Linux-基础教程-系统监视与系统日志精品PP课件.pptx

1、第11章系统监视与系统日志本章内容要点n理解影响系统性能的因素n系统性能分析工具n日志系统的功能n日志系统的配置n查看和分析日志文件2022年6月2日2本章学习目标 n学会使用top、mpstat、vmstst、iostat工具分析系统性能n熟悉系统性能评估标准n学习syslog的配置方法n学会配置远程日志n学会查看系统日志并理解日志滚动2022年6月2日3监视系统性能监视系统性能2022年6月2日4系统性能监视对象系统性能监视对象n容易形成性能瓶颈的监视对象qCPU性能q内存性能q磁盘I/O性能q网络I/O带宽2022年6月2日5系统性能监视常用工具系统性能监视常用工具nCPU监视工具q/u

2、sr/bin/uptime：显示系统平均负载q/usr/bin/top：动态显示系统进程任务q/usr/bin/mpstat：输出CPU的各种统计信息n内存监视工具q/usr/bin/free：显示系统内存的使用q/usr/bin/vmstat：报告虚拟内存的统计信息nI/O监视工具q/usr/bin/iostat：输出CPU、I/O系统和磁盘分区的统计信息2022年6月2日6top命令n动态显示系统的统计信息和进程的重要信息q统计信息n系统平均负载n进程状态统计nCPU使用的统计信息n物理内存和虚拟内存的使用统计信息q进程信息1 PID USER PR NI VIRT RES SHR S %

3、CPU %MEM TIME+ COMMAND2 PID PPID TIME+ %CPU %MEM PR NI S VIRT SWAP RES UID COMMAND3 PID %MEM VIRT SWAP RES CODE DATA SHR nFLT nDRT S PR NI %CPU COMMAND4 PID PPID UID USER RUSER TTY TIME+ %CPU %MEM S COMMAND2022年6月2日7top命令输出的统计信息(1)n显示的是uptime命令的输出q07:01:55 当前时间当前时间qup 14 min 系统自开机后运行的时间系统自开机后运行的时间q1

4、 user 当前登录的用户数当前登录的用户数qload average: 0.03, 0.02, 0.00 n1分钟系统平均负载，5分钟系统平均负载，15分钟系统平均负载n一段时间内，每个值都应该小于系统中一段时间内，每个值都应该小于系统中CPU的个数，否则表示系的个数，否则表示系统存在统存在CPU瓶颈瓶颈n相关的交互命令q交互命令 “l”是用于是否显示此信息的乒乓切换开关2022年6月2日8top - 07:01:55 up 14 min, 1 user, load average: 0.03, 0.02, 0.00top命令输出的统计信息(2)n进程状态进程状态的输出字段q总进程数（总进程

5、数（total）q正在运行进程数（正在运行进程数（running）q睡眠的进程数（睡眠的进程数（sleeping）q停止的进程数（停止的进程数（stopped）q僵尸进程数（僵尸进程数（zombie）2022年6月2日9Tasks: 98 total, 2 running, 96 sleeping, 0 stopped, 0 zombie僵尸进程指的是子进程退出后父进程并没有处理子进程的退出信号，导致子进程变为僵尸进程。top命令输出的统计信息(3)nCPU使用率使用率的输出字段q%us(user)：用户态进程占用CPU百分比q%sy(system)：核心态进程占用CPU百分比q%ni(nic

6、e)：调整过优先级的用户态进程占用CPU时间的百分比q%id(idel)：CPU空闲的百分比q%wa(iowait)：等待系统I/O的CPU时间百分比q%hi(hard interrupt)： CPU用于处理硬件中断的时间百分比q%si(soft interrupt)： CPU用于处理软中断的时间百分比q%st(steal)：被虚拟机偷掉的CPU时间百分比（仅用于运行虚拟机的情况）2022年6月2日10Cpu(s): 0.0%us, 0.0%sy, 0.0%ni,100.0%id, 0.0%wa, 0.0%hi, 0.0%si, 0.0%st 交互命令交互命令 t 是用于是否显示进程状态统计和

7、是用于是否显示进程状态统计和CPU使用率的乒乓切换开关使用率的乒乓切换开关 交互命令交互命令 1 是用于显示所有是用于显示所有CPU的平均状态还是每个的平均状态还是每个CPU状态的乒乓切换开关状态的乒乓切换开关top命令输出的统计信息(4)2022年6月2日11Mem: 1025692k total, 121072k used, 904620k free, 13236k buffersSwap: 2064376k total, 0k used, 2064376k free, 59436k cachedn物理内存q总量，使用量，空闲量n交换空间q总量，使用量，空闲量Buffers 指的是块指的是

