tcpdump
tcpdump tcp -i eth1 -t -s 0 -c 100 and dst port ! 22 and src net 192.168.1.0/24 -w ./target.cap
(1)tcp: ip icmp arp rarp 和 tcp、udp、icmp这些选项等都要放到第一个参数的位置,用来过滤数据报的类型
(2)-i eth1 : 只抓经过接口eth1的包, -i any表示抓所有接口的
(3)-t : 不显示时间戳
(4)-s 0 : 抓取数据包时默认抓取长度为68字节。加上-S 0 后可以抓到完整的数据包
(5)-c 100 : 只抓取100个数据包
(6)dst port ! 22 : 不抓取目标端口是22的数据包
(7)src net 192.168.1.0/24 : 数据包的源网络地址为192.168.1.0/24
(8)-w ./target.cap : 保存成cap文件,方便用ethereal(即wireshark)分析
抓取某个host发过来和发给它的数据包:
tcpdump -i eth0 'src host 192.168.202.228' or 'dst host 192.168.202.228'
查看某个服务的日志
journalctl -xe -u docker-latest > /tmp/log.out #如docker-latest服务
查看系统负载
vmstat
procs -----------memory---------- ---swap-- -----io---- --system-- -----cpu------
r b swpd free buff cache si so bi bo in cs us sy id wa st
0 0 0 496056 889316 4065748 0 0 9 41 55 51 0 0 99 1 0
procs
procs
r b
0 0
r :运行和等待cpu时间片的进程数,如果长期大于1,说明cpu不足,需要增加cpu。
b :在等待资源的进程数,比如正在等待I/O、或者内存交换等。
memory
-----------memory----------
swpd free buff cache
0 496056 889316 4065748
swpd :切换到内存交换区的内存数量(k表示)。
如果swpd的值不为0,或者比较大,比如超过了100m,只要si、so的值长期为0,系统性能还是正常
free :当前的空闲页面列表中内存数量(k表示)
buff :作为buffer cache的内存数量,一般对块设备的读写才需要缓冲。
cache :作为page cache的内存数量,一般作为文件系统的cache,
如果cache较大,说明用到cache的文件较多,如果此时IO中bi比较小,说明文件系统效率比较好。
swap
---swap--
si so
0 0
si :由内存进入内存交换区数量。
so :由内存交换区进入内存数量。
IO
-----io----
bi bo
9 41
bi :从块设备读入数据的总量(读磁盘)(每秒kb)。
bo :块设备写入数据的总量(写磁盘)(每秒kb)
这里我们设置的bi+bo参考值为1000,如果超过1000,而且wa值较大应该考虑均衡磁盘负载,可以结合iostat输出来分析。
system 显示采集间隔内发生的中断数
--system--
in cs
55 51
in :在某一时间间隔中观测到的每秒设备中断数。
cs :每秒产生的上下文切换次数,如当 cs 比磁盘 I/O 和网络信息包速率高得多,都应进行进一步调查。
cpu 表示cpu的使用状态
-----cpu------
cs us sy id wa st
51 0 0 99 1 0
us :用户方式下所花费 CPU 时间的百分比。us的值比较高时,说明用户进程消耗的cpu时间多,但是如果长期大于50%,需要考虑优化用户的程序。
sy :内核进程所花费的cpu时间的百分比。这里us + sy的参考值为80%,如果us+sy 大于 80%说明可能存在CPU不足。
wa :IO等待所占用的CPU时间的百分比。这里wa的参考值为30%,如果wa超过30%,说明IO等待严重,
这可能是磁盘大量随机访问造成的,也可能磁盘或者磁盘访问控制器的带宽瓶颈造成的(主要是块操作)。
id :cpu处在空闲状态的时间百分比
1587
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
