通过什么方法来排查是否linux服务器的负载过大？

 再对此Linux服务器性能分析之前，先了解下Linux系统Load average负载的知识，负载均值在uptime 或者top 命令中可以看到，它们可能会显示成这个样子：load average: 0.15, 0.14, 0.11
很多人会这样理解负载均值：三个数分别代表不同时间段的系统平均负载（一分钟、五分钟、以及十五分钟），它们的数字当然是越小越好。数字越高，说明服务器的负载越大,这也可能是服务器出现某种问题的信号。

从上图的top命令可以了解到，Linux服务器运行了5天23小时20分，在load average的数据来看，这台快吧Linux无盘服务器可以说是压力为零，运行十分流畅。 

说明：%util:一秒中有百分之多少的时间用于I/O操作，或者说一秒中有多少时间I/O队列是非空的。
即delta(use)/s/1000 (因为use的单位为毫秒)
如果%util接近100%，说明产生的I/O请求太多，I/O系统已经满负荷，该磁盘可能存在瓶颈。

方法三：

 本文转摘自：http://www.flybaaa.com/help/69_1.html

一直以来以为通过top然后按数字1键，查到的cpu个数是服务器的物理cpu个数，今天在看服务器的硬件配置清单中发现一服务器的物理cpu个数是4个，我就奇怪了，这台机子我的影响很深，明明是48啊，当时通过top 1查看cpu信息还提示 “Sorry ,terminal is not big enough”。想当初服务器只能识别到32个。还是重新编译内核搞定的。后来经过查询原来不是这样滴，top 1查看的是逻辑cpu个数，一下为记。
查看Linux服务器的CPU详细情况
判断Linux服务器CPU情况的依据如下：
具有相同core id的CPU是同一个core的超线程。(Any cpu with the same core id are hyperthreads in the same core.)
具有相同physical id的CPU是同一个CPU封装的线程或核心。(Any cpu with the same physical id are threads or cores in the same physical socket.)
下面举例说明。
物理CPU个数如下：

[root@dbabc.net ～］# cat /proc/cpuinfo| grep "physical id"| sort| uniq| wc -l 4

每个物理CPU中core的个数(即核数)如下：

[root@dbabc.net ～］# cat /proc/cpuinfo| grep "cpu cores"| uniq cpu cores       : 12

逻辑CPU的个数如下：

［root@dbabc.net ～］#cat /proc/cpuinfo| grep "processor"| wc -l 48

按理说物理CPU个数×核数就应该等于逻辑CPU的

Dbabc.Net [http://dbabc.net]
本文链接：http://dbabc.net/archives/2012/02/13/linux-cpu-info-count.shtml

tcpdump抓包并保存成cap文件

tcpdump 的抓包保存到文件的命令参数是-w xxx.cap
抓eth1的包 
tcpdump -i eth1 -w /tmp/xxx.cap 
抓 192.168.1.123的包 
tcpdump -i eth1 host 192.168.1.123 -w /tmp/xxx.cap 
抓192.168.1.123的80端口的包 
tcpdump -i eth1 host 192.168.1.123 and port 80 -w /tmp/xxx.cap 
抓192.168.1.123的icmp的包 
tcpdump -i eth1 host 192.168.1.123 and icmp -w /tmp/xxx.cap 
抓192.168.1.123的80端口和110和25以外的其他端口的包 
tcpdump -i eth1 host 192.168.1.123 and ! port 80 and ! port 25 and ! port 110 -w /tmp/xxx.cap 
抓vlan 1的包 
tcpdump -i eth1 port 80 and vlan 1 -w /tmp/xxx.cap 
抓pppoe的密码 
tcpdump -i eth1 pppoes -w /tmp/xxx.cap 
以100m大小分割保存文件， 超过100m另开一个文件 -C 100m 
抓10000个包后退出 -c 10000 
后台抓包， 控制台退出也不会影响： 
nohup tcpdump -i eth1 port 110 -w /tmp/xxx.cap & 
抓下来的文件可以直接用ethereal 或者wireshark打开。 wireshark就是新版的ethereal，程序换名了

转载自：

http://blog.sina.com.cn/s/blog_4a071ed80100sv13.html

十八.  和系统运行状况相关的Shell命令:

    1.  Linux的实时监测命令(watch):
    watch 是一个非常实用的命令，可以帮你实时监测一个命令的运行结果，省得一遍又一遍的手动运行。该命令最为常用的两个选项是-d和-n，其中-n表示间隔多少秒执行一次"command"，-d表示高亮发生变化的位置。下面列举几个在watch中常用的实时监视命令：
    /> watch -d -n 1 'who'   #每隔一秒执行一次who命令，以监视服务器当前用户登录的状况
    Every 1.0s: who       Sat Nov 12 12:37:18 2011
    
    stephen  tty1           2011-11-11 17:38 (:0)
    stephen  pts/0         2011-11-11 17:39 (:0.0)
    root       pts/1         2011-11-12 10:01 (192.168.149.1)
    root       pts/2         2011-11-12 11:41 (192.168.149.1)
    root       pts/3         2011-11-12 12:11 (192.168.149.1)
    stephen  pts/4         2011-11-12 12:22 (:0.0)
    此时通过其他Linux客户端工具以root的身份登录当前Linux服务器，再观察watch命令的运行变化。
    Every 1.0s: who       Sat Nov 12 12:41:09 2011
    
    stephen  tty1          2011-11-11 17:38 (:0)
    stephen  pts/0        2011-11-11 17:39 (:0.0)
    root       pts/1        2011-11-12 10:01 (192.168.149.1)
    root       pts/2        2011-11-12 11:41 (192.168.149.1)
    root       pts/3        2011-11-12 12:40 (192.168.149.1)
    stephen  pts/4        2011-11-12 12:22 (:0.0)
    root       pts/5        2011-11-12 12:41 (192.168.149.1)
    最后一行中被高亮的用户为新登录的root用户。此时按CTRL + C可以退出正在执行的watch监控进程。
   
