一、sar命令
sar 是一个系统活动报告工具,既可以实时查看系统的当前活动,又可以配置保存和报告历史统计数据。
安装:
https://www.csdn.net/tags/NtjaAg5sODA0NDUtYmxvZwO0O0OO0O0O.html
1、安装sysstat
apt-get install sysstat
2、安装后无法使用:
Cannot open /var/log/sysstat/sa02: No such file or directory Please check if data collecting is enabled in /etc/default/sysstat
3、修改配置文件:vi /etc/default/sysstat
将False改为True
---- # Should sadc collect system activity informations? Valid values # are "true" and "false". Please do not put other values, they # will be overwritten by debconf! ENABLED="true" ----
4、重启sysstat服务即可
service sysstat restart
使用:
源自《Linux性能优化实战 倪朋飞》
我们在第一个终端中运行 sar 命令,并添加 -n DEV 参数显示网络收发的报告:
| |
| |
| |
| |
| |
| |
|
对于 sar 的输出界面,我先来简单介绍一下,从左往右依次是:
-
第一列:表示报告的时间。
-
第二列:IFACE 表示网卡。
-
第三、四列:rxpck/s 和 txpck/s 分别表示每秒接收、发送的网络帧数,也就是 PPS。
-
第五、六列:rxkB/s 和 txkB/s 分别表示每秒接收、发送的千字节数,也就是 BPS。
-
后面的其他参数基本接近 0,显然跟今天的问题没有直接关系,你可以先忽略掉。
我们具体来看输出的内容,你可以发现:
-
对网卡 eth0 来说,每秒接收的网络帧数比较大,达到了 12607,而发送的网络帧数则比较小,只有 6304;每秒接收的千字节数只有 664 KB,而发送的千字节数更小,只有 358 KB。
-
docker0 和 veth9f6bbcd 的数据跟 eth0 基本一致,只是发送和接收相反,发送的数据较大而接收的数据较小。这是 Linux 内部网桥转发导致的,你暂且不用深究,只要知道这是系统把 eth0 收到的包转发给 Nginx 服务即可。具体工作原理,我会在后面的网络部分详细介绍。
从这些数据,你有没有发现什么异常的地方?
既然怀疑是网络接收中断的问题,我们还是重点来看 eth0 :接收的 PPS 比较大,达到 12607,而接收的 BPS 却很小,只有 664 KB。直观来看网络帧应该都是比较小的,我们稍微计算一下,664*1024/12607 = 54 字节,说明平均每个网络帧只有 54 字节,这显然是很小的网络帧,也就是我们通常所说的小包问题。
二、tcpdump命令
tcpdump 是一个常用的网络抓包工具,常用来分析各种网络问题。
# -i eth0 只抓取 eth0 网卡,-n 不解析协议名和主机名
# tcp port 80 表示只抓取 tcp 协议并且端口号为 80 的网络帧
$ tcpdump -i eth0 -n tcp port 80
15:11:32.678966 IP 192.168.0.2.18238 > 192.168.0.30.80: Flags [S], seq 458303614, win 512, length 0
...