快上网专注成都网站设计 成都网站制作 成都网站建设
成都网站建设公司服务热线:028-86922220

网站建设知识

十年网站开发经验 + 多家企业客户 + 靠谱的建站团队

量身定制 + 运营维护+专业推广+无忧售后,网站问题一站解决

linuxsa命令 linux sar命令详解

如何查看linux系统警告日志

一、/var目录

成都创新互联公司是一家专注于成都网站设计、网站建设与策划设计,肥西网站建设哪家好?成都创新互联公司做网站,专注于网站建设十多年,网设计领域的专业建站公司;建站业务涵盖:肥西等地区。肥西做网站价格咨询:13518219792

/var 所有服务的登录的文件或错误信息文件(LOG FILES)都在/var/log下,此外,一些数据库如MySQL则在/var/lib下,还有,用户未读的邮件的默认存放地点为/var/spool/mail

二、:/var/log/

系统的引导日志:/var/log/boot.log

例如:Feb 26 10:40:48 sendmial : sendmail startup succeeded

就是邮件服务启动成功!

系统日志一般都存在/var/log下

常用的系统日志如下:

核心启动日志:/var/log/dmesg

系统报错日志:/var/log/messages

邮件系统日志:/var/log/maillog

FTP系统日志:/var/log/xferlog

安全信息和系统登录与网络连接的信息:/var/log/secure

登录记录:/var/log/wtmp 记录登录者讯录,二进制文件,须用last来读取内容 who -u /var/log/wtmp 查看信息

News日志:/var/log/spooler

RPM软件包:/var/log/rpmpkgs

XFree86日志:/var/log/XFree86.0.log

引导日志:/var/log/boot.log 记录开机启动讯息,dmesg | more

cron(定制任务日志)日志:/var/log/cron

安全信息和系统登录与网络连接的信息:/var/log/secure

文件 /var/run/utmp 记录著现在登入的用户。

文件 /var/log/wtmp 记录所有的登入和登出。

文件 /var/log/lastlog 记录每个用户最後的登入信息。

文件 /var/log/btmp 记录错误的登入尝试。

less /var/log/auth.log 需要身份确认的操作

三、部分命令详解

/var/log/messages

messages 日志是核心系统日志文件。它包含了系统启动时的引导消息,以及系统运行时的其他状态消息。IO 错误、网络错误和其他系统错误都会记录到这个文件中。其他信息,比如某个人的身份切换为 root,也在这里列出。如果服务正在运行,比如 DHCP 服务器,您可以在 messages 文件中观察它的活动。通常,/var/log/messages 是您在做故障诊断时首先要查看的文件。

/var/log/XFree86.0.log

这个日志记录的是 Xfree86 Xwindows 服务器最后一次执行的结果。如果您在启动到图形模式时遇到了问题,一般情况从这个文件中会找到失败的原因。

成 功地管理任何系统的关键之一,是要知道系统中正在发生什么事。Linux 中提供了异常日志,并且日志的细节是可配置的。Linux 日志都以明文形式存储,所以用户不需要特殊的工具就可以搜索和阅读它们。还可以编写脚本,来扫描这些日志,并基于它们的内容去自动执行某些功能。 Linux 日志存储在 /var/log 目录中。这里有几个由系统维护的日志文件,但其他服务和程序也可能会把它们的日志放在这里。大多数日志只有root账户才可以读,不过修改文件的访问权限 就可以让其他人可读。

日志文件分类

/var/log/boot.log

该文件记录了系统在引导过程中发生的事件,就是Linux系统开机自检过程显示的信息。

/var/log/cron

该 日志文件记录crontab守护进程crond所派生的子进程的动作,前面加上用 户、登录时间和PID,以及派生出的进程的动作。CMD的一个动作是cron派生出一个调度进程的常见情况。REPLACE(替换)动作记录用户对它的 cron文件的更新,该文件列出了要周期性执行的任务调度。 RELOAD动作在REPLACE动作后不久发生,这意味着cron注意到一个用户的cron文件被更新而cron需要把它重新装入内存。该文件可能会查 到一些反常的情况。

/var/log/maillog

该日志文件记录了每一个发送到系统或从系统发出的电子邮件的活动。它可以用来查看用户使用哪个系统发送工具或把数据发送到哪个系统。下面是该日志文件的片段:

Sep 4 17:23:52 UNIX sendmail[1950]: g849Npp01950: from=root, size=25,

class=0, nrcpts=1,

msgid=200209040923.g849Npp01950@redhat.pfcc.com.cn,

relay=root@localhost

Sep 4 17:23:55 UNIX sendmail[1950]: g849Npp01950: to=lzy@fcceec.net,

ctladdr=root (0/0), delay=00:00:04, xdelay=00:00:03, mailer=esmtp, pri=30025,

relay=fcceec.net. [10.152.8.2], dsn=2.0.0, stat=Sent (Message queued)

/var/log/messages

该日志文件是许多进程日志文件的汇总,从该文件可以看出任何入侵企图或成功的入侵。如以下几行:

Sep 3 08:30:17 UNIX login[1275]: FAILED LOGIN 2 FROM (null) FOR suying,

Authentication failure

Sep 4 17:40:28 UNIX -- suying[2017]: LOGIN ON pts/1 BY suying FROM

fcceec.

