  1051488k free,   360248k cached
    <==如果加入 k 或 r 时，就会有相关的字样出现在这里喔！
  PID USER      PR  NI  VIRT  RES  SHR S %CPU %MEM    TIME+  COMMAND 
 3981 apache    34  19 84012  11m 7352 S 17.3  1.2   0:00.09 httpd
 1454 mysql     16   0  289m  40m 2228 S  3.8  4.0 115:01.32 mysqld
 3985 dmtsai    15   0  2148  904  668 R  3.8  0.1   0:00.03 top
    1 root      16   0  3552  552  472 S  0.0  0.1   0:08.90 init
    2 root      RT   0     0    0    0 S  0.0  0.0   0:52.76 migration/0
    3 root      34  19     0    0    0 S  0.0  0.0   0:03.01 ksoftirqd/0

范例二：将 top 的信息进行 2 次，然后将结果输出到 /tmp/top.txt
[root@linux ~]# top -b -n 2 > /tmp/top.txt
# 这样一来，嘿嘿！就可以将 top 的信息存到 /tmp/top.txt 文件中了。

范例三：假设 10604 是一个已经存在的 PID ，仅观察该进程？
[root@linux ~]# top -d 2 -p10604
top - 13:53:00 up 51 days,  2:27,  1 user,  load average: 0.00, 0.00, 0.00
Tasks:   1 total,   0 running,   1 sleeping,   0 stopped,   0 zombie
Cpu(s):  0.0% us,  0.0% sy,  0.0% ni, 100.0% id,  0.0% wa,  0.0% hi,  0.0% si
Mem:    385676k total,   371760k used,    13916k free,   131164k buffers
Swap:  1020116k total,      880k used,  1019236k free,    95772k cached

  PID USER      PR  NI  VIRT  RES  SHR S %CPU %MEM    TIME+  COMMAND  
10604 root      16   0  5396 1544 1244 S  0.0  0.4   0:00.07 bash

范例四：承上题，上面的 NI 值是 0 ，想要改成 10 的话？
# 在范例三的 top 画面当中直接按下 r 之后，会出现如下的图样！
top - 13:53:00 up 51 days,  2:27,  1 user,  load average: 0.00, 0.00, 0.00
Tasks:   1 total,   0 running,   1 sleeping,   0 stopped,   0 zombie
Cpu(s):  0.0% us,  0.0% sy,  0.0% ni, 100.0% id,  0.0% wa,  0.0% hi,  0.0% si
Mem:    385676k total,   371760k used,    13916k free,   131164k buffers
Swap:  1020116k total,      880k used,  1019236k free,    95772k cached
PID to renice: 10604
  PID USER      PR  NI  VIRT  RES  SHR S %CPU %MEM    TIME+  COMMAND  
10604 root      16   0  5396 1544 1244 S  0.0  0.4   0:00.07 bash

# 之后，可以输入 nice 值了！
top - 13:53:00 up 51 days,  2:27,  1 user,  load average: 0.00, 0.00, 0.00
Tasks:   1 total,   0 running,   1 sleeping,   0 stopped,   0 zombie
Cpu(s):  0.0% us,  0.0% sy,  0.0% ni, 100.0% id,  0.0% wa,  0.0% hi,  0.0% si
Mem:    385676k total,   371760k used,    13916k free,   131164k buffers
Swap:  1020116k total,      880k used,  1019236k free,    95772k cached
Renice PID 10604 to value: 10
  PID USER      PR  NI  VIRT  RES  SHR S %CPU %MEM    TIME+  COMMAND  
10604 root      30  10  5396 1544 1244 S  0.0  0.4   0:00.07 bash

top 也是个挺不错的进程观察工具！但不同于 ps 是静态的结果输出， top 这个程序可以持续的监测 (monitor) 整个系统的进程工作状态，例如上面的范例一所示啊！ 在缺省的情况下，每次更新进程资源的时间为 5 秒，不过，可以使用 -d 来进行修改。

top 主要分为两个画面，上面的画面为整个系统的资源使用状态，基本上总共有六行， 显示的内容依序是：

• 第一行：显示系统已启动的时间、目前上线人数、系统整体的负载(load)。 比较需要注意的是系统的负载，三个数据分别代表 1, 5, 10 分钟的平均负载。 一般来说，这个负载值应该不太可能超过 1 才对，除非您的系统很忙碌。 如果持续高于 5 的话，那么.....仔细的看看到底是那个进程在影响整体系统吧！


