فهم استدعاءات النظام (System Calls): استخدام strace و ltrace لتتبع سلوك البرامج

1 min read Aldawsari
دقائق القراءة: 6

مقدمة

عندما يبدو برنامج ما غامض السلوك، أو يتجمد دون رسالة واضحة، أو يفشل في فتح ملف أو الاتصال بخدمة، فإن فهم ما يحدث بينه وبين نواة النظام يصبح خطوة حاسمة في التشخيص. هنا تظهر أهمية System Calls، فهي الواجهة التي يستخدمها البرنامج لطلب خدمات من النواة مثل فتح الملفات، إنشاء العمليات، تخصيص الذاكرة، والوصول إلى الشبكة.

أداتا strace وltrace تمنحانك رؤية عملية دقيقة لسلوك البرامج أثناء التنفيذ. الأولى تراقب الاستدعاءات الموجهة إلى النواة، والثانية تتابع استدعاءات المكتبات الديناميكية مثل glibc. هذا الفهم يكمل ما تناولناه سابقاً في فهم العمليات (Processes) ومراقبة استهلاك الموارد (top, htop, ps, kill)، لكنه يذهب إلى مستوى أعمق بكثير.

ما المقصود باستدعاءات النظام؟

استدعاء النظام هو نقطة عبور بين مساحة المستخدم user space ومساحة النواة kernel space. لا يمكن للبرنامج الوصول مباشرة إلى العتاد أو كثير من موارد النظام الحساسة، لذلك يطلب من النواة تنفيذ هذه المهام نيابة عنه.

من الأمثلة الشائعة على ذلك: open() لفتح ملف، وread() لقراءة البيانات، وwrite() للكتابة، وexecve() لتشغيل برنامج جديد، وconnect() لإنشاء اتصال شبكي. ولمن يريد أساساً أوسع عن بنية النظام، يفيد الرجوع إلى مقدمة إلى عالم لينكس: التاريخ، الفلسفة، وفهم النواة (Kernel).

الفرق بين strace وltrace

متى تستخدم strace؟

استخدم strace عندما تريد معرفة ما الذي يطلبه البرنامج من النظام فعلياً. ستعرف أي ملف يحاول فتحه، وما إذا كانت العملية تتلقى خطأ مثل ENOENT أو EACCES، وهل هناك بطء في عمليات الإدخال والإخراج أو في الاتصالات الشبكية.

متى تستخدم ltrace؟

أما ltrace فهو مفيد عندما تحتاج إلى رؤية استدعاءات الدوال من المكتبات المشتركة، مثل malloc() وfopen() وstrcmp(). بهذه الطريقة تستطيع تحليل منطق التفاعل مع المكتبات قبل الوصول إلى مستوى النواة.

تثبيت الأداتين والتحقق من توفرهما

غالباً تتوفر الأداتان في مستودعات التوزيعات الشائعة. إذا كنت تحتاج مراجعة أسلوب تثبيت الحزم، فراجع إدارة الحزم البرمجية وتحديث النظام (APT, YUM/DNF, Pacman). بعد ذلك يمكنك التثبيت بالأوامر التالية: 

sudo apt update
sudo apt install strace ltrace

# Fedora / RHEL
sudo dnf install strace ltrace

# Arch Linux
sudo pacman -S strace ltrace

للتحقق من نجاح التثبيت، جرّب عرض الإصدار: 

strace -V
ltrace -V

أهم استخدامات strace

تتبع برنامج منذ لحظة تشغيله

السيناريو الأبسط هو تشغيل برنامج عبر strace مباشرة ومراقبة كل استدعاءاته: 

strace ls /tmp

ستلاحظ مخرجات كثيرة تشمل استدعاءات مثل execve() وopenat() وwrite(). هذه المخرجات تكشف لك تسلسل التفاعل مع النظام لحظة بلحظة.

إرفاق التتبع بعملية تعمل بالفعل

إذا كان البرنامج يعمل حالياً وتريد تحليل سلوكه دون إعادة تشغيله، اربط strace بمعرّف العملية PID: 

strace -p 1234

ولمعرفة PID المناسب، يمكنك الاستفادة من أدوات مثل ps وtop كما شرحنا في فهم العمليات (Processes) ومراقبة استهلاك الموارد (top, htop, ps, kill).

تصفية الاستدعاءات المهمة فقط

من أفضل مزايا الأداة أنها تسمح بتقليل الضوضاء والتركيز على نوع محدد من العمليات، مثل الملفات أو الشبكة أو الذاكرة: 

strace -e trace=file cat /etc/hosts
strace -e trace=network curl https://example.com
strace -e trace=process bash -c 'echo test'

هذا الأسلوب مفيد جداً عند تحليل مشاكل تتعلق بمسارات الملفات مثل /etc/hosts أو عند فحص فشل الاتصالات. كما يتكامل طبيعياً مع مفاهيم هيكلية ملفات لينكس (Filesystem Hierarchy Standard – FHS) وأساسيات شبكات لينكس: العناوين، المنافذ، والبروتوكولات (IP, SSH, DNS).