Sep 4 17:40:39 UNIX su(pam_unix)[2048]: session opened for user root by suying(uid=999)

该 文件的格式是每一行包含日期、主机名、程序名,后面是包含PID或内核标识的方括 号、一个冒号和一个空格,最后是消息。该文件有一个不足,就是被记录的入侵企图和成功的入侵事件,被淹没在大量的正常进程的记录中。但该文件可以由 /etc/syslog文件进行定制。由 /etc/syslog.conf配置文件决定系统如何写入/var/messages。有关如何配置/etc/syslog.conf文件决定系统日志 记录的行为,将在后面详细叙述。

/var/log/syslog

默 认RedHat Linux不生成该日志文件,但可以配置/etc/syslog.conf让系统生成该日志文件。它和/etc/log/messages日志文件不同, 它只记录警告信息,常常是系统出问题的信息,所以更应该关注该文件。要让系统生成该日志文件,在/etc/syslog.conf文件中加上: *.warning /var/log/syslog 该日志文件能记录当用户登录时login记录下的错误口令、Sendmail的问题、su命令执行失败等信息。下面是一条记录:

Sep 6 16:47:52 UNIX login(pam_unix)[2384]: check pass; user unknown

/var/log/secure

该日志文件记录与安全相关的信息。该日志文件的部分内容如下:

Sep 4 16:05:09 UNIX xinetd[711]: START: ftp pid=1815 from=127.0.0.1

Sep 4 16:05:09 UNIX xinetd[1815]: USERID: ftp OTHER :root

Sep 4 16:07:24 UNIX xinetd[711]: EXIT: ftp pid=1815 duration=135(sec)

Sep 4 16:10:05 UNIX xinetd[711]: START: ftp pid=1846 from=127.0.0.1

Sep 4 16:10:05 UNIX xinetd[1846]: USERID: ftp OTHER :root

Sep 4 16:16:26 UNIX xinetd[711]: EXIT: ftp pid=1846 duration=381(sec)

Sep 4 17:40:20 UNIX xinetd[711]: START: telnet pid=2016 from=10.152.8.2

/var/log/lastlog

该 日志文件记录最近成功登录的事件和最后一次不成功的登录事件,由login生成。 在每次用户登录时被查询,该文件是二进制文件,需要使用 lastlog命令查看,根据UID排序显示登录名、端口号和上次登录时间。如果某用户从来没有登录过,就显示为"**Never logged in**"。该命令只能以root权限执行。简单地输入lastlog命令后就会看到类似如下的信息:

Username Port From Latest

root tty2 Tue Sep 3 08:32:27 +0800 2002

bin **Never logged in**

daemon **Never logged in**

adm **Never logged in**

lp **Never logged in**

sync **Never logged in**

shutdown **Never logged in**

halt **Never logged in**

mail **Never logged in**

news **Never logged in**

uucp **Never logged in**

operator **Never logged in**

games **Never logged in**

gopher **Never logged in**

ftp ftp UNIX Tue Sep 3 14:49:04 +0800 2002

nobody **Never logged in**

nscd **Never logged in**

mailnull **Never logged in**

ident **Never logged in**

rpc **Never logged in**

rpcuser **Never logged in**

xfs **Never logged in**

gdm **Never logged in**

postgres **Never logged in**

apache **Never logged in**

lzy tty2 Mon Jul 15 08:50:37 +0800 2002

suying tty2 Tue Sep 3 08:31:17 +0800 2002

系统账户诸如bin、daemon、adm、uucp、mail等决不应该登录,如果发现这些账户已经登录,就说明系统可能已经被入侵了。若发现记录的时间不是用户上次登录的时间,则说明该用户的账户已经泄密了。

/var/log/wtmp

该 日志文件永久记录每个用户登录、注销及系统的启动、停机的事件。因此随着系统正常 运行时间的增加,该文件的大小也会越来越大,增加的速度取决于系统用户登录的次数。该日志文件可以用来查看用户的登录记录,last命令就通过访问这个文 件获得这些信息,并以反序从后向前显示用户的登录记录,last也能根据用户、终端 tty或时间显示相应的记录。

命令last有两个可选参数:

last -u 用户名 显示用户上次登录的情况。

last -t 天数 显示指定天数之前的用户登录情况。

/var/run/utmp

该 日志文件记录有关当前登录的每个用户的信息。因此这个文件会随着用户登录和注销系 统而不断变化,它只保留当时联机的用户记录,不会为用户保留永久的记录。系统中需要查询当前用户状态的程序,如 who、w、users、finger等就需要访问这个文件。该日志文件并不能包括所有精确的信息,因为某些突发错误会终止用户登录会话,而系统没有及时 更新 utmp记录,因此该日志文件的记录不是百分之百值得信赖的。

