w、uptime檢視系統負載
12:23:32 是系統目前時間12點23分32秒
up 26 min 是登入系統的時間為 26分鐘
1 user 目前登入了1個使用者
load avaerage 系統負載,有三個數字分别表示1分鐘、5分鐘、15分鐘時間段内系統的負載值是多少。數字的含義為:機關時間段内使用cpu的活動程序有多少個。(這個數值為0時說明linux在空跑,沒有任何程序在使用。一般這個值不超過邏輯cpu的數量。檢視cpu數量使用指令cat /proc/cpuinfo)
USER 使用者名
TTY 登入的終端 網絡登入是pts/0,pts/1等,tty直接登入。
FROM 遠端登入的位址
LOGIN@ 登入的時間(什麼時候登入的)
IDLE 使用者空閑時間,使用者執行任何操作後改時間被重置
JCPU 和該終端連結的所有程序占用時間
PCPU 目前程序所占用的時間
WHAT 目前正在運作程序的指令行
備注:
(1)差別與who指令,w指令不僅可以看到登入伺服器的使用者資訊,而且還可以看到這些使用者做了什麼。
(2)who am i 指令,顯示出自己在系統中的使用者名,登入終端,登入時間。
(3)whoami 指令,顯示自己在系統中的使用者名。
(4)logname 指令,可以顯示自己初次登入到系統中的使用者名,主要識别sudo前後情形。
(5)last指令,檢視近一個月使用者登入伺服器的情況。
(6)tty指令,來檢視所連接配接的裝置或終端。
uptime指令顯示的内容和w指令顯示的内容差不多,但是隻顯示了w指令的前半部分内容。
vmstat指令
vmstat 可以檢視伺服器的狀态值,包括伺服器的cpu使用率、記憶體使用,虛拟記憶體交換情況,IO讀寫情況。
vmstat n1 n2 (n1,n2代表數字。n1為多長時間動态顯示一次。n2為顯示的次數。如果沒有n2,那麼它會一直顯示,按ctrl+c結束顯示。單獨的vmstat隻會靜态的顯示一次狀态。)
proc 顯示程序相關資訊
r:run。表示有多少個程序處于run的狀态(正在運作和等待運作的程序)。當這個數字長期大于cpu邏輯個數,那麼說明cpu不夠用了。
b:表示程序被cpu以外的資源(硬碟、網絡等)阻斷,處于等待狀态。程序被阻塞。
memory記憶體相關資訊
swap 切換到交換分區的記憶體量(當記憶體不夠用時,記憶體中的資料會暫時存放在swap中),如果該數字持續變化說明記憶體不夠了
free 表示目前空閑的記憶體量
buff 緩沖大小
cache 緩存大小
swap 記憶體交換相關資訊
si 有多少kb的資料從swap進入到記憶體中。和swap有關,當swap那列在改變時,該列就會跟着改變。
so 有多少kb的資料從記憶體進入到swap中。和swap有關,當swap那列在改變時,該列就會跟着改變。
io 磁盤相關資訊
bi 從磁盤讀出來寫入到記憶體中的資料量(讀磁盤)
bo 從記憶體讀出來寫入到磁盤中的資料量(寫磁盤)
這兩個數值很大的話說明磁盤在頻繁讀寫,當大量資料頻繁讀寫會造成b列(proc中)增加
system 顯示采集間隔内發生的中斷次數
in 表示在某一時間間隔中觀測到的每秒裝置中斷次數
cs 表示每秒産生的上下文切換次數
CPU顯示CPU的使用狀态(us+sy+id=100%)
us 表示使用者級别資源(網站服務、資料庫服務等)占用的cpu的百分比(長時間大于50,說明cpu資源不夠了)
sy 表示系統本身的程序服務占用cpu百分比
id 表示cpu空閑狀态的百分比
wa wait,和b類似,等待使用cpu的百分比(數值過大說明cpu資源不夠用了。)
st 表示被偷走的cpu所占百分比(該數值一般為0)
top指令
top檢視具體程序資源使用情況(每3秒鐘重新整理一次動态的資訊,按q退出。)
-c 具體程序的指令
-bn1 靜态顯示所有程序(常用語shell腳本)
第一行是負載資訊(和w指令檢視出來的内容一緻)
第二行是程序資訊(總的又92個程序,有1個是在run狀态,91個在sleep狀态。0個在停止狀态。0個僵屍程序(僵屍程序為主程序沒有在運作,但是還有子程序在運作))
第三行是CPU的使用資訊
第四行是記憶體使用資訊
第五行是交換區使用資訊
最下面為程序詳細資訊:
PID 程序在系統中的id号,可以配合kill指令來結束程序,程序一旦被殺死就恢複不了了。
RES 表示程序所用的實體記憶體大小(機關kb)
%MEM 表示記憶體使用百分比(機關kb)
%CPU 表示cpu使用百分比
COMMAND 程序的指令
sar指令
sar是linux下系統狀态分析工具,它将指定的作業系統狀态(平均負載、網卡流量、磁盤狀态、記憶體使用等)計數器顯示到标準輸出裝置。它不同于其它系統狀态監控工具的地方在于,它可以列印曆史資訊,可以顯示從零開始到目前時刻的系統狀态資訊。
安裝sar工具,使用指令:yum install -y sysstat
初次運作sar指令可能會報錯,因為sar指令還沒有生成相應的資料庫檔案。其資料庫檔案儲存在/var/log/sa/目錄下,該目錄下存放兩種檔案,分别以sa日期或sar日期的格式命名(sar是第二天生成,sa檔案10分鐘更新一次。sar檔案是直接可以cat的,但是sa檔案需要用sar指令加載。),檔案最多保留一個月。
sar -f filename 從指定檔案提取報告
sar -n DEV n1 n2 檢視網卡流量(n1為多長時間顯示一次,n2為顯示的次數)
rxpck/s 表示接收資料包的個數
txpck/s 表示發送資料包的個數
rxKB/s 表示接收的資料量
txKB/s 表示發送的資料量
注意! 當rxpck/s的值大于4000或者rxKB/s的值大于5000時則可能遭受攻擊(需配合抓包工具進一步确認)!
sar -q 檢視系統負載(配合-f使用,檢視曆史負載)
sar -b檢視磁盤資訊
nload指令
noload監控網卡流量
安裝nload工具需要先安裝epel-release
yum install -y epel-release
yum inttall -y nload
直接運作nload
該界面顯示系統網絡動态資訊,可以使用左右方向件檢視不用網卡的資訊,按q退出。可以根據實時網速和總帶寬比較檢視是否被攻擊。