三十、监控IO性能、free命令、ps命令、netstat查看网络状态、Linux下抓包
一、监控IO性能
CPU、内存有剩余,但是系统负载还是很高,用vmstat查看发现b列或者wa列比较大,就说明磁盘有问题,那么就要更详细的查看磁盘。
iostat命令:在安装sysstat包时就会安装此命令。
用法:可以直接输入查看,也可以加数字1,类似vmstat。
# iostat
Linux 3.10.0-693.el7.x86_64 (yaowei-01) 2018年03月21日 _x86_64_ (2 CPU)
avg-cpu: %user %nice %system %iowait %steal %idle
0.13 0.00 0.39 0.63 0.00 98.85
Device: tps kB_read/s kB_wrtn/s kB_read kB_wrtn
sda 2.75 90.60 4.51 125916 6262
sdb 0.18 2.58 0.00 3580 0
scd0 0.01 0.74 0.00 1028 0
dm-0 0.03 0.75 0.00 1036 0
# iostat -x(主要关注%util)
Linux 3.10.0-693.el7.x86_64 (yaowei-01) 2018年03月21日 _x86_64_ (2 CPU)
avg-cpu: %user %nice %system %iowait %steal %idle
0.12 0.00 0.35 0.55 0.00 98.98
Device: rrqm/s wrqm/s r/s w/s rkB/s wkB/s avgrq-sz avgqu-sz await r_await w_await svctm %util(io等待)就比如读写数据都要等待,所占的时间百分比。这列很大,那读和写的两列就也会很大,若读和写两列不大,只有这列大,就说明硬盘可能有故障。
sda 0.01 0.02 2.11 0.32 79.69 3.99 69.07 0.04 14.68 16.69 1.27 5.74 1.39
sdb 0.00 0.00 0.16 0.00 2.27 0.00 28.99 0.00 6.74 6.74 0.00 5.08 0.08
scd0 0.00 0.00 0.01 0.00 0.65 0.00 114.22 0.00 8.00 8.00 0.00 7.11 0.01
dm-0 0.00 0.00 0.03 0.00 0.66 0.00 48.19 0.00 17.91 17.91 0.00 17.44 0.05
当磁盘io很忙很频繁,可以用iotop查看具体哪个进程在读写。
没有该命令就安装,yum install -y iotop。该命令类似top命令。
Total DISK READ : 0.00 B/s | Total DISK WRITE : 0.00 B/s
Actual DISK READ: 0.00 B/s | Actual DISK WRITE: 0.00 B/s
TID PRIO USER DISK READ DISK WRITE SWAPIN IO> COMMAND
1556 be/4 root 0.00 B/s 0.00 B/s 0.00 % 0.02 % [kworker/1:1]
1 be/4 root 0.00 B/s 0.00 B/s 0.00 % 0.00 % systemd --switched-root --system --deserialize 21
2 be/4 root 0.00 B/s 0.00 B/s 0.00 % 0.00 % [kthreadd]
3 be/4 root 0.00 B/s 0.00 B/s 0.00 % 0.00 % [ksoftirqd/0]
5 be/0 root 0.00 B/s 0.00 B/s 0.00 % 0.00 % [kworker/0:0H]
6 be/4 root 0.00 B/s 0.00 B/s 0.00 % 0.00 % [kworker/u256:0]
7 rt/4 root 0.00 B/s 0.00 B/s 0.00 % 0.00 % [migration/0]
8 be/4 root 0.00 B/s 0.00 B/s 0.00 % 0.00 % [rcu_bh]
9 be/4 root 0.00 B/s 0.00 B/s 0.00 % 0.00 % [rcu_sched]
10 rt/4 root 0.00 B/s 0.00 B/s 0.00 % 0.00 % [watchdog/0]
11 rt/4 root 0.00 B/s 0.00 B/s 0.00 % 0.00 % [watchdog/1]
12 rt/4 root 0.00 B/s 0.00 B/s 0.00 % 0.00 % [migration/1]
13 be/4 root 0.00 B/s 0.00 B/s 0.00 % 0.00 % [ksoftirqd/1]
15 be/0 root 0.00 B/s 0.00 B/s 0.00 % 0.00 % [kworker/1:0H]
17 be/4 root 0.00 B/s 0.00 B/s 0.00 % 0.00 % [kdevtmpfs]
18 be/0 root 0.00 B/s 0.00 B/s 0.00 % 0.00 % [netns]
19 be/4 root 0.00 B/s 0.00 B/s 0.00 % 0.00 % [khungtaskd]
21 be/0 root 0.00 B/s 0.00 B/s 0.00 % 0.00 % [kintegrityd]
22 be/0 root 0.00 B/s 0.00 B/s 0.00 % 0.00 % [bioset]
23 be/0 root 0.00 B/s 0.00 B/s 0.00 % 0.00 % [kblockd]