以 上提及的3个文件(/var/log/wtmp、/var/run/utmp、 /var/log/lastlog)是日志子系统的关键文件,都记录了用户登录的情况。这些文件的所有记录都包含了时间戳。这些文件是按二进制保存的,故 不能用less、cat之类的命令直接查看这些文件,而是需要使用相关命令通过这些文件而查看。其中,utmp和wtmp文件的数据结构是一样的,而 lastlog文件则使用另外的数据结构,关于它们的具体的数据结构可以使用man命令查询。

每 次有一个用户登录时,login程序在文件lastlog中查看用户的UID。如果存在,则把用户上次登录、注销时间和主机名写到标准输出中,然后 login程序在lastlog中记录新的登录时间,打开utmp文件并插入用户的utmp记录。该记录一直用到用户登录退出时删除。utmp文件被各种 命令使用,包括who、w、users和finger。

下一步,login程序打开文件wtmp附加用户的utmp记录。当用户登录退出时,具有更新时间戳的同一utmp记录附加到文件中。wtmp文件被程序last使用。

/var/log/xferlog

该日志文件记录FTP会话,可以显示出用户向FTP服务器或从服务器拷贝了什么文件。该文件会显示用户拷贝到服务器上的用来入侵服务器的恶意程序,以及该用户拷贝了哪些文件供他使用。

该 文件的格式为:第一个域是日期和时间,第二个域是下载文件所花费的秒数、远程系统 名称、文件大小、本地路径名、传输类型(a:ASCII,b:二进制)、与压缩相关的标志或tar,或"_"(如果没有压缩的话)、传输方向(相对于服务 器而言:i代表进,o代表出)、访问模式(a:匿名,g:输入口令,r:真实用户)、用户名、服务名(通常是ftp)、认证方法(l:RFC931,或 0),认证用户的ID或"*"。下面是该文件的一条记录:

Wed Sep 4 08:14:03 2002 1 UNIX 275531

/var/ftp/lib/libnss_files-2.2.2.so b _ o a -root@UNIX ftp 0 * c

/var/log/kernlog

RedHat Linux默认没有记录该日志文件。要启用该日志文件,必须在/etc/syslog.conf文件中添加一行:kern.* /var/log/kernlog 。这样就启用了向/var/log/kernlog文件中记录所有内核消息的功能。该文件记录了系统启动时加载设备或使用设备的情况。一般是正常的操作, 但如果记录了没有授权的用户进行的这些操作,就要注意,因为有可能这就是恶意用户的行为。下面是该文件的部分内容:

Sep 5 09:38:42 UNIX kernel: NET4: Linux TCP/IP 1.0 for NET4.0

Sep 5 09:38:42 UNIX kernel: IP Protocols: ICMP, UDP, TCP, IGMP

Sep 5 09:38:42 UNIX kernel: IP: routing cache hash table of 512 buckets, 4Kbytes

Sep 5 09:38:43 UNIX kernel: TCP: Hash tables configured (established 4096 bind 4096)

Sep 5 09:38:43 UNIX kernel: Linux IP multicast router 0.06 plus PIM-SM

Sep 5 09:38:43 UNIX kernel: NET4: Unix domain sockets 1.0/SMP for Linux NET4.0.

Sep 5 09:38:44 UNIX kernel: EXT2-fs warning: checktime reached, running e2fsck is recommended

Sep 5 09:38:44 UNIX kernel: VFS: Mounted root (ext2 filesystem).

Sep 5 09:38:44 UNIX kernel: SCSI subsystem driver Revision: 1.00

/var/log/Xfree86.x.log

该 日志文件记录了X-Window启动的情况。另外,除了/var/log/外,恶 意用户也可能在别的地方留下痕迹,应该注意以下几个地方:root 和其他账户的shell历史文件;用户的各种邮箱,如.sent、mbox,以及存放在/var/spool/mail/ 和 /var/spool/mqueue中的邮箱;临时文件/tmp、/usr/tmp、/var/tmp;隐藏的目录;其他恶意用户创建的文件,通常是以 "."开头的具有隐藏属性的文件等。

四、具体命令

wtmp和utmp文件都是二进制文件,它们不能被诸如tail之类的命令剪贴或合并(使用cat命令)。用户需要使用who、w、users、last和ac等命令来使用这两个文件包含的信息。

who命令

who命令查询utmp文件并报告当前登录的每个用户。who的默认输出包括用户名、终端类型、登录日期及远程主机。例如,键入who命令,然后按回车键,将显示如下内容:

chyang pts/0 Aug 18 15:06

ynguo pts/2 Aug 18 15:32

ynguo pts/3 Aug 18 13:55

lewis pts/4 Aug 18 13:35

ynguo pts/7 Aug 18 14:12

ylou pts/8 Aug 18 14:15

如果指明了wtmp文件名,则who命令查询所有以前的记录。命令who /var/log/wtmp将报告自从wtmp文件创建或删改以来的每一次登录。

w命令

w命令查询utmp文件并显示当前系统中每个用户和它所运行的进程信息。例如,键入w命令,然后按回车键,将显示如下内容:

