我們團(tuán)隊(duì)為上一家公司承擔(dān)運(yùn)維、優(yōu)化和擴(kuò)展工作的時(shí)候，我們碰到了各種不同規(guī)模的性能很差的系統(tǒng)和基礎(chǔ)設(shè)備(大型系統(tǒng)居多，比如 CNN 或者世界銀行的系統(tǒng))。要是再趕上修復(fù)時(shí)間緊、奇葩的技術(shù)平臺(tái)、缺少信息和文檔，基本上這過程都會(huì)慘痛到讓我們留下深刻的記憶。

遇到服務(wù)器故障，問題出現(xiàn)的原因很少可以一下就想到。我們基本上都會(huì)從以下步驟入手：

一、盡可能搞清楚問題的前因后果

不要一下子就扎到服務(wù)器前面，你需要先搞明白對(duì)這臺(tái)服務(wù)器有多少已知的情況，還有故障的具體情況。不然你很可能就是在無(wú)的放矢。

必須搞清楚的問題有：

故障的表現(xiàn)是什么?無(wú)響應(yīng)?報(bào)錯(cuò)?

故障是什么時(shí)候發(fā)現(xiàn)的?

故障是否可重現(xiàn)?

有沒有出現(xiàn)的規(guī)律(比如每小時(shí)出現(xiàn)一次)

最后一次對(duì)整個(gè)平臺(tái)進(jìn)行更新的內(nèi)容是什么(代碼、服務(wù)器等)?

故障影響的特定用戶群是什么樣的(已登錄的， 退出的， 某個(gè)地域的…)?

基礎(chǔ)架構(gòu)(物理的、邏輯的)的文檔是否能找到?

是否有監(jiān)控平臺(tái)可用? (比如 Munin、Zabbix、 Nagios、 New Relic… 什么都可以)

是否有日志可以查看?. (比如 Loggly、Airbrake、 Graylog…)

最后兩個(gè)是最方便的信息來(lái)源，不過別抱太大希望，基本上它們都不會(huì)有。只能再繼續(xù)摸索了。

二、有誰(shuí)在?

$ w$ last

用這兩個(gè)命令看看都有誰(shuí)在線，有哪些用戶訪問過。這不是什么關(guān)鍵步驟，不過最好別在其他用戶正干活的時(shí)候來(lái)調(diào)試系統(tǒng)。有道是一山不容二虎嘛。(ne cook in the kitchen is enough.)

三、之前發(fā)生了什么?

$ history

查看一下之前服務(wù)器上執(zhí)行過的命令。看一下總是沒錯(cuò)的，加上前面看的誰(shuí)登錄過的信息，應(yīng)該有點(diǎn)用。另外作為 admin 要注意，不要利用自己的權(quán)限去侵犯別人的隱私哦。

到這里先提醒一下，等會(huì)你可能會(huì)需要更新 HISTTIMEFORMAT 環(huán)境變量來(lái)顯示這些命令被執(zhí)行的時(shí)間。對(duì)要不然光看到一堆不知道啥時(shí)候執(zhí)行的命令，同樣會(huì)令人抓狂的。

四、現(xiàn)在在運(yùn)行的進(jìn)程是啥?

$ pstree -a
$ ps aux

這都是查看現(xiàn)有進(jìn)程的。 ps aux 的結(jié)果比較雜亂， pstree -a 的結(jié)果比較簡(jiǎn)單明了，可以看到正在運(yùn)行的進(jìn)程及相關(guān)用戶。

五、監(jiān)聽的網(wǎng)絡(luò)服務(wù)

$ netstat -ntlp
$ netstat -nulp
$ netstat -nxlp

我一般都分開運(yùn)行這三個(gè)命令，不想一下子看到列出一大堆所有的服務(wù)。netstat -nalp 倒也可以。不過我絕不會(huì)用 numeric 選項(xiàng) (鄙人一點(diǎn)淺薄的看法：IP 地址看起來(lái)更方便)。

找到所有正在運(yùn)行的服務(wù)，檢查它們是否應(yīng)該運(yùn)行。查看各個(gè)監(jiān)聽端口。在 netstat 顯示的服務(wù)列表中的 PID 和 ps aux 進(jìn)程列表中的是一樣的。

如果服務(wù)器上有好幾個(gè) JAVA 或者 Erlang 什么的進(jìn)程在同時(shí)運(yùn)行，能夠按 PID 分別找到每個(gè)進(jìn)程就很重要了。

通常我們建議每臺(tái)服務(wù)器上運(yùn)行的服務(wù)少一點(diǎn)，必要時(shí)可以增加服務(wù)器。如果你看到一臺(tái)服務(wù)器上有三四十個(gè)監(jiān)聽端口開著，那還是做個(gè)記錄，回頭有空的時(shí)候清理一下，重新組織一下服務(wù)器。

六、CPU 和內(nèi)存

$ free -m
$ uptime
$ top
$ htop

注意以下問題:

還有空余的內(nèi)存嗎? 服務(wù)器是否正在內(nèi)存和硬盤之間進(jìn)行 swap?

還有剩余的 CPU 嗎? 服務(wù)器是幾核的? 是否有某些 CPU 核負(fù)載過多了?

服務(wù)器最大的負(fù)載來(lái)自什么地方? 平均負(fù)載是多少?

七、硬件

$ lspci$ dmidecode
$ ethtool

有很多服務(wù)器還是裸機(jī)狀態(tài)，可以看一下：

找到 RAID 卡 (是否帶 BBU 備用電池?)、 CPU、空余的內(nèi)存插槽。根據(jù)這些情況可以大致了解硬件問題的來(lái)源和性能改進(jìn)的辦法。

網(wǎng)卡是否設(shè)置好? 是否正運(yùn)行在半雙工狀態(tài)? 速度是 10MBps? 有沒有TX/RX 報(bào)錯(cuò)?