    #watch可以同时运行多个命令，命令间用分号分隔。
    #以下命令监控磁盘的使用状况，以及当前目录下文件的变化状况，包括文件的新增、删除和文件修改日期的更新等。
    /> watch -d -n 1 'df -h; ls -l'
    Every 1.0s: df -h; ls -l     Sat Nov 12 12:55:00 2011
    
    Filesystem            Size  Used Avail Use% Mounted on
    /dev/sda1             5.8G  3.3G  2.2G  61% /
    tmpfs                 504M  420K  504M   1% /dev/shm
    total 20
    -rw-r--r--. 1 root root 10530 Nov 11 23:08 test.tar.bz2
    -rw-r--r--. 1 root root   183 Nov 11 08:02 users
    -rw-r--r--. 1 root root   279 Nov 11 08:45 users2
    此时通过另一个Linux控制台窗口，在watch监视的目录下，如/home/stephen/test，执行下面的命令
    /> touch aa         #在执行该命令之后，另一个执行watch命令的控制台将有如下变化
    Every 1.0s: df -h; ls -l                                Sat Nov 12 12:57:08 2011
    
    Filesystem            Size  Used Avail Use% Mounted on
    /dev/sda1             5.8G  3.3G  2.2G  61% /
    tmpfs                 504M  420K  504M   1% /dev/shm
    total 20
    -rw-r--r--. 1 root root        0 Nov 12 12:56 aa
    -rw-r--r--. 1 root root        0 Nov 12 10:02 datafile3
    -rw-r--r--. 1 root root 10530 Nov 11 23:08 test.tar.bz2
    -rw-r--r--. 1 root root     183 Nov 11 08:02 users
    -rw-r--r--. 1 root root     279 Nov 11 08:45 users2
    其中黄色高亮的部分，为touch aa命令执行之后watch输出的高亮变化部分。

   
    2.  查看当前系统内存使用状况(free)：
    free命令有以下几个常用选项：

    free命令输出的表格中包含以下几列：

    见以下具体示例和输出说明：
    /> free -k
                        total         used          free     shared    buffers     cached
    Mem:       1031320     671776     359544          0      88796     352564
    -/+ buffers/cache:      230416     800904
    Swap:        204792              0     204792
    对于free命令的输出，我们只需关注红色高亮的输出行和绿色高亮的输出行，见如下具体解释：
    红色输出行：该行使从操作系统的角度来看待输出数据的，used(671776)表示内核(Kernel)+Applications+buffers+cached。free(359544)表示系统还有多少内存可供使用。
    绿色输出行：该行则是从应用程序的角度来看输出数据的。其free = 操作系统used + buffers + cached，既：
    800904 = 359544 + 88796 + 352564
    /> free -m
                      total        used        free      shared    buffers     cached
    Mem:          1007         656        351            0         86            344
    -/+ buffers/cache:        225        782
    Swap:          199             0        199
    /> free -k -s 1.5  #以千字节(KB)为单位显示数据，同时每隔1.5刷新输出一次，直到按CTRL+C退出
                      total        used       free     shared    buffers     cached
    Mem:          1007         655        351          0           86        344
    -/+ buffers/cache:        224        782
    Swap:          199             0        199

                      total        used       free     shared    buffers     cached
    Mem:          1007         655        351          0           86        344
    -/+ buffers/cache:        224        782
    Swap:          199             0        199

    3.  CPU的实时监控工具(mpstat)：
    该命令主要用于报告当前系统中所有CPU的实时运行状况。
    #该命令将每隔2秒输出一次CPU的当前运行状况信息，一共输出5次，如果没有第二个数字参数，mpstat将每隔两秒执行一次，直到按CTRL+C退出。
    /> mpstat 2 5  
    Linux 2.6.32-71.el6.i686 (Stephen-PC)   11/12/2011      _i686_  (1 CPU)

    04:03:00 PM  CPU    %usr   %nice    %sys %iowait    %irq   %soft  %steal  %guest   %idle
    04:03:02 PM  all    0.00    0.00    0.50    0.00    0.00    0.00    0.00    0.00   99.50
    04:03:04 PM  all    0.00    0.00    0.00    0.00    0.00    0.00    0.00    0.00  100.00
    04:03:06 PM  all    0.00    0.00    0.00    0.00    0.00    0.00    0.00    0.00  100.00
    04:03:08 PM  all    0.00    0.00    0.00    0.00    0.00    0.00    0.00    0.00  100.00
    04:03:10 PM  all    0.00    0.00    0.00    0.00    0.00    0.00    0.00    0.00  100.00
    Average:       all    0.00    0.00    0.10    0.00    0.00    0.00    0.00    0.00   99.90

    第一行的末尾给出了当前系统中CPU的数量。后面的表格中则输出了系统当前CPU的使用状况，以下为每列的含义：

    计算公式：
    total_cur=user+system+nice+idle+iowait+irq+softirq
    total_pre=pre_user+ pre_system+ pre_nice+ pre_idle+ pre_iowait+ pre_irq+ pre_softirq
    user=user_cur – user_pre
    total=total_cur-total_pre
    其中_cur 表示当前值，_pre表示interval时间前的值。上表中的所有值可取到两位小数点。    