3:36pm up 1 day, 22:34, 6 users, load average: 0.23, 0.29, 0.27

USER TTY FROM LOGIN@ IDLE JCPU PCPU WHAT

chyang pts/0 202.38.68.242 3:06pm 2:04 0.08s 0.04s -bash

ynguo pts/2 202.38.79.47 3:32pm 0.00s 0.14s 0.05 w

lewis pts/3 202.38.64.233 1:55pm 30:39 0.27s 0.22s -bash

lewis pts/4 202.38.64.233 1:35pm 6.00s 4.03s 0.01s sh /home/users/

ynguo pts/7 simba.nic.ustc.e 2:12pm 0.00s 0.47s 0.24s telnet mail

ylou pts/8 202.38.64.235 2:15pm 1:09m 0.10s 0.04s -bash

users命令

users命令用单独的一行打印出当前登录的用户,每个显示的用户名对应一个登录会话。如果一个用户有不止一个登录会话,那他的用户名将显示相同的次数。例如,键入users命令,然后按回车键,将显示如下内容:

chyang lewis lewis ylou ynguo ynguo

last命令

last命令往回搜索wtmp来显示自从文件第一次创建以来登录过的用户。例如:

chyang pts/9 202.38.68.242 Tue Aug 1 08:34 - 11:23 (02:49)

cfan pts/6 202.38.64.224 Tue Aug 1 08:33 - 08:48 (00:14)

chyang pts/4 202.38.68.242 Tue Aug 1 08:32 - 12:13 (03:40)

lewis pts/3 202.38.64.233 Tue Aug 1 08:06 - 11:09 (03:03)

lewis pts/2 202.38.64.233 Tue Aug 1 07:56 - 11:09 (03:12)

如果指明了用户,那么last只报告该用户的近期活动,例如,键入last ynguo命令,然后按回车键,将显示如下内容:

ynguo pts/4 simba.nic.ustc.e Fri Aug 4 16:50 - 08:20 (15:30)

ynguo pts/4 simba.nic.ustc.e Thu Aug 3 23:55 - 04:40 (04:44)

ynguo pts/11 simba.nic.ustc.e Thu Aug 3 20:45 - 22:02 (01:16)

ynguo pts/0 simba.nic.ustc.e Thu Aug 3 03:17 - 05:42 (02:25)

ynguo pts/0 simba.nic.ustc.e Wed Aug 2 01:04 - 03:16 1+02:12)

ynguo pts/0 simba.nic.ustc.e Wed Aug 2 00:43 - 00:54 (00:11)

ynguo pts/9 simba.nic.ustc.e Thu Aug 1 20:30 - 21:26 (00:55)

ac命令

ac命令根据当前的/var/log/wtmp文件中的登录进入和退出来报告用户连接的时间(小时),如果不使用标志,则报告总的时间。例如,键入ac命令,然后按回车键,将显示如下内容:

total 5177.47

键入ac -d命令,然后按回车键,将显示每天的总的连接时间:

Aug 12 total 261.87

Aug 13 total 351.39

Aug 14 total 396.09

Aug 15 total 462.63

Aug 16 total 270.45

Aug 17 total 104.29

Today total 179.02

键入ac -p命令,然后按回车键,将显示每个用户的总的连接时间:

ynguo 193.23

yucao 3.35

rong 133.40

hdai 10.52

zjzhu 52.87

zqzhou 13.14

liangliu 24.34

total 5178.24

lastlog命令

lastlog 文件在每次有用户登录时被查询。可以使用lastlog命令检查某特 定用户上次登录的时间,并格式化输出上次登录日志 /var/log/lastlog的内容。它根据UID排序显示登录名、端口号(tty)和上次登录时间。如果一个用户从未登录过,lastlog显示 **Never logged**。注意需要以root身份运行该命令,例如:

rong 5 202.38.64.187 Fri Aug 18 15:57:01 +0800 2000

dbb **Never logged in**

xinchen **Never logged in**

pb9511 **Never logged in**

xchen 0 202.38.64.190 Sun Aug 13 10:01:22 +0800 2000

另外,可加一些参数,例如,"last -u 102"命令将报告UID为102的用户;"last -t 7"命令表示限制为上一周的报告。

五、进程统计

UNIX 可以跟踪每个用户运行的每条命令,如果想知道昨晚弄乱了哪些重要的文件,进 程统计子系统可以告诉你。它还对跟踪一个侵入者有帮助。与连接时间日志不同,进程统计子系统默认不激活,它必须启动。在Linux系统中启动进程统计使用 accton命令,必须用root身份来运行。

