目錄前言一、ss命令二、zabbix監控機器總體的socket情況2.1、寫腳本2.2、配置zabbix agent的配置文件2.3、配置zabbix的模板三、zabbix監控機器來源于各個機器的請求數3.1、寫腳本3.2、配置zabbix_agent.conf文件3.3、配置Discovery，配置item，trigger，graph前言

這里我們使用zabbix對其進行監控，使用的是ss命令，不使用netstat命令，因為ss的速度快很多，不信的話可以去測一下哈，一臺機器的socket越多，對比越明顯。而且ss命令能顯示更多的內容，其實我對這兩個命令不是特別的熟悉，通過man ss可以看到：

一、ss命令

ss命令用于顯示socket狀態. 他可以顯示PACKET sockets, TCP sockets, UDP sockets, DCCP sockets, RAW sockets, Unix domain sockets等等統計. 它比其他工具展示等多tcp和state信息. 它是一個非常實用、快速、有效的跟蹤IP連接和sockets的新工具.SS命令可以提供如下信息：

所有的TCP sockets 所有的UDP sockets 所有ssh/ftp/ttp/https持久連接 所有連接到Xserver的本地進程 使用state（例如：connected, synchronized, SYN-RECV, SYN-SENT,TIME-WAIT）、地址、端口過濾 所有的state FIN-WAIT-1 tcpsocket連接以及更多

很多流行的Linux發行版都支持ss以及很多監控工具使用ss命令.熟悉這個工具有助于您更好的發現與解決系統性能問題.本人強烈建議使用ss命令替代netstat部分命令,例如netsat -ant/lnt等

直接ss命令

對上面解釋一波：

Netid #socket類型，在上面的例子中，有 TCP、u_str（unix流）等套接字State #套接字處于什么狀態，下面是TCP套接字的所有狀態及說明, 實際上就是TCP的三次握手和四次揮手的所有狀態Recv-Q #在 ESTAB 狀態下，表示內核中還有多少字節的數據沒有被上層應用讀取，如果這里數值很大，應用程序可能發生了阻塞Send-Q #在 ESTAB 狀態下，表示內核發送隊列中還有多少字節的數據沒有收到確認的ACK，如果這個數值很大，表明接收端的接收以及處理需要加強Local Address:Port #本地地址和端口Peer Address:Port #遠程地址和端口

然后我們接著看上面的state有哪些呢，如果特別熟悉網絡的人應該很懂，至少我現在是不是特別熟悉，三次握手和四次揮手的狀態：

LISTEN #服務端偵聽套接字等待客戶端的連接SYN-SENT #客戶端已發送套接字連接請求報文，等待連接被服務器接收SYN-RECEIVED #服務器端接收連接請求報文后，等待客戶端的確認連接的回復報文ESTABLISHED #服務端和客戶端之間成功建立了一條有效的連接，可以互相傳輸數據FIN-WAIT-1 #服務器或客戶端調用close函數主動向對方發出終止連接的請求報文,同時等待對方確認終止連接的回復報文FIN-WAIT-2 #主動關閉連接端收到對方確認終止連接的回復報文，同時等待對方連接終止的請求報文，這時的狀態是TCP連接的半關閉狀態，可以接受數據，但是不能發送數據CLOSE-WAIT #被動關閉端收到主動關閉端終止連接的請求報文后，向主動關閉端發送確認終止連接的回復報文，同時被動關閉端等待本地用戶終止連接，這時被動關閉端的狀態是TCP連接的半關閉狀態，可以發送數據，但是不能接收數據CLOSING #服務器和客戶端同時向對方發送終止連接(調用close函數)請求報文,并且雙方都是在收到對方發送的終止連接回復報文之前收到了對方的發送的終止連接請求報文，這個時候雙方都進入了CLOSING狀態，進入CLOSING狀態之后,只要收到了對方對自己終止連接的回復報文，就會進入TIME-WAIT狀態，所以CLOSING狀態的持續時間會特別短,一般很難捕獲到LAST-ACK #被動關閉端發送完全部數據之后,向主動關閉端發送終止連接的請求報文，等待主動關閉端發送終止連接的回復報文TIME-WAIT #主動關閉端收到被動關閉端終止連接的請求報文后，給被動關閉端發送終止連接的回復報文,等待足夠時間以確保被動關閉端收到了主動關閉段發送的終止連接的回復報文CLOSED #完全沒有連接，套接字連接已經終止了

那么這些狀態ss命令又怎么對應呢？（后面的是ss命令顯示的狀態信息）

[TCP_ESTABLISHED] = 'ESTAB',[TCP_SYN_SENT] = 'SYN-SENT',[TCP_SYN_RECV] = 'SYN-RECV',[TCP_FIN_WAIT1] = 'FIN-WAIT-1',[TCP_FIN_WAIT2] = 'FIN-WAIT-2',[TCP_TIME_WAIT] = 'TIME-WAIT',[TCP_CLOSE] = 'UNCONN',[TCP_CLOSE_WAIT] = 'CLOSE-WAIT',[TCP_LAST_ACK] = 'LAST-ACK',[TCP_LISTEN] = 'LISTEN',[TCP_CLOSING] = 'CLOSING',

