Linux网络监控工具大点兵

网络通讯Linux中最基本基本的性能之一，很多是时刻咱们须要失掉Linux的网络消息。Linux中存在很多网络监控工具，本文就给大家引见一下，Linux经常出现的网络监控工具。

Netstat是Linux下全能的网络监控工具，可以监控主机网络数据包统计消息以及网卡消息的命令行工具。它可以显示网络衔接，路由表以及许多网络接口和网络协定统计消息。netstat在很很多发行版是自动装置的，比如Centos6等在centos 7，8下自动是用iptraf2 的ss来取代它，自动不在装置。然而可以装置。

Ubuntu和Debian用户可以经常使用自动的apt软件包治理器装置。Netstat命令式软件包net-tools的一局部。并且可以经过在shell或终端中运转以下命令来装置：

CentOS，Fedora和RHEL用户可以经常使用yum软件包治理器：

装置后，运转以下命令，即可经常使用Netstat监督网络数据包统计消息：

netstat最罕用的方法：

用来检查本机运行监听的消息，包括监听的网络、端口和程序称号及其Pid

要实时检查本机的网络衔接状况，须要经常使用参数-a

可以列出的网络衔接的本地IP和端口，以及远程端的IP和端口，以及网络衔接状况，可以以此统计各个形态的链接状况，以此来剖析服务的肥壮性、启动网络调优(性能内核网络参数)，缺点排查等。借助一个单行命令，可以列出各个TCP衔接形态的数量：

netstat 更罕用的一个方法是，用它检查本机网络(卡)性能状况,其成果和ifconfig一样：

netstat的更多用法，咱们可以间接检查器经常使用手册(这适用于一切的Linux命令)，方法是在shell或终端中输入man netstat即可：

iproute2提供的SS命令是很多发行版用于取代netstat的新一代网络工具，其失掉消息更快，在网络访问量很大的机器上经常使用ss可以更快的失掉链接状况。

iproute2在很多自动发行版本中可以，也经常使用以下命令经常使用包治理器轻松装置:

SS的经常使用方法，man ss可以失掉消息

在主机衔接数很大时刻，对比netstat，ss统计十分快。关键要素是ss的成功中应用了TCP协定栈中tcp_diag模块，可以间接从内核取得关系网络消息。而netstat是经过读取/proc/net/tcp消息，而后统计计算的，比拟慢。

ss支持挑选语法，比如上方：

可以依据其余字段启动挑选，比如列出本机(127.0.0.1)的衔接，可以用

网络流量统计

假设要按主机的网络带宽经常使用状况，通常可以经常使用iftop。iftop在指定网卡，假设未指定该接口，则显示一切网络流量，并按主机对显示带宽经常使用状况表。

在该统计窗口，按h，可以取得协助消息：

可经过发行版包治理装置iftop：

经常使用以下命令经常使用yum在计算机上装置iftop

nethogs是一个收费的网络统计工具。nethogs可以依据进程PID来统计网络流量，由于它按进程对带宽启动分组，而不是像大少数工具一样按协定或子网来统计。nethogs性能丰盛，同时支持IPv4和IPv6，当要统计Linux主机带宽占用消息时，它是最好的适用程序。nethogs也经常使用发行版包装置间接装置。

linux用户可以经常使用nethogs显示每个进程的TCP下载和上传速度，经过经常使用命

nload是一个控制台运行程序，可用于实时监督网络流量和带宽经常使用状况，并且经过提供两个易于了解的图表来可视化流量。

nload经常使用十分繁难，间接经常使用nload启动即可，无需额外的命令行选项。还提供了监控时在网卡间接切换的快捷键，可以经过按左右箭头键来显示不同网口的流量统计。

nload工具提供的图形十分易于了解，提供最有用的统计消息和其余消息，例如传输的数据总量和最小/最大网络经常使用率。

slurm有一个十分好用的网络负载监督工具，它结果显示十分精练而且还支持许多交互快捷键，例如c切换到经典形式，s切换到宰割图形式，r从新绘制屏幕，L到启用TX/ RX led，m可以在经典宰割视图和大视图之间切换，q可以分开。

