Linux系统管理工具-iostat、free、ps、netstat、tcpdump

时间  2019-12-07
标签 linux 系统管理 工具 iostat free netstat tcpdump 栏目 Linux 繁體版
原文   原文链接

10.6 监控io性能

iostat命令

iostat命令被用于监视系统输入输出设备和CPU的使用状况。它的特色是汇报磁盘活动统计状况,同时也会汇报出CPU使用状况。同vmstat同样,iostat也有一个弱点,就是它不能对某个进程进行深刻分析,仅对系统的总体状况进行分析。mysql

  • iostat -x
[root@1 ~]# iostat -x
Linux 3.10.0-514.el7.x86_64 (adai003) 	2017年07月11日 	_x86_64_	(1 CPU)

avg-cpu:  %user   %nice %system %iowait  %steal   %idle
           0.12    0.00    0.24    0.25    0.00   99.39

Device:         rrqm/s   wrqm/s     r/s     w/s    rkB/s    wkB/s avgrq-sz avgqu-sz   await r_await w_await  svctm  %util
sda               0.00     0.06    0.45    0.30    16.50     4.06    54.39     0.02   31.35   32.52   29.60   6.25   0.47
scd0              0.00     0.00    0.00    0.00     0.00     0.00     8.00     0.00  170.45  170.45    0.00 170.45   0.01

说明: util%:表示io等待占比,正常状况下该值和磁盘读写(r/w)成正比,若是该值很大,读写数值很小则说明磁盘存在问题,系统性能会受影响!ios

iotop命令

iotop命令是一个用来监视磁盘I/O使用情况的top类工具(动态)。iotop具备与top类似的UI,其中包括PID、用户、I/O、进程等相关信息。Linux下的IO统计工具如iostat,nmon等大多数是只能统计到per设备的读写状况,若是你想知道每一个进程是如何使用IO的就比较麻烦,使用iotop命令能够很方便的查看。web

[root@1 ~]# iotop
Total DISK READ :	0.00 B/s | Total DISK WRITE :       0.00 B/s
Actual DISK READ:	0.00 B/s | Actual DISK WRITE:       0.00 B/s
  TID  PRIO  USER     DISK READ  DISK WRITE  SWAPIN     IO>    COMMAND                    
 3694 be/4 root          0.00 B      0.00 B  0.00 %  0.02 % [kworker/0:0]
    1 be/4 root          0.00 B      0.00 B  0.00 %  0.00 % systemd --swit~-deserialize 21
    2 be/4 root          0.00 B      0.00 B  0.00 %  0.00 % [kthreadd]
    3 be/4 root          0.00 B      0.00 B  0.00 %  0.00 % [ksoftirqd/0]
  516 be/4 root          0.00 B      0.00 B  0.00 %  0.00 % crond -n
  517 be/4 root          0.00 B      0.00 B  0.00 %  0.00 % login -- root
……

注: 在此关注‘IO>’这一列!sql

  • iotop经常使用快捷键缓存

    • 左右箭头:改变排序方式,默认是按IO排序
    • r:改变排序顺序。
    • o:只显示有IO输出的进程。
    • p:进程/线程的显示方式的切换。
    • a:显示累积使用量。
    • q:退出。

10.7 free命令

free命令能够显示当前系统未使用的和已使用的内存数目,还能够显示被内核使用的内存缓冲区。服务器

语法: free [options]
Options:
-b/k/m/g:分别以byte、KB、M、G为单位显示(默认以KB为单位)
-h:已适当的单位显示
-t:显示内存总和网络

[root@1 ~]# free
              total        used        free      shared  buff/cache   available
Mem:        1008392      116072      586356        6864      305964      724644
Swap:       2097148           0     2097148

[root@1 ~]# free -h
              total        used        free      shared  buff/cache   available
Mem:           984M        113M        572M        6.7M        298M        707M
Swap:          2.0G          0B        2.0G

说明:
“total=used+free+buff/cache”
“available=free+buff/cache(空闲部分)”
buff(缓冲):当CPU向磁盘写入数据时,因为磁盘存储速率低于CPU,因此CPU工做时先将写好的数据存放在内存中,该部份内存即为缓冲内存。
cache(缓存):当CPU从磁盘读取数据时,因为磁盘输出速率低于CPU的读取速度,因此磁盘的数据会预先存放在内存中,该部份内存即为缓存内存。多线程