8、块设备的读写缓冲区设备的读写缓冲区Cached 指的是文件指的是文件系统本身的页面缓存系统本身的页面缓存buffers和和cached都是都是Linux操作系统底层的操作系统底层的机制，目的就是为了加机制，目的就是为了加速对磁盘的访问。速对磁盘的访问。交互命令 m 是用于是否显示系统内存和交换空间信息的乒乓切换开关top命令输出的进程信息nPID(进程号)， USER（运行用户）nPR（优先级），NI（任务nice值）nVIRT（虚拟内存用量），RES（物理内存用量），SHR（共享内存用量）nS（进程状态）qR=运行；S=睡眠；T=跟踪/停止；Z=僵尸n%CPU（CPU占用比），%MEM（内存

9、占用比）nTIME+（累计CPU占用时间)2022年6月2日12top的交互命令（1）n或：立即刷新显示n?或h：显示帮助信息屏幕nG1234：可以使用G1G4切换top提供的四种字段方案的显示窗口nB：加粗加亮显示的乒乓切换开关nu：显示指定用户的进程（仅匹配EUID）nU：显示指定用户的进程（匹配RUID、EUID、SUID和UID）nk：杀死指定的进程（发送进程信号）nr：重新设置一个进程的优先级别nd或s：改变两次刷新显示之间的时间间隔，单位为秒nW：将当前的top设置写入/.toprc文件中nq：退出top2022年6月2日13top的交互命令（2）n多窗口显示qA：是否在一个界面中

10、同时显示四种字段方案显示窗口的乒乓切换开关qa和w：在四种字段方案的显示窗口中移动以确认当前窗口na表示下一个窗口nw表示上一个窗口2022年6月2日14top的交互命令（3）n加亮显示行和列qx：是否对当前排序字段进行加亮显示的乒乓切换开关qy：是否对当前正在运行进程进行加亮显示的乒乓切换开关2022年6月2日15top的交互命令（4）n选择排序字段q快速选择排序字段nM：按 %MEM字段排序nN：按 PID字段排序nP：按 %CPU字段排序nT：按 TIME+字段排序q交互式选择排序字段nF 或 Oq切换排序字段和逆向排序nnR2022年6月2日16mpstat命令n功能：输出每一个 CP

11、U 的运行状况，为多处理器系统中的 CPU 利用率提供统计信息。 n格式：q mpstat -P cpu | ALL interval count q其中n-P cpu-id|ALL：用CPU-ID指定CPU，CPU-ID从0开始ninterval : 为取样时间间隔ncount : 为输出次数2022年6月2日17n说明：RedHat没有预装mpstat，iostat命令，可以手动安装sysstat-7.0.0-3.e15-i386.rpm包mpstat 命令举例# mpstatLinux 2.6.18-194.32.1.el5 (centos1.ls-al.me) 04/29/1112:5

12、6:27 CPU %user %nice %sys %iowait %irq %soft %steal %idle intr/s12:56:27 all 3.89 0.00 0.76 4.04 0.02 0.12 0.00 91.18 1050.99# mpstat -P 0Linux 2.6.18-194.32.1.el5 (centos1.ls-al.me) 04/29/1112:56:37 CPU %user %nice %sys %iowait %irq %soft %steal %idle intr/s12:56:37 0 3.86 0.00 0.75 4.01 0.02 0.12

13、0.00 91.24 1050.81# mpstat 5 10# mpstat P 1 5 102022年6月2日19vmstat命令n功能：显示进程队列、内存、交换空间、磁盘I/O、和CPU状态信息。n格式：qvmstat -a -n -S k|K|m|M Interval Count q其中：n-a：显示活跃和非活跃内存n-n：只在开始时显示一次各字段名称n-S：使用指定单位显示。k(1000)、K(1024)、m(1000000)、M(1048576) 字节，默认单位为K。ninterval和count的含义与mpstat一致2022年6月2日20vmstat命令举例nprocsqr 列