八、IO 性能

$ iostat -kx 2
$ vmstat 2 10
$ mpstat 2 10
$ dstat –top-io –top-bio

這些命令對(duì)于調(diào)試后端性能非常有用。

檢查磁盤使用量：服務(wù)器硬盤是否已滿?

是否開啟了 swap 交換模式 (si/so)?

CPU 被誰(shuí)占用：系統(tǒng)進(jìn)程? 用戶進(jìn)程? 虛擬機(jī)?

dstat 是我的最愛。用它可以看到誰(shuí)在進(jìn)行 IO： 是不是 MySQL 吃掉了所有的系統(tǒng)資源? 還是你的 PHP 進(jìn)程?

九、掛載點(diǎn)和文件系統(tǒng)

$ mount
$ cat /etc/fstab
$ vgs
$ pvs
$ lvs
$ df -h
$ lsof +D / /* beware not to kill your box */

一共掛載了多少文件系統(tǒng)?

有沒有某個(gè)服務(wù)專用的文件系統(tǒng)? (比如 MySQL?)

文件系統(tǒng)的掛載選項(xiàng)是什么： noatime? default? 有沒有文件系統(tǒng)被重新掛載為只讀模式了?

磁盤空間是否還有剩余?

是否有大文件被刪除但沒有清空?

如果磁盤空間有問題，你是否還有空間來(lái)擴(kuò)展一個(gè)分區(qū)?

十、內(nèi)核、中斷和網(wǎng)絡(luò)

$ sysctl -a | grep …
$ cat /proc/interrupts
$ cat /proc/net/ip_conntrack /* may take some time on busy servers */
$ netstat$ ss -s

SWAP 交換的設(shè)置是什么?對(duì)于工作站來(lái)說(shuō) swappinness 設(shè)為 60 就很好， 不過對(duì)于服務(wù)器就太糟了：你最好永遠(yuǎn)不要讓服務(wù)器做 SWAP 交換，不然對(duì)磁盤的讀寫會(huì)鎖死 SWAP 進(jìn)程。

conntrack_max 是否設(shè)的足夠大，能應(yīng)付你服務(wù)器的流量?

在不同狀態(tài)下(TIME_WAIT, …) TCP 連接時(shí)間的設(shè)置是怎樣的?

如果要顯示所有存在的連接，netstat 會(huì)比較慢， 你可以先用 ss 看一下總體情況。

你還可以看一下 Linux TCP tuning 了解網(wǎng)絡(luò)性能調(diào)優(yōu)的一些要點(diǎn)。

十一、系統(tǒng)日志和內(nèi)核消息

$ dmesg
$ less /var/log/messages
$ less /var/log/secure
$ less /var/log/auth

看看是否有硬件錯(cuò)誤或文件系統(tǒng)錯(cuò)誤?

分析是否能將這些錯(cuò)誤事件和前面發(fā)現(xiàn)的疑點(diǎn)進(jìn)行時(shí)間上的比對(duì)。

十二、定時(shí)任務(wù)

$ ls /etc/cron* + cat
$ for user in
$(cat /etc/passwd | cut -f1 -d:); do crontab -l -u
$user; done

是否有某個(gè)定時(shí)任務(wù)運(yùn)行過于頻繁?

是否有些用戶提交了隱藏的定時(shí)任務(wù)?

在出現(xiàn)故障的時(shí)候，是否正好有某個(gè)備份任務(wù)在執(zhí)行?

十三、應(yīng)用系統(tǒng)日志

這里邊可分析的東西就多了， 不過恐怕你作為運(yùn)維人員是沒功夫去仔細(xì)研究它的。關(guān)注那些明顯的問題，比如在一個(gè)典型的 LAMP(Linux+Apache+Mysql+Perl)應(yīng)用環(huán)境里:

Apache & Nginx; 查找訪問和錯(cuò)誤日志， 直接找 5xx 錯(cuò)誤， 再看看是否有 limit_zone 錯(cuò)誤。

MySQL; 在mysql.log 找錯(cuò)誤消息，看看有沒有結(jié)構(gòu)損壞的表， 是否有 innodb 修復(fù)進(jìn)程在運(yùn)行，是否有 disk/index/query 問題.

PHP-FPM; 如果設(shè)定了 php-slow 日志， 直接找錯(cuò)誤信息 (php, mysql, memcache, …)，如果沒設(shè)定，趕緊設(shè)定。

Varnish; 在varnishlog 和 varnishstat 里, 檢查 hit/miss 比. 看看配置信息里是否遺漏了什么規(guī)則，使最終用戶可以直接攻擊你的后端?

HA-Proxy; 后端的狀況如何?健康狀況檢查是否成功?是前端還是后端的隊(duì)列大小達(dá)到最大值了?

結(jié)論

經(jīng)過這 5 分鐘之后，你應(yīng)該對(duì)如下情況比較清楚了：

在服務(wù)器上運(yùn)行的都是些啥?

這個(gè)故障看起來(lái)是和 IO/硬件/網(wǎng)絡(luò)或者系統(tǒng)配置 (有問題的代碼、系統(tǒng)內(nèi)核調(diào)優(yōu)， …)相關(guān)。

這個(gè)故障是否有你熟悉的一些特征?比如對(duì)數(shù)據(jù)庫(kù)索引使用不當(dāng)，或者太多的 apache 后臺(tái)進(jìn)程。

你甚至有可能找到真正的故障源頭。就算還沒有找到，搞清楚了上面這些情況之后，你現(xiàn)在也具備了深挖下去的條件。繼續(xù)努力吧!