• 第二行：显示的是目前的观察进程数量，比较需要注意的是最后的 zombie 那个数值，如果不是 0 ，嘿嘿！好好看看到底是那个 process 变成疆尸了吧？！


• 第三行：显示的是 CPU 的整体负载，每个项目可使用 ? 查阅。需要观察的是 id (idle) 的数值，一般来说，他应该要接近 100% 才好，表示系统很少资源被使用啊！ ^_^。


• 第四行与第五行：表示目前的物理内存与虚拟内存 (Mem/Swap) 的使用情况。


• 第六行：这个是当在 top 程序当中输入指令时，显示状态的地方。 例如范例四就是一个简单的使用例子。

至于 top 底下的画面，则是每个 process 使用的资源情况。比较需要注意的是：

• PID ：每个 process 的 ID 啦！
• USER：该 process 所属的用户；
• PR ：Priority 的简写，进程的优先运行顺序，越小越早被运行；
• NI ：Nice 的简写，与 Priority 有关，也是越小越早被运行；
• %CPU：CPU 的使用率；
• %MEM：内存的使用率；
• TIME+：CPU 使用时间的累加；

一般来说，如果鸟哥想要找出最损耗 CPU 资源的那个进程时，大多使用的就是 top 这支程序啦！然后强制以 CPU 使用资源来排序 (在 top 当中按下 P 即可)， 就可以很快的知道啦！ ^_^。多多爱用这个好用的东西喔！

[root@linux ~]# pstree [-Aup]
参数：
-A  ：各进程树之间的连接以 ASCII 字符来连接；
-p  ：并同时列出每个 process 的 PID；
-u  ：并同时列出每个 process 的所属帐号名称。
范例：

范例一：列出目前系统上面所有的进程树的相关性：
[root@linux ~]# pstree -A
init-+-atd
     |-crond
     |-dhclient
     |-dovecot-+-dovecot-auth
     |         `-3*[pop3-login]
     |-events/0
     |-2*[gconfd-2]
     |-master-+-pickup
     |        `-qmgr
     |-6*[mingetty]
     |-sshd---sshd---sshd---bash---su---bash---pstree
     |-udevd
     `-xinetd
# 注意一下，为了节省版面，所以鸟哥已经删去很多进程了！
# 同时注意到 sshd--- 那一行，嘿嘿！有相关的进程都被列出在一起了！

范例二：承上题，同时秀出 PID 与 users 
[root@linux ~]# pstree -Aup
init(1)-+-atd(16143)
        |-crond(1676)
        |-dhclient(21339)
        |-dovecot(1606)-+-dovecot-auth(1616)
        |               |-pop3-login(747,dovecot)
        |               |-pop3-login(10487,dovecot)
        |               `-pop3-login(10492,dovecot)
        |-events/0(3)
        |-gconfd-2(2352)
        |-gconfd-2(32158)
        |-master(1666)-+-pickup(10817,postfix)
        |              `-qmgr(1675,postfix)
        |-mingetty(1792)
        |-mingetty(21366)
        |-sshd(5281)---sshd(10576)---sshd(10578,vbird)---bash(10579)
        |-syslogd(1539)
        |-udevd(801)
        `-xinetd(1589)
# 呵呵！在括号 () 内的即是 PID 以及该进程的 owner 喔！不过，由于我是使用 
# root 的身份运行此一指令，所以啰，嘿嘿！属于root的可能就不会显示出来啦！

如果要找进程之间的相关性，呵呵！这个 pstree 真是好用到不行！ 直接输入 pstree 可以查到进程相关性，不过，有的时候由于语系的问题会出现乱码， 因此，建议直接使用 -A 用 ASCII 字符作为链接接口 (就是那个 +, -, |, ` 等等啦！) 会比较看的清楚点。另外，如果还想要知道 PID 与所属用户，加上 -u 及 -p 两个参数即可。 我们前面不是一直提到，如果子进程挂点或者是老是砍不掉子进程时， 该如何找到父进程吗？呵呵！用这个 pstree 就对了！ ^_^

[root@linux ~]# free [-b|-k|-m|-g] [-t]
参数：
-b  ：直接输入 free 时，显示的单位是 Kbytes，我们可以使用 b(bytes), m(Mbytes)
      k(Kbytes), 及 g(Gbytes) 来显示单位喔！
-t  ：在输出的最终结果，显示物理内存与 swap 的总量。
范例：

