tcpdump

tcpdump tcp -i eth1 -t -s 0 -c 100 and dst port ! 22 and src net 192.168.1.0/24 -w ./target.cap

(1)tcp: ip icmp arp rarp 和 tcp、udp、icmp这些选项等都要放到第一个参数的位置，用来过滤数据报的类型
(2)-i eth1 : 只抓经过接口eth1的包, -i any表示抓所有接口的
(3)-t : 不显示时间戳
(4)-s 0 : 抓取数据包时默认抓取长度为68字节。加上-S 0 后可以抓到完整的数据包
(5)-c 100 : 只抓取100个数据包
(6)dst port ! 22 : 不抓取目标端口是22的数据包
(7)src net 192.168.1.0/24 : 数据包的源网络地址为192.168.1.0/24
(8)-w ./target.cap : 保存成cap文件，方便用ethereal(即wireshark)分析

抓取某个host发过来和发给它的数据包:

tcpdump -i eth0 'src host 192.168.202.228' or 'dst host 192.168.202.228'

查看某个服务的日志

journalctl -xe -u docker-latest > /tmp/log.out #如docker-latest服务

查看系统负载

vmstat
procs -----------memory---------- ---swap-- -----io---- --system-- -----cpu------
 r  b   swpd   free   buff  cache   si   so    bi    bo   in   cs us sy id wa st
 0  0      0 496056 889316 4065748    0    0     9    41   55   51  0  0 99  1  0

• procs
  procs
  r b
  0 0
  r ：运行和等待cpu时间片的进程数，如果长期大于1，说明cpu不足，需要增加cpu。
  b ：在等待资源的进程数，比如正在等待I/O、或者内存交换等。
• memory
  -----------memory----------
  swpd free buff cache
  0 496056 889316 4065748
  swpd ：切换到内存交换区的内存数量(k表示)。
  如果swpd的值不为0，或者比较大，比如超过了100m，只要si、so的值长期为0，系统性能还是正常
  free ：当前的空闲页面列表中内存数量(k表示)
  buff ：作为buffer cache的内存数量，一般对块设备的读写才需要缓冲。
  cache ：作为page cache的内存数量，一般作为文件系统的cache，
  如果cache较大，说明用到cache的文件较多，如果此时IO中bi比较小，说明文件系统效率比较好。
• swap
  ---swap--
  si so
  0 0
  si ：由内存进入内存交换区数量。
  so ：由内存交换区进入内存数量。
• IO
  -----io----
  bi bo
  9 41
  bi ：从块设备读入数据的总量（读磁盘）（每秒kb）。
  bo ：块设备写入数据的总量（写磁盘）（每秒kb）
  这里我们设置的bi+bo参考值为1000，如果超过1000，而且wa值较大应该考虑均衡磁盘负载，可以结合iostat输出来分析。
• system 显示采集间隔内发生的中断数
  --system--
  in cs
  55 51
  in ：在某一时间间隔中观测到的每秒设备中断数。
  cs ：每秒产生的上下文切换次数，如当 cs 比磁盘 I/O 和网络信息包速率高得多，都应进行进一步调查。
• cpu 表示cpu的使用状态
  -----cpu------
  cs us sy id wa st
  51 0 0 99 1 0
  us ：用户方式下所花费 CPU 时间的百分比。us的值比较高时，说明用户进程消耗的cpu时间多，但是如果长期大于50%，需要考虑优化用户的程序。
  sy ：内核进程所花费的cpu时间的百分比。这里us + sy的参考值为80%，如果us+sy 大于 80%说明可能存在CPU不足。
  wa ：IO等待所占用的CPU时间的百分比。这里wa的参考值为30%，如果wa超过30%，说明IO等待严重，
  这可能是磁盘大量随机访问造成的，也可能磁盘或者磁盘访问控制器的带宽瓶颈造成的(主要是块操作)。
  id ：cpu处在空闲状态的时间百分比