linux分析利刃之sar命令详解

一、sar的概述

在我使用的众多linux分析工具中，sar是一个非常全面的一个分析工具，可以比较瑞士军刀，对文件的读写，系统调用的使用情况，磁盘IO，CPU相关使用情况，内存使用情况，进程活动等都可以进行有效的分析。sar工具将对系统当前的状态进行取样，然后通过计算数据和比例来表达系统的当前运行状态。它的特点是可以连续对系统取样，获得大量的取样数据。取样数据和分析的结果都可以存入文件，使用它时消耗的系统资源很小。

话不多说，直接--help查看一下先

[root@lgh ~]# sar --help

Usage: sar [ options ] [ <interval> [ <count> ] ]

Options are:

[ -A ] [ -b ] [ -B ] [ -C ] [ -d ] [ -h ] [ -m ] [ -p ] [ -q ] [ -r ] [ -R ]

[ -S ] [ -t ] [ -u [ ALL ] ] [ -v ] [ -V ] [ -w ] [ -W ] [ -y ]

[ -I { <int> [,...] | SUM | ALL | XALL } ] [ -P { <cpu> [,...] | ALL } ]

[ -j { ID | LABEL | PATH | UUID | ... } ] [ -n { <keyword> [,...] | ALL } ]

[ -o [ <filename> ] | -f [ <filename> ] ] [ --legacy ]

[ -i <interval> ] [ -s [ <hh:mm:ss> ] ] [ -e [ <hh:mm:ss> ] ]

-A：所有报告的总和

-u：输出CPU使用情况的统计信息

-v：输出inode、文件和其他内核表的统计信息

-d：输出每一个块设备的活动信息

-r：输出内存和交换空间的统计信息

-b：显示I/O和传送速率的统计信息-R：输出内存页面的统计信息

-y：终端设备活动情况

-w：输出系统交换活动信息

-B：显示换页状态；

-e：设置显示报告的结束时间

-f：从指定文件提取报告

-i：设状态信息刷新的间隔时间

-p：报告每个CPU的状态
-q：平均负载分析

使用语法：

sar [options] [-A] [-o file] [ <interval> [ <count> ] ]

其中：interval为采样间隔，count为采样次数，默认值是1； -o file表示将命令结果以二进制格式存放在文件中，file 是文件名

二、统计CPU使用情况

sar -u #统计CPU的使用情况，每间隔1秒钟统计一次总共统计三次：#sar -u 1 3

[root@lgh ~]# sar -u

Linux 2.6.-.el6.x86_64 (lgh)   //      _x86_64_        ( CPU)

:: PM     CPU     %user     %nice   %system   %iowait    %steal     %idle

:: PM     all      0.00      0.00      0.00      0.00      0.00    100.00

:: PM     all      0.03      0.00      0.03      0.00      0.00     99.94

:: PM     all      0.03      0.00      0.03      0.00      0.00     99.94

Average:        all      0.02      0.00      0.02      0.00      0.00     99.96

[root@lgh ~]# sar -o test.txt -u    #其中-o表示以二进制的格式把结果存入到test.txt文件中，不能使用cat，more，less等查看

[root@lgh ~]# sar -u -f test.txt   #查看该二进制结果文件

Linux 2.6.-.el6.x86_64 (lgh)   //      _x86_64_        ( CPU)

:: PM     CPU     %user     %nice   %system   %iowait    %steal     %idle

:: PM     all      0.00      0.00      0.00      0.00      0.00    100.00

:: PM     all      0.03      0.00      0.03      0.00      0.00     99.94

:: PM     all      0.00      0.00      0.03      0.00      0.00     99.97

Average:        all      0.01      0.00      0.02      0.00      0.00     99.97

%user #用户空间的CPU使用
%nice 改变过优先级的进程的CPU使用率
%system 内核空间的CPU使用率
%iowait CPU等待IO的百分比
%steal 虚拟机的虚拟机CPU使用的CPU
%idle 空闲的CPU
在以上的显示当中，主要看%iowait和%idle，%iowait过高表示存在I/O瓶颈，即磁盘IO无法满足业务需求，如果%idle过低表示CPU使用率比较严重，需要结合内存使用等情况判断CPU是否瓶颈。

三、平均负载统计分析

sar -q #查看平均负载：其中每间隔1秒钟统计一次总共统计三次 #sar -q 1 3

[root@lgh ~]# sar -q

Linux 2.6.-.el6.x86_64 (lgh)   //      _x86_64_        ( CPU)

