詳解Linux使用ss命令結合zabbix對socket做監控

Posted on by

前言

這裡我們使用zabbix對其進行監控,使用的是ss命令,不使用netstat命令,因為ss的速度快很多,不信的話可以去測一下哈,一臺機器的socket越多,對比越明顯。而且ss命令能顯示更多的內容,其實我對這兩個命令不是特別的熟悉,通過man ss可以看到:

一、ss命令

ss命令用於顯示socket狀態. 他可以顯示PACKET sockets, TCP sockets, UDP sockets, DCCP sockets, RAW sockets, Unix domain sockets等等統計. 它比其他工具展示等多tcp和state信息. 它是一個非常實用、快速、有效的跟蹤IP連接和sockets的新工具.SS命令可以提供如下信息:

  • 所有的TCP sockets
  • 所有的UDP sockets
  • 所有ssh/ftp/ttp/https持久連接
  • 所有連接到Xserver的本地進程
  • 使用state(例如:connected, synchronized, SYN-RECV, SYN-SENT,TIME-WAIT)、地址、端口過濾
  • 所有的state FIN-WAIT-1 tcpsocket連接以及更多

很多流行的Linux發行版都支持ss以及很多監控工具使用ss命令.熟悉這個工具有助於您更好的發現與解決系統性能問題.本人強烈建議使用ss命令替代netstat部分命令,例如netsat -ant/lnt等

直接ss命令

對上面解釋一波:

Netid #socket類型,在上面的例子中,有 TCP、u_str(unix流)等套接字
State #套接字處於什麼狀態,下面是TCP套接字的所有狀態及說明, 實際上就是TCP的三次握手和四次揮手的所有狀態
Recv-Q #在 ESTAB 狀態下,表示內核中還有多少字節的數據沒有被上層應用讀取,如果這裡數值很大,應用程序可能發生瞭阻塞
Send-Q #在 ESTAB 狀態下,表示內核發送隊列中還有多少字節的數據沒有收到確認的ACK,如果這個數值很大,表明接收端的接收以及處理需要加強
Local Address:Port #本地地址和端口
Peer Address:Port #遠程地址和端口

然後我們接著看上面的state有哪些呢,如果特別熟悉網絡的人應該很懂,至少我現在是不是特別熟悉,三次握手和四次揮手的狀態:

LISTEN #服務端偵聽套接字等待客戶端的連接
SYN-SENT #客戶端已發送套接字連接請求報文,等待連接被服務器接收
SYN-RECEIVED #服務器端接收連接請求報文後,等待客戶端的確認連接的回復報文
ESTABLISHED #服務端和客戶端之間成功建立瞭一條有效的連接,可以互相傳輸數據
FIN-WAIT-1 #服務器或客戶端調用close函數主動向對方發出終止連接的請求報文,同時等待對方確認終止連接的回復報文
FIN-WAIT-2 #主動關閉連接端收到對方確認終止連接的回復報文,同時等待對方連接終止的請求報文,這時的狀態是TCP連接的半關閉狀態,可以接受數據,但是不能發送數據
CLOSE-WAIT #被動關閉端收到主動關閉端終止連接的請求報文後,向主動關閉端發送確認終止連接的回復報文,同時被動關閉端等待本地用戶終止連接,這時被動關閉端的狀態是TCP連接的半關閉狀態,可以發送數據,但是不能接收數據
CLOSING #服務器和客戶端同時向對方發送終止連接(調用close函數)請求報文,並且雙方都是在收到對方發送的終止連接回復報文之前收到瞭對方的發送的終止連接請求報文,這個時候雙方都進入瞭CLOSING狀態,進入CLOSING狀態之後,隻要收到瞭對方對自己終止連接的回復報文,就會進入TIME-WAIT狀態,所以CLOSING狀態的持續時間會特別短,一般很難捕獲到
LAST-ACK #被動關閉端發送完全部數據之後,向主動關閉端發送終止連接的請求報文,等待主動關閉端發送終止連接的回復報文
TIME-WAIT #主動關閉端收到被動關閉端終止連接的請求報文後,給被動關閉端發送終止連接的回復報文,等待足夠時間以確保被動關閉端收到瞭主動關閉段發送的終止連接的回復報文
CLOSED #完全沒有連接,套接字連接已經終止瞭