江到這里其實就可以去做下面的監控了，繼續往下看ss命令的使用。

Usage: ss [ OPTIONS ]

       ss [ OPTIONS ] [ FILTER ]

-h， --help 幫助信息-V， --version 程序版本信息-n， --numeric 不解析服務名稱-r， --resolve 解析主機名-a， --all 顯示所有套接字（sockets）-l， --listening 顯示監聽狀態的套接字（sockets）-o， --options 顯示計時器信息-e， --extended 顯示詳細的套接字（sockets）信息-m， --memory 顯示套接字（socket）的內存使用情況-p， --processes 顯示使用套接字（socket）的進程-i， --info 顯示 TCP內部信息-s， --summary 顯示套接字（socket）使用概況-4， --ipv4 僅顯示IPv4的套接字（sockets）-6， --ipv6 僅顯示IPv6的套接字（sockets）-0， --packet 顯示 PACKET 套接字（socket）-t， --tcp 僅顯示 TCP套接字（sockets）-u， --udp 僅顯示 UCP套接字（sockets）-d， --dccp 僅顯示 DCCP套接字（sockets）-w， --raw 僅顯示 RAW套接字（sockets）-x， --unix 僅顯示 Unix套接字（sockets）-f， --family=FAMILY 顯示 FAMILY類型的套接字（sockets），FAMILY可選，支持 unix， inet， inet6， link， netlink-A， --query=QUERY， --socket=QUERYQUERY ：= {all|inet|tcp|udp|raw|unix|packet|netlink}［，QUERY］-D， --diag=FILE 將原始TCP套接字（sockets）信息轉儲到文件-F， --filter=FILE 從文件中都去過濾器信息FILTER ：= ［ state TCP-STATE ］ ［ EXPRESSION ］

重點在下面的監控

二、zabbix監控機器總體的socket情況

做這個監控前可以熟悉下awk命令

這是使用的監控系統為zabbix，我們這里會結合zabbix的模板（這里選擇模板是為了后期拓展），和自定義腳本的方式進行監控。

2.1、寫腳本

二話不多說上腳本先：

vim tcp_status.sh#################腳本內容##################!/bin/bashif [ $# -ne 1 ];then echo 'Follow the script name with an argument 'ficase $1 in LISTEN)result=`ss -ant | awk ’NR>1 {a[$1]++} END {for (b in a) print b,a[b]}’ | awk ’/LISTEN/{print $2}’`if [ '$result' == '' ];then echo 0else echo $resultfi;; ESTAB)result=`ss -ant | awk ’NR>1 {a[$1]++} END {for (b in a) print b,a[b]}’ | awk ’/ESTAB/{print $2}’`if [ '$result' == '' ];then echo 0else echo $resultfi;; CLOSE-WAIT)result=`ss -ant | awk ’NR>1 {a[$1]++} END {for (b in a) print b,a[b]}’ | awk ’/CLOSE-WAIT/{print $2}’`if [ '$result' == '' ];then echo 0else echo $resultfi;; TIME-WAIT)result=`ss -ant | awk ’NR>1 {a[$1]++} END {for (b in a) print b,a[b]}’ | awk ’/TIME-WAIT/{print $2}’`if [ '$result' == '' ];then echo 0else echo $resultfi;; SYN-SENT)result=`ss -ant | awk ’NR>1 {a[$1]++} END {for (b in a) print b,a[b]}’ | awk ’/SYN-SENT/{print $2}’`if [ '$result' == '' ];then echo 0else echo $resultfi;; SYN-RECV)result=`ss -ant | awk ’NR>1 {a[$1]++} END {for (b in a) print b,a[b]}’ | awk ’/SYN-RECV/{print $2}’`if [ '$result' == '' ];then echo 0else echo $resultfi;; FIN-WAIT-1)result=`ss -ant | awk ’NR>1 {a[$1]++} END {for (b in a) print b,a[b]}’ | awk ’/FIN-WAIT-1/{print $2}’`if [ '$result' == '' ];then echo 0else echo $resultfi;; FIN-WAIT-2)result=`ss -ant | awk ’NR>1 {a[$1]++} END {for (b in a) print b,a[b]}’ | awk ’/FIN-WAIT-2/{print $2}’`if [ '$result' == '' ];then echo 0else echo $resultfi;; UNCONN)result=`ss -ant | awk ’NR>1 {a[$1]++} END {for (b in a) print b,a[b]}’ | awk ’/UNCONN/{print $2}’`if [ '$result' == '' ];then echo 0else echo $resultfi;; LAST-ACK)result=`ss -ant | awk ’NR>1 {a[$1]++} END {for (b in a) print b,a[b]}’ | awk ’/LAST-ACK/{print $2}’`if [ '$result' == '' ];then echo 0else echo $resultfi;; CLOSING)result=`ss -ant | awk ’NR>1 {a[$1]++} END {for (b in a) print b,a[b]}’ | awk ’/CLOSING/{print $2}’`if [ '$result' == '' ];then echo 0else echo $resultfi;; esac2.2、配置zabbix agent的配置文件

vim zabbix_agent.conf##############添加如下內容#################UnsafeUserParameters=1 #這個參數是自定義腳本需要配置的UserParameter=tcp.status[*],sh /home/zabbix/tcp_status.sh $1 #這里就是用來指定剛剛寫的腳本，后面傳一個參數