accton命令的形式为:accton file,file必须事先存在。

先使用touch命令创建pacct文件:touch /var/log/pacct,然后运行accton:accton /var/log/pacct。一旦accton被激活,就可以使用lastcomm命令监测系统中任何时候执行的命令。若要关闭统计,可以使用不带任何 参数的accton命令。

lastcomm命令报告以前执行的文件。不带参数时,lastcomm命令显示当前统计文件生命周期内记录的所有命令的有关信息。包括命令名、用户、tty、命令花费的CPU时间和一个时间戳。如果系统有许多用户,输入则可能很长。看下面的例子:

crond F root ?? 0.00 secs Sun Aug 20 00:16

promisc_check.s S root ?? 0.04 secs Sun Aug 20 00:16

promisc_check root ?? 0.01 secs Sun Aug 20 00:16

grep root ?? 0.02 secs Sun Aug 20 00:16

tail root ?? 0.01 secs Sun Aug 20 00:16

sh root ?? 0.01 secs Sun Aug 20 00:15

ping S root ?? 0.01 secs Sun Aug 20 00:15

ping6.pl F root ?? 0.01 secs Sun Aug 20 00:15

sh root ?? 0.01 secs Sun Aug 20 00:15

ping S root ?? 0.02 secs Sun Aug 20 00:15

ping6.pl F root ?? 0.02 secs Sun Aug 20 00:15

sh root ?? 0.02 secs Sun Aug 20 00:15

ping S root ?? 0.00 secs Sun Aug 20 00:15

ping6.pl F root ?? 0.01 secs Sun Aug 20 00:15

sh root ?? 0.01 secs Sun Aug 20 00:15

ping S root ?? 0.01 secs Sun Aug 20 00:15

sh root ?? 0.02 secs Sun Aug 20 00:15

ping S root ?? 1.34 secs Sun Aug 20 00:15

locate root ttyp0 1.34 secs Sun Aug 20 00:15

accton S root ttyp0 0.00 secs Sun Aug 20 00:15

进程统计的一个问题是pacct文件可能增长得十分迅速。这时需要交互式地或经过 cron机制运行sa命令来保证日志数据在系统控制内。sa命令报告、清理并维护进程统计文件。它能把/var/log/pacct中的信息压缩到摘要文 件/var/log/savacct和 /var/log/usracct中。这些摘要包含按命令名和用户名分类的系统统计数据。在默认情况下sa先读它们,然后读pacct文件,使报告能包含 所有的可用信息。sa的输出有下面一些标记项。

/var/log目录下的20个Linux日志文件功能详解 :

如果愿意在Linux环境方面花费些时间,首先就应该知道日志文件的所在位置以及它们包含的内容。在系统运行正常的情况下学习了解这些不同的日志文件有助于你在遇到紧急情况时从容找出问题并加以解决。

以下介绍的是20个位于/var/log/ 目录之下的日志文件。其中一些只有特定版本采用,如dpkg.log只能在基于Debian的系统中看到。

/var/log/messages — 包括整体系统信息,其中也包含系统启动期间的日志。此外,mail,cron,daemon,kern和auth等内容也记录在var/log/messages日志中。

/var/log/dmesg — 包含内核缓冲信息(kernel ring buffer)。在系统启动时,会在屏幕上显示许多与硬件有关的信息。可以用dmesg查看它们。

/var/log/auth.log — 包含系统授权信息,包括用户登录和使用的权限机制等。

/var/log/boot.log — 包含系统启动时的日志。

/var/log/daemon.log — 包含各种系统后台守护进程日志信息。

/var/log/dpkg.log – 包括安装或dpkg命令清除软件包的日志。

/var/log/kern.log – 包含内核产生的日志,有助于在定制内核时解决问题。

/var/log/lastlog — 记录所有用户的最近信息。这不是一个ASCII文件,因此需要用lastlog命令查看内容。

/var/log/maillog /var/log/mail.log — 包含来着系统运行电子邮件服务器的日志信息。例如,sendmail日志信息就全部送到这个文件中。

/var/log/user.log — 记录所有等级用户信息的日志。

/var/log/Xorg.x.log — 来自X的日志信息。

/var/log/alternatives.log – 更新替代信息都记录在这个文件中。

/var/log/btmp – 记录所有失败登录信息。使用last命令可以查看btmp文件。例如,”last -f /var/log/btmp | more“。

/var/log/cups — 涉及所有打印信息的日志。

/var/log/anaconda.log — 在安装Linux时,所有安装信息都储存在这个文件中。

/var/log/yum.log — 包含使用yum安装的软件包信息。

/var/log/cron — 每当cron进程开始一个工作时,就会将相关信息记录在这个文件中。

/var/log/secure — 包含验证和授权方面信息。例如,sshd会将所有信息记录(其中包括失败登录)在这里。

/var/log/wtmp或/var/log/utmp — 包含登录信息。使用wtmp可以找出谁正在登陆进入系统,谁使用命令显示这个文件或信息等。

/var/log/faillog – 包含用户登录失败信息。此外,错误登录命令也会记录在本文件中。

除了上述Log文件以外, /var/log还基于系统的具体应用包含以下一些子目录:

