12:23:32 是系统当前时间12点23分32秒
up 26 min 是登录系统的时间为 26分钟
1 user 目前登录了1个用户
load avaerage 系统负载,有三个数字分别表示1分钟、5分钟、15分钟时间段内系统的负载值是多少。数字的含义为:单位时间段内使用cpu的活动进程有多少个。(这个数值为0时说明linux在空跑,没有任何进程在使用。一般这个值不超过逻辑cpu的数量。查看cpu数量使用命令cat /proc/cpuinfo)
USER 用户名
TTY 登录的终端 网络登录是pts/0,pts/1等,tty直接登录。
FROM 远程登录的地址
LOGIN@ 登录的时间(什么时候登录的)
IDLE 用户空闲时间,用户执行任何操作后改时间被重置
JCPU 和该终端链接的所有进程占用时间
PCPU 当前进程所占用的时间
WHAT 当前正在运行进程的命令行
备注:
(1)区别与who命令,w命令不仅可以看到登录服务器的用户信息,而且还可以看到这些用户做了什么。
(2)who am i 命令,显示出自己在系统中的用户名,登录终端,登录时间。
(3)whoami 命令,显示自己在系统中的用户名。
(4)logname 命令,可以显示自己初次登录到系统中的用户名,主要识别sudo前后情形。
(5)last命令,查看近一个月用户登录服务器的情况。
(6)tty命令,来查看所连接的设备或终端。
uptime命令显示的内容和w命令显示的内容差不多,但是只显示了w命令的前半部分内容。
vmstat命令
vmstat 可以查看服务器的状态值,包括服务器的cpu使用率、内存使用,虚拟内存交换情况,IO读写情况。
vmstat n1 n2 (n1,n2代表数字。n1为多长时间动态显示一次。n2为显示的次数。如果没有n2,那么它会一直显示,按ctrl+c结束显示。单独的vmstat只会静态的显示一次状态。)
proc 显示进程相关信息
r:run。表示有多少个进程处于run的状态(正在运行和等待运行的进程)。当这个数字长期大于cpu逻辑个数,那么说明cpu不够用了。
b:表示进程被cpu以外的资源(硬盘、网络等)阻断,处于等待状态。进程被阻塞。
memory内存相关信息
swap 切换到交换分区的内存量(当内存不够用时,内存中的数据会暂时存放在swap中),如果该数字持续变化说明内存不够了
free 表示当前空闲的内存量
buff 缓冲大小
cache 缓存大小
swap 内存交换相关信息
si 有多少kb的数据从swap进入到内存中。和swap有关,当swap那列在改变时,该列就会跟着改变。
so 有多少kb的数据从内存进入到swap中。和swap有关,当swap那列在改变时,该列就会跟着改变。
io 磁盘相关信息
bi 从磁盘读出来写入到内存中的数据量(读磁盘)
bo 从内存读出来写入到磁盘中的数据量(写磁盘)
这两个数值很大的话说明磁盘在频繁读写,当大量数据频繁读写会造成b列(proc中)增加
system 显示采集间隔内发生的中断次数
in 表示在某一时间间隔中观测到的每秒设备中断次数
cs 表示每秒产生的上下文切换次数
CPU显示CPU的使用状态(us+sy+id=100%)
us 表示用户级别资源(网站服务、数据库服务等)占用的cpu的百分比(长时间大于50,说明cpu资源不够了)
sy 表示系统本身的进程服务占用cpu百分比
id 表示cpu空闲状态的百分比
wa wait,和b类似,等待使用cpu的百分比(数值过大说明cpu资源不够用了。)
st 表示被偷走的cpu所占百分比(该数值一般为0)
top命令
top查看具体进程资源使用情况(每3秒钟刷新一次动态的信息,按q退出。)
-c 具体进程的命令
-bn1 静态显示所有进程(常用语shell脚本)
第一行是负载信息(和w命令查看出来的内容一致)
第二行是进程信息(总的又92个进程,有1个是在run状态,91个在sleep状态。0个在停止状态。0个僵尸进程(僵尸进程为主进程没有在运行,但是还有子进程在运行))
第三行是CPU的使用信息
第四行是内存使用信息
第五行是交换区使用信息
最下面为进程详细信息:
PID 进程在系统中的id号,可以配合kill命令来结束进程,进程一旦被杀死就恢复不了了。
RES 表示进程所用的物理内存大小(单位kb)
%MEM 表示内存使用百分比(单位kb)
%CPU 表示cpu使用百分比
COMMAND 进程的命令
sar命令
sar是linux下系统状态分析工具,它将指定的操作系统状态(平均负载、网卡流量、磁盘状态、内存使用等)计数器显示到标准输出设备。它不同于其它系统状态监控工具的地方在于,它可以打印历史信息,可以显示从零开始到当前时刻的系统状态信息。
安装sar工具,使用命令:yum install -y sysstat
初次运行sar命令可能会报错,因为sar命令还没有生成相应的数据库文件。其数据库文件保存在/var/log/sa/目录下,该目录下存放两种文件,分别以sa日期或sar日期的格式命名(sar是第二天生成,sa文件10分钟更新一次。sar文件是直接可以cat的,但是sa文件需要用sar命令加载。),文件最多保留一个月。
sar -f filename 从指定文件提取报告
sar -n DEV n1 n2 查看网卡流量(n1为多长时间显示一次,n2为显示的次数)
rxpck/s 表示接收数据包的个数
txpck/s 表示发送数据包的个数
rxKB/s 表示接收的数据量
txKB/s 表示发送的数据量
注意! 当rxpck/s的值大于4000或者rxKB/s的值大于5000时则可能遭受攻击(需配合抓包工具进一步确认)!
sar -q 查看系统负载(配合-f使用,查看历史负载)
sar -b查看磁盘信息
nload命令
noload监控网卡流量
安装nload工具需要先安装epel-release
yum install -y epel-release
yum inttall -y nload
直接运行nload
该界面显示系统网络动态信息,可以使用左右方向件查看不用网卡的信息,按q退出。可以根据实时网速和总带宽比较查看是否被攻击。
w命令、vmstat命令、top命令、sar命令、nload命令
原文地址:http://blog.51cto.com/754599082/2044789