14、表示运行和等待CPU时间片的进程数，这个值若长期大于系统CPU的个数，说明CPU资源不足。qb 列表示在等待资源的进程数，比如正在等待I/O、或者内存交换等。ncpuqus 列显示了用户态进程消耗的CPU 时间百分比；sy 列显示了核心态进程消耗的CPU时间百分比。qus 的值比较高时说明用户进程消耗的CPU时间多，sy 值较高时说明内核消耗的CPU资源很多。q根据经验，根据经验，us+sy 的参考值为的参考值为80%，若，若 us+sy80% 说明可能存在说明可能存在CPU资源不足。资源不足。2022年6月2日21# vmstat 5 2procs -memory- -swap- -io-

15、-system- -cpu- r b swpd free buff cache si so bi bo in cs us sy id wa st 0 0 0 504544 119328 236716 0 0 46 30 1036 52 1 0 97 2 0 0 0 0 504544 119336 236708 0 0 0 6 1002 28 0 0 100 0 0vmstat命令举例（续）nmemoryqswpd 列表示切换到内存交换区的内存数量(以k为单位)。q若 swpd 的值不为0，或者比较大，只要si、so的值长期为0，这种情况下一般不用担心，不会影响系统性能。qfree 列表示当前空

16、闲的物理内存数量(以k为单位)。qbuff 列表示 buffers cache 的内存数量，一般对块设备的读写才需要缓冲。qcache 列表示 page cached 的内存数量，一般作为文件系统cached，频繁访问的文件都会被 cachedq若cache值较大，说明cached的文件数较多，如果此时IO中bi比较小，说明文件系统效率比较好。2022年6月2日22# vmstat 5 2procs -memory- -swap- -io- -system- -cpu- r b swpd free buff cache si so bi bo in cs us sy id wa st 0 0

17、0 504544 119328 236716 0 0 46 30 1036 52 1 0 97 2 0 0 0 0 504544 119336 236708 0 0 0 6 1002 28 0 0 100 0 0vmstat命令举例（续2）nswapqsi 列表示由磁盘调入内存，也就是内存进入内存交换区的数量。qso 列表示由内存调入磁盘，也就是内存交换区进入内存的数量。q一般情况下，si、so的值都为0，如果如果si、so的值长期不为的值长期不为0，则表，则表示系统内存不足示系统内存不足。2022年6月2日23# vmstat 5 2procs -memory- -swap- -io- -s

18、ystem- -cpu- r b swpd free buff cache si so bi bo in cs us sy id wa st 0 0 0 504544 119328 236716 0 0 46 30 1036 52 1 0 97 2 0 0 0 0 504544 119336 236708 0 0 0 6 1002 28 0 0 100 0 0iostat命令n功能：输出CPU和磁盘I/O相关的统计信息。 n格式：qiostat -c|-d -x -k|-m device | ALL interval count q其中：n-c：仅显示CPU统计信息。与-d选项互斥n-d：仅显

19、示磁盘统计信息。与-c选项互斥n-k：以KB为单位显示每秒的磁盘请求数。默认单位为块n-m：以MB为单位显示每秒的磁盘请求数。默认单位为块n-x：输出扩展信息ndevice：用于指定磁盘设备ninterval和count的含义与mpstat一致2022年6月2日24iostat命令举例（1）ntps：每秒钟物理设备的I/O传输总量n长期的、超大的数据读写，肯定是不正常的，这种情况一定会影响系统性能。2022年6月2日25# iostat -d sda sda3 5 2Linux 2.6.18-194.32.1.el5 (centos1.ls-al.me) 2011年04月29日Device:

20、tps Blk_read/s Blk_wrtn/s Blk_read Blk_wrtnsda 4.61 51.09 39.21 577048 442878sda3 4.07 44.89 39.00 507088 440552Device: tps Blk_read/s Blk_wrtn/s Blk_read Blk_wrtnsda 0.41 0.00 16.33 0 80sda3 0.41 0.00 16.33 0 80iostat命令举例（2）nrrqm/s：每秒发送到设备的读入请求数。nwrqm/s：每秒发送到设备的写入请求数。navgrq-sz：发送到设备的请求的平均大小。navgqu-

21、sz：发送到设备的请求的平均队列长度。nawait：表示平均每次设备I/O操作的等待时间(以毫秒为单位)。nsvctm：表示平均每次设备I/O操作的服务时间(以毫秒为单位)。n%util：表示一秒中有百分之几的时间用于 I/O 操作。2022年6月2日26# iostat -dxk sda sda3Linux 2.6.18-194.32.1.el5 (centos1.ls-al.me) 2011年04月29日Device: rrqm/s wrqm/s r/s w/s rkB/s wkB/s avgrq-sz avgqu-sz await svctm %utilsda 0.75 2.44 2.1