/var/log/httpd/或/var/log/apache2 — 包含服务器access_log和error_log信息。

/var/log/lighttpd/ — 包含light HTTPD的access_log和error_log。

/var/log/mail/ – 这个子目录包含邮件服务器的额外日志。

/var/log/prelink/ — 包含.so文件被prelink修改的信息。

/var/log/audit/ — 包含被 Linux audit daemon储存的信息。

/var/log/samba/ – 包含由samba存储的信息。

/var/log/sa/ — 包含每日由sysstat软件包收集的sar文件。

/var/log/sssd/ – 用于守护进程安全服务。

除了手动存档和清除这些日志文件以外,还可以使用logrotate在文件达到一定大小后自动删除。可以尝试用vi,tail,grep和less等命令查看这些日志文件。

ls和sa是什么意思

ls是Linux下最常用的指令之一,也是一条非常古老的命令,它最早可追述到Unix系统,甚至更古老的Multics下相同的命令。

计算机一直是一个很复杂的机器,其中的硬件是由许许多多繁琐的操作系统来控制,其中就包括了Linux操作系统,接下来就和我一起来认识一下Linux操作系统中的“ls”吧。

详细内容

01

一般情况下,ls命令将每个由Directory参数指定的目录或者每个由File参数指定的名称写到标准输出,以及所要求的和标志一起的其它信息,如果不指定File或Directory参数,ls命令显示当前目录的内容。

02

Linux是一款免费的操作系统,是一个性能稳定的多用户网络操作系统,用户可以通过网络或其他途径免费获得,并可以任意修改其源代码,是一种开源电脑操作系统内核,是一个用C语言写成,符合POSIX标准的类Unix操作系统。

03

但人们也已经习惯了用Linux来形容整个基于Linux内核,并且使用GNU工程各种工具和数据库的操作系统。

04

Linux操作系统诞生于1991年10月5日(这是第一次正式向外公布时间),Linux存在着许多不同的Linux版本,但它们都使用了Linux内核。

05

Linux可安装在各种计算机硬件设备中,比如手机、平板电脑、路由器、视频游戏控制台、台式计算机、大型机和超级计算机。

sar命令查看历史数据

前言

有的时候,我们要通过对系统的cpu负载等性能数值的查看,来判排查系统产生某种故障(经常死机或者运行速度突然变慢)的原因。但是,简单的top,uptime,w等命令只可以查看当前的负载,而无法查看过去的某一时间段的cpu的负载情况。

下面就介绍一个用于性能分析的命令,其可以用于查看过去的某一时间段的cpu的负载情况(系统性能)。

查看某一时间段的cpu使用情况,请直接跳到第七节。

一、sar概念

sysstat是Linux 系统中的常用工具包,而sar 是 Linux中sysstat工具包中的用于监控Linux系统性能的工具之一。

sysstat 工具包中包含两种类型的工具:即时查看工具(iostat、mpstat、sar);累计统计工具(sar)

因此sar命令,又叫做系统活动情况报告。不仅可以实时查看服务器的性能,还可以做累计统计。

二、sar可监控的范围

文件的读写情况

系统调用的使用情况

磁盘I/O使用情况

CPU的使用统计

内存使用状况

进程活动

IPC有关的活动

三、sar命令使用环境

sar命令使用格式:

sar+ 命令行选项(可选) + 间隔时间(可选) + 次数(可选)

常用来判断一个系统瓶颈问题

查询CPU可用 sar -u 和 sar -q 等来查看查询内存可用 sar -B、sar -r 和 sar -W 等来查看查询io可用 sar -b、sar -u 和 sar -d 等来查看