    /> mpstat -P ALL 2 3  #-P ALL表示打印所有CPU的数据，这里也可以打印指定编号的CPU数据，如-P 0(CPU的编号是0开始的)
    Linux 2.6.32-71.el6.i686 (Stephen-PC)   11/12/2011      _i686_  (1 CPU)

    04:12:54 PM  CPU    %usr   %nice    %sys %iowait    %irq   %soft  %steal  %guest   %idle
    04:12:56 PM    all      0.00      0.00     0.50    0.00      0.00    0.00    0.00      0.00     99.50
    04:12:56 PM      0     0.00      0.00     0.50    0.00      0.00    0.00    0.00      0.00     99.50

    04:12:56 PM  CPU    %usr   %nice    %sys %iowait    %irq   %soft  %steal  %guest   %idle
    04:12:58 PM    all     0.00      0.00     0.00    0.00      0.00    0.00    0.00      0.00    100.00
    04:12:58 PM     0     0.00      0.00     0.00    0.00      0.00    0.00    0.00      0.00    100.00

    04:12:58 PM  CPU    %usr   %nice    %sys %iowait    %irq   %soft  %steal  %guest   %idle
    04:13:00 PM    all      0.00     0.00    0.00    0.00      0.00    0.00     0.00      0.00    100.00
    04:13:00 PM     0      0.00     0.00    0.00    0.00      0.00    0.00     0.00      0.00    100.00

    Average:       CPU    %usr   %nice    %sys %iowait    %irq   %soft  %steal  %guest   %idle
    Average:         all      0.00     0.00    0.17    0.00      0.00    0.00     0.00      0.00     99.83
    Average:          0      0.00     0.00    0.17    0.00      0.00    0.00     0.00      0.00     99.83

    4.  虚拟内存的实时监控工具(vmstat)：
    vmstat命令用来获得UNIX系统有关进程、虚存、页面交换空间及CPU活动的信息。这些信息反映了系统的负载情况。vmstat首次运行时显示自系统启动开始的各项统计信息，之后运行vmstat将显示自上次运行该命令以后的统计信息。用户可以通过指定统计的次数和时间来获得所需的统计信息。
    /> vmstat 1 3    #这是vmstat最为常用的方式，其含义为每隔1秒输出一条，一共输出3条后程序退出。
    procs  -----------memory----------   ---swap-- -----io---- --system-- -----cpu-----
     r  b   swpd      free      buff   cache   si   so     bi    bo     in   cs  us  sy id  wa st
     0  0        0 531760  67284 231212  108  0     0  260   111  148  1   5 86   8  0
     0  0        0 531752  67284 231212    0    0     0     0     33   57   0   1 99   0  0
     0  0        0 531752  67284 231212    0    0     0     0     40   73   0   0 100 0  0

    /> vmstat 1       #其含义为每隔1秒输出一条，直到按CTRL+C后退出。

    下面将给出输出表格中每一列的含义说明：
    有关进程的信息有：(procs)
    r:  在就绪状态等待的进程数。
    b: 在等待状态等待的进程数。   
    有关内存的信息有：(memory)
    swpd:  正在使用的swap大小，单位为KB。
    free:    空闲的内存空间。
    buff:    已使用的buff大小，对块设备的读写进行缓冲。
    cache: 已使用的cache大小，文件系统的cache。
    有关页面交换空间的信息有：(swap)
    si:  交换内存使用，由磁盘调入内存。
    so: 交换内存使用，由内存调入磁盘。 
    有关IO块设备的信息有：(io)
    bi:  从块设备读入的数据总量(读磁盘) (KB/s)
    bo: 写入到块设备的数据总理(写磁盘) (KB/s)  
    有关故障的信息有：(system)
    in: 在指定时间内的每秒中断次数。
    sy: 在指定时间内每秒系统调用次数。
    cs: 在指定时间内每秒上下文切换的次数。  
    有关CPU的信息有：(cpu)
    us:  在指定时间间隔内CPU在用户态的利用率。
    sy:  在指定时间间隔内CPU在核心态的利用率。
    id:  在指定时间间隔内CPU空闲时间比。
    wa: 在指定时间间隔内CPU因为等待I/O而空闲的时间比。  
    vmstat 可以用来确定一个系统的工作是受限于CPU还是受限于内存：如果CPU的sy和us值相加的百分比接近100%，或者运行队列(r)中等待的进程数总是不等于0，且经常大于4，同时id也经常小于40，则该系统受限于CPU；如果bi、bo的值总是不等于0，则该系统受限于内存。

    5.  设备IO负载的实时监控工具(iostat)：
    iostat主要用于监控系统设备的IO负载情况，iostat首次运行时显示自系统启动开始的各项统计信息，之后运行iostat将显示自上次运行该命令以后的统计信息。用户可以通过指定统计的次数和时间来获得所需的统计信息。
    其中该命令中最为常用的使用方式如下：
    /> iostat -d 1 3    #仅显示设备的IO负载，其中每隔1秒刷新并输出结果一次，输出3次后iostat退出。
    Linux 2.6.32-71.el6.i686 (Stephen-PC)   11/16/2011      _i686_  (1 CPU)

    Device:            tps   Blk_read/s   Blk_wrtn/s   Blk_read   Blk_wrtn
    sda                 5.35       258.39        26.19     538210      54560

    Device:            tps   Blk_read/s   Blk_wrtn/s   Blk_read   Blk_wrtn
    sda                 0.00         0.00         0.00                  0          0

