Chinaunix首页 | 论坛 | 博客

w787815的ChinaUnix博客

首页 |  博文目录 |  关于我

w787815

  • 博客访问: 380915
  • 博文数量: 114
  • 博客积分: 0
  • 博客等级: 民兵
  • 技术积分: 1219
  • 用 户 组: 普通用户
  • 注册时间: 2015-02-07 21:23
文章分类

全部博文(114)

文章存档

2018年(1)

2017年(5)

2016年(87)

2015年(21)

我的朋友
最近访客
推荐博文
相关博文
庖丁解牛获取连接状态数的awk数组命令系列

分类: 系统运维

2016-04-07 15:05:56


  2. 一、生产服务器netstat tcp连接状态

  4. 1.1生产服务器某个业务LVS负载均衡上连接状态数量

  6. [oldboy@LVS-1-1 ~]$ netstat -n |awk '/^tcp/ {++oldboy[$NF]} END {for(a in oldboy) print a, oldboy[a]}'
  7. TIME_WAIT 9137
  8. CLOSE_WAIT 207
  9. FIN_WAIT1 547
  10. ESTABLISHED 597
  11. FIN_WAIT2 74
  12. SYN_RECV 70
  13. CLOSING 55
  14. LAST_ACK 8
  15. [root@lvs_nginx~]#netstat -n |awk '/^tcp/ {++oldboy[$NF]} END {for(a in oldboy) print a, oldboy[a]}'
  16. TIME_WAIT 422
  17. CLOSE_WAIT 590
  18. FIN_WAIT1 56
  19. FIN_WAIT2 28
  20. ESTABLISHED 1731
  21. 1.2生产服务器某个业务web上连接状态数量

  23. [root@web1 ~]# netstat -n |awk '/^tcp/ {++oldboy[$NF]} END {for(a in oldboy) print a, oldboy[a]}'
  24. TIME_WAIT 418
  25. FIN_WAIT1 7
  26. FIN_WAIT2 3
  27. ESTABLISHED 1097
  28. LAST_ACK 2

  30. [root@web2 ~]# netstat -n |awk '/^tcp/ {++oldboy[$NF]} END {for(a in oldboy) print a, oldboy[a]}'
  31. TIME_WAIT 250
  32. FIN_WAIT1 2
  33. FIN_WAIT2 3
  34. ESTABLISHED 1032
  35. LAST_ACK 2

  37. [root@old_web ~]# netstat -n |awk '/^tcp/ {++oldboy[$NF]} END {for(a in oldboy) print a, oldboy[a]}'
  38. TIME_WAIT 342
  39. CLOSE_WAIT 618
  40. FIN_WAIT1 37
  41. FIN_WAIT2 3
  42. ESTABLISHED 1681
  43. SYN_RECV 1
  44. [root@K32_50718 ~]# netstat -n |awk '/^tcp/ {++oldboy[$NF]} END {for(a in oldboy) print a, oldboy[a]}'
  45. TIME_WAIT 4146
  46. FIN_WAIT1 352
  47. FIN_WAIT2 1112
  48. ESTABLISHED 8451
  49. SYN_RECV 186
  50. CLOSING 9
  51. LAST_ACK 102
  52. 1.3 生产服务器某个业务db上连接状态数量

  54. [root@web_slave ~]# netstat -n |awk '/^tcp/ {++oldboy[$NF]} END {for(a in oldboy) print a, oldboy[a]}'
  55. TIME_WAIT 263
  56. FIN_WAIT1 1
  57. FIN_WAIT2 48
  58. ESTABLISHED 918


  1. 二、tcp连接状态的描述说明(netstat输出)

  3. 2.1 执行netstat -n查看输出结果共6列

  5. [root@OLDBOY ~]# netstat -n
  6. Active Internet connections (w/o servers)
  7. Proto Recv-Q Send-Q Local AddressForeign AddressState
  8. tcp00 10.0.0.183:5058410.0.0.181:22ESTABLISHED
  9. 2.2 通过man netstat查看netstat输出结果信息