slurm在Ubuntu和Debian系官网仓库中可用，用户可以经常使用apt install命令轻松下载它，如下所示。

5. collectl

collectl可用于搜集形容系统形态的数据，并且支持以记载形式和播放形式。

collectl 可以间接启动就能运转，可以显示系统CPU，磁盘和网络的统计消息：

可以经过-s选项制订须要统计的消息：

例如统计详细的网络消息，可以经常使用collectl -sN

collectl是一个十分综合和弱小的工具，限于篇幅本文不在倒退，无时机可以专门予以引见。

6. Speedometer

Speedometer是一个小型且繁难的工具，它仅经过给定网口绘制下行和上传流量图。Speedometer可以经常使用发行版治理器经过以下命令轻松装置：

speedometer经常使用十分繁难，可以间接的命令行或许终端中启动

7. tcptrack

tcptrack显示在给定的网络接口上看到的TCP衔接的形态。tcptrack监督它们的形态，并在排序后的降级列表中显示诸如形态，源/指标地址和带宽经常使用状况之类的消息，

tcptrack须要以root权限或超级用户身份运转，须要经常使用要监督其TCP衔接的网口称号口头：

假设要特定端口，可以在网卡称号用port指明详细端口：

tcptrack 还支持读取网络抓包.pcap格局的包，并启动统计，间接显示或许，或许保留为文件。

三、网络抓包

TCPDump是用于对网络监控，网络包抓取工具。经常使用tcpdump经过抓包用于调试网络或主机关系的疑问。

tcpdump在Debian的自动存储库Ubuntu中可用，因此，咱们可以繁难地经常使用aptmanager来以sudo特权启动装置。为此，咱们须要在Shell或终端中运转以下命令。

tcpdump 须要以root权限或超级用户身份运转，假设要监控TCP衔接的网络eth0：

可以经过-i指定详细网口，也可以经过port来指定端口(比如web 80)

tcp抓包可以抓包结果保留为pcap文件，而后用其余工具启动后续剖析，比如用Wireshark工具启动剖析：

tcpflow也是一个命令行网络抓包程序，用于捕捉作为TCP衔接(流一局部传输的数据，并以便于协定剖析或调试的形式存储数据。它重建实践的数据流，并将每个流存储在独自的文件中，以供剖析。它了解TCP序列号，并且将正确地重建数据流，而不论重传或无序传递。与tcpdump同，tcpflow是以流为单位显示数据内容，而tcpdump以包为单位显示数据。用tcpflow剖析会更方便。tcpflow自动是不在终端打印消息，而是在以源ip.端口-目的ip.端口为文件名在文件夹下创立文件显示消息。可以经常使用-cp间接的终端打印包消息。

可以用-i制订特定网口 port制订特定端口,比如：

3. wireshark和tshark

wireshark图形界面工具预计很多同窗都相熟，限于篇幅，咱们不再引见。而要引见的是wireshark的命令行兄弟tshark：

tshark装置可以经常使用发行版包治理器装置：

tshark经常使用很繁难，间接用命令启动即可：

tshark和tcpdump一样具备很弱小的性能和各种过滤选项，本文不在详细引见，此处列出两个罕用的例子供大家参考：

抓包http协定流：

解释：

捕捉数据库主机上的，sql查问语句，可以用来做数据库审计：

解释：

Nagios网络监控

Nagios是上游的开源性能弱小的监控诉警系统，可让网络/系统治理员在影响关键业务流程之前识别和处置与主机关系的疑问。经常使用Nagios系统，治理员可以在一个窗口中监督远程Linux，Windows，交流机，路由器和打印机。依据设置的阈值，对超标的主机和监控名目启动告警，而后针对详细疑问启动排查。。

Nagios有一个Web界面，其中有优惠的图形监督器。界面。假设在远程计算机上，请用您的IP地址交流localhost。而后输入用户名并经过，而后，咱们将看到如下所示的消息。

论断

本文虫虫给大家引见了Linux在下的网络监控工具，每个工具都有其特定的性能和选项，要了解网络消息、系统性能和网络链接状况可以经常使用Netstat和SS，要了解哪个进程在消耗网络带宽，可以经常使用nethogs，而iftop可以显示每个Socket衔接的带宽，nload等工具可以统计全体带宽的经常使用状况，tcpdump、tcpflow和tshark可用来抓包剖析。