    Device:            tps   Blk_read/s   Blk_wrtn/s   Blk_read   Blk_wrtn
    sda                 0.00         0.00         0.00                  0          0

    Device:            tps   Blk_read/s   Blk_wrtn/s   Blk_read   Blk_wrtn
    sda                 0.00         0.00         0.00                  0          0
    /> iostat -d 1  #和上面的命令一样，也是每隔1秒刷新并输出一次，但是该命令将一直输出，直到按CTRL+C退出。
    下面将给出输出表格中每列的含义：

    iostat还有一个比较常用的选项-x，该选项将用于显示和io相关的扩展数据。
    /> iostat -dx 1 3
    Device:  rrqm/s wrqm/s  r/s   w/s  rsec/s wsec/s avgrq-sz avgqu-sz   await  svctm  %util
    sda            5.27   1.31 2.82 1.14 189.49  19.50    52.75     0.53     133.04  10.74   4.26

    Device:  rrqm/s wrqm/s  r/s   w/s  rsec/s wsec/s avgrq-sz avgqu-sz   await  svctm  %util
    sda            0.00   0.00 0.00 0.00   0.00   0.00        0.00     0.00         0.00   0.00   0.00

    Device:  rrqm/s wrqm/s  r/s   w/s  rsec/s wsec/s avgrq-sz avgqu-sz   await  svctm  %util
    sda            0.00   0.00 0.00 0.00   0.00   0.00        0.00     0.00         0.00   0.00   0.00
    还可以在命令行参数中指定要监控的设备名，如：
    /> iostat -dx sda 1 3   #指定监控的设备名称为sda，该命令的输出结果和上面命令完全相同。

    下面给出扩展选项输出的表格中每列的含义：

    下面是关键列的解释：
    util是设备的利用率。如果它接近100%，通常说明设备能力趋于饱和。
    await是平均每次请求的等待时间。这个时间包括了队列时间和服务时间，也就是说，一般情况下，await大于svctm，它们的差值越小，则说明队列时间越短，反之差值越大，队列时间越长，说明系统出了问题。
    avgqu-sz是平均请求队列的长度。毫无疑问，队列长度越短越好。                 

     6.  当前运行进程的实时监控工具(pidstat)：
     pidstat主要用于监控全部或指定进程占用系统资源的情况，如CPU，内存、设备IO、任务切换、线程等。pidstat首次运行时显示自系统启动开始的各项统计信息，之后运行pidstat将显示自上次运行该命令以后的统计信息。用户可以通过指定统计的次数和时间来获得所需的统计信息。
    在正常的使用，通常都是通过在命令行选项中指定待监控的pid，之后在通过其他具体的参数来监控与该pid相关系统资源信息。

    #监控pid为1(init)的进程的CPU资源使用情况，其中每隔3秒刷新并输出一次，3次后程序退出。
    /> pidstat -p 1 2 3 -l
    07:18:58 AM       PID    %usr %system  %guest    %CPU   CPU  Command
    07:18:59 AM         1    0.00    0.00    0.00    0.00     0  /sbin/init
    07:19:00 AM         1    0.00    0.00    0.00    0.00     0  /sbin/init
    07:19:01 AM         1    0.00    0.00    0.00    0.00     0  /sbin/init
    Average:               1    0.00    0.00    0.00    0.00     -  /sbin/init
    %usr：      该进程在用户态的CPU使用率。
    %system：该进程在内核态(系统级)的CPU使用率。
    %CPU：     该进程的总CPU使用率，如果在SMP环境下，该值将除以CPU的数量，以表示每CPU的数据。
    CPU:         该进程所依附的CPU编号(0表示第一个CPU)。

    #监控pid为1(init)的进程的设备IO资源负载情况，其中每隔2秒刷新并输出一次，3次后程序退出。
    /> pidstat -p 1 2 3 -d    
    07:24:49 AM       PID   kB_rd/s   kB_wr/s kB_ccwr/s  Command
    07:24:51 AM         1      0.00      0.00      0.00  init
    07:24:53 AM         1      0.00      0.00      0.00  init
    07:24:55 AM         1      0.00      0.00      0.00  init
    Average:               1      0.00      0.00      0.00  init
    kB_rd/s:   该进程每秒的字节读取数量(KB)。
    kB_wr/s:   该进程每秒的字节写出数量(KB)。
    kB_ccwr/s: 该进程每秒取消磁盘写入的数量(KB)。

    #监控pid为1(init)的进程的内存使用情况，其中每隔2秒刷新并输出一次，3次后程序退出。
    /> pidstat -p 1 2 3 -r
    07:29:56 AM       PID  minflt/s  majflt/s     VSZ    RSS   %MEM  Command
    07:29:58 AM         1      0.00      0.00    2828   1368   0.13  init
    07:30:00 AM         1      0.00      0.00    2828   1368   0.13  init
    07:30:02 AM         1      0.00      0.00    2828   1368   0.13  init
    Average:               1      0.00      0.00    2828   1368   0.13  init
    %MEM:  该进程的内存使用百分比。

    #监控pid为1(init)的进程任务切换情况，其中每隔2秒刷新并输出一次，3次后程序退出。
    /> pidstat -p 1 2 3 -w
    07:32:15 AM       PID   cswch/s nvcswch/s  Command
    07:32:17 AM         1      0.00      0.00  init
    07:32:19 AM         1      0.00      0.00  init
    07:32:21 AM         1      0.00      0.00  init
    Average:            1      0.00      0.00  init
    cswch/s:    每秒任务主动(自愿的)切换上下文的次数。主动切换是指当某一任务处于阻塞等待时，将主动让出自己的CPU资源。
    nvcswch/s: 每秒任务被动(不自愿的)切换上下文的次数。被动切换是指CPU分配给某一任务的时间片已经用完，因此将强迫该进程让出CPU的执行权。

