Linux如何监控系统进程行为?

　　监控系统进程行为是Linux运维和安全防护的核心操作，既能及时发现资源占用异常的进程，又能排查恶意程序的隐蔽运行，对保障系统稳定至关重要。那么Linux如何监控系统进程行为?以下内容为具体介绍。

　　1.使用ps查看进程快照

　　ps 命令用于显示当前系统的进程状态，提供进程的静态快照。

　　ps aux：列出所有进程，包括用户、CPU和内存使用情况

　　ps -ef：以标准格式显示进程树结构

　　ps aux --sort=-%cpu：按CPU使用率排序，快速定位高负载进程

　　适合快速排查哪个进程占用过多资源。

　　2.使用top和htop实时监控

　　top 提供动态的实时进程视图，可查看CPU、内存、运行时间等信息。

　　运行top后按P按CPU排序，按M按内存排序

　　按q退出，按k可杀死指定PID的进程

　　htop是top的增强版，支持鼠标操作、颜色显示和垂直/水平滚动，体验更友好。

　　3.使用strace跟踪系统调用

　　strace能追踪进程执行时的系统调用和信号，对调试和安全分析非常有用。

　　strace -p ：附加到正在运行的进程，查看其系统调用

　　strace -f -o debug.log command：记录命令及其子进程的所有系统调用到文件

　　常见关注点：open, read, write, execve, socket, connect等调用是否异常

　　例如发现某个进程频繁尝试打开敏感文件，可能是恶意行为迹象。

　　4.使用lsof查看进程打开的资源

　　lsof可列出进程打开的文件、网络连接、设备等。

　　lsof -p：查看某进程打开的所有文件和端口

　　lsof -i :80：查看占用80端口的进程

　　lsof +D /path/to/dir：查看哪个进程在访问特定目录

　　对排查文件被占用、非法外连等问题很有帮助。

　　5.使用auditd进行系统级审计

　　auditd是Linux的内核级审计系统，能持久记录关键进程行为。

　　安装并启动auditd：sudo systemctl start auditd

　　添加监控规则，例如监控某个可执行文件的执行：

　　sudo auditctl -w /bin/vim -p x -k monitor_vim

　　查看日志：ausearch -k monitor_vim

　　适合长期监控关键路径或敏感命令的执行情况。

　　6.使用perf分析性能行为

　　perf 是Linux内核自带的性能分析工具，可分析CPU周期、缓存命中、指令执行等。

　　perf top：实时查看系统中函数级别的CPU消耗

　　perf record -p：记录进程运行时的性能数据

　　perf report：生成分析报告，定位热点函数

　　适用于深入分析程序性能问题，尤其是CPU密集型应用。

　　为了让学员学以致用，老男孩教育不断更新Linux培训教学大纲，与一众讲师精心打造Linux云计算SRE课程体系。老男孩教育Linux云计算SRE运维课程，从零基础开始授课，适合零基础且对Linux感兴趣的学员学习。课程的主要目的就是培养出专业的Linux系统工程师，名师授课全程面授教学，边讲边练帮助学员高效掌握Linux技术。