问/proc/sys/net/netfilter/nf_conntrack_count在读取/proc/net/nf_nf时出现极端下降

EN

我有非常繁忙的Web服务器，我想介绍一些分析，看看什么样的流量存在。即，所有连接的总数、等待时间、已建立的连接、udp和tcp连接。

首先，我制作了一个简单的图表--通过以下方式读取/proc/sys/net/netfilter/nf_conntrack_count，只显示连接的总数：

$ cat /proc/sys/net/netfilter/nf_conntrack_count 1994

所有东西都很好地显示在图表中，所以我给它介绍了更多的细节。现在使用类似的命令处理/proc/net/nf_conntrack并将其放置到适当的监视中：

$ grep -c tcp /proc/net/nf_conntrack 1273 $ grep -c udp /proc/net/nf_conntrack 49

对nf_conntrack进行分析，使其每分钟运行一次。最初，所有的东西都被正确地显示出来了，所以我把它放了一天。

第二天，我注意到连接总数(/proc/sys/net/netfilter/nf_conntrack_count)出现了巨大的下降和重弹，这对于Web服务器来说是不正常的，每隔几分钟就会发生一次。经过多次测试和故障排除，我终于找到了神秘背后的原因。

我已经安装了终端watch -n0 "cat /proc/sys/net/netfilter/nf_conntrack_count" (查看几乎实时的连接数)，第二次我只做了cat /proc/net/nf_conntrack，一旦按enter键，nf_conntrack_count从1993年到1411年大幅下降，然后在2-3秒内恢复到“正常”值。尝试使用cp、grep、conntrack -L -p tcp等，每次我运行命令时都会出现这样的情况。

基本上，每次阅读/proc/net/nf_conntrack- -巨大的、暂时的、/proc/sys/net/netfilter/nf_conntrack_count的下降--而监控有时会选择低值(S)并将其表示在图表中。

此外，我注意到cat nf_conntrack和conntrack -L的结果有很大的不同。此外，nf_conntrack中的行数与nf_conntrack_count不同。内核是v4.19.5。在这两个命令中，每件事情都是可见的，分别部署了3秒钟：

[07:30:14] root@web1(~)$ wc -l /proc/net/nf_conntrack; \
                         cat /proc/sys/net/netfilter/nf_conntrack_count
1236 /proc/net/nf_conntrack
1575

[07:30:18] root@web1(~)$ cat /proc/sys/net/netfilter/nf_conntrack_count;\
                             wc -l /proc/net/nf_conntrack
2009
1191 /proc/net/nf_conntrack

我的问题是，这里到底发生了什么，为什么会发生这种情况(下降)，为什么列表中的文件之间存在差异，以及如何防止这种下降？