حفظ الخرج في ملف للتحليل اللاحق

بدلاً من إغراق الطرفية بالمخرجات، احفظ النتائج في ملف منفصل: 

strace -o trace.log -f nginx -t

الخيار -o يحدد الملف، و-f يتتبع العمليات الأبناء، و-t يضيف الطابع الزمني. بعد ذلك يمكنك تحليل الملف بأدوات النصوص أو الأوامر المرتبطة بـ أدوات عرض ومعالجة النصوص (cat, nano, vim, less, tail) أو البحث المتقدم في النظام باستخدام (find, locate, grep).

أهم استخدامات ltrace

تتبع استدعاءات المكتبات

عند تشغيل برنامج باستخدام ltrace، سترى الدوال القادمة من المكتبات الديناميكية بدلاً من استدعاءات النواة: 

ltrace ls /tmp

هذا مفيد عندما تريد فهم كيفية تعامل البرنامج مع الذاكرة أو السلاسل النصية أو الملفات من منظور المكتبات المشتركة. في بعض الحالات، يفسر لك سبب فشل المنطق الداخلي قبل أن يظهر الخطأ على مستوى النظام.

تتبع دوال محددة

إذا كنت تريد استهداف دالة بعينها، استخدم خيارات التصفية: 

ltrace -e malloc+free ./myapp
ltrace -e fopen+fclose ./myapp

هذا الأسلوب شائع عند تحليل تسرب الذاكرة بشكل مبدئي، أو التحقق مما إذا كان التطبيق يحاول فتح ملفات إعدادات غير موجودة.

سيناريوهات عملية لحل المشكلات

1) اكتشاف ملف مفقود أو مسار خاطئ

إذا فشل برنامج في العمل دون توضيح السبب، فقد تكشف strace أنه يبحث عن ملف إعدادات في مسار غير صحيح أو يحاول قراءة ملف غير موجود. ابحث عن أخطاء مثل ENOENT.

2) تشخيص مشاكل الصلاحيات

عندما ترى الخطأ EACCES، فهذا يعني عادة أن العملية لا تملك الإذن الكافي. هنا يصبح الربط مع إدارة الصلاحيات والملكية (Chmod, Chown, Sudo) مهماً لفهم سبب الرفض وتصحيحه بطريقة آمنة.

3) تحليل التباطؤ في الاتصالات أو الخدمات

إذا كان التطبيق يتأخر أثناء المصافحة الشبكية أو الوصول إلى خدمة خارجية، فقد تظهر استدعاءات مثل connect() أو recvfrom() بزمن مرتفع. وللوصول إلى رؤية أعمق لحركة الشبكة نفسها، يمكن الجمع بين هذا الأسلوب وما شرحناه في تحليل حركة المرور عبر الشبكة باستخدام tcpdump و Wireshark CLI (TShark).

لا تستخدم strace أو ltrace على أنظمة الإنتاج الحساسة لفترات طويلة دون تقييم الأثر، لأن التتبع المستمر قد يضيف حملاً إضافياً ويؤثر في الأداء.

نصائح احترافية لقراءة النتائج

  • ابدأ بتصفية النوع المطلوب بدلاً من قراءة كل شيء دفعة واحدة.
  • ركز على آخر الاستدعاءات قبل ظهور الخطأ أو التجمّد.
  • ابحث عن القيم الراجعة السالبة ورسائل الأخطاء مثل ENOENT وEPERM.
  • استخدم الحفظ إلى ملف مع إعادة التوجيه إذا أردت أرشفة التحليل أو مشاركته مع الفريق، مستفيداً من الأنابيب وإعادة التوجيه (Pipes and Redirections: |, >, >>).
  • قارن التتبع بين حالة سليمة وحالة معطوبة للوصول إلى الفرق الحقيقي في السلوك.

إذا كنت تتعامل مع خدمة تعمل تحت systemd، فمن المفيد دمج نتائج التتبع مع سجلات الخدمة عبر مراقبة السجلات (Logs) وتحليل الأخطاء (journalctl, /var/log) للحصول على صورة كاملة عن سبب العطل.

خاتمة

فهم System Calls لا يفيد المطورين فقط، بل هو مهارة قوية لمديري الأنظمة، ومهندسي الدعم، ومسؤولي الخوادم. باستخدام strace ستفهم كيف يتحدث البرنامج مع النواة، وباستخدام ltrace سترى كيف يتعامل مع المكتبات المشتركة. وعند الجمع بين الأداتين، تتحول عملية التشخيص من التخمين إلى تحليل مبني على أدلة واضحة وقابلة للتكرار.

كلما زادت خبرتك في قراءة هذه التتبعات، أصبحت أسرع في اكتشاف أخطاء الملفات والصلاحيات والاتصالات والاعتماديات. وهذه واحدة من المهارات التي ترفع مستوى الاحتراف الحقيقي في إدارة بيئات لينكس وحل المشكلات المعقدة بكفاءة.

← الدرس السابق📑 فهرس الدورةالدرس التالي →

1 comment

  1. تنبيه: استراتيجيات النسخ الاحتياطي الكارثي (Disaster Recovery Planning) - قيد

اترك تعليقاً

لن يتم نشر عنوان بريدك الإلكتروني. الحقول الإلزامية مشار إليها بـ *