那麼這些狀態ss命令又怎麼對應呢?(後面的是ss命令顯示的狀態信息)

[TCP_ESTABLISHED] = "ESTAB",
[TCP_SYN_SENT] = "SYN-SENT",
[TCP_SYN_RECV] = "SYN-RECV",
[TCP_FIN_WAIT1] = "FIN-WAIT-1",
[TCP_FIN_WAIT2] = "FIN-WAIT-2",
[TCP_TIME_WAIT] = "TIME-WAIT",
[TCP_CLOSE] = "UNCONN",
[TCP_CLOSE_WAIT] = "CLOSE-WAIT",
[TCP_LAST_ACK] = "LAST-ACK",
[TCP_LISTEN] =  "LISTEN",
[TCP_CLOSING] = "CLOSING",

江到這裡其實就可以去做下面的監控瞭,繼續往下看ss命令的使用。

Usage: ss [ OPTIONS ]

       ss [ OPTIONS ] [ FILTER ]

-h, --help 幫助信息
-V, --version 程序版本信息
-n, --numeric 不解析服務名稱
-r, --resolve 解析主機名
-a, --all 顯示所有套接字(sockets)
-l, --listening 顯示監聽狀態的套接字(sockets)
-o, --options 顯示計時器信息
-e, --extended 顯示詳細的套接字(sockets)信息
-m, --memory 顯示套接字(socket)的內存使用情況
-p, --processes 顯示使用套接字(socket)的進程
-i, --info 顯示 TCP內部信息
-s, --summary 顯示套接字(socket)使用概況
-4, --ipv4 僅顯示IPv4的套接字(sockets)
-6, --ipv6 僅顯示IPv6的套接字(sockets)
-0, --packet 顯示 PACKET 套接字(socket)
-t, --tcp 僅顯示 TCP套接字(sockets)
-u, --udp 僅顯示 UCP套接字(sockets)
-d, --dccp 僅顯示 DCCP套接字(sockets)
-w, --raw 僅顯示 RAW套接字(sockets)
-x, --unix 僅顯示 Unix套接字(sockets)
-f, --family=FAMILY 顯示 FAMILY類型的套接字(sockets),FAMILY可選,支持 unix, inet, inet6, link, netlink
-A, --query=QUERY, --socket=QUERY
QUERY := {all|inet|tcp|udp|raw|unix|packet|netlink}[,QUERY]
-D, --diag=FILE 將原始TCP套接字(sockets)信息轉儲到文件
-F, --filter=FILE 從文件中都去過濾器信息
FILTER := [ state TCP-STATE ] [ EXPRESSION ]

重點在下面的監控

二、zabbix監控機器總體的socket情況

做這個監控前可以熟悉下awk命令

這是使用的監控系統為zabbix,我們這裡會結合zabbix的模板(這裡選擇模板是為瞭後期拓展),和自定義腳本的方式進行監控。

2.1、寫腳本

二話不多說上腳本先:

vim tcp_status.sh
#################腳本內容#################
#!/bin/bash
if [ $# -ne 1 ];then
    echo "Follow the script name with an argument "
fi

case $1 in

    LISTEN)
        result=`ss -ant | awk 'NR>1 {a[$1]++} END {for (b in a) print b,a[b]}' | awk '/LISTEN/{print $2}'`
        if [ "$result" == "" ];then
               echo 0
        else
           echo $result
        fi
        ;;

    ESTAB)
        result=`ss -ant | awk 'NR>1 {a[$1]++} END {for (b in a) print b,a[b]}' | awk '/ESTAB/{print $2}'`
        if [ "$result" == "" ];then
               echo 0
        else
           echo $result
        fi
        ;;