22、8 2.10 23.58 18.31 19.59 0.40 93.52 2.53 1.08sda3 0.28 2.42 1.70 2.09 20.72 18.21 20.58 0.40 105.24 2.52 0.95iostat命令举例（2续）n正常情况下 svctm 应该小于 await 的值qsvctm 的大小和磁盘性能有关qCPU、内存的负荷也会对 svctm 值造成影响q过多的磁盘请求也会间接的导致 svctm 值的增加nawait 的大小一般取决与 svctm 的值和I/O队列长度以及I/O请求模式q如果 svctm 的值与 await 很接近，表示几乎没有I/O等待，磁盘性能很好

23、q如果 await 的值远高于 svctm 的值，则表示I/O队列等待太长，系统上运行的应用程序将变慢，此时可以通过更换更快的硬盘来解决问题。n%util 项的值也是衡量磁盘I/O的一个重要指标q如果 %util 接近 100%，表示磁盘产生的I/O请求太多，I/O系统已经满负荷的在工作，该磁盘可能存在瓶颈。2022年6月2日27# iostat -dxk sda sda3Linux 2.6.18-194.32.1.el5 (centos1.ls-al.me) 2011年04月29日Device: rrqm/s wrqm/s r/s w/s rkB/s wkB/s avgrq-sz avgqu

24、-sz await svctm %utilsda 0.75 2.44 2.18 2.10 23.58 18.31 19.59 0.40 93.52 2.53 1.08sda3 0.28 2.42 1.70 2.09 20.72 18.21 20.58 0.40 105.24 2.52 0.95系统性能评估影响因素影响因素评判标准评判标准好坏糟CPUuser% + sys%=90%内存S（si）0 S（so）0Per CPU with 10 page/sMore S & S磁盘iowait % = 50%2022年6月2日28n%user：表示CPU处在用户模式下的时间百分比。n%sys：表示C

25、PU处在系统模式下的时间百分比。n%iowait：表示CPU等待输入输出完成时间的百分比。ns：即si，表示虚拟内存的页导入，即从S交换到RAM。ns：即so，表示虚拟内存的页导出，即从RAM交换到S。日志系统和系统日志日志系统和系统日志2022年6月2日29系统日志简介n日志的用途q系统审计、监测追踪和分析统计。n日志的功能 q用于记录系统、程序运行中发生的各种事件q通过阅读日志，有助于诊断和解决系统故障q帮助系统管理员寻找攻击者留下的痕迹n日志的分类q文件日志：将日志记录到文件中q数据库日志：将日志记录关系数据库中q管道日志：将日志通过管道传递给应用程序处理2022年6月2日30日志系统简

26、介n日志系统q负责系统日志和内核消息捕捉的日志记录系统n日志系统的主要功能q分类存放日志、方便日志管理q可将日志消息记录到远程主机n日志系统的常用软件qsyslog（ ）【默认安装】qsyslog-ng（）qrsyslog（）2022年6月2日31RHEL/CentOS 5中的syslogn软件包名： sysklogdn服务类型：独立运行的守护进程n启动脚本： /etc/init.d/syslogn守护进程：q/sbin/klogd：只处理内核消息q/sbin/syslogd：处理其他系统消息n配置文件q/etc/syslog.conf：syslog的主配置文件，规定了系统中需要监视的事件和相

27、应的日志的保存位置。q/etc/sysconfig/syslog：配置守护进程的运行参数2022年6月2日32配置文件/etc/syslog.confn格式q以 # 开始的行为注释q详情 man 5 syslog.confq每一行的格式为facility.priority action 设备设备.级别级别 动作动作qfacility和和priority的详细定义的详细定义n man 3 syslog2022年6月2日33RHEL/CentOS的默认配置# egrep -v #|$ /etc/syslog.conf*.info;mail.none;authpriv.none;cron.none

28、/var/log/messagesauthpriv.* /var/log/securemail.* -/var/log/maillogcron.* /var/log/cron*.emerg *uucp,news.crit /var/log/spoolerlocal7.* /var/log/boot.log2022年6月2日34facility.priority语法语法n可以在同一行中设置多个“设备设备.级别级别”组合，每组之间用分号分号隔开n可以同时指定多个设备设备或级别级别，用逗号逗号间隔可以使用通配符“*”表示所有的设备设备或级别级别级别（priority）的指定直接指定：记录比指定级别高