:: PM   runq-sz  plist-sz   ldavg-   ldavg-  ldavg-

:: PM                     0.00      0.03      0.00

:: PM                     0.00      0.03      0.00

:: PM                     0.00      0.03      0.00

Average:                        0.00      0.03      0.00

runq-sz 运行队列的长度（等待运行的进程数，每核的CP不能超过3个）
plist-sz 进程列表中的进程（processes）和线程数（threads）的数量
ldavg-1 最后1分钟的CPU平均负载，即将多核CPU过去一分钟的负载相加再除以核心数得出的平均值，5分钟和15分钟以此类推
ldavg-5 最后5分钟的CPU平均负载
ldavg-15 最后15分钟的CPU平均负载

四、内存统计分析

sar -r #查看内存使用情况，每间隔1秒钟统计一次总共统计三次：#sar -r 1 3

[root@lgh ~]# sar -r

Linux 2.6.-.el6.x86_64 (lgh)   //      _x86_64_        ( CPU)

:: PM kbmemfree kbmemused  %memused kbbuffers  kbcached  kbcommit   %commit

:: PM        11.58              5.44

:: PM        11.58              5.44

:: PM        11.58              5.44

Average:           11.58              5.44

kbmemfree 空闲的物理内存大小
kbmemused 使用中的物理内存大小
%memused 物理内存使用率
kbbuffers 内核中作为缓冲区使用的物理内存大小，kbbuffers和kbcached:这两个值就是free命令中的buffer和cache.
kbcached 缓存的文件大小
kbcommit 保证当前系统正常运行所需要的最小内存，即为了确保内存不溢出而需要的最少内存（物理内存+Swap分区）
commit 这个值是kbcommit与内存总量（物理内存+swap分区）的一个百分比的值

五、统计swap分区

sar -W #查看系统swap分区的统计信息：每间隔1秒钟统计一次总共统计三次：#sar -W 1 3

[root@lgh ~]# sar -W

Linux 2.6.-.el6.x86_64 (lgh)   //      _x86_64_        ( CPU)

:: PM  pswpin/s pswpout/s

:: PM      0.00      0.00

:: PM      0.00      0.00

:: PM      0.00      0.00

Average:         0.00      0.00

pswpin/s 每秒从交换分区到系统的交换页面（swap page）数量
pswpott/s 每秒从系统交换到swap的交换页面（swap page）的数量

六、查看磁盘IO

sar -b #查看I/O和传递速率的统计信息，每间隔1秒钟统计一次总共统计三次：#sar -b 1 3

[root@lgh ~]# sar -b

Linux 2.6.-.el6.x86_64 (lgh)   //      _x86_64_        ( CPU)

:: PM       tps      rtps      wtps   bread/s   bwrtn/s

:: PM     30.00      0.00     30.00      0.00    240.00

:: PM      0.00      0.00      0.00      0.00      0.00

:: PM      0.00      0.00      0.00      0.00      0.00

Average:        10.00      0.00     10.00      0.00     80.00

tps 磁盘每秒钟的IO总数，等于iostat中的tps
rtps 每秒钟从磁盘读取的IO总数
wtps 每秒钟从写入到磁盘的IO总数
bread/s 每秒钟从磁盘读取的块总数
bwrtn/s 每秒钟此写入到磁盘的块总数

七、查看磁盘使用情况

sar -d #磁盘使用详情统计，每间隔1秒钟统计一次总共统计三次：#sar -d 1 3

[root@lgh ~]# sar -d

Linux 2.6.-.el6.x86_64 (lgh)   //      _x86_64_        ( CPU)

:: PM       DEV       tps  rd_sec/s  wr_sec/s  avgrq-sz  avgqu-sz     await     svctm     %util

:: PM    dev8-      0.00      0.00      0.00      0.00      0.00      0.00      0.00      0.00

:: PM  dev253-      0.00      0.00      0.00      0.00      0.00      0.00      0.00      0.00

:: PM  dev253-      0.00      0.00      0.00      0.00      0.00      0.00      0.00      0.00

:: PM       DEV       tps  rd_sec/s  wr_sec/s  avgrq-sz  avgqu-sz     await     svctm     %util

:: PM    dev8-      0.00      0.00      0.00      0.00      0.00      0.00      0.00      0.00

:: PM  dev253-      0.00      0.00      0.00      0.00      0.00      0.00      0.00      0.00

:: PM  dev253-      0.00      0.00      0.00      0.00      0.00      0.00      0.00      0.00

:: PM       DEV       tps  rd_sec/s  wr_sec/s  avgrq-sz  avgqu-sz     await     svctm     %util

:: PM    dev8-      0.00      0.00      0.00      0.00      0.00      0.00      0.00      0.00

:: PM  dev253-      0.00      0.00      0.00      0.00      0.00      0.00      0.00      0.00