    CLOSE-WAIT)
        result=`ss -ant | awk 'NR>1 {a[$1]++} END {for (b in a) print b,a[b]}' | awk '/CLOSE-WAIT/{print $2}'`
        if [ "$result" == "" ];then
               echo 0
        else
           echo $result
        fi
        ;;

    TIME-WAIT)
        result=`ss -ant | awk 'NR>1 {a[$1]++} END {for (b in a) print b,a[b]}' | awk '/TIME-WAIT/{print $2}'`
        if [ "$result" == "" ];then
               echo 0
        else
           echo $result
        fi
        ;;

    SYN-SENT)
        result=`ss -ant | awk 'NR>1 {a[$1]++} END {for (b in a) print b,a[b]}' | awk '/SYN-SENT/{print $2}'`
        if [ "$result" == "" ];then
               echo 0
        else
           echo $result
        fi
        ;;

    SYN-RECV)
        result=`ss -ant | awk 'NR>1 {a[$1]++} END {for (b in a) print b,a[b]}' | awk '/SYN-RECV/{print $2}'`
        if [ "$result" == "" ];then
               echo 0
        else
           echo $result
        fi
        ;;

    FIN-WAIT-1)
        result=`ss -ant | awk 'NR>1 {a[$1]++} END {for (b in a) print b,a[b]}' | awk '/FIN-WAIT-1/{print $2}'`
        if [ "$result" == "" ];then
               echo 0
        else
           echo $result
        fi
        ;;

    FIN-WAIT-2)
        result=`ss -ant | awk 'NR>1 {a[$1]++} END {for (b in a) print b,a[b]}' | awk '/FIN-WAIT-2/{print $2}'`
        if [ "$result" == "" ];then
               echo 0
        else
           echo $result
        fi
        ;;

    UNCONN)
        result=`ss -ant | awk 'NR>1 {a[$1]++} END {for (b in a) print b,a[b]}' | awk '/UNCONN/{print $2}'`
        if [ "$result" == "" ];then
               echo 0
        else
           echo $result
        fi
        ;;

    LAST-ACK)
        result=`ss -ant | awk 'NR>1 {a[$1]++} END {for (b in a) print b,a[b]}' | awk '/LAST-ACK/{print $2}'`
        if [ "$result" == "" ];then
               echo 0
        else
           echo $result
        fi
        ;;

    CLOSING)
        result=`ss -ant | awk 'NR>1 {a[$1]++} END {for (b in a) print b,a[b]}' | awk '/CLOSING/{print $2}'`
        if [ "$result" == "" ];then
               echo 0
        else
           echo $result
        fi
        ;;
 esac

2.2、配置zabbix agent的配置文件

vim  zabbix_agent.conf
##############添加如下內容#################
UnsafeUserParameters=1   #這個參數是自定義腳本需要配置的
UserParameter=tcp.status[*],sh /home/zabbix/tcp_status.sh $1  #這裡就是用來指定剛剛寫的腳本,後面傳一個參數

配置好瞭以後記得重啟zabbix agent

2.3、配置zabbix的模板

往其中添加item,trigger,graph

新增模板,然後往其中添加item,如下圖所示

上圖中key中的tcp.status指的是剛剛在第二步中的配置UserParameter=tcp.status[*],sh /home/zabbix/tcp_status.sh \$1

然後中括號裡面的內容就是\$1進行傳參的參數,具體的參數就是[UNCONN]裡面的UNCONN,這些值對應第一步監控腳本中的case中的每一種情況,到這裡基本上完成瞭,不,還是畫個圖吧,在模板中添加graph,如下圖所示:

還有最重要的一步就是把配置好監控腳本的(第一步)的主機添加到該模板,到此為止這個監控就做完瞭,看個結果圖吧

三、zabbix監控機器來源於各個機器的請求數

這個監控的目的就是看看到底是哪些機器訪問目標機器比較頻繁。

這個監控采用自發現的監控,比上面那個會難一點哈,為啥要選擇自發現的監控呢,因為item不是確定的,這裡選擇:原地址ip和目的ip地址作為item,我們在目的ip地址進行監控,這個是不變的,所以原地址ip值會發生變化,所以這裡采用的是自動生成item的方式進行監控,自動添加和刪除item,其實挺好用的,隻要學會瞭,超級簡單

