专栏首页阿dai_linuxLinux系统管理工具-iostat、free、ps、netstat、tcpdump

Linux系统管理工具-iostat、free、ps、netstat、tcpdump

10.6 监控io性能

iostat命令

iostat命令被用于监视系统输入输出设备和CPU的使用情况。它的特点是汇报磁盘活动统计情况,同时也会汇报出CPU使用情况。同vmstat一样,iostat也有一个弱点,就是它不能对某个进程进行深入分析,仅对系统的整体情况进行分析。

  • iostat -x
[root@adai003 ~]# iostat -x
Linux 3.10.0-514.el7.x86_64 (adai003) 	2017年07月11日 	_x86_64_	(1 CPU)

avg-cpu:  %user   %nice %system %iowait  %steal   %idle
           0.12    0.00    0.24    0.25    0.00   99.39

Device:         rrqm/s   wrqm/s     r/s     w/s    rkB/s    wkB/s avgrq-sz avgqu-sz   await r_await w_await  svctm  %util
sda               0.00     0.06    0.45    0.30    16.50     4.06    54.39     0.02   31.35   32.52   29.60   6.25   0.47
scd0              0.00     0.00    0.00    0.00     0.00     0.00     8.00     0.00  170.45  170.45    0.00 170.45   0.01

说明: util%:表示io等待占比,正常情况下该值和磁盘读写(r/w)成正比,如果该值很大,读写数值很小则说明磁盘存在问题,系统性能会受影响!

iotop命令

iotop命令是一个用来监视磁盘I/O使用状况的top类工具(动态)。iotop具有与top相似的UI,其中包括PID、用户、I/O、进程等相关信息。Linux下的IO统计工具如iostat,nmon等大多数是只能统计到per设备的读写情况,如果你想知道每个进程是如何使用IO的就比较麻烦,使用iotop命令可以很方便的查看。

[root@adai003 ~]# iotop
Total DISK READ :	0.00 B/s | Total DISK WRITE :       0.00 B/s
Actual DISK READ:	0.00 B/s | Actual DISK WRITE:       0.00 B/s
  TID  PRIO  USER     DISK READ  DISK WRITE  SWAPIN     IO>    COMMAND                    
 3694 be/4 root          0.00 B      0.00 B  0.00 %  0.02 % [kworker/0:0]
    1 be/4 root          0.00 B      0.00 B  0.00 %  0.00 % systemd --swit~-deserialize 21
    2 be/4 root          0.00 B      0.00 B  0.00 %  0.00 % [kthreadd]
    3 be/4 root          0.00 B      0.00 B  0.00 %  0.00 % [ksoftirqd/0]
  516 be/4 root          0.00 B      0.00 B  0.00 %  0.00 % crond -n
  517 be/4 root          0.00 B      0.00 B  0.00 %  0.00 % login -- root
……

注: 在此关注‘IO>’这一列!

  • iotop常用快捷键
    • 左右箭头:改变排序方式,默认是按IO排序
    • r:改变排序顺序。
    • o:只显示有IO输出的进程。
    • p:进程/线程的显示方式的切换。
    • a:显示累积使用量。
    • q:退出。

10.7 free命令

free命令可以显示当前系统未使用的和已使用的内存数目,还可以显示被内核使用的内存缓冲区。

语法: free [options] Options: -b/k/m/g:分别以byte、KB、M、G为单位显示(默认以KB为单位) -h:已适当的单位显示 -t:显示内存总和

[root@adai003 ~]# free
              total        used        free      shared  buff/cache   available
Mem:        1008392      116072      586356        6864      305964      724644
Swap:       2097148           0     2097148

[root@adai003 ~]# free -h
              total        used        free      shared  buff/cache   available
Mem:           984M        113M        572M        6.7M        298M        707M
Swap:          2.0G          0B        2.0G

说明: “total=used+free+buff/cache” “available=free+buff/cache(空闲部分)” buff(缓冲):当CPU向磁盘写入数据时,由于磁盘存储速率低于CPU,所以CPU工作时先将写好的数据存放在内存中,该部分内存即为缓冲内存。 cache(缓存):当CPU从磁盘读取数据时,由于磁盘输出速率低于CPU的读取速度,所以磁盘的数据会预先存放在内存中,该部分内存即为缓存内存。

10.8 ps命令

ps命令用于报告当前系统的进程状态。可以搭配kill指令随时中断、删除不必要的程序。ps命令是最基本同时也是非常强大的进程查看命令,使用该命令可以确定有哪些进程正在运行和运行的状态、进程是否结束、进程有没有僵死、哪些进程占用了过多的资源等等,总之大部分信息都是可以通过执行该命令得到的。