范例一：显示目前系统的内存容量
[root@linux ~]# free -m
             total       used       free     shared    buffers     cached
Mem:           376        366         10          0        129         94
-/+ buffers/cache:        141        235
Swap:          996          0        995

仔细看看，我的系统当中有 384 MB 左右的物理内存，我的 swap 有 1GB 左右， 那我使用 free -m 以 MBytes 来显示时，就会出现上面的信息。Mem 那一行显示的是物理内存的量， Swap 则是虚拟内存的量。 total 是总量， used 是已被使用的量， free 则是剩余可用的量。 后面的 shared/buffers/cached 则是在已被使用的量当中，用来作为缓冲及缓存的量。

仔细的看到范例一的输出喔，我的 Linux 主机是很平凡的，根本没有什么工作， 但是，我的物理内存是几乎被用光光的情况呢！不过，至少有 129 MB 用在缓冲记忆工作， 94 MB 则用在缓存工作，也就是说，系统是『很有效率的将所有的内存用光光』， 目的是为了让系统的访问性能加速啦！

很多朋友都会问到这个问题『我的系统明明很轻松，为何内存会被用光光？』 现在瞭了吧？没有错！被用光是正常的！而需要注意的反而是 swap 的量。一般来说， swap 最好不要被使用，尤其 swap 最好不要被使用超过 20% 以上， 如果您发现 swap 的用量超过 20% ，那么，最好还是买物理内存来插吧！ 因为， Swap 的性能跟物理内存实在差很多，而系统会使用到 swap ， 绝对是因为物理内存不足了才会这样做的！如此，了解吧！

[root@linux ~]# uname [-asrmpi]
参数：
-a  ：所有系统相关的信息；
-s  ：系统内核名称
-r  ：内核的版本
-m  ：本系统的硬件名称
-p  ：CPU 的类型
-i  ：硬件的平台 (ix86)
范例：

范例一：输出系统的基本信息
[root@linux ~]# uname -a
Linux linux.site 2.6.12-1.1398_FC4 #1 Fri Jul 15 00:52:32 EDT 2005 
i686 i686 i386 GNU/Linux

这个咚咚我们前面使用过很多次了喔！uname 可以列出目前系统的内核版本、 主要硬件平台以及 CPU 类型等等的信息。以上面范例一的状态来说，我的 Linux 主机使用的内核名称为 Linux，而主机名称为 linux.site，内核的版本为 2.6.12-1.1398_FC4，该内核版本创建的日期为 2005/07/15， 适用的硬件平台为 i386 以上等级的硬件平台喔。

这个指令很单纯呢！就是显示出目前系统已经开机多久的时间，以及 1, 5, 15 分钟的平均负载就是了。还记得 top 吧？没错啦！ 这个 uptime 可以显示出 top 画面的最上面一行！

[root@linux ~]# uptime
 18:06:30 up 52 days,  6:40,  1 user,  load average: 0.00, 0.00, 0.00
# 上面表示，目前是 18:06 ，本系统已经开机 52 天又 6:40 ，有 1 个用户在在线，
# 平均负载很低，所以都是 0 啊！

这个 netstat 也是挺好玩的，其实，这个指令比较常被用在网络的监控方面， 不过，在进程管理方面也是需要了解的啦！这个指令的运行如下所示：基本上， netstat 的输出分为两大部分，上面是网络接口相关的连接，下方则是与 unix 进程有关的项目。

[root@linux ~]# netstat -[atunlp]
参数：
-a  ：将目前系统上所有的连接、监听、Socket 数据都列出来
-t  ：列出 tcp 网络封包的数据
-u  ：列出 udp 网络封包的数据
-n  ：不已进程的服务名称，以端口号 (port number) 来显示；
-l  ：列出目前正在网络监听 (listen) 的服务；
-p  ：列出该网络服务的进程 PID 
范例：

