【Linux】【Tool】sar、tcpdump

一、sar命令

sar 是一个系统活动报告工具，既可以实时查看系统的当前活动，又可以配置保存和报告历史统计数据。

安装：

https://www.csdn.net/tags/NtjaAg5sODA0NDUtYmxvZwO0O0OO0O0O.html

1、安装sysstat

apt-get install sysstat

2、安装后无法使用：

Cannot open /var/log/sysstat/sa02: No such file or directory
Please check if data collecting is enabled in /etc/default/sysstat

3、修改配置文件：vi /etc/default/sysstat

将False改为True

----
# Should sadc collect system activity informations? Valid values
# are "true" and "false". Please do not put other values, they
# will be overwritten by debconf!
ENABLED="true"
----

4、重启sysstat服务即可

service sysstat restart

使用：

源自《Linux性能优化实战  倪朋飞》

我们在第一个终端中运行 sar 命令，并添加 -n DEV 参数显示网络收发的报告：

	# -n DEV 表示显示网络收发的报告，间隔 1 秒输出一组数据
	$ sar -n DEV 1
	15:03:46 IFACE rxpck/s txpck/s rxkB/s txkB/s rxcmp/s txcmp/s rxmcst/s %ifutil
	15:03:47 eth0 12607.00 6304.00 664.86 358.11 0.00 0.00 0.00 0.01
	15:03:47 docker0 6302.00 12604.00 270.79 664.66 0.00 0.00 0.00 0.00
	15:03:47 lo 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00
	15:03:47 veth9f6bbcd 6302.00 12604.00 356.95 664.66 0.00 0.00 0.00 0.05

对于 sar 的输出界面，我先来简单介绍一下，从左往右依次是：

• 第一列：表示报告的时间。

• 第二列：IFACE 表示网卡。

• 第三、四列：rxpck/s 和 txpck/s 分别表示每秒接收、发送的网络帧数，也就是 PPS。

• 第五、六列：rxkB/s 和 txkB/s 分别表示每秒接收、发送的千字节数，也就是 BPS。

• 后面的其他参数基本接近 0，显然跟今天的问题没有直接关系，你可以先忽略掉。

我们具体来看输出的内容，你可以发现：

• 对网卡 eth0 来说，每秒接收的网络帧数比较大，达到了 12607，而发送的网络帧数则比较小，只有 6304；每秒接收的千字节数只有 664 KB，而发送的千字节数更小，只有 358 KB。

• docker0 和 veth9f6bbcd 的数据跟 eth0 基本一致，只是发送和接收相反，发送的数据较大而接收的数据较小。这是 Linux 内部网桥转发导致的，你暂且不用深究，只要知道这是系统把 eth0 收到的包转发给 Nginx 服务即可。具体工作原理，我会在后面的网络部分详细介绍。

从这些数据，你有没有发现什么异常的地方？

既然怀疑是网络接收中断的问题，我们还是重点来看 eth0 ：接收的 PPS 比较大，达到 12607，而接收的 BPS 却很小，只有 664 KB。直观来看网络帧应该都是比较小的，我们稍微计算一下，664*1024/12607 = 54 字节，说明平均每个网络帧只有 54 字节，这显然是很小的网络帧，也就是我们通常所说的小包问题。

二、tcpdump命令

tcpdump 是一个常用的网络抓包工具，常用来分析各种网络问题。

# -i eth0 只抓取 eth0 网卡，-n 不解析协议名和主机名
# tcp port 80 表示只抓取 tcp 协议并且端口号为 80 的网络帧
$ tcpdump -i eth0 -n tcp port 80
15:11:32.678966 IP 192.168.0.2.18238 > 192.168.0.30.80: Flags [S], seq 458303614, win 512, length 0
...