用法

语法: ps [options] Options: a:显示现行终端机下的所有程序,包括其他用户的程序。 u:以用户为主的格式来显示系统状况。 x:显示所有程序,包括历史进程。 -e:显示所有进程(同a) -f:显示UID、PPIP、C与STIME栏 -l:显示进程详细信息

  • ps aux
[root@adai003 ~]# ps aux
USER       PID %CPU %MEM    VSZ   RSS TTY      STAT START   TIME COMMAND
root         1  0.0  0.3 125100  3628 ?        Ss   10:28   0:01 /usr/lib/systemd/systemd 
root         2  0.0  0.0      0     0 ?        S    10:28   0:00 [kthreadd]
……

说明: STAT表示进程状态。

  • 进程状态:
    • D:不能中断的进程
    • R:run状态的进程
    • S:sleep状态的进程
    • s:主进程
    • T:暂停的进程
    • Z:僵尸进程
    • <:高优先级进程
    • N:低优先级进程
    • L:内存中被锁定了内存分页
    • l:多线程进程
    • +:前台进程
  • ps -elf
[root@adai003 ~]# ps -elf
F S UID        PID  PPID  C PRI  NI ADDR SZ WCHAN  STIME TTY          TIME CMD
4 S root         1     0  0  80   0 - 31275 ep_pol 10:28 ?        00:00:01 /usr/lib/system
1 S root         2     0  0  80   0 -     0 kthrea 10:28 ?        00:00:00 [kthreadd]

进程/线程

进程

进程(Process)是计算机中的程序关于某数据集合上的一次运行活动,是系统进行资源分配和调度的基本单位,是操作系统结构的基础。在早期面向进程设计的计算机结构中,进程是程序的基本执行实体;在当代面向线程设计的计算机结构中,进程是线程的容器。程序是指令、数据及其组织形式的描述,进程是程序的实体。

状态分类

进程执行时的间断性,决定了进程可能具有多种状态。事实上,运行中的进程可能具有以下三种基本状态:

  • 就绪状态(Ready):进程已获得除处理器外的所需资源,等待分配处理器资源;只要分配了处理器进程就可执行。就绪进程可以按多个优先级来划分队列。例如,当一个进程由于时间片用完而进入就绪状态时,排入低优先级队列;当进程由I/O操作完成而进入就绪状态时,排入高优先级队列。
  • 运行状态(Running):进程占用处理器资源;处于此状态的进程的数目小于等于处理器的数目。在没有其他进程可以执行时(如所有进程都在阻塞状态),通常会自动执行系统的空闲进程。
  • 阻塞状态(Blocked):由于进程等待某种条件(如I/O操作或进程同步),在条件满足之前无法继续执行。该事件发生前即使把处理机分配给该进程,也无法运行。

线程

线程,有时被称为轻量级进程(Lightweight Process,LWP),是程序执行流的最小单元。一个标准的线程由线程ID,当前指令指针(PC),寄存器集合和堆栈组成。另外,线程是进程中的一个实体,是被系统独立调度和分派的基本单位,线程自己不拥有系统资源,只拥有一点儿在运行中必不可少的资源,但它可与同属一个进程的其它线程共享进程所拥有的全部资源。一个线程可以创建和撤消另一个线程,同一进程中的多个线程之间可以并发执行。由于线程之间的相互制约,致使线程在运行中呈现出间断性。线程也有就绪、阻塞和运行三种基本状态。每一个程序都至少有一个线程,若程序只有一个线程,那就是程序本身。 在单个程序中同时运行多个线程完成不同的工作,称为多线程

分类
  • 用户级线程:管理过程全部由用户程序完成,操作系统内核心只对进程进行管理。
  • 系统级线程(核心级线程):由操作系统内核进行管理。操作系统内核给应用程序提供相应的系统调用和应用程序接口API,以使用户程序可以创建、执行、撤消线程。

进程和线程关系:

10.9 查看网络状态

netstat命令

netstat命令用来打印Linux中网络系统的状态信息,可让你得知整个Linux系统的网络情况。

语法: netstat [options] Options: -a:=all 显示所有连线中的socket -l:=listening 显示监控中的服务器的socket -n:=numeric 直接使用IP地址 -p:=programs 显示正在使用socket的程序识别码和程序名称 -t:=tcp 显示tcp传输协议的连接状况

