在终端运行测试的Shell脚本test.sh内容如下:
bash
touch log_default.txt
echo "5678" > /var/1234.txt
touch log_none.txt
#grep -Hrn "read" /var/log/syslog
grep -Hrn "5 6 7 8" /var/log/syslog
grep -Hrn "1234" /var/log/syslog
第一行是打开日志输出(其实操作系统运行时日志是输出到/var/log/kern.log和/var/log/syslog里了,这也即是为什么我们老是去syslog文件搜索我们在内核源代码的打印信息);
第二行是把字符串写入到一个文件,这个文件原来是没有的,其实就是创建文件,写入文件;
第三行是关闭日志输出,防止日志打印太多,也防止其他无效日志打印干扰;
第四行是搜索我们向文件写入的字符串,这里为什么多加了个空格呢?是因为源代码里有空格:
详细合入hash点,这里用到了指针:
第五行是搜索我们操作的文件名,看看在操作系统层面对文件的操作,内核里边源代码对应函数的打印的流程是否正确,因为有些函数同名函数很多,不一定是我们找到的,而且代码中函数里还有各种分支,判断等等,所以也有点点难度。
grep字符串搜索日志的结果如下:
这基本上就找到了内核对文件写入的入口附近了。