  1. 三、庖丁解牛获取连接状态数的命令
  2. 3.1 获取连接状态数的awk命令
  3. netstat -n |awk '/^tcp/ {++S[$NF]} END {for(a in S) print a, S[a]}'
  4. 提示:将netstat -n的结果通过管道符交给awk命令处理。
  5. 3.2先来执行下netstat -n
  6. [oldboy@LVS-1-1 ~]$ netstat -n|more #截取部分有代表性的内容如下
  7. Active Internet connections (w/o servers)
  8. Proto Recv-Q Send-Q Local AddressForeign AddressState
  9. tcp00 124.123.3.79:80219.85.194.23:12004SYN_RECV
  10. tcp00 124.123.3.77:80183.8.74.57:3276SYN_RECV
  11. tcp00 124.123.3.77:80124.236.0.214:63191SYN_RECV
  12. tcp00 124.123.3.77:80221.237.233.41:2338TIME_WAIT
  13. tcp01023 124.123.3.77:8061.178.184.222:62683FIN_WAIT1
  14. tcp00 124.123.3.77:80222.79.242.74:7416TIME_WAIT
  15. tcp04839 124.123.3.77:80121.31.42.148:30638FIN_WAIT1
  16. tcp00 124.123.3.77:80183.10.154.60:37282TIME_WAIT
  17. tcp01 124.123.3.77:8059.49.174.176:26913CLOSING
  18. tcp00 124.123.3.77:80120.87.129.35:1787TIME_WAIT
  19. tcp0174 124.123.3.77:80120.71.134.66:1165CLOSING
  20. 提示:实际执行这条命令的时候,可能会得到上万条类似的记录,我们只取若干来举例。
  21. 3.3拆解awk命令

  23. 1)完整命令如下
  24. netstat -n |awk '/^tcp/ {++S[$NF]} END {for(a in S) print a, S[a]}'
  25. 2)awk庖丁解牛
  26. 命令拆分
  27. 功能说明
  28. /^tcp/
  29. 过滤出以tcp开头的行,“^”为正则表达式用法,以...开头,这里是过滤出以tcp开头的行。
  30. S[]
  31. 定义了一个名叫S的数组,在awk中,数组下标通常从 1 开始,而不是 0。
  32. NF
  33. 当前记录里域个数,默认以空格分隔,如上所示的记录,NF域个数等于6
  34. $NF
  35. 表示一行的最后一个域的值,如上所示的记录,$NF也就是$6,表示第6个字段的值,也就是SYN_RECV或TIME_WAIT等。
  36. S[$NF]
  37. 表示数组元素的值,如上所示的记录,就是S[TIME_WAIT]状态的连接数
  38. ++S[$NF]
  39. 表示把某个数加一,如上所示的记录,就是把S[TIME_WAIT]状态的连接数加一
  40. END

  42. for(key in S)
  43. 遍历S[]数组
  44. print key,”\t”,S[key]
  45. 打印数组的键和值,中间用\t制表符分割,显示好一些。
  46. 3)举个小例子练手
  47. 已知test.txt内容:
  48. 001 name wodi12k
  49. 002 name yingsui 15k
  50. 003 name jeacen10k
  51. 004 name kuqi8k
  52. 005 name yideng10k
  53. 006 name xiaofan8k
  54. 要求:统计老男孩培训学生中,不同薪水的学生的数量报表。
  55. [oldboy@test ~]$ cat test.txt |awk '/^00/ {++S[$NF]} END {for (a in S) print a,S[a]}'
  56. 15k 1
  57. 8k 2
  58. 10k 2
  59. 12k 1
  60. 提示:模拟前面的awk命令,过滤以00开头的行,然后进行处理。
  61. 上述awk数组元素内容:
  62. key=12k S[12K]=1
  63. key=15k S[15K]=1
  64. key=10k S[10K]=2
  65. key=8kS[8K]=2
  66. [oldboy@test ~]$ awk '/^00/ {++S[$NF]} END {for (a in S) print a,S[a]}' test.txt
  67. 15k 1
  68. 8k 2
  69. 10k 2
  70. 12k 1
  71. 提示:awk可以直接处理文本,因此,不需要去cat,不但不专业,而且内容多时,影响处理效率。

