进程查看工具：pstree、ps

pstree命令：

树状结构显示进程间关系

• 选项：
   -p：显示PID号

[root@node1 ~]# pstree -p 
systemd(1)─┬─ModemManager(6511)─┬─{ModemManager}(6521)
           │                    └─{ModemManager}(6529)
           ├─NetworkManager(6536)─┬─dhclient(6703)
           │                      ├─{NetworkManager}(6628)
           │                      └─{NetworkManager}(6632)
           ├─VGAuthService(6538)
           ├─abrt-watch-log(6553)
           ├─abrt-watch-log(6556)
           ├─abrtd(6552)
           ├─accounts-daemon(6547)─┬─{accounts-daemon}(6573)
           │                       └─{accounts-daemon}(6575)
           ├─alsactl(6535)
           ├─at-spi-bus-laun(7519)─┬─dbus-daemon(7524)───{dbus-daemon}(7525)
...

ps命令：显示当前进程的状态信息

• 格式：
   ps [options]

• 选项有三种风格：

  1. UNIX风格，可以组合使用，前面只能有一个dash；
  2. BSD风格，可以组合使用，前面不能有dash；
  3. GNU长格式，前面有两个dash；

• 常用组合之一：aux
   a：所有与终端相关的进程；
   x：所有与终端无关的进程；
   u：以用户为中心组织进程状态信息显示；

  • 字段信息：
     VSZ：虚拟内存集；
     RSS：常驻内存集；
     TTY：与终端相关；
     STAT：运行状态；
      R：running（运行态）
      S：interruptable sleeping（可中断睡眠）
      D：uninterruptable sleeping（不可中断睡眠）
      T：Stopped（停止态）
      Z：zomble（僵死态）
      +：前台进程
      l：多线程进程
      N：低优先级进程
      <：高优先级进程
      s：session leader（会话主导者）
     START：进程启动时间；
     COMMAND：启动此进程的命令；

  [root@node1 ~]# ps aux
  USER        PID %CPU %MEM    VSZ   RSS TTY      STAT START   TIME COMMAND
  root          1  0.0  0.6 128140  6860 ?        Ss   13:04   0:01 /usr/lib/systemd/systemd --switched-root --system --deserialize 22
  root          2  0.0  0.0      0     0 ?        S    13:04   0:00 [kthreadd]
  root          3  0.0  0.0      0     0 ?        S    13:04   0:00 [ksoftirqd/0]
  root          5  0.0  0.0      0     0 ?        S<   13:04   0:00 [kworker/0:0H]
  root          7  0.0  0.0      0     0 ?        S    13:04   0:00 [migration/0]
  root          8  0.0  0.0      0     0 ?        S    13:04   0:00 [rcu_bh]
  root          9  0.0  0.0      0     0 ?        R    13:04   0:00 [rcu_sched]
  root         10  0.0  0.0      0     0 ?        S<   13:04   0:00 [lru-add-drain]
  root         11  0.0  0.0      0     0 ?        S    13:04   0:00 [watchdog/0]
  root         13  0.0  0.0      0     0 ?        S    13:04   0:00 [kdevtmpfs]
  root         14  0.0  0.0      0     0 ?        S<   13:04   0:00 [netns]
  ...
  

• 常用组合之二：-ef
   -e：显示所有进程；
   -f：显示完整格式的进程信息；

  • 字段信息：
     PPID：父进程ID；
     C：CPU的占用百分比；
     PSR：运行于哪个CPU核心；
     STIME：进程启动时间；
     TTY：与终端相关；
     TIME：累计运行时间；
     CMD：启动此进程的命令；