    #监控pid为1(init)的进程及其内部线程的内存(r选项)使用情况，其中每隔2秒刷新并输出一次，3次后程序退出。需要说明的是，如果-t选项后面不加任何其他选项，缺省监控的为CPU资源。结果中黄色高亮的部分表示进程和其内部线程是树状结构的显示方式。
    /> pidstat -p 1 2 3 -tr
    Linux 2.6.32-71.el6.i686 (Stephen-PC)   11/16/2011      _i686_  (1 CPU)

    07:37:04 AM      TGID       TID  minflt/s  majflt/s     VSZ    RSS   %MEM  Command
    07:37:06 AM         1         -      0.00      0.00        2828   1368      0.13  init
    07:37:06 AM         -         1      0.00      0.00        2828   1368      0.13  |__init

    07:37:06 AM      TGID       TID  minflt/s  majflt/s     VSZ    RSS   %MEM  Command
    07:37:08 AM         1         -      0.00      0.00        2828   1368      0.13  init
    07:37:08 AM         -         1      0.00      0.00        2828   1368      0.13  |__init

    07:37:08 AM      TGID       TID  minflt/s  majflt/s     VSZ    RSS   %MEM  Command
    07:37:10 AM         1         -      0.00      0.00        2828   1368      0.13  init
    07:37:10 AM         -         1      0.00      0.00        2828   1368      0.13  |__init

    Average:         TGID       TID  minflt/s  majflt/s     VSZ    RSS   %MEM  Command
    Average:            1         -      0.00      0.00        2828   1368      0.13  init
    Average:            -         1      0.00      0.00        2828   1368      0.13  |__init
    TGID: 线程组ID。
    TID： 线程ID。  

    以上监控不同资源的选项可以同时存在，这样就将在一次输出中输出多种资源的使用情况，如：pidstat -p 1 -dr。

    7.  报告磁盘空间使用状况(df):
    该命令最为常用的选项就是-h，该选项将智能的输出数据单位，以便使输出的结果更具可读性。
    /> df -h
    Filesystem             Size  Used   Avail Use% Mounted on
    /dev/sda1             5.8G  3.3G  2.2G  61%   /
    tmpfs                  504M  260K  504M   1%  /dev/shm

    8.  评估磁盘的使用状况(du)：

    #仅显示子一级目录的信息。
    /> du --max-depth=1 -h
    246M    ./stephen
    246M    .   
    /> du -sh ./*   #获取当前目录下所有子目录所占用的磁盘空间大小。
    352K    ./MemcachedTest
    132K    ./Test
    33M     ./thirdparty   
    #在当前目录下，排除目录名模式为Te*的子目录(./Test)，输出其他子目录占用的磁盘空间大小。
    /> du --exclude=Te* -sh ./*  
    352K    ./MemcachedTest
    33M     ./thirdparty