配置好了以后記得重啟zabbix agent

2.3、配置zabbix的模板

往其中添加item，trigger，graph

新增模板，然后往其中添加item，如下圖所示

上圖中key中的tcp.status指的是剛剛在第二步中的配置UserParameter=tcp.status[*],sh /home/zabbix/tcp_status.sh $1

然后中括號里面的內容就是$1進行傳參的參數，具體的參數就是[UNCONN]里面的UNCONN，這些值對應第一步監控腳本中的case中的每一種情況，到這里基本上完成了，不，還是畫個圖吧，在模板中添加graph，如下圖所示：

還有最重要的一步就是把配置好監控腳本的（第一步）的主機添加到該模板，到此為止這個監控就做完了，看個結果圖吧

三、zabbix監控機器來源于各個機器的請求數

這個監控的目的就是看看到底是哪些機器訪問目標機器比較頻繁。

這個監控采用自發現的監控，比上面那個會難一點哈，為啥要選擇自發現的監控呢，因為item不是確定的，這里選擇：原地址ip和目的ip地址作為item，我們在目的ip地址進行監控，這個是不變的，所以原地址ip值會發生變化，所以這里采用的是自動生成item的方式進行監控，自動添加和刪除item，其實挺好用的，只要學會了，超級簡單

這里也是分為三步，寫腳本，配置zabbix_agent.conf文件，配置Discovery

3.1、寫腳本

這里需要兩個腳本，一個用來做自發現（需要輸出json格式），一個用來做item的）

vim tcp_monitory.sh##################tcp_monitor.sh###################!/bin/bash#獲取數據輸出到data.txt文件中，格式為：原地址ip：count：目標地址ip#并且過濾掉count小于200的數據，這里沒有分socket的狀態，眉毛胡子一把抓了，個人可以根據具體的需求改進ip_addr=`ip addr | grep -w inet | grep -v '127.0.0.1' | awk ’{print $2}’| awk -F '/' ’{print $1}’`ss -ant | awk ’{ print $5}’|grep -Ev ’127.0.0.1’ | cut -d ’:’ -f4 | awk -v ip_addr=$ip_addr ’NR>1 {++s[$1]} END {for(k in s)if(s[k]>=200){print k,s[k],ip_addr}}’ | grep -E '^([0-9]{1,3}.){3}[0-9]' > /home/zabbix/data.txt#執行Python腳本，這是為了輸出json格式，python /home/zabbix/get_json.py######################################如下是get_json.py的內容##############get_json.py#################!/usr/bin/env python#coding=utf-8import jsondef create_json(path): json_list = [] with open(path) as f:for line in f.readlines(): dict = {} split = line.split(' ') dict['{#DES_IP}'] = split[0] //dict['{#LINK_COUNT}'] = split[1] //這個是可以不要的 dict['{#SOU_IP}'] = split[2][:-1] json_list.append(dict) sum = {} sum['data'] = json_list sum = json.dumps(sum) print sumif __name__ == ’__main__’: path = '/home/zabbix/data.txt' create_json(path)##############分割線：上面的是自發現的腳本#############################分割線：下面的是item相關腳本###############vim tcp_item.sh##################tcp_item.sh#####################!/bin/bashexport LANG='en_US.UTF-8'path=/home/zabbix/data.txtcount=`cat $path | grep $1 | grep $2 | awk ’{print $2}’`[ 1'$count' -eq 1 ] && echo 0 || echo $count

兩個腳本都搞定了，就可以進行zabbix_agent.conf的配置了

3.2、配置zabbix_agent.conf文件

在配置文件中新增如下內容：

UnsafeUserParameters=1 #如果已經配置就不需要配置了UserParameter=discovery.tcp_monitor[*],sh /home/zabbix/tcp_monitor.sh #自發現UserParameter=alert.tcp_count[*],sh /home/zabbix/tcp_item.sh $1 $2 #item,其中$1,$2為item中的傳遞參數，用來區別item的不同3.3、配置Discovery，配置item，trigger，graph

這里還是選擇在zabbix的模板上進行配置，現在新增一個Discovery

然后在Discovery上配置item，trigger，graph

配置item：

上面的DES_IP,SOU_IP來源于自發現腳本中的Python腳本，用于輸出的格式。alter.tcp_count是UserParameter=alert.tcp_count[*],sh /home/zabbix/tcp_item.sh $1 $2，后面的$1,$2與DES_IP,SOU_IP相對應生成唯一確定的item。

item配置完畢后就可以配置trigger了：

接下來繼續配置graph了

最后把模板添加到機器，然后看結果

以上就是詳解Linux使用ss命令結合zabbix對socket做監控的詳細內容，更多關于Linux ss命令 zabbix socket監控的資料請關注好吧啦網其它相關文章！