  • netstat -lnp 查看监听端口
[root@adai003 ~]# netstat -lnp
Active Internet connections (only servers)
Proto Recv-Q Send-Q Local Address           Foreign Address         State       PID/Program name    
tcp        0      0 0.0.0.0:22              0.0.0.0:*               LISTEN      1839/sshd           
tcp        0      0 127.0.0.1:25            0.0.0.0:*               LISTEN      1979/master         
tcp6       0      0 :::22                   :::*                    LISTEN      1839/sshd           
tcp6       0      0 ::1:25                  :::*                    LISTEN      1979/master         
udp        0      0 127.0.0.1:323           0.0.0.0:*                           488/chronyd         
udp6       0      0 ::1:323                 :::*                                488/chronyd         
raw6       0      0 :::58                   :::*                    7           543/NetworkManager  
Active UNIX domain sockets (only servers)
Proto RefCnt Flags       Type       State         I-Node   PID/Program name     Path
unix  2      [ ACC ]     SEQPACKET  LISTENING     11807    1/systemd            /run/udev/control
unix  2      [ ACC ]     STREAM     LISTENING     17879    1979/master          private/rewrite
:proto为unix的是系统内的socket文件。
……
  • netstat -an 查看系统网络连接状况
[root@adai003 ~]# netstat -an
Active Internet connections (servers and established)
Proto Recv-Q Send-Q Local Address           Foreign Address         State      
tcp        0      0 0.0.0.0:22              0.0.0.0:*               LISTEN     
tcp        0      0 127.0.0.1:25            0.0.0.0:*               LISTEN     
tcp        0     52 192.168.8.125:22        192.168.8.1:61445       ESTABLISHED
tcp6       0      0 :::22                   :::*                    LISTEN     
tcp6       0      0 ::1:25                  :::*                    LISTEN     
udp        0      0 127.0.0.1:323           0.0.0.0:*                          
udp6       0      0 ::1:323                 :::*                               
raw6       0      0 :::58                   :::*                    7          
Active UNIX domain sockets (servers and established)
Proto RefCnt Flags       Type       State         I-Node   Path
unix  2      [ ACC ]     SEQPACKET  LISTENING     11807    /run/udev/control
unix  2      [ ACC ]     STREAM     LISTENING     17879    private/rewrite
……
  • netstat -lntp 只看tcp协议连接,不看socket
[root@adai003 ~]# netstat -lntp
Active Internet connections (only servers)
Proto Recv-Q Send-Q Local Address           Foreign Address         State       PID/Program name    
tcp        0      0 0.0.0.0:22              0.0.0.0:*               LISTEN      1839/sshd           
tcp        0      0 127.0.0.1:25            0.0.0.0:*               LISTEN      1979/master         
tcp6       0      0 :::22                   :::*                    LISTEN      1839/sshd           
tcp6       0      0 ::1:25                  :::*                    LISTEN      1979/master      

补充: 查看tcp协议状态的命令:

[root@adai003 ~]#  netstat -an | awk '/^tcp/ {++sta[$NF]} END {for(key in sta) print key,"\t",sta[key]}'
LISTEN 	 4
ESTABLISHED 	 1

ss命令

ss命令用来显示处于活动状态的套接字信息。ss命令可以用来获取socket统计信息,它可以显示和netstat类似的内容。但ss的优势在于它能够显示更多更详细的有关TCP和连接状态的信息,而且比netstat更快速更高效,缺点是不会显示进程的名称。

语法: ss [options] Options: -a:显示所有套接字(socket) -n:不解析服务器名称,以数字方式显示

[root@adai003 ~]# ss -an
Netid State      Recv-Q Send-Q  Local Address:Port                 Peer Address:Port              
nl    UNCONN     0      0                   0:0                                *                   
nl    UNCONN     0      0                   0:-1442840033                      *                

10.10 Linux下抓包

tcpdump命令

tcpdump命令是一款sniffer工具,它可以打印所有经过网络接口的数据包的头信息,也可以使用-w选项将数据包保存到文件中,方便以后分析。

语法: tcpdump [options] Options: -i:指定网卡名,使用指定的网络送出数据包 -c:指定数量 -w:指定存放位置 -r:=read,从指定文件查看数据包数据

用法

  • tcpdump -nn -i ens33 (第一个n表示以数字形式显示IP,如果不加该选项会显示成主机名)
  • tcpdump -nn ens33 port 22 (not port 22)指定端口为22的(非22的)
  • tcpdump -nn ens33 port 22 and host 192.168.8.1 指定多个条件(host:主机,后面跟主机名或IP)
  • tcpdump -nn -i ens33 -c 10 -w /tmp/1.cap 指定抓包数量和存放位置
[root@adai003 ~]# tcpdump -nn -i ens33 -c 10 -w /tmp/1.cap
tcpdump: listening on ens33, link-type EN10MB (Ethernet), capture size 65535 bytes
10 packets captured
12 packets received by filter
0 packets dropped by kernel

查看1.cap文件信息:
[root@adai003 ~]# file /tmp/1.cap
/tmp/1.cap: tcpdump capture file (little-endian) - version 2.4 (Ethernet, capture length 65535)