:: PM  dev253-      0.00      0.00      0.00      0.00      0.00      0.00      0.00      0.00

Average:          DEV       tps  rd_sec/s  wr_sec/s  avgrq-sz  avgqu-sz     await     svctm     %util

Average:       dev8-      0.00      0.00      0.00      0.00      0.00      0.00      0.00      0.00

Average:     dev253-      0.00      0.00      0.00      0.00      0.00      0.00      0.00      0.00

Average:     dev253-      0.00      0.00      0.00      0.00      0.00      0.00      0.00      0.00

DEV 磁盘设备的名称，如果不加-p，会显示dev253-0类似的设备名称，因此加上-p显示的名称更直接
tps：每秒I/O的传输总数
rd_sec/s 每秒读取的扇区的总数
wr_sec/s 每秒写入的扇区的总数
avgrq-sz 平均每次次磁盘I/O操作的数据大小（扇区）
avgqu-sz 磁盘请求队列的平均长度
await 从请求磁盘操作到系统完成处理，每次请求的平均消耗时间，包括请求队列等待时间，单位是毫秒（1秒等于1000毫秒），等于寻道时间+队列时间+服务时间
svctm I/O的服务处理时间，即不包括请求队列中的时间
%util I/O请求占用的CPU百分比，值越高，说明I/O越慢

八、网络使用分析

sar -n #统计网络信息
sar -n选项使用6个不同的开关：DEV，EDEV，NFS，NFSD，SOCK，IP，EIP，ICMP，EICMP，TCP，ETCP，UDP，SOCK6，IP6，EIP6，ICMP6，EICMP6和UDP6 ，DEV显示网络接口信息，EDEV显示关于网络错误的统计数据，NFS统计活动的NFS客户端的信息，NFSD统计NFS服务器的信息，SOCK显示套接字信息，ALL显示所有5个开关。它们可以单独或者一起使用。
1.10.1：sar -n DEV 1 1：每间隔1秒统计一次，总计统计1次，下面的average是在多次统计后的平均值
#IFACE 本地网卡接口的名称
#rxpck/s 每秒钟接受的数据包
#txpck/s 每秒钟发送的数据库
#rxKB/S 每秒钟接受的数据包大小，单位为KB
#txKB/S 每秒钟发送的数据包大小，单位为KB
#rxcmp/s 每秒钟接受的压缩数据包
#txcmp/s 每秒钟发送的压缩包
#rxmcst/s 每秒钟接收的多播数据包

sar -n EDEV 1 1 #统计网络设备通信失败信息：

[root@lgh ~]# sar -n DEV

Linux 2.6.-.el6.x86_64 (lgh)   //      _x86_64_        ( CPU)

:: PM     IFACE   rxpck/s   txpck/s    rxkB/s    txkB/s   rxcmp/s   txcmp/s  rxmcst/s

:: PM        lo     16.00     16.00      1.86      1.86      0.00      0.00      0.00

:: PM      eth0    132.00     25.00     14.28      2.34      0.00      0.00      0.00

:: PM      eth1      0.00      0.00      0.00      0.00      0.00      0.00      0.00

:: PM      eth2      0.00      0.00      0.00      0.00      0.00      0.00      0.00

:: PM      eth3      0.00      0.00      0.00      0.00      0.00      0.00      0.00

Average:        IFACE   rxpck/s   txpck/s    rxkB/s    txkB/s   rxcmp/s   txcmp/s  rxmcst/s

Average:           lo     16.00     16.00      1.86      1.86      0.00      0.00      0.00

Average:         eth0    132.00     25.00     14.28      2.34      0.00      0.00      0.00

Average:         eth1      0.00      0.00      0.00      0.00      0.00      0.00      0.00

Average:         eth2      0.00      0.00      0.00      0.00      0.00      0.00      0.00

Average:         eth3      0.00      0.00      0.00      0.00      0.00      0.00      0.00

IFACE 网卡名称
rxerr/s 每秒钟接收到的损坏的数据包
txerr/s 每秒钟发送的数据包错误数
coll/s 当发送数据包时候，每秒钟发生的冲撞（collisions）数，这个是在半双工模式下才有
rxdrop/s 当由于缓冲区满的时候，网卡设备接收端每秒钟丢掉的网络包的数目
txdrop/s 当由于缓冲区满的时候，网络设备发送端每秒钟丢掉的网络包的数目
txcarr/s 当发送数据包的时候，每秒钟载波错误发生的次数
rxfram 在接收数据包的时候，每秒钟发生的帧对其错误的次数
rxfifo 在接收数据包的时候，每秒钟缓冲区溢出的错误发生的次数
txfifo 在发生数据包的时候，每秒钟缓冲区溢出的错误发生的次数
1.10.3：sar -n SOCK 1 1 #统计socket连接信息