24 be/0 root 0.00 B/s 0.00 B/s 0.00 % 0.00 % [md]
25 be/4 root 0.00 B/s 0.00 B/s 0.00 % 0.00 % [kworker/0:1]
31 be/4 root 0.00 B/s 0.00 B/s 0.00 % 0.00 % [kswapd0]
也是动态显示。主要看IO百分比,最高的会排在最上面。
二、free命令
free:查看内存使用情况。
内存的作用:缓解CPU和io的速度差距。
# free
total used free shared buff/cache available
Mem: 1867048 138416 1411044 8772 317588 1535652
Swap: 4194300 0 4194300
# free -h
total used free shared buff/cache available
Mem: 1.8G 135M 1.3G 8.6M 310M 1.5G
Swap: 4.0G 0B 4.0G
三行:1、说明,2、内存的使用情况,3、交换分区的使用情况。
关注的是第二行。
free -h:使用合适的单位显示。就和df -h一样。
free -m:指定单位为M。
free -g:指定单位为G。
total:内存总大小。total=used+free+buff/cache
used:真正使用的实际内存大小。
free:剩余物理内存大小(没分配,纯剩余)
shared:共享内存大小,不用关注它。
buff/cache:分配给buff和cache的内存总共大小。预分配出来的内存。
buffer:缓冲。CPU(数据)到内存,再到磁盘。
cache:缓存。磁盘到内存,再到CPU(数据)。
区分buffer和cache:数据经过CPU计算,即将写入磁盘,此时用的内存为buffer;CPU要计算时,需要把数据从磁盘中读出来,临时先放到内存中,这时用的内存就是cache。
available:剩余物理内存。包含free和buffer/cache剩余部分,就是还没有被buffer/cache使用的部分。查看内存剩余时主要关注它。
三、ps命令(重点)
ps:专门显示系统进程的命令。top命令也可查看,但是没ps那么方便。
# ps aux
USER PID %CPU %MEM VSZ RSS TTY STAT START TIME COMMAND
root 1 0.0 0.3 128164 6812 ? Ss 02:54 0:02 /usr/lib/systemd/systemd --switched-root --system --deserialize 21
root 2 0.0 0.0 0 0 ? S 02:54 0:00 [kthreadd]
root 3 0.0 0.0 0 0 ? S 02:54 0:00 [ksoftirqd/0]
root 5 0.0 0.0 0 0 ? S< 02:54 0:00 [kworker/0:0H]
root 6 0.0 0.0 0 0 ? S 02:54 0:00 [kworker/u256:0]
root 7 0.0 0.0 0 0 ? S 02:54 0:00 [migration/0]
ps -elf显示的信息和ps -aux基本一样。
进程参数:
PID:进程ID,这个ID很有用。Linux中,内核管理进程就靠pid来识别和管理某一进程。比如想终止某进程,则用命令“kill进pid”,有时这不能终止进程,需要加-9选项,即“kill -9进程pid”,这样使用严重时会丢数据,尽量别用。
STAT:进程状态。
进程状态:
D:不能中断的进程(通常为IO)
R(run):正在运行的进程。
S(sleep):已经中断的进程。通常大部分是这个状态。
T:已经停止或暂停的进程。比如sleep 10,按Ctrl+z暂停进程,就是这个状态。
W:(内核2.6xx以后不可用),没有足够的内存页分配。
X:已经死掉的进程(好像从不出现)
Z:僵尸进程,即杀不掉的垃圾进程。
<:高优先级进程。
N:低优先级进程。
L:在内存中被锁了内存分页。
s:主进程。
l:多线程进程。
+:在前台运行的进程,比如在当前终端执行ps aux就是前台进程。
小技巧:
连同管道符一起使用,用来查看某个进程或者它的数量。示例:
# ps aux |grep -c sshd
3
# ps aux |grep sshd
root 910 0.0 0.2 105996 4076 ? Ss 02:54 0:00 /usr/sbin/sshd -D
root 1593 0.0 0.2 145700 5192 ? Ss 03:51 0:00 sshd: root@pts/0
root 1738 0.0 0.0 112676 984 pts/0 S+ 05:39 0:00 grep --color=auto sshd
查看进程在哪里启动:ls -l /proc/进程pid/
四、netstat查看网络状态
# netstat -lnp |head -n 10
Active Internet connections (only servers)
Proto Recv-Q Send-Q Local Address Foreign Address State PID/Program name
tcp 0 0 0.0.0.0:22 0.0.0.0:* LISTEN 910/sshd
tcp 0 0 127.0.0.1:25 0.0.0.0:* LISTEN 1122/master
tcp6 0 0 :::22 :::* LISTEN 910/sshd
tcp6 0 0 ::1:25 :::* LISTEN 1122/master
raw6 0 0 :::58 :::* 7 617/NetworkManager
Active UNIX domain sockets (only servers)
