日常运维管理技巧四（查看网卡流量 sar）_rxpck/s换算成m

四、sar命令监控系统状态

sar是一个非常全面的分析系统状态的命令，主要用来查看网卡的流量。它同样可以查看你的CPU、内存、磁盘的状态，它被称为linux系统中的瑞士军刀，也就是它的命令非常复杂和丰富。与其他系统状态监控工具不同，它可以打印历史信息，可以显示当天从零点开始到当前时刻的系统状态信息。

如果没有这个命令，可以通过  yum install -y sysstat来安装。

安装完这个命令，首次使用这个命令会出现如下错误，那是因为sar工具还没有生成相应的数据库文件（无需时时监控，因为不用去查询那个库文件）。

如果sar不加参数的话，它会调用系统里面保留的历史文件。

/var/log/sa/ 这个目录就是它生成的历史文件所在的目录，什么叫历史文件呢？因为sar有一个特性，每10分钟会把系统的状态过滤一遍，抓一边保存在文件里，这个文件就存在上面的目录里。

这个命令要想用，需要加上合适的选项和参数，如果要查看网卡的流量，需要使用如下命令：

sar -n DEV 1 5   这个用法和vmstat的用法类似，就是每隔1秒钟显示1次，总共显示5次结束。

IFACE表示网卡的名字。

rxpck/s和txpck/s表示每秒钟的包的数量，单位是个。rx是receive的简写，代表收取的，tx代表发送的，transmit。

rxkB/s这一列表示每秒收取的数据量（单位是KB）

txkB/s这一列表示每秒发送的数据量。

一个网站如果遭到攻击，它会发送很多的数据包给你的网站，意味着你要接受很多的数据包。量很大的话，意味着你的网卡承担不了，最终导致网络堵塞，你的网站不能打开。

那多少包合适呢？

有时候也要关注网卡是否跑满，比如你的公司买了一个机柜，分配了一些带宽（比如说100M），100M不大，如果换算成常规理解的就是12.5M/s,也不是很大。如果有几个人同时下载的话，很快就占满了。如果rxpck/s的数据包有几千是正常的，如果有几万的话，就不正常了。有几万，几十万的话，就是被攻击了。如果被攻击了，可以看rxpck/s的数据包有多少，这个不太确定，需要用抓包工具。

使用如下命令可以查看某一天的网卡流量：

sar -n DEV -f /var/log/sa/sarn，n代表具体的日期

数据在这个目录下最多保留一个月

sar -q是查看服务器在过去的某个时间的负载情况，可以看到历史的负载情况。

sar -b是查看磁盘的读写情况