本文约1800字,继续沿着《Linux调试工具系统化学习计划》的学习路径来学习Linux调试工具。在Linux系统运维中,进程管理是核心技能之一,而ps、pstree结合ppid(父进程ID)则是排查进程问题的“铁三角”。单独使用时只能获取基础进程信息,而将它们组合使用,能快速追溯进程血缘关系、定位异常进程根源、分析进程依赖,轻松解决复杂的进程故障。本文将详细梳理ps/pstree的高级用法,演示如何通过组合命令高效排查问题。
我建了一个BSP学习交流群,想学BSP或者已经是BSP开发者可私信我,加入群,一起交流学习,共同进步。
关注公众号, 即可获得与Linux相关的电子书籍以及常用开发工具,文末有文档清单。
一 核心概念
在深入高级用法前,先明确三个核心概念的关联,避免混淆:
[1].ps:全称Process Status,用于查看系统当前运行的进程快照,可获取进程PID、PPID、CPU/内存占用、运行状态、启动命令等关键信息,是进程查询的基础工具,每次执行仅捕获命令运行时刻的静态进程状态,不实时更新。
[2].PPID:Parent Process ID(父进程ID),每个进程(除了init进程,PID=1)都有一个父进程,PPID就是父进程的PID。通过PPID可追溯进程的“来源”,定位哪个进程启动了当前异常进程,是关联父子进程的核心纽带。
[3].pstree:全称Process Tree,以树状图形式直观展示进程间的层级关系,清晰呈现父进程、子进程的嵌套结构,相比ps命令,其输出更直观,能快速看清进程间的依赖关系,无需手动关联PPID。
核心逻辑:pstree 直观展示进程树 -> ps 提取目标进程的PID/PPID及详细信息 -> 通过 PPID 追溯异常进程的父进程,定位问题根源。
二 ps/PPID/pstree 单独高级用法
要实现组合用法,需先熟练掌握每个工具的高级参数,重点关注与“进程关联”相关的用法。
[1]. ps 高级用法
ps的核心价值是“精准提取进程细节”,常用高级参数组合如下,尤其关注PPID的查询与过滤:
常用高级命令组合
1. ps -ef:显示所有进程的完整信息,包含UID、PID、PPID、C(CPU占用率)、STIME(启动时间)、TTY(关联终端)、TIME(累计CPU时间)、CMD(启动命令),可直接看到每个进程的父进程PID,适合快速关联父子进程。
(ubuntu20.04)示例输出片段:
vivian@mylinux:~/Desktop$ ps -efUID PID PPID C STIME TTY TIME CMD......root 926 1 0 16:45 ? 00:00:00 /usr/libexec/power-profiles-daemonsyslog 927 1 0 16:45 ? 00:00:00 /usr/sbin/rsyslogd -n -iNONEroot 929 1 0 16:45 ? 00:00:03 /snap/snapd/current/usr/lib/snapd/snapdroot 930 1 0 16:45 ? 00:00:00 /usr/libexec/switcheroo-controlroot 933 1 0 16:45 ? 00:00:00 /lib/systemd/systemd-logindroot 935 1 0 16:45 ? 00:00:00 /usr/libexec/udisks2/udisksdroot 938 1 0 16:45 ? 00:00:00 /sbin/wpa_supplicant -u -s -O /run/wpa_supplicantroot 981 1 0 16:45 ? 00:00:00 /usr/sbin/ModemManager
2. ps -aux:显示所有用户的所有进程,包含CPU、内存占用率(%CPU、%MEM),适合排查高资源占用进程,结合PPID可定位“哪个父进程启动了高占用子进程”,输出字段更侧重资源使用情况。
vivian@mylinux:~/Desktop$ ps -auxUSER PID %CPU %MEM VSZ RSS TTY STAT START TIME COMMANDroot 926 0.0 0.1 243192 7876 ? Ssl 16:45 0:00 /usr/libexec/power-profiles-daemonsyslog 927 0.0 0.1 222404 6488 ? Ssl 16:45 0:00 /usr/sbin/rsyslogd -n -iNONEroot 929 0.0 1.0 1924632 42492 ? Ssl 16:45 0:03 /snap/snapd/current/usr/lib/snapd/snapdroot 930 0.0 0.1 239480 7312 ? Ssl 16:45 0:00 /usr/libexec/switcheroo-controlroot 933 0.0 0.2 15460 8140 ? Ss 16:45 0:00 /lib/systemd/systemd-logindroot 935 0.0 0.3 393260 14016 ? Ssl 16:45 0:00 /usr/libexec/udisks2/udisksdroot 938 0.0 0.1 16504 6732 ? Ss 16:45 0:00 /sbin/wpa_supplicant -u -s -O /run/wpa_supplicantroot 981 0.0 0.3 317972 12620 ? Ssl 16:45 0:00 /usr/sbin/ModemManager
