Лучший способ наблюдать за процессом (и подпроцессами) для файловой системы read() I/O?

В Linux я бы определенно использовал strace — это просто и мощно. Например.:

$ strace -o/tmp/blah -f -eopen,read bash -c "cat ciao.txt"

запускает запрошенную команду (включая подпроцессы, которые она порождает из-за -f), а также оставляет в /tmp/blah (120 строк в моем случае для этого примера), подробно описывая все вызовы открытия и чтения, сделанные этими процессами, и их результаты.

После этого вам потребуется небольшая обработка, чтобы извлечь только тот набор файлов, которые были успешно прочитаны, как вам нужно; например, с Python вы можете сделать:

import re

linere = re.compile(r'^(\d+)\s+(\w+)\(([^)]+)\)\s+\=\s*(.*)$')

def main():
  openfiles = dict()
  filesread = set()
  with open('/tmp/blah') as f:
    for line in f:
      mo = linere.match(line)
      if mo is None:
        print "Unmatched line %r" % line
      pid, command, args, results = mo.groups()
      if command == 'open':
        fn = args.split(',', 1)[0].strip('"')
        fd = results.split(' ', 1)[0]
        openfiles[fd] = fn
      elif command == 'read':
        if results != '0':
          fd = args.split(',', 1)[0]
          filesread.add(openfiles[fd])
      else:
        print "Unknown command %r" % command
  print sorted(filesread)

Это немного упрощено (вам нужно посмотреть некоторые другие системные вызовы, такие как dup &c), но, я надеюсь, показывает суть необходимой работы. В моем примере это выдает:

['/lib/libc.so.6', '/lib/libdl.so.2', '/lib/libncurses.so.5',
 '/proc/meminfo', '/proc/sys/kernel/ngroups_max',
 '/usr/share/locale/locale.alias', 'ciao.txt']

поэтому он также считается «чтением» тех, которые выполняются для получения динамических библиотек и т. Д., А не только «файлов данных» ... на уровне системного вызова разница невелика. Я полагаю, вы могли бы отфильтровать файлы без данных, если вам это нужно.

Я нахожу strace настолько удобным для таких целей, что, если бы мне поручили выполнить ту же работу в Windows, моей первой попыткой было бы перейти на StraceNT -- не на 100 % совместимы, и, конечно, базовые имена системных вызовов и c различаются, но я думаю, что могу объяснить эти различия в своем коде Python (подготовка и выполнение команды strace и постобработка результатов).

К сожалению, некоторые другие системы Unix, насколько мне известно, предлагают такие возможности только в том случае, если вы являетесь пользователем root (суперпользователь) - например. в Mac OS X нужно пройти через sudo, чтобы запустить такие утилиты трассировки, как dtrace и dtruss; Я не знаю прямого переноса strace на Mac или других способов выполнения таких задач без привилегий root.

Попробуйте "монитор процессов" (procmon.exe). Это позволяет указать фильтр (имя процесса для просмотра). Затем он перечислит все файлы и операции с указанными файлами.

В Linux попробуйте lsof для текущего снимка и strace для непрерывного мониторинга. Вам придется фильтровать вывод с помощью grep.

Все эти инструменты проверяют структуру процесса (то есть структуру данных, которую ОС использует для управления процессом) и перечисляют упомянутые там дескрипторы/файловые дескрипторы. Это не функция API файловой системы, а API управления процессами.

[EDIT] Чтобы начать работу, см. раздел «Как это работает» на этой странице. написать свой собственный инструмент для Windows.

Добавлена ​​опция -d (--watchfd) в 2014 году в pv, чтобы внимательно следить за pid.

Легко запомнить и полезно для отладки.

pv --help
  -d, --watchfd PID[:FD]   watch file FD opened by process PID

Например, чтобы посмотреть процесс по его имени.

pv -d `pgrep firefox`