http://www.cnblogs.com/stephen-liu74/archive/2011/12/05/2257887.html

因为在日常的工作中，出问题的时候查看日志是每个管理员的习惯，作为初学者，为了以后的需要，我今天将下面这些查看命令共享给各位

cat

tail -f

日 志 文 件 说 明

/var/log/message 系统启动后的信息和错误日志，是Red Hat Linux中最常用的日志之一

/var/log/secure 与安全相关的日志信息

/var/log/maillog 与邮件相关的日志信息

/var/log/cron 与定时任务相关的日志信息

/var/log/spooler 与UUCP和news设备相关的日志信息

/var/log/boot.log 守护进程启动和停止相关的日志消息

系统：

# uname -a # 查看内核/操作系统/CPU信息

# cat /etc/issue

# cat /etc/redhat-release # 查看操作系统版本

# cat /proc/cpuinfo # 查看CPU信息

# hostname # 查看计算机名

# lspci -tv # 列出所有PCI设备

# lsusb -tv # 列出所有USB设备

# lsmod # 列出加载的内核模块

# env # 查看环境变量

资源：

# free -m # 查看内存使用量和交换区使用量

# df -h # 查看各分区使用情况

# du -sh <目录名> # 查看指定目录的大小

# grep MemTotal /proc/meminfo # 查看内存总量

# grep MemFree /proc/meminfo # 查看空闲内存量

# uptime # 查看系统运行时间、用户数、负载

# cat /proc/loadavg # 查看系统负载

磁盘和分区：

# mount | column -t # 查看挂接的分区状态

# fdisk -l # 查看所有分区

# swapon -s # 查看所有交换分区

# hdparm -i /dev/hda # 查看磁盘参数(仅适用于IDE设备)

# dmesg | grep IDE # 查看启动时IDE设备检测状况

网络：

# ifconfig # 查看所有网络接口的属性

# iptables -L # 查看防火墙设置

# route -n # 查看路由表

# netstat -lntp # 查看所有监听端口

# netstat -antp # 查看所有已经建立的连接

# netstat -s # 查看网络统计信息

进程：

# ps -ef # 查看所有进程

# top # 实时显示进程状态(另一篇文章里面有详细的介绍)

用户：

# w # 查看活动用户

# id <用户名> # 查看指定用户信息

# last # 查看用户登录日志

# cut -d: -f1 /etc/passwd # 查看系统所有用户

# cut -d: -f1 /etc/group # 查看系统所有组

# crontab -l # 查看当前用户的计划任务

服务：

# chkconfig –list # 列出所有系统服务

# chkconfig –list | grep on # 列出所有启动的系统服务

程序：

# rpm -qa # 查看所有安装的软件包

 只显示指定行范围的文件内容，例如：

地址是逗号分隔的，那么需要处理的地址是这两行之间的范围（包括这两行在内）。范围可以用数字、正则表达式、或二者的组合表示。例如：

3.命令与选项

sed命令告诉sed如何处理由地址指定的各输入行，如果没有指定地址则处理所有的输入行。

3.1 sed命令

3.2 sed选项

1、cat命令：

     功能：1）显示整个文件。

                   示例： $ cat fileName

              2）把文件串连接后传到基本输出，如将几个文件合并为一个文件或输出到屏幕。

                   示例： $ cat file1 file2 > file

     说明：把档案串连接后传到基本输出(屏幕或加 > fileName 到另一个档案)
     cat参数详解：
     -n 或 –number 由 1 开始对所有输出的行数编号
     -b 或 –number-nonblank 和 -n 相似，只不过对于空白行不编号
     -s 或 –squeeze-blank 当遇到有连续两行以上的空白行，就代换为一行的空白行
     -v 或 –show-nonprinting

2、more命令：

     以百分比的形式查看日志。    

3、less命令：

     跟more功能差不多，只不过less支持前后翻阅文件。

4、head命令：

     功能：从文本文件的头部开始查看，head 命令用于查看一个文本文件的开头部分。

     示例如下：
     head example.txt 显示文件 example.txt 的前十行内容；
     head -n 20 example.txt 显示文件 example.txt 的前二十行内容；
     head详解：
     -n      指定你想要显示文本多少行。
     -n number     这个参数选项必须是十进制的整数，它将决定在文件中的位置，以行为单位。
     -c number     这个参数选项必须是十进制的整数，它将决定在文件中的位置，以字节为单位。

5、tail命令：

     功能：tail 命令用于显示文本文件的末尾几行。

     示例如下：

     tail example.txt 显示文件 example.txt 的后十行内容；
     tail -n 20 example.txt 显示文件 example.txt 的后二十行内容；
     tail -f example.txt 显示文件 example.txt 的后十行内容并在文件内容增加后，自动显示新增的文件内容。

     tail -n 50 -f example.txt 显示文件 example.txt 的后50行内容并在文件内容增加后，自动显示新增的文件内容。
     注意：
     最后一条命令非常有用，尤其在监控日志文件时，可以在屏幕上一直显示新增的日志信息。

     tail详解：
     -b Number 从 Number 变量表示的 512 字节块位置开始读取指定文件。 
     -c Number 从 Number 变量表示的字节位置开始读取指定文件。 
     -f 如果输入文件是常规文件或如果 File 参数指定 FIFO（先进先出），
     那么 tail 命令不会在复制了输入文件的最后的指定单元后终止，而是继续
     从输入文件读取和复制额外的单元（当这些单元可用时）。如果没有指定 File 参数，
     并且标准输入是管道，则会忽略 -f 标志。tail -f 命令可用于监视另一个进程正在写入的文件的增长。 
     -k Number 从 Number 变量表示的 1KB 块位置开始读取指定文件。 
     -m Number 从 Number 变量表示的多字节字符位置开始读取指定文件。使用该标志提供在单字节和双字节字符代码集环境中的一致结果。 
      -n Number 从首行或末行位置来读取指定文件，位置由 Number 变量的符号（+ 或 - 或无）表示，并通过行号 Number 进行位移。 
       -r 从文件末尾以逆序方式显示输出。-r 标志的缺省值是以逆序方式显示整个文件。如果文件大于 20,480 字节，那么-r标志只显示最后的 20,480 字节。 -r 标志只有
   与 -n 标志一起时才有效。否则，就会将其忽略。

　　1. 在服务器-客户端架构上使用 Netcat

　　netcat 工具可运行于服务器模式，侦听指定端口

　然后你可以使用客户端模式来连接到 2389 端口：

　　现在如果你输入一些文本，它将被发送到服务器端：

　　在服务器的终端窗口将会显示下面内容：

　　2. 使用 Netcat 来传输文件

　　netcat 工具还可用来传输文件，在客户端，假设我们有一个 testfile 文件：

　　而在服务器端有一个空文件名为 test

　　然后我们使用如下命令来启用服务器端：

　　紧接着运行客户端：

　　然后你停止服务器端，你可以查看 test 内容就是刚才客户端传过来的 testfile 文件的内容：

　　3. Netcat 支持超时控制

　　多数情况我们不希望连接一直保持，那么我们可以使用 -w 参数来指定连接的空闲超时时间，该参数紧接一个数值，代表秒数，如果连接超过指定时间则连接会被终止。

　　服务器:

　　客户端:

　　该连接将在 10 秒后中断。

　　注意: 不要在服务器端同时使用 -w 和 -l 参数，因为 -w 参数将在服务器端无效果。

　　4. Netcat 支持 IPv6

netcat 的 -4 和 -6 参数用来指定 IP 地址类型，分别是 IPv4 和 IPv6：

　　服务器端：

　　客户端：

　　然后我们可以使用 netstat 命令来查看网络的情况：

　　接下来我们看看IPv6 的情况：

　　服务器端：

　　客户端：

　　再次运行 netstat 命令：

　　前缀是 tcp6 表示使用的是 IPv6 的地址。

　　5. 在 Netcat 中禁止从标准输入中读取数据

　　该功能使用 -d 参数，请看下面例子：

　　服务器端：

　　客户端：

　　你输入的 Hi 文本并不会送到服务器端。

　　6. 强制 Netcat 服务器端保持启动状态

　　如果连接到服务器的客户端断开连接，那么服务器端也会跟着退出。

　　服务器端：

　　客户端：

　　服务器端：

　　上述例子中，但客户端断开时服务器端也立即退出。

　　我们可以通过 -k 参数来控制让服务器不会因为客户端的断开连接而退出。

　　服务器端：

　　客户端：

　　服务器端：

　　7. 配置 Netcat 客户端不会因为 EOF 而退出

　　Netcat 客户端可以通过 -q 参数来控制接收到 EOF 后隔多长时间才退出，该参数的单位是秒：

　　客户端使用如下方式启动：

　　现在如果客户端接收到 EOF ，它将等待 5 秒后退出。

　　8. 使用 Netcat 来处理 UDP 协议

　　netcat 默认是使用 TCP 协议，但也支持 UDP，可使用 -u 参数来启用 UDP 协议通讯。

　　服务器端：

　客户端：

　　这样客户端和服务器端都使用了 UDP 协议，可通过 netstat 命令来查看：

　　英文原文：nc-command-examples

nmap 使用介绍

nmap是目前为止最广为使用的国外端口扫描工具之一。我们可以从http://www.insecure.org/进 行下载，可以很容易的安装到Windows和unix操作系统中，包括mac os x（通过configure、make 、make install等命令）也可以直接从http：//www.insecure.org/下载windows二进制（包括所需要的winpcap）也可以从 http：//www.nmapwin.org/获得nmap的图形windows。

扫描主机

$ nmap -sT 192.168.1.18 
Starting nmap 3.48(http://www.insecure.org/nmap/)at 2007-10-10 18:13 
EDT Interesting ports on gamebase(192.168.1.18)
 port                  state                serverice 
22/tcp              open                ssh 
111/tcp            open                sunrpc  
.......... 
$ nmap -sR 192.168.1.18 
Startingnmap 3.48(http://www.insecure.org/nmap/)at 2007-10-10 18:13 
EDT Interesting ports on gamebase(192.168.1.18) 
port                  state                serverice 
22/tcp              open                ssh 
111/tcp            open                sunrpc  
..........

我们可以使用ping扫描的方法（-sP），与fping的工作方式比较相似，它发送icmp回送请求到指定范围的ip地址并等待响应。现在很多主 机在扫描的时候都做了处理，阻塞icmp请求，这种情况下。nmap将尝试与主机的端口80进行连接，如果可以接收到响应（可以是syn/ack，也可以 是rst），那么证明主机正在运行，反之，则无法判断主机是否开机或者是否在网络上互连。
 
扫描tcp端口
 
这里-sR是怎样在打开的端口上利用RPC命令来判断它们是否运行了RPC服务。
 
nmap可以在进行端口扫描的tcp报文来做一些秘密的事情。首先，要有一个SYN扫描（-sS),它只做建立TCP连接的前面一些工作，只发送一 个设置SYN标志的TCP报文，一个RESET报文，那么nmap假设这个端口是关闭的，那么就不做任何事情了。如果接收到一个响应，它并不象正常的连接 一样对这个报文进行确认，而是发送一个RET报文，TCP的三次握手还没有完成，许多服务将不会记录这次连接。
 
有的时候，nmap会告诉我们端口被过滤，这意味着有防火墙或端口过滤器干扰了nmap，使其不能准确的判断端口是打开还是关闭的，有的防火墙只能过滤掉进入的连接。
 
扫描协议
 
如果试图访问另一端无程序使用的UDP端口，主机将发回一个icmp“端口不可达”的提示消息，IP协议也是一样。每个传输层的IP协议都有一个相 关联的编号，使用最多的是ICMP(1)、TCP(6)和UDP(17)。所有的IP报文都有一个“协议”域用于指出其中的传输层报文头所使用的协议。如 果我们发送一个没有传输层报文头的原始IP报文并把其协议域编号为130[该编号是指类似IPSEC协议的被称为安全报文外壳或SPS协议]，就可以判断 这个协议是否在主机上实现了。如果我们得到的是ICMP协议不可达的消息，意味着该协议没有被实现，否则就是已经实现了，用法为-sO.
 
隐蔽扫描行为
 
nmap给出了几个不同的扫描选项，其中一些可以配套着隐藏扫描行为，使得不被系统日志、防火墙和IDS检测到。提供了一些随机的和欺骗的特性。具体例子如下：
 
FTP反弹，在设计上，FTP自身存在一个很大的漏洞，当使用FTP客户机连接到FTP服务器时，你的客户机在TCP端口21上与FTP服务器对 话，这个TCP连接称为控制连接。FTP服务器现在需要另一条与客户机连接，该连接称为数据连接，在这条连接上将传送实际的文件数据，客户机将开始监听另 一个TCP端口上从服务器发挥的数据连接，接下来执行一个PORT命令到服务器，告诉它建立一条数据连接到客户机的IP地址和一个新打开的端口，这种操作 方法称为主动传输。许多客户机使用网络地址转换或通过防火墙与外界连接，所以主动传输FTP就不能正常工作，因为由服务器建立的客户机的连接通常不允许通 过。
 