关键字段解读:
- VSZ:进程使用的虚拟内存大小(KB),包含共享库等;
- RSS:进程使用的物理内存大小(KB),即实际占用的物理内存;
- STAT:进程状态,如R(运行中)、S(可中断睡眠)、D(不可中断睡眠)、Z(僵尸进程)等,异常状态需重点关注。
3. ps -o pid,ppid,cmd,%cpu,%mem -p 目标PID:自定义输出指定进程的关键信息,仅显示PID、PPID、启动命令、CPU/内存占用,简洁高效,适合聚焦单个进程分析。
示例:查询PID=981的进程详情
ps -o pid,ppid,cmd,%cpu,%mem -p 981输出:PID PPID CMD %CPU %MEM981 1 /usr/sbin/ModemManager 0.0 0.3
4. ps -ef | grep -v grep | grep -w 进程名:过滤出指定进程的所有实例,排除grep自身进程,结合PPID可查看该进程的所有父子实例(如nginx的master和worker进程)。
5. ps -eo pid,ppid,cmd,etime:自定义输出进程ID、父进程ID、命令名和运行时间,可识别异常长时间运行的进程,辅助排查异常进程。
6. ps -o ppid= -p 目标PID:快速查询指定进程的父进程ID(PPID),=号表示不显示列标题,简洁高效,适合脚本调用或快速追溯父进程。
ps 核心技巧:
通过PPID过滤子进程:ps -ef | grep -w PPID=目标PPID,可快速找出某个父进程的所有子进程(比如排查父进程异常时,查看其所有子进程是否正常)。
补充说明:可通过/proc/目标PID/status文件直接读取PPID,例如grep PPid /proc/981/status,输出PPid: 1,与ps命令结果一致,适合底层排查。
[2]. pstree 高级用法
pstree的核心价值是“可视化进程层级”,高级用法主要围绕“过滤、精准定位、细节展示”,常用参数如下,结合ps命令可实现互补:
常用高级命令组合
1. pstree -p:显示进程树的同时,显示每个进程的PID(括号内),直接关联进程名与PID,无需手动查询ps,是最常用的组合参数,可快速定位目标进程的层级关系。
2. pstree -u:显示进程树的同时,显示每个进程的所属用户,有助于了解哪些进程是由哪个用户启动的,排查权限相关的进程问题(如普通用户启动的高资源进程)。
3. pstree -H 目标PID:高亮显示指定PID的进程及其子进程,在复杂进程树中(如服务器进程较多时),可快速定位目标进程及其子进程,提升排查效率,尤其适合进程树冗长的场景。
4. pstree -s 目标PID:显示指定PID进程的“祖先树”(从init进程到该进程的完整路径),即追溯该进程的所有父进程、祖父进程,快速定位进程的启动源头,解决“未知进程来自哪里”的问题,与ps查询PPID的效果互补,但更直观。
5. pstree 用户名:查看指定用户启动的所有进程树,适合排查特定用户的进程异常(如普通用户启动了恶意进程),快速过滤无关进程。
6. pstree -A:使用ASCII字符绘制树形图,兼容性最好,适合在不支持UTF-8字符的老旧终端或远程连接环境中使用,避免树形结构显示乱码。
7. pstree | grep 进程名:过滤出包含指定进程名的进程树,快速定位目标进程的层级关系,结合-A 5可显示匹配行及后续5行,查看更多关联进程。
pstree 核心技巧
组合grep过滤:stree -p | grep -E "ModemManager|NetworkManager",

可同时查看多个相关进程的树状关系,适合排查服务集群的进程依赖;结合wc -l可统计进程树中的进程数量,辅助判断进程是否异常增多。
[3]. PPID 核心用法(关联父子进程的关键)
PPID本身不是独立命令,而是ps、pstree输出中的一个字段,其核心作用是“串联父子进程”,高级用法主要体现在“追溯与反查”:
1. 正向追溯:已知父进程PID,通过ps/pstree找出其所有子进程(排查父进程异常时,确认子进程是否需要清理)。
命令:
ps -ef | grep -w PPID=父进程PID 或 pstree -p 父进程PID。2. 反向追溯:已知子进程PID,通过ps/pstree找出其所有父进程(排查未知进程时,确认其来源是否合法)。
命令:
#快速获取父进程PIDps -o ppid= -p 子进程PID#查看完整祖先树pstree -s -p 子进程PID#获取父进程信息grep PPid /proc/子进程PID/status
3. 异常PPID判断:正常进程的PPID通常不为0(除init进程PID=1,其PPID=0),若某个进程的PPID=0或不存在(ps查询不到对应PPID的进程),可能是僵尸进程或异常进程(如恶意进程篡改PPID),需重点排查。
三 ps/PPID/pstree 组合高级用法
单独使用每个工具的局限性较大:ps能看细节但无法直观看到层级,pstree能看层级但细节不足,PPID需结合前两者才能发挥作用。以下是最常用的组合场景,覆盖“排查异常进程、清理僵尸进程、追溯进程来源”三大核心需求。