sar -n SOCK 1 1 #统计socket连接信息
totsck 当前被使用的socket总数
tcpsck 当前正在被使用的TCP的socket总数
udpsck 当前正在被使用的UDP的socket总数
rawsck 当前正在被使用于RAW的skcket总数
if-frag 当前的IP分片的数目
tcp-tw TCP套接字中处于TIME-WAIT状态的连接数量
########如果你使用FULL关键字，相当于上述DEV、EDEV和SOCK三者的综合

sar -n TCP 1 3 #TCP连接的统计
active/s 新的主动连接
passive/s 新的被动连接
iseg/s 接受的段
oseg/s 输出的段

sar -n 使用总结

-n DEV ：网络接口统计信息。
-n EDEV ：网络接口错误。
-n IP ： IP数据报统计信息。
-n EIP ： IP错误统计信息。
-n TCP ： TCP统计信息。
-n ETCP ： TCP错误统计信息。
-n SOCK ：套接字使用。

九、进程，文件状态

sar -v #进程、inode、文件和锁表状态，每间隔1秒钟统计一次总共统计三次：#sar -v 1 3

[root@lgh ~]# sar -v

Linux 2.6.-.el6.x86_64 (lgh)   //      _x86_64_        ( CPU)

:: PM dentunusd   file-nr  inode-nr    pty-nr

:: PM

:: PM

:: PM

Average:

dentunusd 在缓冲目录条目中没有使用的条目数量
file-nr 被系统使用的文件句柄数量
inode-nr 已经使用的索引数量
pty-nr 使用的pty数量

###这里面的索引和文件句柄值不是ulimit -a查看到的值，而是sysctl.conf里面定义的和内核相关的值， max-file表示系统级别的能够打开的文件句柄的数量，而ulimit -n控制进程级别能够打开的文件句柄的数量，可以使用sysctl -a | grep inode和sysctl -a | grep file查看，具体含义如下：
file-max中指定了系统范围内所有进程可打开的文件句柄的数量限制(系统级别， kernel-level)。（The value in file-max denotes the maximum number of file handles that the Linux kernel will allocate）。当收到"Too many open files in system"这样的错误消息时，就应该曾加这个值了。

# cat /proc/sys/fs/file-max

# echo  > /proc/sys/fs/file-max

或者

# echo ""fs.file-max=" >> /etc/sysctl.conf

# sysctl -p

file -nr 可以查看系统中当前打开的文件句柄的数量。他里面包括3个数字：第一个表示已经分配了的文件描述符数量，第二个表示空闲的文件句柄数量，第三个表示能够打开文件句柄的最大值（跟file-max一致）。内核会动态的分配文件句柄，但是不会再次释放他们（这个可能不适应最新的内核了，在我的file-nr中看到第二列一直为0，第一列有增有减）
man bash，找到说明ulimit的那一节：提供对shell及其启动的进程的可用资源（包括文件句柄，进程数量， core文件大小等）的控制。这是进程级别的，也就是说系统中某个session及其启动的每个进程能打开多少个文件描述符，能fork出多少个子进程等... 当达到上限时，会报错"Too many open files"或者遇上Socket/File: Can’t open so many files等

十、常用命令

默认监控: sar       //  CPU和IOWAIT统计状态

() sar -b          // IO传送速率

() sar -B          // 页交换速率

() sar -c          // 进程创建的速率

() sar -d          // 块设备的活跃信息

() sar -n DEV      // 网路设备的状态信息

() sar -n SOCK     // SOCK的使用情况

() sar -n ALL      // 所有的网络状态信息

() sar -P ALL      // 每颗CPU的使用状态信息和IOWAIT统计状态

() sar -q          // 队列的长度（等待运行的进程数）和负载的状态

() sar -r         // 内存和swap空间使用情况

() sar -R         // 内存的统计信息（内存页的分配和释放、系统每秒作为BUFFER使用内存页、每秒被cache到的内存页）

() sar -u         // CPU的使用情况和IOWAIT信息（同默认监控）

() sar -v         // inode, file and other kernel tablesd的状态信息

() sar -w         // 每秒上下文交换的数目

() sar -W         // SWAP交换的统计信息(监控状态同iostat 的si so)

() sar -x     // 显示指定进程(2906)的统计信息，信息包括：进程造成的错误、用户级和系统级用户CPU的占用情况、运行在哪颗CPU上

() sar -y         // TTY设备的活动状态

() 将输出到文件(-o)和读取记录信息(-f)