范例一：列出目前系统已经创建的网络连接与 unix socket 状态
[root@linux ~]# netstat
Active Internet connections (w/o servers)
Proto Recv-Q Send-Q Local Address        Foreign Address       State
tcp        0    256 59-125-83-224.ad:ssh linux.test.s:52679    ESTABLISHED
Active UNIX domain sockets (w/o servers)
Proto RefCnt Flags       Type       State         I-Node Path
unix  16     [ ]         DGRAM                    4870   /dev/log
unix  2      [ ]         DGRAM                    3561   @udevd
unix  3      [ ]         STREAM     CONNECTED     509237
# 在上面的结果当中，显示了两个部分，分别是网络的连接以及 linux 上面的 socket 
# 连接状态。在网络连接的部分主要内容为：
# Proto ：网络的封包协定，主要分为 TCP 与 UDP 封包，相关数据请参考服务器篇；
# Recv-Q：非由用户程序链接到此 socket 的拷贝的总 bytes 数；
# Send-Q：非由远程主机发送过来的 acknowledged 总 bytes 数；
# Local Address  ：本地端的 IP
# Foreign Address：远程主机的 IP；
# State ：连接状态，主要有创建(ESTABLISED)及监听(LISTEN)；
# 至于 unix 传统的 socket 连接状态则是：
# Proto ：一般就是 unix 啦；
# RefCnt：连接到此 socket 的进程数量；
# Flags ：连接的旗标；
# Type  ：socket 访问的类型。主要有确认连接的 STREAM 与不需确认的 DGRAM 两种；
# State ：CONNECTED 表示已经连接创建。
# Path  ：连接到此 socket 的相关程序的路径！或者是相关数据输出的路径。

范例二：找出目前系统上已在监听的网络连接及其 PID
[root@linux ~]# netstat -tulnp
Active Internet connections (only servers)
Proto Recv-Q Send-Q Local Address   Foreign Address  State   PID/Program name
tcp        0      0 0.0.0.0:21      0.0.0.0:*        LISTEN  1598/vsftpd
tcp        0      0 127.0.0.1:25    0.0.0.0:*        LISTEN  1666/master
tcp        0      0 :::22           :::*             LISTEN  5281/sshd
udp        0      0 0.0.0.0:68      0.0.0.0:*                21339/dhclient
# 看到了吗？最后面一个字段就是该端口号被该 PID 或程序所启动的！

范例三：将上述的本地端 0.0.0.0:21 那个网络服务关闭的话？
[root@linux ~]# kill 1598
[root@linux ~]# killall vsftpd

很多朋友常常有疑问，那就是，我的主机目前到底开了几个门(ports)， 呵呵！其实，不论主机提供什么样的服务，一定必须要有相对应的 program 在主机上面运行才行啊！ 举例来说，我们鸟园的 Linux 主机提供的就是 WWW 服务，那么我的主机当然有一个程序在提供 WWW 的服务啊！呵呵！那就是 Apache 这个套件所提供的啦！ ^_^。 所以，当我运行了这个程序之后，我的系统自然就可以提供 WWW 的服务了。那如何关闭啊？ 就关掉该程序所触发的那个进程就好了！例如上面的范例三所提供的例子啊！ ^_^

在开机的时候你会发现有很多的消息出现吧，例如 CPU 的形式、硬盘、 光盘型号及硬盘分割表等等，这些信息的产生都是内核 (kernel) 在进行硬件的测试与驱动啦。 但是消息都是『刷』的一声就跑过去了！完全来不及看！伤脑筋～

这些消息有时候对于系统管理员是很重要的，因为他提供了系统的信息呀！ 要看这些消息你可以用 dmesg 这个指令来观看！ 因为消息实在太多了，所以可以加入这个管线指令『 | more 』来使画面暂停！

范例一：输出所有的内核开机时的信息
[root@linux ~]# dmesg | more

范例二：搜索开机的时候，硬盘的相关信息为何？
[root@linux ~]# dmesg | grep -i hd
    ide0: BM-DMA at 0xffa0-0xffa7, BIOS settings: hda:DMA, hdb:DMA
    ide1: BM-DMA at 0xffa8-0xffaf, BIOS settings: hdc:DMA, hdd:pio
hda: ST320430A, ATA DISK drive
hdb: Maxtor 5T030H3, ATA DISK drive
hdc: CD-540E, ATAPI CD/DVD-ROM drive
.....底下省略.....