10.8 ps命令

ps命令用于报告当前系统的进程状态。能够搭配kill指令随时中断、删除没必要要的程序。ps命令是最基本同时也是很是强大的进程查看命令,使用该命令能够肯定有哪些进程正在运行和运行的状态、进程是否结束、进程有没有僵死、哪些进程占用了过多的资源等等,总之大部分信息都是能够经过执行该命令获得的。并发

用法

语法: ps [options]
Options:
a:显示现行终端机下的全部程序,包括其余用户的程序。
u:以用户为主的格式来显示系统情况。
x:显示全部程序,包括历史进程。
-e:显示全部进程(同a)
-f:显示UID、PPIP、C与STIME栏
-l:显示进程详细信息dom

  • ps aux
[root@1 ~]# ps aux
USER       PID %CPU %MEM    VSZ   RSS TTY      STAT START   TIME COMMAND
root         1  0.0  0.3 125100  3628 ?        Ss   10:28   0:01 /usr/lib/systemd/systemd 
root         2  0.0  0.0      0     0 ?        S    10:28   0:00 [kthreadd]
……

说明: STAT表示进程状态。

  • 进程状态:

    • D:不能中断的进程
    • R:run状态的进程
    • S:sleep状态的进程
    • s:主进程
    • T:暂停的进程
    • Z:僵尸进程
    • <:高优先级进程
    • N:低优先级进程
    • L:内存中被锁定了内存分页
    • l:多线程进程
    • +:前台进程

  • ps -elf

[root@1 ~]# ps -elf
F S UID        PID  PPID  C PRI  NI ADDR SZ WCHAN  STIME TTY          TIME CMD
4 S root         1     0  0  80   0 - 31275 ep_pol 10:28 ?        00:00:01 /usr/lib/system
1 S root         2     0  0  80   0 -     0 kthrea 10:28 ?        00:00:00 [kthreadd]

进程/线程

进程

进程(Process)是计算机中的程序关于某数据集合上的一次运行活动,是系统进行资源分配和调度的基本单位,是操做系统结构的基础。在早期面向进程设计的计算机结构中,进程是程序的基本执行实体;在当代面向线程设计的计算机结构中,进程是线程的容器。程序是指令、数据及其组织形式的描述,进程是程序的实体。

状态分类

进程执行时的间断性,决定了进程可能具备多种状态。事实上,运行中的进程可能具备如下三种基本状态:

  • 就绪状态(Ready):进程已得到除处理器外的所需资源,等待分配处理器资源;只要分配了处理器进程就可执行。就绪进程能够按多个优先级来划分队列。例如,当一个进程因为时间片用完而进入就绪状态时,排入低优先级队列;当进程由I/O操做完成而进入就绪状态时,排入高优先级队列。
  • 运行状态(Running):进程占用处理器资源;处于此状态的进程的数目小于等于处理器的数目。在没有其余进程能够执行时(如全部进程都在阻塞状态),一般会自动执行系统的空闲进程。
  • 阻塞状态(Blocked):因为进程等待某种条件(如I/O操做或进程同步),在条件知足以前没法继续执行。该事件发生前即便把处理机分配给该进程,也没法运行。

线程

线程,有时被称为轻量级进程(Lightweight Process,LWP),是程序执行流的最小单元。一个标准的线程由线程ID,当前指令指针(PC),寄存器集合和堆栈组成。另外,线程是进程中的一个实体,是被系统独立调度和分派的基本单位,线程本身不拥有系统资源,只拥有一点儿在运行中必不可少的资源,但它可与同属一个进程的其它线程共享进程所拥有的所有资源。一个线程能够建立和撤消另外一个线程,同一进程中的多个线程之间能够并发执行。因为线程之间的相互制约,导致线程在运行中呈现出间断性。线程也有就绪、阻塞和运行三种基本状态。每个程序都至少有一个线程,若程序只有一个线程,那就是程序自己。
在单个程序中同时运行多个线程完成不一样的工做,称为多线程

分类

  • 用户级线程:管理过程所有由用户程序完成,操做系统内核心只对进程进行管理。
  • 系统级线程(核心级线程):由操做系统内核进行管理。操做系统内核给应用程序提供相应的系统调用和应用程序接口API,以使用户程序能够建立、执行、撤消线程。

 

