Linux系统日常管理--监控系统的状态+排查是否正被攻击(2)

4.1、查看网卡流量 sar -n DEV

参数说明： IFACE这列表示设备名称，rxpck/s 表示每秒进入收取的包的数量，txpck/s 表示每秒发送出去的包的数量，rxbyt/s 表示每秒收取的数据量(单位Byte)，txbyt/s表示每秒发送的数据量。后面几列不需要关注。

如果有一天你所管理的服务器丢包非常严重，那么你就应该看一看这个网卡流量是否异常了，如果rxpck/s 那一列的数值大于4000，或者rxbyt/s那列大于5,000,000则很有可能是被攻击了，正常的服务器网卡流量不会高于这么多，除非是你自己在拷贝数据。

上面的命令是查看网卡流量历史的，如何时时查看网卡流量呢?

4.2、查看历史负载 sar -q

这个命令可以查看服务器在过去的某个时间的负载状况。

大家重点还是用来看是不是丢包和网络情况吧!

5. free查看内存使用状况

只需要敲一个 free 然后回车就可以当前系统的总内存大小以及使用内存的情况，还可以加-m 或者-g选项分别以M或G为单位打印内存使用状况:

我一般用free -m方式查看内存占用情况(兆为单位)，而系统实际可用内存以及可用内存有如下几个加减法：

• used=total-free 即 total=used+free
• 实际内存占用：used-buffers-cached 即 total-free-buffers-cached
• 实际可用内存：buffers+cached+free

6. ps 查看系统进程

监控进程的话这里介绍一个专门显示系统进程的命令，主要看下是不是有异常进程:

参数说明：

PID ：进程的id，这个id很有用，在linux中内核管理进程就得靠pid来识别和管理某一个程，比如我想终止某一个进程，则用 ‘kill 进程的pid 有时并不能杀掉，则需要加一个-9选项了 kill -9 进程pid

STAT ：表示进程的状态，进程状态分为以下几种(不要求记住，但要了解)

D 不能中断的进程(通常为IO)

R 正在运行中的进程

S 已经中断的进程，通常情况下，系统中大部分进程都是这个状态

T 已经停止或者暂停的进程，如果我们正在运行一个命令，比如说 sleep 10 如果我们按一下ctrl -z 让他暂停，那么我们用ps查看就会显示T这个状态

W 这个好像是说，从内核2.6xx 以后，表示为没有足够的内存页分配

X 已经死掉的进程(这个好像从来不会出现)

Z 僵尸进程，杀不掉，打不死的垃圾进程，占系统一小点资源，不过没有关系。如果太多，就有问题了。一般不会出现。

< 高优先级进程

N 低优先级进程

L 在内存中被锁了内存分页

s 主进程

l 多线程进程

+ 代表在前台运行的进程

这个ps命令是我在工作中用的非常多的命令之一，必须掌握的。关于ps命令的使用，小编经常会连同管道符一起使用，用来查看某个进程或者它的数量。

7. netstat 查看网络状况

netstat命令用来打印网络连接状况、系统所开放端口、路由表等信息。小编最常用的关于netstat的命令就是这个 netstat -nlp (打印当前系统启动哪些端口)以及 netstat -an (打印网络连接状况)这两个命令非常有用，请一定要记住。

如果你所管理的服务器是一台提供web服务(80端口)的服务器，那么你就可以使用 netstat -an |grep 80 查看当前连接web服务的有哪些IP了,再进一步可以netstat -an|grep 80|wc -l来查看大概有多少个连接。

8、抓包工具tcpdump

（编辑：ASP站长网）