  [root@node1 ~]# ps -ef
  UID         PID   PPID  C STIME TTY          TIME CMD
  root          1      0  0 13:04 ?        00:00:01 /usr/lib/systemd/systemd --switched-root --system --deserialize 22
  root          2      0  0 13:04 ?        00:00:00 [kthreadd]
  root          3      2  0 13:04 ?        00:00:00 [ksoftirqd/0]
  root          5      2  0 13:04 ?        00:00:00 [kworker/0:0H]
  root          7      2  0 13:04 ?        00:00:00 [migration/0]
  root          8      2  0 13:04 ?        00:00:00 [rcu_bh]
  root          9      2  0 13:04 ?        00:00:00 [rcu_sched]
  root         10      2  0 13:04 ?        00:00:00 [lru-add-drain]
  root         11      2  0 13:04 ?        00:00:00 [watchdog/0]
  ...
  

• 常用组合之三：-eFH
   -e：显示所有进程；
   -F：显示完整格式的进程信息；
   -H：以层级结构显示进程的相关信息；

  [root@node1 ~]# ps -eFH
  root          1      0  0 32035  6860   0 13:04 ?        00:00:01 /usr/lib/systemd/systemd --switched-root --system --deserialize 22
  root       2983      1  0  9459  3600   0 13:04 ?        00:00:00   /usr/lib/systemd/systemd-journald
  root       3009      1  0 29788  4072   0 13:04 ?        00:00:00   /usr/sbin/lvmetad -f
  root       3015      1  0 12314  6540   0 13:04 ?        00:00:00   /usr/lib/systemd/systemd-udevd
  root       6485      1  0 15511  1084   0 13:04 ?        00:00:00   /sbin/auditd
  root       6487   6485  0 21138   916   0 13:04 ?        00:00:00     /sbin/audispd
  root       6489   6487  0 13907  1400   0 13:04 ?        00:00:00       /usr/sbin/sedispatch
  root       6511      1  0 107650 7584   0 13:04 ?        00:00:00   /usr/sbin/ModemManager
  root       6513      1  0 14378  2564   0 13:04 ?        00:00:00   /usr/libexec/bluetooth/bluetoothd
  dbus       6514      1  0 17445  3504   0 13:04 ?        00:00:00   /usr/bin/dbus-daemon --system --address=systemd: --nofork --nopidfile --systemd-activation
  rpc        6518      1  0 18412  1380   0 13:04 ?        00:00:00   /sbin/rpcbind -w
  avahi      6525      1  0 15569  2316   0 13:04 ?        00:00:00   avahi-daemon: running [node1.local]
  avahi      6541   6525  0 15536   392   0 13:04 ?        00:00:00     avahi-daemon: chroot helper
  libstor+   6534      1  0  2144   820   0 13:04 ?        00:00:00   /usr/bin/lsmd -d
  ...
  

• 常用组合之四：-eo | axo
   o field1,field2,...：自定义要显示的字段列表，以逗号分隔；
    常用的field：
     pid：进程ID；
     ni：nice值（-20至19），nice值越小，优先级越高；
     priority：优先级；
     rtprio：实时优先级；
     psr：运行于哪个CPU核心；
     pcpu：CPU使用百分比；
     stat：运行状态；
     comm：启动此进程的命令；
     tty：与终端相关；
     ppid：父进程ID；
     ...

  [root@node1 ~]# ps axo pid,ppid,psr,pcpu,stat,comm    
     PID   PPID PSR %CPU STAT COMMAND
       1      0   0  0.0 Ss   systemd
       2      0   0  0.0 S    kthreadd
       3      2   0  0.0 S    ksoftirqd/0
       5      2   0  0.0 S<   kworker/0:0H
       7      2   0  0.0 S    migration/0
       8      2   0  0.0 S    rcu_bh
       9      2   0  0.0 R    rcu_sched
      10      2   0  0.0 S<   lru-add-drain
      11      2   0  0.0 S    watchdog/0
      13      2   0  0.0 S    kdevtmpfs
      14      2   0  0.0 S<   netns
      15      2   0  0.0 S    khungtaskd
      16      2   0  0.0 S<   writeback
      17      2   0  0.0 S<   kintegrityd
      18      2   0  0.0 S<   bioset
      19      2   0  0.0 S<   bioset
      20      2   0  0.0 S<   bioset
      21      2   0  0.0 S<   kblockd
      22      2   0  0.0 S<   md
      23      2   0  0.0 S<   edac-poller
  