注: 1.cap内容无法使用cat命令查看,可使用tcpdump -r命令查看

  • tcpdump -r 1.cap 查看指定数据包内容
[root@adai003 ~]# tcpdump -r /tmp/1.cap
reading from file /tmp/1.cap, link-type EN10MB (Ethernet)
18:42:15.311230 IP adai003.ssh > 192.168.8.1.61445: Flags [P.], seq 1594109651:1594109799, ack 208567947, win 295, length 148
18:42:15.311978 IP 192.168.8.1.61445 > adai003.ssh: Flags [.], ack 148, win 16316, length 0
18:42:16.296782 IP adai003.ssh > 192.168.8.1.61445: Flags [.], seq 148:3068, ack 1, win 295, length 2920

说明: 包内内容为使用tcpdump打包时的数据。

tshark命令

该命令也是用于抓包的。

使用前需要安装该工具‘wireshark’:

[root@adai003 ~]# yum install -y wireshark

用法

  • 查看指定网卡80端口的1个web服务的访问情况(类似于web的访问日志): [ 命令:tshark -n -t a -R http.request -T fields -e "frame.time" -e "ip.src" -e "http.host" -e "http.request.method" -e "http.request.uri" ]
[root@adai003 ~]#  tshark -n -t a -R http.request -T fields -e "frame.time" -e "ip.src" -e "http.host" -e "http.request.method" -e "http.request.uri"
  • 抓取mysql的查询
方法1:
[root@adai003 ~]# tshark -n -i ens33 -R 'mysql.query' -T fields -e "ip.src" -e "mysql.query"
tshark: -R without -2 is deprecated. For single-pass filtering use -Y.
Running as user "root" and group "root". This could be dangerous.
Capturing on 'ens33'
0 packets captured

方法2:
[root@adai003 ~]# tshark -i ens33 port 3307  -d tcp.port==3307,mysql -z "proto,colinfo,mysql.query,mysql.query"

注: 因无相关进程运行所以一无所获!

  • 抓取指定类型的MySQL查询
[root@adai003 ~]# tshark -n -i ens33 -R 'mysql matches "SELECT|INSERT|DELETE|UPDATE"' -T fields -e "ip.src" -e "mysql.query"
tshark: -R without -2 is deprecated. For single-pass filtering use -Y.
Running as user "root" and group "root". This could be dangerous.
Capturing on 'ens33'
8 packets dropped
0 packets captured
  • 统计http的状态
[root@adai003 ~]# tshark -n -q -z http,stat, -z http,tree
Running as user "root" and group "root". This could be dangerous.
Capturing on 'nflog'
……

注: 这个命令,直到你ctrl + c 才会显示出结果!

  • tshark 增加时间标签
[root@adai003 ~]# tshark -t ad  

[root@adai003 ~]# tshark -t a   

(adsbygoogle = window.adsbygoogle || []).push({});

本文参与腾讯云自媒体分享计划,欢迎正在阅读的你也加入,一起分享。

我来说两句

0 条评论
登录 后参与评论

相关文章

  • Keepalived+LVS+Nginx+DRBD+Heartbeat+Zabbix集群架构

    大功告成,可以正常使用drbd存储。但是这种方式不高效,所以后期我准备再次增加heartbeat当故障发生时可以完全自动完成主从切换。

    阿dai学长
  • chmod命令、chown命令、chgrp命令、umask命令、chattr命令、lsattr命令

    语法: chgrp [-R] [组名] filename (-R表示级联更改,只针对目录文件)

    阿dai学长
  • 代码管理工具——SVN 原

    版本控制的作用:记录若干文件内容变化,以便将来查阅特定版本修订情况。 版本管理工具发展简史,cvs-->svn-->Git(参考:http://luckypo...

    阿dai学长
  • linux学习第十篇:find命令,文件名后缀

    find命令 find命令用于查找文件系统中的指定文件 其命令格式为   find 要查找的路径 -name  查找文件名  例如   find . -na...

    用户1215343
  • root登陆530 Permission denied、530 Login incorrect解决

    loong576
  • 普通二叉树转换成搜索二叉树

    struct ListNode { int data; ListNode *lchild,*rchild; }; void CreateBST...

    用户1624346
  • 原 树莓派(raspberry)启用roo

    霡霂
  • Centos7下部署两套python版本并存环境的操作记录

    需求说明: centos7.2系统的开发机器上已经自带了python2.7版本,但是开发的项目中用的是python3.5版本,为了保证Centos系统的正常运行...

    洗尽了浮华
  • 在Linux上如何查看Python3自带的帮助文档?

    Tencent JCoder
  • CentOS7.4中Docker以rw方式挂载volume报Permission denied的解决思路

    版权声明:本文为耕耘实录原创文章,各大自媒体平台同步更新。欢迎转载,转载请注明出处,谢谢

    耕耘实录

扫码关注云+社区

领取腾讯云代金券

玩转腾讯云 有奖征文活动