四、sar命令監控系統狀態

sar是一個非常全面的分析系統狀態的命令，主要用來檢視網絡卡的流量。它同樣可以檢視你的CPU、記憶體、磁碟的狀態，它被稱為linux系統中的瑞士軍刀，也就是它的命令非常複雜和豐富。與其他系統狀態監控工具不同，它可以列印歷史資訊，可以顯示當天從零點開始到當前時刻的系統狀態資訊。

如果沒有這個命令，可以通過  yum install -y sysstat來安裝。

安裝完這個命令，首次使用這個命令會出現如下錯誤，那是因為sar工具還沒有生成相應的資料庫檔案（無需時時監控，因為不用去查詢那個庫檔案）。

如果sar不加引數的話，它會呼叫系統裡面保留的歷史檔案。

/var/log/sa/ 這個目錄就是它生成的歷史檔案所在的目錄，什麼叫歷史檔案呢？因為sar有一個特性，每10分鐘會把系統的狀態過濾一遍，抓一邊儲存在檔案裡，這個檔案就存在上面的目錄裡。

這個命令要想用，需要加上合適的選項和引數，如果要檢視網絡卡的流量，需要使用如下命令：

sar -n DEV 1 5   這個用法和vmstat的用法類似，就是每隔1秒鐘顯示1次，總共顯示5次結束。

IFACE表示網絡卡的名字。

rxpck/s和txpck/s表示每秒鐘的包的數量，單位是個。rx是receive的簡寫，代表收取的，tx代表傳送的，transmit。

rxkB/s這一列表示每秒收取的資料量（單位是KB）

txkB/s這一列表示每秒傳送的資料量。

一個網站如果遭到攻擊，它會發送很多的資料包給你的網站，意味著你要接受很多的資料包。量很大的話，意味著你的網絡卡承擔不了，最終導致網路堵塞，你的網站不能開啟。

那多少包合適呢？

有時候也要關注網絡卡是否跑滿，比如你的公司買了一個機櫃，分配了一些頻寬（比如說100M），100M不大，如果換算成常規理解的就是12.5M/s,也不是很大。如果有幾個人同時下載的話，很快就佔滿了。如果rxpck/s的資料包有幾千是正常的，如果有幾萬的話，就不正常了。有幾萬，幾十萬的話，就是被攻擊了。如果被攻擊了，可以看rxpck/s的資料包有多少，這個不太確定，需要用抓包工具。

使用如下命令可以檢視某一天的網絡卡流量：

sar -n DEV -f /var/log/sa/sarn，n代表具體的日期

資料在這個目錄下最多保留一個月

sar -q是檢視伺服器在過去的某個時間的負載情況，可以看到歷史的負載情況。

sar -b是檢視磁碟的讀寫情況