  1. 四、awk数组命令生产实战拓展
  2. 4.1统计apache日志单ip访问请求数排名(这个常用,考试也常考)
  3. 假设apache日志内容access.log内容为:
  4. 10.0.0.41 - - [03/Dec/2010:23:27:01 +0800] "HEAD /checkstatus.jsp HTTP/1.0" 200 -
  5. 10.0.0.43 - - [03/Dec/2010:23:27:01 +0800] "HEAD /checkstatus.jsp HTTP/1.0" 200 -
  6. 10.0.0.42 - - [03/Dec/2010:23:27:01 +0800] "HEAD /checkstatus.jsp HTTP/1.0" 200 -
  7. 10.0.0.46 - - [03/Dec/2010:23:27:02 +0800] "HEAD /checkstatus.jsp HTTP/1.0" 200 -
  8. 10.0.0.42 - - [03/Dec/2010:23:27:02 +0800] "HEAD /checkstatus.jsp HTTP/1.0" 200 -
  9. 10.0.0.47 - - [03/Dec/2010:23:27:02 +0800] "HEAD /checkstatus.jsp HTTP/1.0" 200 -
  10. 10.0.0.41 - - [03/Dec/2010:23:27:02 +0800] "HEAD /checkstatus.jsp HTTP/1.0" 200 -
  11. 10.0.0.47 - - [03/Dec/2010:23:27:02 +0800] "HEAD /checkstatus.jsp HTTP/1.0" 200 -
  12. 10.0.0.41 - - [03/Dec/2010:23:27:03 +0800] "HEAD /checkstatus.jsp HTTP/1.0" 200 -
  13. 10.0.0.46 - - [03/Dec/2010:23:27:03 +0800] "HEAD /checkstatus.jsp HTTP/1.0" 200 -
  14. 4.1.1 给出3种解决方案

  16. 法一:
  17. [root@oldboy /]# awk '{++S[$1]} END {for (oldboy in S) print oldboy ,S[oldboy]}' access.log |sort -rn -k2
  18. 10.0.0.41 3
  19. 10.0.0.47 2
  20. 10.0.0.46 2
  21. 10.0.0.42 2
  22. 10.0.0.43 1
  23. #提示 $1为第一个域的内容。-k2 为对第二个字段排序,即对数量排序。
  24. 法2:
  25. [root@oldboy /]# awk '{print $1}' access.log|sort|uniq -c |sort -rn -k1
  26. 3 10.0.0.41
  27. 2 10.0.0.47
  28. 2 10.0.0.46
  29. 2 10.0.0.42
  30. 1 10.0.0.43
  31. 提示:这个方法是容易想到的简单易用的方法,对于大多数同学来说,此法其实更适合大家,awk数组的方法看起来好,实际上对于初级运维来来说有点难度,经常记不住。
  32. 法3:
  33. [root@oldboy /]# sed's/- -.*$//g' access.log|sort|uniq -c|sort -rn -k1
  34. 3 10.0.0.41
  35. 2 10.0.0.47
  36. 2 10.0.0.46
  37. 2 10.0.0.42
  38. 1 10.0.0.43
  39. 提示:sed管道后的第一个sort是让所有一样的IP挨着,因为uniq -c只能对相邻的IP行去重计数。
  40. 此题的解答可以有10几种,前面的课程我们已经带大家细讲了,这里就不一一讲解了。
  41. 4.1.2统计apache日志单ip访问请求数排名价值何在?

  43. 解答:通过前面的命令,我们可以找到什么IP的访问apache比较频繁,一般单个IP访问数量过百,就值得怀疑了,如果短时间内上万PV访问,说明就不正常了,可以采取相应的处理手段,比如封掉此IP,此法要慎重,否则,可能会有误封问题,因为,国内的大多数公司还是NAT上网的,出口一个IP。
  44. 4.2 统计服务器当前单IP连接数最大的IP地址前十

  46. 提示:这个命令可以查出遭受DOS攻击的客户端IP地址。待处理内容如下:
  47. netstat -n >test.log的结果:
  48. Active Internet connections (w/o servers)
  49. Proto Recv-Q Send-Q Local AddressForeign AddressState
  50. tcp00 124.123.3.79:80219.85.194.23:12004SYN_RECV
  51. tcp00 124.123.3.77:80183.8.74.57:3276SYN_RECV
  52. tcp00 124.123.3.77:80124.236.0.214:63191SYN_RECV
  53. tcp00 124.123.3.77:80121.31.42.148:2338TIME_WAIT
  54. tcp01023 124.123.3.77:8061.178.184.222:62683FIN_WAIT1
  55. tcp00 124.123.3.77:80222.79.242.74:7416TIME_WAIT
  56. tcp04839 124.123.3.77:80121.31.42.148:30638FIN_WAIT1
  57. tcp00 124.123.3.77:80183.10.154.60:37282TIME_WAIT
  58. tcp01 124.123.3.77:8059.49.174.176:26913CLOSING
  59. tcp00 124.123.3.77:80121.31.42.148:1787TIME_WAIT
  60. tcp0174 124.123.3.77:80183.8.74.57:1165CLOSING
  61. 4.2.1 问题解决方案