由范例二就知道我这部主机的硬盘是怎样了吧？！没错啦！ 还可以查阅能不能找到网络卡喔！网络卡的代号是 eth ，所以，直接输入 dmesg | grep -i eth 试看看呢！

这个 sar 并不是系统缺省的安装套件，如果您不是选择全部安装的话，这个套件缺省是不装的。 不过，如果您是选择全部安装，嘿嘿！那就可以玩这个 sar 了。 这个 sar 的功能倒是可以玩一玩的，因为他可以在您想要主动侦测主机的资源状态， 然后绘制成为图表时，相当好用的一个工具喔！

[root@linux ~]# sar [-ru] [秒数] [次数]
参数：
-u  ：进行 CPU 资源的统计；
-r  ：进行主内存目前状态的分析
范例：

范例一：统计目前主机 CPU 状态，每秒一次，共计三次！
[root@linux ~]# sar -u 1 3
Linux 2.6.12-1.1398_FC4 (vbird.vbird.idv.tw)    09/16/05

14:16:17          CPU     %user     %nice   %system   %iowait     %idle
14:16:18          all      0.00      0.00      0.00      0.00    100.00
14:16:19          all      0.00      0.00      0.00      0.00    100.00
14:16:20          all      0.00      0.00      0.00      0.00    100.00
Average:          all      0.00      0.00      0.00      0.00    100.00
# 我这部主机单纯用在家里测试的，所以没有什么网络服务，看的出来，嘿嘿！很安静！

范例二：统计目前主机内存的使用情况
[root@linux ~]# sar -r 1 3
Linux 2.6.12-1.1398_FC4 (vbird.vbird.idv.tw)    09/16/05

14:17:40    kbmemfree kbmemused  %memused kbbuffers  kbcached kbswpfree 
14:17:41        26004    359672     93.26    127528     83996   1019236
14:17:42        26004    359672     93.26    127528     83996   1019236
14:17:43        26004    359672     93.26    127528     83996   1019236
Average:        26004    359672     93.26    127528     83996   1019236
# 其实这个与 free 的输出结果也差不了太多啦！

鸟哥倒是很喜欢使用 sar 来做背景主动侦测系统 CPU 的动作！参考看看先！

如果当我们要卸载某个设备时，他老是告诉我们『 device is busy 』， 那么到底是那个进程在使用这个设备呢？举例来说，当无法 umount /home 时， 该怎么办？此时我们可以使用 fuser 来帮忙啦！

[root@linux ~]# fuser [-ki] [-signal] file/dir
参数：
-k  ：找出使用该文件/目录的 PID ，并试图以 SIGKILL 这个信号给予该 PID；
-i  ：必须与 -k 配合，在删除 PID 之前会先询问用户意愿！
-signal：例如 -1 -15 等等，若不加的话，缺省是 SIGKILL (-9) 啰！
范例：

范例一：找出目前所在目录的使用 PID 为何？
[root@linux ~]# fuser .
.:                   18852c
[root@linux ~]# ps aux | grep 18852
root     18852  0.0  0.4   5396  1588 pts/0    SN   10:12   0:00 bash
# 用这个方式就可以得到使用该目录的 PID 了。此外，为何使用 fuser 
# 的输出当中，在 PID 后面会有 c 呢？他代表的意义为：
# c ：在当前的目录下；
# e ：可以被运行的；
# f ：是一个被打开的文件
# r ：代表 root directory

范例二：找到 /var 底下属于 FIFO 类型的文件，并且找出访问该文件的进程
[root@linux ~]# find /var -type p
/var/spool/postfix/public/qmgr
/var/spool/postfix/public/pickup
[root@linux ~]# fuser /var/spool/postfix/public/qmgr
/var/spool/postfix/public/qmgr:  1666  1675
[root@linux ~]# ps aux | egrep '(1666|1675)'
root    1666 0.0 0.3 5640 1516 ?  Ss Jul25  0:01 /usr/libexec/postfix/master
postfix 1675 0.0 0.4 5744 1604 ?  S  Jul25  0:00 qmgr -l -t fifo -u

范例三：同范例二，但试图删除该 PID？
[root@linux ~]# fuser -ki /var/spool/postfix/public/qmgr
/var/spool/postfix/public/qmgr:  1666  1675
Kill process 1666 ? (y/N) n
Kill process 1675 ? (y/N) n

如何？很有趣的一个指令吧！通过这个 fuser 我们可以找出使用该文件、 目录的进程，借以观察的啦！

相对于 fuser 是由文件或者设备去找出使用该文件或设备的进程，反过来说， 如何查出某个进程打开或者使用的文件与设备呢？呼呼！那就是使用 lsof 啰～

[root@linux ~]# lsof [-Uu] [+d]
参数：
-a  ：多项数据需要『同时成立』才显示出结果时！
-U  ：仅列出 Unix like 系统的 socket 文件类型；
-u  ：后面接 username，列出该用户相关进程所打开的文件；
+d  ：后面接目录，亦即找出某个目录底下已经被打开的文件！
范例：