四、sar命令累计统计的实现过程

系统会通过调用 /usr/lib64/sa/ 中的三个工具(sa1 sa2 sadc)来实现,周期地记录当时的系统性能的信息的功能。

sa1 :收集并将每天的系统性能的信息写入一个二进制的文件中,它是sadc的前端程序

sa2 :收集每天的系统活跃的信息并写入总结性的文件中,其作为 sar的前端程序

sadc :收集系统的动态数据的数据并写入一个二进制的文件中,其作为 sar 工具的后端

五、sar的日志

sar是由有类似日志切割的功能的,它会依据/etc/cron.d/sysstat中的计划任务,将日志放入/var/log/sa/中

注:日志为二进制文件,不可使用more、less、vim工具查看,必须使用sar或sadf

可以根据需求修改该计划任务

如要查看某一时间段的服务器的性能的其中一个方法就是:使用sar命令,查看当天的日志文件

sar -f /var/log/sa/sa15

[root@    lib64]#sar-f/var/log/sa/sa15Linux3.10.0-327.el7.x86_64(ops-node7)07/15/2018_x86_64_(24CPU)12:00:01AMCPU%user%nice%system%iowait%steal%idle12:10:01AMall1.350.000.850.120.0097.6712:20:01AMall1.320.000.860.110.0097.7112:30:02AMall1.370.000.870.110.0097.6512:40:01AMall1.320.000.910.110.0097.6612:50:01AMall1.350.000.890.110.0097.6501:00:01AMall1.360.000.870.110.0097.6601:10:01AMall1.360.000.850.110.0097.6801:20:01AMall1.350.000.890.100.0097.6601:30:01AMall1.320.000.890.110.0097.6801:40:01AMall1.290.000.950.110.0097.6501:50:01AMall1.350.000.880.120.0097.6402:00:01AMall1.340.000.880.110.0097.6802:10:01AMall1.330.000.900.110.0097.6502:20:01AMall1.360.000.870.120.0097.6502:30:01AMall1.350.000.850.120.0097.6802:40:01AMall1.410.000.920.120.0097.5602:50:01AMall1.570.000.950.130.0097.3503:00:01AMall4.210.000.810.160.0094.8103:10:01AMall2.500.000.870.130.0096.5003:20:01AMall1.370.000.870.120.0097.6503:30:01AMall1.360.000.950.130.0097.5603:40:01AMall1.480.000.970.240.0097.3003:50:01AMall1.350.010.910.130.0097.6004:00:01AMall1.390.000.950.190.0097.4704:10:01AMall1.360.000.990.130.0097.52

注意:

sar查看性能或其日志时,使用的12/24小时制;日志的切割是昨天晚上12点到今天12点为一天;默认只保留一个月的日志

六、sar命令参数及输出项详解

【1】格式

用法:sar + 选项 + 时间间隔(可选) + 次数 (可选)

interval: 取样周期,单位是秒count:取样次数,默认值为1options:命令行选项

【2】常用选项

-A          所有报告的总和-B          输出内存页面的统计信息-b          输出I/O和传送速率的统计信息-C          输出进程统计信息及每秒创建的进程数-d          输出每一个块设备的活动信息-H          输出交换空间利用率信息-h          输出帮助信息-p          输出友好设备名字,以方便查看,常与-d和-n参数结合使用-q          输出进程队列长度和系统平均负载状态统计信息-R          输出内存页面的统计信息-r          输出内存和交换空间的统计信息-S          输出交换空间利用率信息-t          读取 /var/log/sa/下的某日志的数据时显示其中记录的原始时间-u          输出整体CPU使用情况的统计信息-V          输出版本信息-v          输出内核表状况统计信息(inode、文件和其他内核表的统计信息)-W          输出系统交换的统计信息-w          输出任务创建与系统转换统计信息-y          输出终端设备的活动信息-----------I          输出指定中断的统计信息,后方可加参数{...|SUM|ALL|XALL}  ...          指定中断号SUM          指定输出每秒接收到的中断总数ALL          指定输出前16个中断XALL        指定输出全部的中断信息-----------P          输出指定的部分的CPU的统计信息,后方可加参数{cpu|ALL}cpu          指定cpuALL          输出单个和整体cpu的统计数据-----------n          输出网络设备(网卡)状态统计信息,后方可加参数{DEV|EDEV|NFS|NFSD|SOCK|ALL}    DEV          输出网络设备的统计信息EDEV        输出网络设备的错误统计信息NFS          输出NFS客户端的活动统计信息NFSD        输出NFS服务器的活动统计信息SOCK        输出网络套接字的使用统计信息ALL          输出所有类型的网络活动统计信息-----------f          从文件中读取数据信息。一般读取sar日志,也可读取-o选项生成的文件,后方要加文件名-o          将sar的输出信息保存到文件中,后方要加文件名-i          指定间隔时长,单位为秒-s          指定输出统计数据的起始时间(格式为hh:mm:ss;例如01:00:00)  -e          指定输出统计数据的截至时间,通常与-S选项连用。无数值时默认为18:00:00(格式为hh:mm:ss;例如09:00:00)

【3】输出项

1cpu的输出

sar -u

%usr              CPU在用户模式下,执行进程的时间百分比 %nice              CPU在用户模式下,用于nice操作,所占用CPU总时间的百分比 %system            CPU处在系统模式(内核态)下,执行进程的时间百分比 %iowait            CPU用于等待I/O操作完成(等待输入输出完成),占用CPU总时间的百分比 %steal            管理程序为另一个虚拟进程提供服务而等待虚拟CPU的百分比%idle              CPU空闲时间百分比

注意:

如果%iowait的值过高,表示硬盘存在I/O瓶颈 如果%idle值高,表示CPU较空闲如果%idle 的值高但系统响应慢时,有可能是 CPU 等待分配内存,此时应加大内存容量 如果%idle 的值持续低于10,则系统的 CPU 处理能力相对较低,表明系统中最需要解决的资源是 CPU