29、的所有级别的消息使用=前缀：只记录指定级别的日志消息使用!前缀：不记录比指定级别高的所有级别的消息使用!=前缀：不记录指定级别的日志消息none：用于禁止任何日志消息2022年6月2日35facility.priority语法举例语法举例nmail.infonmail.=infonkern.*nkern.info;kern.!errnmail.*;mail.!=infonmail,news.=infon*.=crit;kern.nonen*.=info;mail,news.none2022年6月2日36目标动作（ action ）n常规文件q将日志记录于文件：以“/”开始的全路径文件名q-/p

30、ath/q文件名之前的减号（-）表示对文件的写入同时不立即同步到磁盘，这样可以加快日志写入速度n终端设备q将日志发送到终端：/dev/console，/dev/ttyXn命名管道q将日志通过管道传送给其他应用程序处理q| program2022年6月2日37目标动作（ action ）续n远程主机qhostnameq将信息发送到可解析的远程主机hostname或IPq该主机必须正在运行syslogd，并可以识别syslog的配置文件qsyslog 使用 udp:514 端口传送日志信息n用户列表qUser1,User2,Usernq发送信息到指定的登录用户，*表示所有用户2022年6月2日38

31、action语法举例语法举例nkern.* /var/adm/kernelnmail.* -/var/log/maillognmail.=info /dev/tty12n*.info |/sbin/myprogramn*.alert root,joeyn*.=emerg *n*.* finlandia2022年6月2日39日志管理策略n及时作好备份和归档n延长日志保存期限n控制日志访问权限q日志中可能会包含各类敏感信息，如账户、口令等n集中管理日志q便于日志信息的统一收集、整理和分析q杜绝日志信息的意外丢失、恶意篡改或删除2022年6月2日40主要日志文件简介n日志保存位置q默认位于：/var

32、/log 目录下n主要日志文件介绍q内核及常规消息日志：/var/log/messagesq计划任务日志：/var/log/cronq系统引导日志：/var/log/dmesgq邮件系统日志：/var/log/maillogq用户登录日志：/var/log/lastlog、/var/log/secure、/var/log/wtmp、/var/run/utmpq2022年6月2日41常规日志文件/var/log/messagesn是纯文本文件，可以使用 cat、tail -f 查看n文件中每条消息的格式q时间标签 主机名 消息子系统 消息n例如2022年6月2日42May 15 18:57:15

33、 centos1 syslogd 1.4.1: restart.May 15 19:20:13 centos1 sshd(pam_unix)2968: session opened for user root by (uid=0)May 15 20:02:07 centos1 sshd(pam_unix)763: session closed for user root时间标签时间标签主机名主机名子系统名子系统名消息消息用户登录日志n保存了用户登录、退出系统等相关信息q/var/log/lastlog：最近的用户登录事件q/var/log/wtmp：用户登录、注销及系统开、关机事件 q/var

34、/run/utmp：当前登录的每个用户的详细信息 q/var/log/secure：与用户验证相关的安全性事件n分析工具qwho、w、lastlog、last、ac2022年6月2日43应用程序日志n由相应的应用程序独立进行管理qWeb服务：/var/log/httpd/n access_log、error_log qFTP服务：/var/log/vsqn 分析工具q文本查看、grep过滤检索qawk、sed 等文本过滤、格式化编辑工具qWebalizer、Awstats等专用日志分析工具2022年6月2日44日志分析工具LogWatchnLogWatch是一个对历史日志进行分析的工具nLog

35、Watch由Perl语言编写n主页为 n在RHEL/CentOS 中 LogWatch工具由RPM包logwatch提供，且是默认安装的n默认情况下，logwatch以cron任务方式每日运行一次。2022年6月2日45本章思考题n常用的系统监视工具有哪些？n使用系统监视工具如何判断CPU、内存和磁盘I/O的瓶颈？n什么是syslog？syslog功能？n可以使用哪些命令查看非文本日志文件？nLogWatch和SEC的功能？n为什么要进行日志滚动？RHEL/CentOS如何实现日志滚动？2022年6月2日46本章实验n学会使用top、mpstat、vmstst、iostat工具分析系统性能。n学会配置远程日志。n学会配置日志滚动。n学会查看系统日志文件。2022年6月2日47p 经常不断地学习,你就什么都知道。你知道得越多,你就越有力量p Study Constantly, And You Will Know Everything. The More You Know, The More Powerful You Will Be写在最后谢谢大家荣幸这一路，与你同行ItS An Honor To Walk With You All The Way演讲人：XXXXXX 时 间：XX年XX月XX日