  63. [root@OLDBOY ~]# awk-F '[ :]+' '{++S[$6]} END {for (a in S) print a ,S[a]}' test.log |sort -rn -k2
  64. 121.31.42.148 3
  65. 183.8.74.57 2
  66. Foreign 1
  67. 61.178.184.222 1
  68. 59.49.174.176 1
  69. 222.79.242.74 1
  70. 219.85.194.23 1
  71. 183.10.154.60 1
  72. 124.236.0.214 1
  73. 提示:
  74. 1)结果中的字符等,你可以进一步过滤。
  75. 2) 对于多分隔符匹配的用法大家可以参考老男孩的博文
  76. 深入浅出三剑客之awk必杀技一例
  77. http://oldboy.blog.51cto.com/2561410/950730
  78. 3)实际生产中,我们过滤出已经建立连接的状态ESTABLISHED,然后,应用上述命令处理,完整命令可能为:
  79. netstat -an|awk-F '[ :]+' '{++S[$6]} END {for (a in S) print a ,S[a]}'|sort -rn -k2
  80. 4.2.2 生产环境案例

  82. [leo@LVS-1-1 ~]$ netstat -an|grep EST|awk '{print $5}'|cut -d : -f 1|grep -v "^$"|awk '{++ETT[$1]} END {for (oldboy in ETT) print "ip:"oldboy "-----",ETT[oldboy] ''}'|sort -rn -k2|head -10
  83. ip:220.181.125.69----- 51
  84. ip:121.9.222.164----- 38
  85. ip:121.9.222.158----- 38
  86. ip:121.9.222.156----- 38
  87. ip:121.9.222.161----- 36
  88. ip:121.9.222.160----- 32
  89. ip:121.9.222.159----- 32
  90. ip:121.9.222.162----- 31
  91. ip:61.163.7.200----- 29
  92. ip:115.193.163.61----- 27
  93. 提示:这是早期的命令案例,我们看到命令虽然很简单,但是搞的很复杂。实际上可以用下面看起来简单,但是难度很大的命令替代之。
  94. netstat -an|grep EST|awk-F '[ :]+' '{++S[$6]} END {for (key in S) print "ip:"key"----->",S[key]}'|sort -rn -k2
  95. 注意,这里过滤的是已经建立连接的的连接,即状态ESTABLISHED。
  96. 4.2.3 本案例解决的生产问题

  98. netstat -an|grep EST|awk-F '[ :]+' '{++S[$6]} END {for (key in S) print "ip:"key"----->",S[key]}'|sort -rn -k2
  99. 注意,这里过滤的是已经建立连接的的连接,即状态ESTABLISHED。
  100. 对于命令结果中,单IP结尾的数大的,可以认为是不正常的访问。如 121.31.42.148 100 ,表示一个IP有100个连接
  101. 一般来说可以怀疑不正常,当网站压力大时,可以考虑限制或封掉这些冒似非法IP,当然,也不排除,企业里多个用户用一个出口IP访问。
  102. 壮士扼腕,有时也是必须的,否则,可能网站整体影响更大,甚至瘫痪。有时,各种搜索引擎的爬虫是很疯狂的,通过本例及上面的案例,我们可以再负载IO高时,能够进行临时应对,当然,这不是长久的方法,优化网络和服务器,部署大规模集群服务器才是较好的解决之道。



转载http://oldboy.blog.51cto.com/2561410/1184165


阅读(903) | 评论(0) | 转发(0) |
0

上一篇:cron和crontab

下一篇:深入浅出LINUX三剑客之SED必杀技一例

给主人留下些什么吧!~~
关于我们 | 关于IT168 | 联系方式 | 广告合作 | 法律声明 | 免费注册

Copyright 2001-2010 ChinaUnix.net All Rights Reserved 北京皓辰网域网络信息技术有限公司. 版权所有

感谢所有关心和支持过ChinaUnix的朋友们

16024965号-6