ps常见选项

 -C cmdlist：指定命令，多个命令用 "," 分隔
 -L：显示线程
 -e：显示所有进程，相当于-A
 -f：显示完整格式程序信息
 -F：显示更完整格式的进程信息
 -H：以进程层级格式显示进程相关信息
 -u userlist：指定有效的用户ID或名称
 -U userlist：指定真正的用户ID或名称
 -g gid 或 groupname：指定有效的gid或组名称
 -G gid 或 groupname：指定真正的gid或组名称
 -p PID：显示指定pid的进程
 --ppid PID：显示属于pid的子进程
 -M：显示SELinux信息，相当于Z

ps示例：

• 查询你拥有的所有进程：
  ~]# ps -x
• 显示指定用户名（RUID）或用户ID的进程：
  ~]# ps -fU apache
~]# ps -fu 48
• 显示指定用户名（EUID）或用户ID的进程：
  ~]# ps -fu wang
~]# ps -fu 1000
• 查看以root用户权限（实际和有效ID）运行的每个进程：
  ~]# ps -U root -u root
• 列出某个组拥有的所有进程（实际组ID：RGID或名称）：
  ~]# ps -fG nginx
• 列出有效组名称（或会话）所拥有的所有进程：
  ~]# ps -fg mysql
~]# ps -fG 27
• 通过进程ID来显示所属的进程：
  ~]# ps -fp 1234
• 以父进程ID来显示其下所有的进程，如显示父进程为1154的所有进程：
  ~]# ps -f --ppid 1234
• 显示指定PID的多个进程：
  ~]# ps -fp 1204,1239,1263
• 要按tty显示所属进程：
  ~]# ps -ft pst/0
• 以进程树显示系统中的进程如何相互链接：
  ~]# ps -e --forest
• 以进程树显示指定的进程
  ~]# ps -f --forest -C sshd
~]# ps -ef --forest | grep -v grep | grep sshd
• 要显示一个进程的所有线程，将显示LWP（轻量级进程）以及NLWP（轻量级进程数）列：
  ~]# ps -fL -C nginx
• 要列出所有格式说明符：
  ~]# ps L
• 查看进程的PID，PPID，用户名和命令：
  ~]# ps -eo pid ,ppid,user,cmd
• 自定义格式显示文件系统组，ni值开始时间和进程的时间
  ~]# ps -p 1234 -o pid,ppid,fgroup,ni,lstart,etime
• 使用其PID查找进程名称：
  ~]# ps -p 1244 -o comm=
• 要以其名称选择特定进程，显示其所有子进程
  ~]# ps -C sshd,bash
• 查找指定进程名所有的所属PID，在编写需要从std输出或文件读取PID的脚本时，这个参数很有用：
  ~]# ps -C httpd,sshd -o pid=
• 检查一个进程的执行时间
  ~]# ps -eo comm,etime,user | grep nginx
• 查找占用最多内存和CPU的进程：
  ~]# ps -eo pid,ppid,cmd,%mem,%cpu --sort=-%mem | head
~]# ps -eo pid,ppid,cmd,%mem,%cpu --sort=-%cpu | head
• 显示安全信息：
  ~]# ps -eM
~]# ps --context
• 使用以下命令以用户定义的格式显示安全信息：
  ~]# ps -eo euser,ruser,suser,fuser,f,comm,label
• 使用watch实用程序执行重复的输出以实现对就进程行实时的监视，如下面的命令显示每秒钟的监视：
  ~]# watch -n 1 'ps -eo pid,ppid,cmd,%mem,%cpu --sort=-%mem | head'