2I/O和传送速率输出

sar -b

tps                每秒向磁盘设备请求数据的次数,包括读、写请求,其为rtps与wtps的和。每一次IO下发后会先将多个请求合并为一个I/O磁盘请求,这里tps指请求合并后的请求计数rtps              每秒向磁盘设备的读请求次数 wtps              每秒向磁盘设备的写请求次数 bread/s            每秒钟从物理设备读入的数据量,单位为 块/s bwrtn/s            每秒钟向物理设备写入的数据量,单位为 块/s

3设备使用情况输出

sar -d

DEV                磁盘设备,加上用参数-p可以打印出sda等磁盘设备名称;如不加参数-p,设备则显示为dev253-0等tps                每秒向磁盘设备请求数据的次数,包括读、写请求,其为rtps与wtps的和。每一次IO下发后会先将多个请求合并为一个I/O磁盘请求,这里tps指请求合并后的请求计数rd_sec/s          每秒读扇区的次数wr_sec/s          每秒写扇区的次数avgrq-sz          平均每次设备I/O操作的数据大小(扇区)avgqu-sz          磁盘请求队列的平均长度await              从请求磁盘到系统处理完,每次请求的平均消耗时间,包括请求队列等待时间(单位是毫秒)svctm              系统处理每次请求的平均时间,不包括在请求队列中消耗的时间%util              I/O请求占CPU的百分比

4网络设备统计信息输出

sar -n EDEV

IFACE              网络设备名rxpck/s            每秒接收的包数量txpck/s            每秒传输的包数量rxbyt/s            每秒接收的字节数(单位为byte)txbyt/s            每秒传输的字节数(单位为byte)rxkB/s            每秒收的数据量(单位为kB)txkB/s            每秒发的数据量(单位为kB)rxcmp/s            每秒接收压缩包的数量txcmp/s            每秒传输压缩包的数量rxmcst/s          每秒接收的多播(multicast)包的总数排查网络设备故障

5网络设备故障信息输出

EDEV |egrep ‘eth0|IFACE’ (本次指定了网卡etho0,可填入其他网卡)

IFACE网络设备名rxerr/s每秒接收的坏包数量txerr/s传输包时每秒发生错误的数量coll/s传输包时每秒发生冲突的数量rxdrop/s接收包时,每秒丢弃的包的数量(缺乏缓存导致)txdrop/s传输包时,每秒丢弃的包的数量(缺乏缓存导致)txcarr/s传输包时,每秒发生的传输错误的数量rxfram/s接收包时,每秒发生帧校验错误的数量rxfifo/s接收包时,每秒钟缓冲区溢出错误的数量txfifo/s传输包时,每秒钟缓冲区溢出错误的数量

6内存分页状态输出

sar -B

pgpgin/s每秒从磁盘空间或交换空间置换到内存的字节数(单位为KB)pgpgout/s每秒从内存置换到磁盘空间或交换空间的字节数(单位为KB)fault/s每秒钟系统产生的缺页数(主缺页加次缺页)majflt/s每秒钟产生的主缺页数pgfree/s每秒被放入空闲队列中的页个数pgscank/s每秒被kswapd扫描的页个数pgscand/s每秒直接被扫描的页个数pgsteal/s每秒钟从cache中被清除来满足内存需要的页个数%vmeff每秒清除的页占总扫描页的百分比

7进程队列长度和平均负载状态输出

sar -q

runq-sz          运行队列的长度,等待运行的进程数量

plist-sz        进程列表中进程和线程的数量

ldavg-1          最后1分钟的系统平均负载

ldavg-5          过去5分钟的系统平均负载

ldavg-15        过去15分钟的系统平均负载

8内存和交换空间状态输出

sar -r

kbmemfree空闲的内存数量(单位为KB)kbmemused已使用的内存数量,不包含内核使用的内存(单位为KB)%memused已使用内存的百分数kbbuffers内核缓冲区buffer,使用的内存数量(单位为KB)kbcached内核高速缓存cache数据使用的内存数量(单位为KB)kbcommit保证当前系统所需要的内存,即为了确保不溢出而需要的内存(RAM+swap)%commitkbcommit与所有内存总量的百分比

9系统交换活动信息输出

sar -W

pswpin/s          每秒系统换入的交换页面数量

pswpout/s          每秒系统换出的交换页面数量

七、sar使用实例-查看某一时间段的情况

1查看凌晨1点到3点的cpu

sar -s 01:00:00 -e 03:00:00

2查看凌晨1点到3点的系统的平均负载

若要看某时间段其他性能,加上对应选项

sar -s 01:00:00 -e 03:00:00 -q

3查看本月3号的cpu

注意:

该操作需要去查看sar的日志(第五节已经介绍一次)

默认只保存一个月的

sar查看性能或其日志时,注意自己的使用的是12还是24小时制

日志的切割是昨天晚上12点到今天12点为一天

cd/var/log/sa/sar -f sa03


当前题目:linuxsa命令 linux sar命令详解
文章源于:http://6mz.cn/article/ddodjjj.html

其他资讯