范例一：列出目前系统上面所有已经被打开的文件与设备：
[root@linux ~]# lsof
COMMAND PID USER  FD  TYPE  DEVICE   SIZE    NODE NAME
init      1 root cwd   DIR     3,1   4096       2 /
init      1 root rtd   DIR     3,1   4096       2 /
init      1 root txt   REG     3,1  34352  883193 /sbin/init
.....底下省略.....
# 注意到了吗？是的，在缺省的情况下， lsof 会将目前系统上面已经打开的
# 文件全部列出来～所以，画面多的吓人啊！您可以注意到，第一个文件 init 运行的
# 地方就在根目录，而根目录，嘿嘿！所在的 inode 也有显示出来喔！

范例二：仅列出关于 root 的所有进程打开的 socket 文件
[root@linux ~]# lsof -u root -a -U
COMMAND     PID USER   FD   TYPE     DEVICE SIZE   NODE NAME
kmodule     793 root    4u  unix 0xd744b700        3549 socket
udevd       801 root    5u  unix 0xd744bb40        3561 socket
syslogd    1539 root    0u  unix 0xd75946e0        4870 /dev/log
# 注意到那个 -a 吧！如果你分别输入 lsof -u root 及 lsof -U ，会有啥信息？
# 使用 lsof -u root -U 及 lsof -u root -a -U ，呵呵！都不同啦！
# -a 的用途就是在解决同时需要两个项目都成立时啊！ ^_^

范例三：请列出目前系统上面所有的被启动的周边设备
[root@linux ~]# lsof +d /dev
COMMAND     PID    USER   FD   TYPE     DEVICE SIZE NODE NAME
init          1    root   10u  FIFO       0,13      1834 /dev/initctl
kmodule     793    root    2u   CHR        1,3      2135 /dev/null
kmodule     793    root    3u   CHR        5,1      2134 /dev/console
udevd       801    root    2u   CHR        1,3      2135 /dev/null
syslogd    1539    root    0u  unix 0xd75946e0      4870 /dev/log
xinetd     1589    root    1r   CHR        1,3      2135 /dev/null
#看吧！因为设备都在 /dev 里面嘛！所以啰，使用搜索目录即可啊！

范例四：秀出属于 root 的 bash 这支程序所打开的文件
[root@linux ~]# lsof -u root | grep bash
bash   26199 root  cwd   DIR   3,2   4096   159875 /root
bash   26199 root  rtd   DIR   3,1   4096        2 /
bash   26199 root  txt   REG   3,1 686520   294425 /bin/bash
bash   26199 root  mem   REG   3,1  83160    32932 /usr/lib/gconv/BIG5.so
bash   26199 root  mem   REG   3,1  46552   915764 /lib/libnss_files-2.3.5.so
.....底下省略.....

这个指令可以找出您想要知道的某个进程是否有激活哪些信息？ 例如上头提到的范例四的运行结果呢！ ^_^

[root@linux ~]# pidof [-sx] program_name
参数：
-s  ：仅列出一个 PID 而不列出所有的 PID
-x  ：同时列出该 program name 可能的 PPID 那个进程的 PID
范例：

范例一：列出目前系统上面 init 以及 syslogd 这两个程序的 PID
[root@linux ~]# pidof init syslogd
1 2546
# 理论上，应该会有两个 PID 才对。上面的显示也是出现了两个 PID 喔。
# 分别是 init 及 syslogd 这两支程序的 PID 啦。

范例二：找出 bash 即以 bash 为 PPID 的几个主要的 PID
[root@linux ~]# pidof -x bash
2961 2959 338
# 因为我的系统被我登录之后，我就会主动取得一个 bash 的进程，所以啰，
# 很自然就会拥有一个 PID 啊。只要我再以底下的方式，就可以取得我所想要的 PID 内容。
[root@linux ~]# ps aux | egrep '(2961|2959|338)'
dmtsai   338  0.0  0.1  6024 1536 pts/0    Ss   16:43   0:00 -bash
kiki    2961  0.0  0.1  6025 1526 pts/0    Ss   17:43   0:00 -bash
.....以下省略......

很简单的用法吧，通过这个 pidof 指令，并且配合 ps aux 与正规表示法， 就可以很轻易的找到您所想要的进程内容了呢。