在服务器上排除问题的头五分钟 linux 排查

 列出登入系统失败的用户相关信息(可以看暴力破解次数)

[root@javaServer ~]# lastb
root  ssh:notty 192.168.1.216 Tue Dec 4 09:01 - 09:01 (00:00) 
root  ssh:notty 192.168.1.216 Tue Dec 4 09:00 - 09:00 (00:00) 
root  ssh:notty 192.168.1.216 Tue Dec 4 09:00 - 09:00 (00:00) 
root  ssh:notty 192.168.1.216 Tue Dec 4 08:59 - 08:59 (00:00) 
root  ssh:notty 192.168.1.216 Tue Dec 4 08:58 - 08:58 (00:00) 
root  ssh:notty 192.168.1.216 Mon Dec 3 14:52 - 14:52 (00:00) 
root  ssh:notty 192.168.1.46  Mon Dec 3 11:35 - 11:35 (00:00) 

btmp begins Mon Dec 3 11:35:47 2018

 显示谁在登录和他们在做神马

[root@iZ28d4k95vxZ ~]# w
 10:01:47 up 271 days, 18:32, 3 users, load average: 0.24, 0.17, 0.16
USER  TTY  LOGIN@ IDLE JCPU PCPU WHAT
root  pts/0  08:08 1:52m 0.05s 0.05s -bash
root  pts/1  08:20 1:22m 29.82s 0.10s -bash
root  pts/2  09:35 3.00s 0.09s 0.09s -bash

 显示谁在登录

[root@iZ28d4k95vxZ ~]# who
root  pts/0  2016-10-11 08:08 (42.122.143.49)
root  pts/1  2016-10-11 08:20 (42.122.143.49)
root  pts/2  2016-10-11 09:35 (42.122.143.49)

 显示已登录用户数

[root@iZ28d4k95vxZ ~]# who -q
root root root
# users=3

 显示已登录用户详细信息

[root@localhost ~]# who -a
   system boot 2016-10-08 11:15
   run-level 3 2016-10-08 11:15
LOGIN  tty1   2016-10-08 11:15    2770 id=tty1
root  + pts/0  2016-10-19 16:58 .   19195 (192.168.1.216)
   pts/1  2016-10-11 18:34    30640 id=ts/1 term=0 exit=0

 查询所有登录过的用户登录日志，一般信息太多

[root@localhost ~]# last
root  pts/0  192.168.1.216 Wed Oct 19 16:58 still logged in 
root  pts/0  192.168.1.211 Mon Oct 17 10:59 - 11:29 (00:29) 
root  pts/0  192.168.1.217 Fri Oct 14 09:04 - 10:59 (01:55)

 只查询root用户登录日志

[root@localhost ~]# last root
root  pts/0  192.168.1.216 Wed Oct 19 16:58 still logged in 
root  pts/0  192.168.1.211 Mon Oct 17 10:59 - 11:29 (00:29) 
root  pts/0  192.168.1.217 Fri Oct 14 09:04 - 10:59 (01:55) 
root  pts/1  192.168.1.217 Tue Oct 11 15:30 - 18:34 (03:04)

 踢出已登录用户首先使用w命令得到用户登录终端,如 pts/1
然后有两种方法：
方法1 [推荐]

pkill -KILL -t pts/0

方法2

[root@localhost ~]# ps aux|grep pts/1
root  19516 0.0 0.1 141272 5392 ?  Ss 17:18 0:00 sshd: root@pts/1
root  19518 0.0 0.0 115516 2088 pts/1 Ss+ 17:18 0:00 -bash
root  19582 0.0 0.0 112648 972 pts/0 R+ 17:20 0:00 grep --color=auto pts/1
[root@localhost ~]# kill -9 19516

 现在在运行的进程是啥

pstree -a
ps aux
top -c 再加[P|M] 按cpu/内存排序

 监听网络服务

netstat -ltpe #监听tpc 协议 [常用，能显示 PID,用户名，进程名]
netstat -ntlp # 不显示 用户名，进程名
netstat -nulp #监听udp 协议
netstat -nxlp #监听unix 套接字

 由端口得到PID，由PID得到进程可以使用netstat命令一步到位全部显示

[root@localhost ~]# netstat -ltpe
Active Internet connections (only servers)
Proto Recv-Q Send-Q Local Address   Foreign Address   State  User  Inode  PID/Program name 
tcp  0  0 0.0.0.0:mysql   0.0.0.0:*    LISTEN  mysql  18505  1811/mysqld   
tcp  0  0 0.0.0.0:6379   0.0.0.0:*    LISTEN  redis  600584  7423/redis-server * 
tcp  0  0 0.0.0.0:http   0.0.0.0:*    LISTEN  root  17051  1459/nginx: master 
tcp  0  0 0.0.0.0:ssh    0.0.0.0:*    LISTEN  root  16448  1252/sshd

也可以借用lsof分两步显示

[root@iZ28d4k95vxZ ~]# netstat -tnlp [p参数显示PID]
Active Internet connections (only servers)
Proto Recv-Q Send-Q Local Address   Foreign Address   State  
tcp  0  0 0.0.0.0:3306   0.0.0.0:*    LISTEN  1811/mysqld
[root@iZ28d4k95vxZ ~]# lsof -p 1811 [由PID得到进程名]
COMMAND PID USER FD TYPE    DEVICE SIZE/OFF  NODE NAME
ss5  4163 nobody mem REG    202,1 56563 161856 /usr/lib/ss5/mod_dump.so
ss5  4163 nobody mem REG    202,1 55950 161855 /usr/lib/ss5/mod_bandwidth.so

 其它

tail /var/log/messages 记录Linux内核消息及各种应用程序的公共日志信息，包括启动、IO错误、网络错误、程序故障等
tail /var/log/secure 记录用户登录认证过程中的事件信息
lastlog 最近几次成功登录事件和最后一次不成功登录事件
iostat -x -m 3 #以M为单位显示，隔3秒刷新一次
iftop 列出用户服务器与远程IP之间占用带宽最多的连接对象
/usr/local/nload/bin/nload 网络流量实时监控