Proto RefCnt Flags Type State I-Node PID/Program name Path
unix 2 [ ACC ] STREAM LISTENING 16239 559/VGAuthService /var/run/vmware/guestServicePipe
# netstat 查看网络状态
# netstat -lnp查看监听端口,LISTEN就是监听。当前系统启动了哪些端口
# netstat -an 查看系统的所有网络连接状况
# netstat -lntp 只看出tcp的,不包括socket
# ss -an 和netstat异曲同工
小技巧:
# netstat -an |awk '/^tcp/ {++sta[$NF]} END {for(key in sta) print key,"\t",sta[key]}'
LISTEN 4
ESTABLISHED 1 建立连接了正在传数据的,需关注,若数字很大,就说明系统很忙,1000以内算正常。
五、Linux下抓包
1. tcpdump工具
# yum install -y tcpdump
回车这个命令后出现密密麻麻的字符串,按Ctrl+C之前一直刷屏,刷屏越快说明网卡上的数据包越多。
# tcpdump -nn -i ens33
tcpdump: verbose output suppressed, use -v or -vv for full protocol decode
listening on ens33, link-type EN10MB (Ethernet), capture size 262144 bytes
06:56:38.608645 IP 192.168.93.130.22 > 192.168.93.1.60875: Flags [P.], seq 3128737334:3128737546, ack 2106545077, win 251, length 212
06:56:38.608960 IP 192.168.93.1.60875 > 192.168.93.130.22: Flags [.], ack 212, win 2051, length 0
06:56:38.608961 IP 192.168.93.130.22 > 192.168.93.1.60875: Flags [P.], seq 212:408, ack 1, win 251, length 196
06:56:38.609091 IP 192.168.93.130.22 > 192.168.93.1.60875: Flags [P.], seq 408:684, ack 1, win 251, length 276
06:56:38.609278 IP 192.168.93.130.22 > 192.168.93.1.60875: Flags [P.], seq 684:848, ack 1, win 251, length 164
06:56:38.609387 IP 192.168.93.1.60875 > 192.168.93.130.22: Flags [.], ack 684, win 2049, length 0
06:56:38.609481 IP 192.168.93.130.22 > 192.168.93.1.60875: Flags [P.], seq 848:1124, ack 1, win 251, length 276
06:56:38.609552 IP 192.168.93.130.22 > 192.168.93.1.60875: Flags [P.], seq 1124:1288, ack 1, win 251, length 164
06:56:38.609630 IP 192.168.93.130.22 > 192.168.93.1.60875: Flags [P.], seq 1288:1452, ack 1, win 251, length 164
只需要关注第3列和第4列,它们显示的信息为哪个IP+端口号在连接哪个IP+端口号。后面的是该数据包的相关信息。
-i:后面跟设备名称,若想抓取其他网卡的数据包,后面则要跟其他网卡的名字。
-nn:作用是让第3列和第4列显示成“IP+端口号”的形式,若不加-nn选项则显示“主机名+服务名称”。
-c:指定抓包数量。
# tcpdump -nn -i ens33 -c 50
常用案例:
# tcpdump -nn -i ens33 port 22 //只抓22端口的包
# tcpdump -nn -i ens33 tcp and not port 22 //抓tcp的包,但是不要22端口的。
# tcpdump -nn -i ens33 port 22 and port 53 //抓22和53端口的包。
2.wireshark工具
# yum install -y wireshark
要执行的命令是tshark,centos默认没有,要安装。
# tshark -n -t a R http.request -T fields -e "frame.time -e "ip.src" -e "http.host"'-e "http.request" -e "http.request.url"
这条命令适用于web服务器,类似于web访问日志。若服务器没有访问日志,可以临时使用该命令查看当前服务器上的web请求。若机器没有开启web服务,则不会显示任何内容。
# tshark -n -i eth1 -R'mysql.query' -T fields -e "ip.src" -e "mysql.query"
抓取eth1网卡mysql的查询都有哪些,该方法仅适用于mysql端口为3306,若不是3306,使用下面的方法:
# # tshark -i eth1 port 3307 -d tcp.port==3301,mysql -z "proto,colinfo,mysql,query,mysql.query"