這裡也是分為三步,寫腳本,配置zabbix_agent.conf文件,配置Discovery

3.1、寫腳本

這裡需要兩個腳本,一個用來做自發現(需要輸出json格式),一個用來做item的)

vim tcp_monitory.sh
##################tcp_monitor.sh##################
#!/bin/bash
#獲取數據輸出到data.txt文件中,格式為:原地址ip:count:目標地址ip
#並且過濾掉count小於200的數據,這裡沒有分socket的狀態,眉毛胡子一把抓瞭,個人可以根據具體的需求改進
ip_addr=`ip addr | grep -w inet | grep -v  "127.0.0.1" | awk '{print $2}'| awk -F "/" '{print $1}'`
ss -ant | awk '{ print $5}'|grep -Ev '127.0.0.1' | cut -d ':' -f4 | awk -v ip_addr=$ip_addr 'NR>1 {++s[$1]} END {for(k in s)if(s[k]>=200){print k,s[k],ip_addr}}' | grep -E  "^([0-9]{1,3}\.){3}[0-9]" > /home/zabbix/data.txt

#執行Python腳本,這是為瞭輸出json格式,
python /home/zabbix/get_json.py

#####################################
#如下是get_json.py的內容
##############get_json.py################
#!/usr/bin/env python
#coding=utf-8
import json

def create_json(path):
    json_list = []
    with open(path) as f:
        for line in f.readlines():
            dict = {}
            split = line.split(" ")
            dict["{#DES_IP}"] = split[0]
            //dict["{#LINK_COUNT}"] = split[1] //這個是可以不要的
            dict["{#SOU_IP}"] = split[2][:-1]
            json_list.append(dict)
    sum = {}
    sum["data"] = json_list
    sum = json.dumps(sum)
    print sum


if __name__ == '__main__':
    path = "/home/zabbix/data.txt"
    create_json(path)

##############分割線:上面的是自發現的腳本###############
##############分割線:下面的是item相關腳本###############
vim  tcp_item.sh
##################tcp_item.sh####################
#!/bin/bash
export LANG="en_US.UTF-8"
path=/home/zabbix/data.txt
count=`cat $path | grep $1 | grep $2 | awk '{print $2}'`
[ 1"$count" -eq 1 ] && echo 0 || echo $count

兩個腳本都搞定瞭,就可以進行zabbix_agent.conf的配置瞭

3.2、配置zabbix_agent.conf文件

在配置文件中新增如下內容:

UnsafeUserParameters=1 #如果已經配置就不需要配置瞭

UserParameter=discovery.tcp_monitor[*],sh /home/zabbix/tcp_monitor.sh #自發現
UserParameter=alert.tcp_count[*],sh /home/zabbix/tcp_item.sh $1 $2 #item,其中$1,$2為item中的傳遞參數,用來區別item的不同

3.3、配置Discovery,配置item,trigger,graph

這裡還是選擇在zabbix的模板上進行配置,現在新增一個Discovery

然後在Discovery上配置item,trigger,graph

配置item:

上面的DES_IP,SOU_IP來源於自發現腳本中的Python腳本,用於輸出的格式。alter.tcp_count是UserParameter=alert.tcp_count[*],sh /home/zabbix/tcp_item.sh \$1 \$2,後面的\$1,\$2與DES_IP,SOU_IP相對應生成唯一確定的item。

item配置完畢後就可以配置trigger瞭:

接下來繼續配置graph瞭

最後把模板添加到機器,然後看結果

以上就是詳解Linux使用ss命令結合zabbix對socket做監控的詳細內容,更多關於Linux ss命令 zabbix socket監控的資料請關註WalkonNet其它相關文章!

推薦閱讀: