Linux如何查看父进程和子进程关系-linux运维-PHP中文网

要查看Linux中进程的父子关系，可使用ps命令查看PPID，或用ps -ejH、ps axjf以树状结构展示；更直观的方法是使用pstree命令，它能清晰显示从init/systemd开始的进程树，结合-p选项可显示PID，帮助追溯进程血缘链。

linux如何查看父进程和子进程关系

在Linux系统中，要查看父进程和子进程之间的关系，最直接的方法是利用

ps

登录后复制

命令配合特定选项，或者使用

pstree

登录后复制

工具。这些工具能够清晰地展示进程的层级结构，帮助我们理解系统上正在运行的服务和应用程序是如何相互关联的。通过识别每个进程的父进程ID（PPID），我们就能构建出完整的血缘链。

解决方案

要详细查看Linux中进程的父子关系，有几种常用且高效的命令和工具：

使用
```
ps
```
登录后复制
命令查看 PPID (Parent Process ID) 这是最基础的方法。
```
ps
```
登录后复制
命令可以列出当前运行的进程，通过查看
```
PPID
```
登录后复制
列，你可以知道每个进程是由哪个父进程启动的。
- 命令示例：
```
ps -ef | grep <进程名或PID>
```
  登录后复制
  或者
```
ps aux | grep <进程名或PID>
```
  登录后复制
- 解释：
```
UID
```
  登录后复制
  用户ID,
```
PID
```
  登录后复制
  进程ID,
```
PPID
```
  登录后复制
  父进程ID,
```
C
```
  登录后复制
  CPU使用率,
```
STIME
```
  登录后复制
  启动时间,
```
TTY
```
  登录后复制
  终端,
```
TIME
```
  登录后复制
  CPU时间,
```
CMD
```
  登录后复制
  命令行。通过
```
PPID
```
  登录后复制
  ，你可以向上追溯到父进程，再用该父进程的
```
PID
```
  登录后复制
  去查找它的
```
PPID
```
  登录后复制
  ，以此类推，直到找到
```
init
```
  登录后复制
  （或
```
systemd
```
  登录后复制
  ）进程，其
```
PPID
```
  登录后复制
  通常为0或1。
使用
```
ps
```
登录后复制
命令以树状结构显示进程 对于更直观的层级关系，
```
ps
```
登录后复制
提供了一些选项可以直接以树状图的形式展示。
- 命令示例：
```
ps -ejH
```
  登录后复制
  或者
```
ps axjf
```
  登录后复制
- 解释：
```
ps -ejH
```
  登录后复制
  会显示所有进程，并尝试用缩进来表示父子关系。
```
ps axjf
```
  登录后复制
  则更为常用，它能生成一个ASCII字符构成的进程树，非常直观。我个人觉得，这种方式在需要快速概览整个系统进程结构时特别有用，一眼就能看出哪些进程是哪个服务的子进程。
使用
```
pstree
```
登录后复制
命令
```
pstree
```
登录后复制
是专门用来以树状图显示进程的工具，它比
```
ps
```
登录后复制
的树状显示更简洁、更专业。
- 命令示例：
```
pstree
```
  登录后复制
  或者，查看特定用户的进程树：
```
pstree -u <用户名>
```
  登录后复制
  或者，显示PID：
```
pstree -p
```
  登录后复制
- 解释：
```
pstree
```
  登录后复制
  会默认显示从
```
init
```
  登录后复制
  （或
```
systemd
```
  登录后复制
  ）开始的完整进程树。它的输出非常清晰，每个分支都代表一个子进程链。
```
-p
```
  登录后复制
  选项会显示每个进程的PID，而
```
-u
```
  登录后复制
  选项则能按用户过滤。在我看来，
```
pstree
```
  登录后复制
  是查看进程关系最优雅的工具，没有之一。
使用
```
htop
```
登录后复制
(交互式进程查看器)
```
htop
```
登录后复制
是一个交互式的进程查看器，它不仅能显示进程列表、资源占用，还能以树状结构显示进程关系。
- 命令示例：
```
htop
```
  登录后复制
- 解释： 进入
```
htop
```
  登录后复制
  界面后，你可以通过F5键（或在设置中选择Tree View）切换到树状视图。这种方式的优点是你可以实时监控进程状态，并且方便地进行排序、过滤和操作（如杀死进程）。对于需要动态观察和管理进程的场景，
```
htop
```
  登录后复制
  是个不错的选择。

为什么理解Linux进程的父子关系如此重要？

理解Linux进程的父子关系，不仅仅是技术上的好奇，它在系统管理、故障排查和安全审计中都扮演着核心角色。在我看来，这就像是理解一个家族的族谱，能帮助你弄清谁是谁的后代，谁又掌控着谁。

豆包AI编程

豆包推出的AI编程助手

483

查看详情

从技术角度讲，Linux中的进程创建是基于

fork()

登录后复制

和

exec()

登录后复制

系统调用模型的。当一个进程需要创建新进程时，它会调用

fork()

登录后复制

，这会创建一个几乎完全相同的子进程，共享父进程的内存空间副本（写时复制）。随后，子进程通常会调用

exec()

登录后复制

来加载并执行一个新的程序。这样，父进程就成为了新程序的启动者。

这种父子关系的重要性体现在几个方面：

资源继承与管理： 子进程会继承父进程的许多属性，比如文件描述符、环境变量、优先级等。理解这一点，可以帮助我们调试为什么某个子进程的行为与预期不符，或者为什么它能访问某些资源。
生命周期管理： 父进程通常负责监控和管理其子进程的生命周期。例如，一个Web服务器（父进程）会启动多个工作进程（子进程）来处理客户端请求。如果子进程崩溃，父进程可能会重启它。
故障排查： 当系统出现异常时，一个进程可能出现问题。通过追溯其父进程，我们可以定位到问题的源头。比如，一个恶意进程可能被一个看似正常的父进程启动，通过查看父子关系，我们就能发现异常。
安全审计： 谁启动了什么？这是安全审计中的关键问题。一个意想不到的父子关系链可能意味着系统受到了入侵或存在配置漏洞。

说白了，父子关系是Linux进程管理的基础，掌握它，你就能更好地理解和控制你的系统。

当父进程终止时，子进程会发生什么？

这是一个非常实际的问题，也经常是导致一些“僵尸进程”或意外行为的根源。在Linux中，当父进程在子进程之前终止时，子进程并不会随之立即消失，它们会变成“孤儿进程”（Orphaned Processes）。

孤儿进程不会在系统上无家可归。它们会被一个特殊的进程——通常是

init

登录后复制

（在旧的Linux系统中）或

systemd

登录后复制

（在现代Linux系统中，其PID通常为1）——收养。

init

登录后复制

systemd

登录后复制

进程会成为这些孤儿进程的新的父进程。这个过程被称为“进程收养”（Process Reparenting）。

init

登录后复制

systemd

登录后复制

的主要职责之一就是负责清理这些被收养的子进程，当它们最终终止时，

init

登录后复制

systemd

登录后复制

会调用

wait()

登录后复制

系统调用来回收它们的资源，防止它们变成僵尸进程。

僵尸进程（Zombie Processes） 僵尸进程是另一种特殊情况。当一个子进程完成执行并终止时，它会向父进程发送一个

SIGCHLD

登录后复制

信号，并且其在进程表中的条目会保留下来，等待父进程调用

wait()

登录后复制

或

waitpid()

登录后复制

来获取其退出状态并回收其资源。如果父进程未能及时调用

wait()

登录后复制

，那么子进程虽然已经停止运行，但其进程表条目仍然存在，占用系统资源，此时它就变成了僵尸进程（

登录后复制

状态）。

僵尸进程本身并不消耗CPU时间或内存，但它们会占用进程ID（PID）和进程表中的条目。如果系统中积累了大量的僵尸进程，可能会耗尽可用的PID，导致无法创建新的进程。所以，通常我们需要关注并解决僵尸进程的问题，这通常意味着父进程的编程逻辑有问题，没有正确地处理子进程的退出。

在排查系统问题时，父子进程关系分析有哪些实际应用？

在我多年的系统维护经验中，父子进程关系分析简直是排查各种疑难杂症的瑞士军刀。它能提供一种从宏观到微观的视角，帮助我们快速定位问题。

定位异常资源消耗的源头： 假设你发现系统CPU或内存使用率异常高，
```
top
```
登录后复制
或
```
htop
```
登录后复制
显示某个进程占用了大量资源。但这个进程可能只是一个子进程，它真正的“罪魁祸首”可能是其父进程。通过查看父子关系，你就能追踪到启动这个高资源消耗子进程的父进程，进而分析父进程的配置、代码或其业务逻辑是否导致了这个问题。
诊断服务崩溃或意外终止： 如果某个服务反复崩溃或意外退出，查看其进程树可以帮助你理解是哪个进程启动了它，以及它是否启动了其他子进程。例如，一个Web服务器的worker进程崩溃，通过
```
pstree
```
登录后复制
，你可以看到它是被主进程启动的。这可能意味着主进程配置有问题，或者worker进程本身有bug。
识别潜在的安全威胁： 一个不应该存在的进程突然出现，或者一个合法进程启动了不应该启动的子进程，这都可能是系统被入侵的迹象。通过分析父子关系，你可以追踪到这些异常进程的“血缘”，比如一个Web服务器进程不应该启动一个shell进程，如果看到了，那可能就是个大问题。我曾经就通过这种方式发现过被植入的恶意脚本。
理解复杂应用程序的行为： 许多大型应用程序（如数据库、Web服务器、容器运行时）都是多进程架构。通过分析它们的父子进程关系，可以更好地理解它们内部的工作原理，例如哪些是主进程，哪些是负责处理请求的子进程，哪些是后台维护进程。这对于优化性能和进行容量规划非常有帮助。
处理孤儿进程和僵尸进程： 前面提到了孤儿进程和僵尸进程。当系统中出现大量僵尸进程时，通过查看它们的父进程，通常就能定位到那个没有正确调用
```
wait()
```
登录后复制
的“失职”父进程，进而修正其代码或配置。对于孤儿进程，虽然
```
init
```
登录后复制
/
```
systemd
```
登录后复制
会接管，但如果某个关键服务变成孤儿，也需要分析为什么其原始父进程会提前退出。