监控IO性能
iostat -x 磁盘使用 和sar在同一个包下, 安装 sysstat的时候就装了
主要是看-x选项后的%util表示的是IO等待,磁盘使用有多少时间是占用cpu的一个时间比,因为cpu有分配给内存,应用同时也有等待写入磁盘等操作。
iotop需要安装 直接yum install iotop即可,可以查看到即时的进程对于io的占用情况
free
直接查看内存使用情况的命令
free -m 查看单位是M
free -h 查看更人性化
total 总共是多大内存 total = used + free+buff/cache
used 是使用了多少内存
free 是剩余的内存 但是used加上free并非total,为什么?因为linux系统预分配部分给buff和cache。因为数据传输过程需要所以系统预留了。
shared
buff/cache 缓冲/缓存 前者是数据从cpu到磁盘 后者是从磁盘到cpu的时候的内存
available free+buff/cache未使用的部分 就是available,就是真正剩余的物理内存----查看free的时候available的值最重要
何为buffer和cache?
数据是有一定流向的,有两种方式,一种是拿出来数据交给cpu运算和分析,中间是需要经过一个内存的,目的是让数据有一个缓和,因为cpu和磁盘的速度相差是比较大的。缓存下数据放到内存,需要用的时候从内存(cache)中去拿。反过来计算完的cpu的数据,
需要存回到磁盘里去,这个过程直接写进去太慢,所以需要内存(buff)来临时存储数据,然后再存储到磁盘中去。
0101010 (磁盘) ---> 内存(cache)--> cpu
cpu01010010 ---> 内存(buffer)-->磁盘
ps命令
ps aux 列出系统中的所有进程
静态的一次性的把当前的进程的使用状况列出来。
可以使用管道符用grep查看是否存在某个进程
ps -elf 和 aux差不多
显示:
user 用户
PID process id 通常这个pid用来kill的时候来用 kill pid 就可以杀掉进程////还有就是系统被黑了,看到一个陌生的进程,想看看这个进程的位置,就找到pid然后 进入/proc/pid就可以进入到进程的目录进行查看。
%cpu 占cpu的百分比
%MEM 占内存百分比
VSZ RSS 虚拟内存 物理内存
TTY 控制台登陆
STAT 需要关注
stat是进程的状态,有以下几种:
D--- 不能中断的进程。中断的话会对程序有影响。这个会直接影响系统负载,因为一直运行所以系统的负载会跟这个有直接的关系。
R ---run状态的进程。指的是某一个时间段内在使用cpu
S--- sleep状态。 运行完sleep,然后激活在运行
T --暂停的进程
S sleep的进程(大写S)
将vmstat暂停后fg继续,再用另一个终端查看状态变成了s+,是因为vmstat占用时间的cpu非常短,所以是一个放大的sleep的状态,就是看起来是运行的,实际上是睡眠,运行,睡眠运行的状态,耗费的cpu的资源也特别的少。+表示前台进程
从下图可以看到换成后台运行后,+没有了,同时r也出现了。s和r交替出现。
Z 僵尸进程
< 高优先级的进程 cpu优先分配资源给它使用
N 低优先级进程。
L 内存中被锁了内存分页的进程
s 主进程
l 多线程进程
最大的区别就是:
1 进程里包含了线程,线程是进程的子单元
2 同一个进程下的线程全部共享相同的内存,而进程之间内存相互隔离。
查看网络状态
netstat就是查看tcp/ip通信状态的命令
比如安装一个数据库服务,server服务等,就需要监听端口,所谓监听端口就是不同的应用是通过哪个端口进行通信的。打开一个端口其他的设备才可以连接,通过端口进行数据的通信。比如80 web端口,22 sshd端口,远程连接
netstat -lnp
netstat -ltnp 只查看tcp -lunp只查看udp -ltunp 只查看tcp udp
l---listen
解释上图:
tcp 就是ipv
tcp6 是ipv6
需要了解tcp udp的协议概念。三次握手,四次挥手
socket是同一个服务器两个进程之间进行通信的文件。
上图查看的是都有哪些socket文件。
在之后部署一些服务后,需要用ps查看进程,或者用netstat查看端口。
netstat -nn 查看tcp/ip状态。
有一条netstat 管道用awk显示的命令,可以显示当前的监听,建立等的状态
netstat -an |awk '/^tcp/ {++sta[$NF]} END {for(key in sta) print key,"\t",sta[key]}'
注意需要关注 established
这个值如果很大,说明系统很忙,网站并发连接--就是同一时刻有多少个客户端在连接服务器。
这个数字就是并发连接数。也就是正在保持通信的状态,会直接占用资源。通常1000以内的话还算正常,如果数字过大就不正常了。
ss -an和netstat很像
然后可以使用awk来进行信息的筛选。比如查看在监听的服务,-i忽略大小写。缺点是不显示进程的名字。
Linux下抓包
抓包工具 tcpdump
查看进入的包都有哪些。以及数据的流向,length 。默认都是tcp的包,如果发现很多udp的包就有可能***了。eg DDos UDP flood 。只能接入专业的防***设备或服务。
tcpdump -nn 网卡名
-nn 第一个n表示ip显示成数字,不加会显示主机名。
时间 源ip及端口 > 目标ip及端口:数据包信息
tcpdump -nn 网卡 port 80 指定port
tcpdump -nn 网卡not port 22 and host 192.168.0.100 排除22端口,只要192.168.0.100的包
tcpdump -nn -c 10 -w 1.cap 数据包 写入10个记录到1.cap文件中
并不能cat因为里面存的是真正的数据信息,因为它抓的是通过网卡通过的数据。如果想看的话,可以使用 tcpdump -r 来进行查看
wireshark 也是用来抓包的命令 yum install wireshark
以下命令可以用来查看指定网卡的80端口的web访问的情况。但是没装web service就不能够完成这个动作
tshark -n -t a -R http.request -T fields -e "frame.time" -e "ip.src" -e "http.host" -e "http.request.method" -e "http.request.uri"
看一下老师线上服务器的展示,非常的棒,什么ip访问的什么page都可以看到,这个完全可以用来统计用户访问。?
tshark -n -t a -R http.request -T fields -e "frame.time" -e "ip.src" -e "http.host" -e "http.request.method" -e "http.request.uri"