[1]. 组合场景1:排查高CPU/内存占用进程的根源
核心需求:服务器CPU/内存飙升,找到高占用进程,同时追溯其 parent 进程,确认是哪个进程启动了异常进程,避免误杀正常进程。
组合命令流程(一步到位):
1. 用ps找出高占用进程(PID):
#按CPU占用降序排列,取前10个,替换%-cpu为%-mem可查内存高占用ps -aux --sort=-%cpu | head -10
假设输出中,PID=1234的进程(进程名unknown)CPU占用90%,异常。
2. 用ps查询该进程的PPID及详细信息:
ps -o pid,ppid,cmd,user,%cpu -p 1234假设输出:1234 567 /tmp/unknown.sh root 90.0,得知PPID=567,启动命令为/tmp/unknown.sh(非系统命令,疑似恶意进程)。
3. 用pstree追溯PPID=567的进程树,确认其来源:
pstree -s -p 567假设输出:systemd(1)──crond(89)──crond(567)──unknown(1234),得知567是crond(定时任务进程)的子进程,说明异常进程是通过定时任务启动的。
4. 进一步排查定时任务:结合ps查询567的详细命令,ps -ef | grep 567,确认定时任务的路径,最终清理恶意定时任务和异常进程。
[2]. 组合场景2:清理僵尸进程
核心需求:僵尸进程(STAT=Z)占用PID资源,需找到其 parent 进程,通过重启父进程或杀死父进程(谨慎),清理僵尸进程(僵尸进程本身无法直接杀死,需通过父进程回收)。
组合命令流程:
1. 用ps找出所有僵尸进程:
#STAT=Z即为僵尸进程ps -ef | grep -w Z
假设输出:root 1235 1230 0 10:00 ? 00:00:00 [unknown] <defunct>,PID=1235(僵尸进程),PPID=1230。
2. 用pstree查看PPID=1230的进程树,确认父进程身份:
pstree -p 1230假设输出:nginx(1230)──[unknown](1235),得知父进程是nginx(PID=1230),僵尸进程是nginx的子进程。
3. 用ps查询父进程状态:
ps -o pid,stat,cmd -p 1230若父进程正常运行,可重启父进程(systemctl restart nginx),让其回收僵尸进程;若父进程也异常,可杀死父进程(kill -9 1230),再清理僵尸进程(谨慎操作,避免影响正常服务)。
[3]. 组合场景3:追溯未知进程的来源(排查恶意进程)
核心需求:服务器中出现未知进程(如进程名奇怪、路径异常),需确认其是否为恶意进程,追溯其启动源头(哪个父进程启动,是否通过系统服务、定时任务启动)。
组合命令流程:
1. 用ps查看未知进程的基本信息:
ps -aux | grep -v grep | grep 未知进程名获取其PID(假设为4567)、PPID(假设为789)、启动命令、所属用户。
2. 用pstree查看该进程的完整祖先树:
pstree -s -p 4567确认其从init进程开始的完整启动路径,判断是否为系统合法进程(如是否由systemd、sshd等正常服务启动)。
3. 用ps查询PPID=789的父进程详情:
ps -ef | grep 789确认父进程的启动命令和路径,若父进程也是异常进程,继续追溯其PPID,直到找到源头。
4. 结合pstree的用户显示功能:
pstree -u -p 4567查看未知进程的所属用户,若为非root用户启动的异常进程,可进一步排查该用户的登录记录和操作日志。
四 常见误区与注意事项
【误区1】:只看ps不看pstree,误杀父进程:单独用ps查询到高占用子进程,直接杀死子进程,忽略父进程会继续fork新的子进程,导致问题反复。正确做法:用pstree查看父进程,先处理父进程。
【误区2】:忽略PPID=0的异常进程:除init进程(PID=1)外,正常进程的PPID均不为0,若出现PPID=0的进程,大概率是恶意进程或系统异常,需立即排查。
【误区3】:pstree不显示PID,无法定位具体进程:务必加上-p参数,让pstree显示PID,才能与ps命令联动,精准定位目标进程。
【注意事项1】:权限问题:普通用户执行ps/pstree只能查看自身进程,排查系统级问题需用root权限(sudo),否则会出现信息缺失(如无法查看其他用户的进程),部分进程查询需root权限才能获取完整PPID信息。
【注意事项2】:容器环境特殊处理:在容器中,ps命令可能仅显示容器内的进程,若需查询宿主机进程,需在宿主机上直接运行命令,避免容器内进程与宿主机进程混淆。
【注意事项3】:谨慎杀死父进程:若父进程是系统核心进程(如systemd、sshd),杀死后会导致系统崩溃或无法登录,需先确认父进程的功能,非必要不轻易杀死核心进程。
【注意事项4】:进程状态解读:重点关注D状态(不可中断睡眠)和Z状态(僵尸进程),这两种状态易导致系统负载异常,需结合ps和pstree进一步排查阻塞或泄漏原因。
以上为全文内容。

这里是女程序员的笔记本
15年+嵌入式软件工程师兼二胎宝妈
分享读书心得、工作经验,自我成长和生活方式。
希望我的文字能对你有所帮助