被动传输是大多数FTP客户机和服务器所使用的方法，因为客户机既建立控制连接又建立数据连接，这样可以通过防火墙或NAT了。
 
FTP的PORT命令，用来告诉FTP连接的服务器，使得与刚刚打开的用于数据连接的端口之间建立一个连接。由于我们不仅指定端口而且指定连接所用 的IP地址，所以客户端也可以通过PORT命令让服务器连接到任何地方。所以我们一样可以让nmap用这个方法进行防火墙穿透。nmap做的所有工作是与 一台服务器建立一个主动模式的FTP连接，并发送一个包含它试图扫描的主机IP地址和端口号的PORT命令。
 
nmap -b aaa@ftp.target.com -p 6000 192.168.1.226
nmap 与ftp服务器的对话的例子：
server：220  target ftp server version 4 ready
client:user  anonymous
server: 331 Guest login ok ,send e-mail as password
client:pass 
server :230 login successful
client:PORT 192,168,1.226,23,112
server:200 PORT command successful
client:LIST
server:150 Opening ASCII connection for '/bin/ls'
server:226 Transfer complete
 
PORT命令起作用，可以制造是别人进行端口扫描，扫描任何FTP服务器所能访问的主机，绕过防火墙和端口过滤器，但还是存在一些危险的，如果对方登陆到了你的这个匿名FTP服务器上，从日志查找到相应的匿名FTP连接，从而知道你的IP地址，这样就直接暴露了。
 
nmap -sI 空闲扫描，主要是欺骗端口扫描的源地址。
 
nmap -f 可以把TCP头分片的IP报文进行一些隐蔽的扫描。不完整的TCP报文不被防火墙阻塞也不被IDS检测到。
 
nmap-D
选择几台肉鸡，并使用-D标志在命令行中指定它们。namp通过诱骗的IP地址来进行欺骗式端口扫描，而系统管理员可以同时看到不同的端口扫描，而只有一个是真实的，很好的保护了自己。
 
os指纹识别
这个是nmap最有用的功能之一，就是可以鉴别远程主机。通过简单的执行网络扫 描，nmap通常可以告诉你远程主机所运行的OS，甚至详细到版本号。当你指定-Q标志时，nmap将用几种不同的技术从主机返回IP报文中寻找这些鉴别 信息。通过发送特别设计的TCP和UDP头，nmap可以得到远程主机对TCP/IP协议栈的处理方法。它将分析结果与保存在文件中的已知特征信息进行比 较。
 
OS鉴别选项也可以让nmap对TCP报文进行分析以决定另外一些信息，如系统的启动时间，TCP序列号，预测的序列号使我们更容易截获报文并猜测序列号从而伪造TCP连接。
 
nmap命令使用详细解释
 
-P0 -PT -PS -PU -PE -PP -PM -PB 当nmap进行某种类型的端口或协议扫描时，通常都会尝试先ping 主机，这种尝试可使nmap不会浪费时间在那些未开机的主机上，但是许多主机与防火墙会阻塞ICMP报文，我们希望能通过控制使用。
 
-P0  告诉nmap不ping 主机，只进行扫描
 
-PT  告诉nmap使用TCP的ping
 
-PS  发送SYN报文。
 
-PU  发送一个udp ping
 
-PE  强制执行直接的ICMP ping 
 
-PB  这是默认类型，可以使用ICMP ping 也可以使用TCP ping .
 
-6   该标志允许IPv6支持
 
-v  -d  使用-v选项可得到更详细的输出，而-d选项则增加调试输出。
 
-oN  按照人们阅读的格式记录屏幕上的输出，如果是在扫描多台机器，则该选项很有用。
 
-oX  以xml格式向指定的文件记录信息
 
-oG  以一种易于检索的格式记录信息，即每台主机都以单独的行来记录所有的端口和0s信息。
 
-oA  使用为基本文件名，以普通格式(-oN)、XML格式(-oX)和易于检索的格式（-oG）jilu  xinxi  
 
-oM  把输出格式化为机器可阅读的文件
 
-oS  把输出进行傻瓜型排版
 
--resume如果你取消了扫描，但生成了供人或者供机器阅读的文件，那么可以把该文件提供给nmap继续让它扫描。
 
-iR-iL可以不在命令行中指定目标主机，而是使用-iR选项随即产生待扫描的主机，或者使用-iL选项从一个包含主机名或IP地址列表的文件中读取目标主机，这些主机名或IP地址使用空格、制表符或换行隔开。
 
-F nmap只扫描在nmap内建的服务文件中已知的端口，如果不指定该选项，nmap将扫描端口 1-1024及包含在nmap-services文件中的所有其他端口。如果用-sO选项扫描协议，nmap将用它内建的协议文件(nmap- protocols文件)而不是默认地扫描所有256个协议。
 
-A nmap使用所有的高级扫描选项
 
-p 参数可以是一个单独的端口、一个用逗号隔开的端口列表、一个使用“-”表示的端口范围或者上述格式的任意组合。如果没有指定该选项，nmap将对包含前1024个端口的所有端口进行一次快速扫描。
 
-e在多穴主机中，可以指定你用来进行网络通信的网络接口。
 
-g可以选择一个源端口，从该端口执行所有的扫描。
 
--ttlnmap其发送的任何报文在到中间路由器的跳后会失效。
 
--packet-trace 可以显示扫描期间nmap发送和接收的各个报文的详细列表，这对调试非常有用。要与-o选项之一联合使用，需要根权限，以将所有的数据记录到文件。
 
--scanflags可以使用这个选项手工的指定欲在扫描报文中设置的TCP标志。也可以指定TCP标志的OOred值的整数形式，或者标志的字符串表示形式。
 
以上介绍的就是nmap在windows下和unix中的命令介绍。