10.9 查看网络状态

netstat命令

netstat命令用来打印Linux中网络系统的状态信息,可以让你得知整个Linux系统的网络状况。

语法: netstat [options]
Options:
-a:=all 显示全部连线中的socket
-l:=listening 显示监控中的服务器的socket
-n:=numeric 直接使用IP地址
-p:=programs 显示正在使用socket的程序识别码和程序名称
-t:=tcp 显示tcp传输协议的链接情况

  • netstat -lnp 查看监听端口
[root@1 ~]# netstat -lnp
Active Internet connections (only servers)
Proto Recv-Q Send-Q Local Address           Foreign Address         State       PID/Program name    
tcp        0      0 0.0.0.0:22              0.0.0.0:*               LISTEN      1839/sshd           
tcp        0      0 127.0.0.1:25            0.0.0.0:*               LISTEN      1979/master         
tcp6       0      0 :::22                   :::*                    LISTEN      1839/sshd           
tcp6       0      0 ::1:25                  :::*                    LISTEN      1979/master         
udp        0      0 127.0.0.1:323           0.0.0.0:*                           488/chronyd         
udp6       0      0 ::1:323                 :::*                                488/chronyd         
raw6       0      0 :::58                   :::*                    7           543/NetworkManager  
Active UNIX domain sockets (only servers)
Proto RefCnt Flags       Type       State         I-Node   PID/Program name     Path
unix  2      [ ACC ]     SEQPACKET  LISTENING     11807    1/systemd            /run/udev/control
unix  2      [ ACC ]     STREAM     LISTENING     17879    1979/master          private/rewrite
:proto为unix的是系统内的socket文件。
……
  • netstat -an 查看系统网络链接情况
[root@1 ~]# netstat -an
Active Internet connections (servers and established)
Proto Recv-Q Send-Q Local Address           Foreign Address         State      
tcp        0      0 0.0.0.0:22              0.0.0.0:*               LISTEN     
tcp        0      0 127.0.0.1:25            0.0.0.0:*               LISTEN     
tcp        0     52 192.168.8.125:22        192.168.8.1:61445       ESTABLISHED
tcp6       0      0 :::22                   :::*                    LISTEN     
tcp6       0      0 ::1:25                  :::*                    LISTEN     
udp        0      0 127.0.0.1:323           0.0.0.0:*                          
udp6       0      0 ::1:323                 :::*                               
raw6       0      0 :::58                   :::*                    7          
Active UNIX domain sockets (servers and established)
Proto RefCnt Flags       Type       State         I-Node   Path
unix  2      [ ACC ]     SEQPACKET  LISTENING     11807    /run/udev/control
unix  2      [ ACC ]     STREAM     LISTENING     17879    private/rewrite
……
  • netstat -lntp 只看tcp协议链接,不看socket
[root@1 ~]# netstat -lntp
Active Internet connections (only servers)
Proto Recv-Q Send-Q Local Address           Foreign Address         State       PID/Program name    
tcp        0      0 0.0.0.0:22              0.0.0.0:*               LISTEN      1839/sshd           
tcp        0      0 127.0.0.1:25            0.0.0.0:*               LISTEN      1979/master         
tcp6       0      0 :::22                   :::*                    LISTEN      1839/sshd           
tcp6       0      0 ::1:25                  :::*                    LISTEN      1979/master

补充: 查看tcp协议状态的命令:

[root@1 ~]#  netstat -an | awk '/^tcp/ {++sta[$NF]} END {for(key in sta) print key,"\t",sta[key]}'
LISTEN 	 4
ESTABLISHED 	 1

ss命令

ss命令用来显示处于活动状态的套接字信息。ss命令能够用来获取socket统计信息,它能够显示和netstat相似的内容。但ss的优点在于它可以显示更多更详细的有关TCP和链接状态的信息,并且比netstat更快速更高效,缺点是不会显示进程的名称。

语法: ss [options]
Options:
-a:显示全部套接字(socket)
-n:不解析服务器名称,以数字方式显示

[root@1 ~]# ss -an
Netid State      Recv-Q Send-Q  Local Address:Port                 Peer Address:Port              
nl    UNCONN     0      0                   0:0                                *                   
nl    UNCONN     0      0                   0:-1442840033                      *

