查看系统负载 sar命令
sar命令很强大,它可以监控系统所有资源状态。比如,平均负载、网卡流量、磁盘状态、内存使用等。它可以打印历史信息,可以显示当天从零点开始到当前时刻的系统状态信息。如果系统没有这个命令,用 yum install -y sysstat 安装。初次使用sar会报错,那是因为sar工具还没生成相应的数据库文件(时时监控就不会了,因为不用去查询那个库文件)。它的数据库文件在“/var/log/sa/”下。
(1)查看网卡流量 sar -n DEV
[root@localhost ~]# sar -n DEV
Linux 2.6.32-431.23.3.el6.x86_64 (localhost) 05/28/2016 _x86_64_ (1 CPU)
12:00:01 AM IFACE rxpck/s txpck/s rxkB/s txkB/s rxcmp/s txcmp/s rxmcst/s
12:10:01 AM lo 0.00 0.00 0.00 0.00 0.00 0.00 0.00
12:10:01 AM eth0 0.02 0.03 0.00 0.00 0.00 0.00 0.00
12:10:01 AM eth1 0.11 0.09 0.01 0.01 0.00 0.00 0.00
12:20:01 AM lo 0.00 0.00 0.00 0.00 0.00 0.00 0.00
12:20:01 AM eth0 0.02 0.04 0.00 0.00 0.00 0.00 0.00
12:20:01 AM eth1 0.17 0.17 0.01 0.01 0.00 0.00 0.00
12:30:01 AM lo 0.00 0.00 0.00 0.00 0.00 0.00 0.00
12:30:01 AM eth0 0.02 0.05 0.00 0.00 0.00 0.00 0.00
12:30:01 AM eth1 0.09 0.07 0.00 0.00 0.00 0.00 0.00
12:40:01 AM lo 0.00 0.00 0.00 0.00 0.00 0.00 0.00
12:40:01 AM eth0 0.01 0.02 0.00 0.00 0.00 0.00 0.00
12:40:01 AM eth1 0.12 0.10 0.01 0.01 0.00 0.00 0.00
Average: lo 0.00 0.00 0.00 0.00 0.00 0.00 0.00
Average: eth0 0.03 0.04 0.00 0.00 0.00 0.00 0.00
Average: eth1 0.17 0.15 0.01 0.01 0.00 0.00 0.00
信息太多,没有全部贴出来。IFACE这列是设备名称,rxpcks/s表示每秒进入收取的包的数量,txpcks/s表示每秒发送出去的包的数量,rxKB/s表示每秒收取的数据量(单位KByte),txKB/s表示每秒发送的数据量。如果服务器丢包非常严重,那么就应该看看这个网卡流量是否异常,如果rxpcks/s列的数值大于4000,或者rxKB/s列大于5000则很有可能被攻击了,正常服务器网卡流量不会高于这么多,除非在拷贝数据。
时时查看网卡流量:sar -n DEV 1 5
另外也可以查看某一天的网卡流量历史,使用 -f 选项,后面跟文件名。Redhat或CentOS发行版sar的库文件一定是在/var/log/sa/下:
[root@localhost ~]# sar -n DEV -f /var/log/sa/sa27
Linux 2.6.32-431.23.3.el6.x86_64 (localhost) 05/27/2016 _x86_64_ (1 CPU)
12:00:01 AM IFACE rxpck/s txpck/s rxkB/s txkB/s rxcmp/s txcmp/s rxmcst/s
12:10:01 AM lo 0.00 0.00 0.00 0.00 0.00 0.00 0.00
12:10:01 AM eth0 0.02 0.04 0.00 0.00 0.00 0.00 0.00
12:10:01 AM eth1 0.11 0.09 0.01 0.01 0.00 0.00 0.00
12:20:01 AM lo 0.00 0.00 0.00 0.00 0.00 0.00 0.00
11:40:01 PM eth0 0.02 0.04 0.00 0.00 0.00 0.00 0.00
11:40:01 PM eth1 0.11 0.09 0.00 0.01 0.00 0.00 0.00
11:50:01 PM lo 0.00 0.00 0.00 0.00 0.00 0.00 0.00
11:50:01 PM eth0 0.01 0.02 0.00 0.00 0.00 0.00 0.00
11:50:01 PM eth1 0.11 0.09 0.00 0.01 0.00 0.00 0.00
Average: lo 0.00 0.00 0.00 0.00 0.00 0.00 0.00
Average: eth0 0.03 0.04 0.00 0.00 0.00 0.00 0.00
Average: eth1 0.15 0.13 0.01 0.01 0.00 0.00 0.00
ls /var/log/sa/ 会看到两种不同的文件,一个是以sa开头加日期,一个是sar开头加日期,其中sa加日期的文件只能通过sar -f来查看,另外一种sar加日期的文件可以直接cat。
(2)查看历史负载 sar -q
[root@localhost ~]# sar -q
Linux 2.6.32-431.23.3.el6.x86_64 (localhost) 05/28/2016 _x86_64_ (1 CPU)
12:00:01 AM runq-sz plist-sz ldavg-1 ldavg-5 ldavg-15
12:10:01 AM 0 108 0.00 0.00 0.00
12:20:01 AM 0 109 0.00 0.00 0.00
12:30:01 AM 0 108 0.00 0.00 0.00
12:40:01 AM 0 108 0.00 0.00 0.00
12:50:01 AM 0 108 0.00 0.00 0.00
01:00:01 AM 0 108 0.00 0.00 0.00
01:10:01 AM 0 108 0.00 0.00 0.00
http://linuxtools-rst.readthedocs.io/zh_CN/latest/tool/sar.html
评论区