10.10 Linux下抓包

tcpdump命令

tcpdump命令是一款sniffer工具,它能够打印全部通过网络接口的数据包的头信息,也可使用-w选项将数据包保存到文件中,方便之后分析。

语法: tcpdump [options]
Options:
-i:指定网卡名,使用指定的网络送出数据包
-c:指定数量
-w:指定存放位置
-r:=read,从指定文件查看数据包数据

用法

  • tcpdump -nn -i ens33 (第一个n表示以数字形式显示IP,若是不加该选项会显示成主机名)
  • tcpdump -nn ens33 port 22 (not port 22)指定端口为22的(非22的)
  • tcpdump -nn ens33 port 22 and host 192.168.8.1 指定多个条件(host:主机,后面跟主机名或IP)
  • tcpdump -nn -i ens33 -c 10 -w /tmp/1.cap 指定抓包数量和存放位置
[root@1 ~]# tcpdump -nn -i ens33 -c 10 -w /tmp/1.cap
tcpdump: listening on ens33, link-type EN10MB (Ethernet), capture size 65535 bytes
10 packets captured
12 packets received by filter
0 packets dropped by kernel

查看1.cap文件信息:
[root@1 ~]# file /tmp/1.cap
/tmp/1.cap: tcpdump capture file (little-endian) - version 2.4 (Ethernet, capture length 65535)

注: 1.cap内容没法使用cat命令查看,可以使用tcpdump -r命令查看

  • tcpdump -r 1.cap 查看指定数据包内容
[root@1 ~]# tcpdump -r /tmp/1.cap
reading from file /tmp/1.cap, link-type EN10MB (Ethernet)
18:42:15.311230 IP adai003.ssh > 192.168.8.1.61445: Flags [P.], seq 1594109651:1594109799, ack 208567947, win 295, length 148
18:42:15.311978 IP 192.168.8.1.61445 > adai003.ssh: Flags [.], ack 148, win 16316, length 0
18:42:16.296782 IP adai003.ssh > 192.168.8.1.61445: Flags [.], seq 148:3068, ack 1, win 295, length 2920

说明: 包内内容为使用tcpdump打包时的数据。

tshark命令

该命令也是用于抓包的。

使用前须要安装该工具‘wireshark’:

[root@1 ~]# yum install -y wireshark

用法

  • 查看指定网卡80端口的1个web服务的访问状况(相似于web的访问日志):
    [ 命令:tshark -n -t a -R http.request -T fields -e "frame.time" -e "ip.src" -e "http.host" -e "http.request.method" -e "http.request.uri" ]
[root@1 ~]#  tshark -n -t a -R http.request -T fields -e "frame.time" -e "ip.src" -e "http.host" -e "http.request.method" -e "http.request.uri"
  • 抓取mysql的查询
方法1:
[root@1 ~]# tshark -n -i ens33 -R 'mysql.query' -T fields -e "ip.src" -e "mysql.query"
tshark: -R without -2 is deprecated. For single-pass filtering use -Y.
Running as user "root" and group "root". This could be dangerous.
Capturing on 'ens33'
0 packets captured

方法2:
[root@1 ~]# tshark -i ens33 port 3307  -d tcp.port==3307,mysql -z "proto,colinfo,mysql.query,mysql.query"

注: 因无相关进程运行因此一无所得!

  • 抓取指定类型的MySQL查询
[root@1 ~]# tshark -n -i ens33 -R 'mysql matches "SELECT|INSERT|DELETE|UPDATE"' -T fields -e "ip.src" -e "mysql.query"
tshark: -R without -2 is deprecated. For single-pass filtering use -Y.
Running as user "root" and group "root". This could be dangerous.
Capturing on 'ens33'
8 packets dropped
0 packets captured
  • 统计http的状态
[root@1 ~]# tshark -n -q -z http,stat, -z http,tree
Running as user "root" and group "root". This could be dangerous.
Capturing on 'nflog'
……

注: 这个命令,直到你ctrl + c 才会显示出结果!

  • tshark 增长时间标签
  • [root@1 ~]# tshark -t ad  

[root@1 ~]# tshark -t a
相关文章
相关标签/搜索
每日一句
    每一个你不满意的现在,都有一个你没有努力的曾经。
本站公众号
   欢迎关注本站公众号,获取更多信息
联系我们 最近搜索 最新文章 沪ICP备13005482号-10 MyBatis教程 SQL 教程 MySQL教程 Java 教程 Thymeleaf 教程 Hibernate教程 Spring教程 Redis教程