我决定把今年装x的机会，留给sar命令。它是一个Linux下的监控工具，一直站在鄙视链的顶端。之所以让人望而生畏，主要是由于它繁多的参数。但，这么强大的命令，并非无章可循，实际上是非常简单的。

今天就和xjjdog一起，寻觅sar命令的隐秘之处，共同沾得帝王之气，以便傲视群cmd，彰显自己侧漏的霸气！

5 v* H% B+ ^* r) q

sar命令很简单，它的参数主要分为四部分。其中，第二部分和第三、四部分，是可选的，也就是说，最终要的参数，就剩下一个，那就是类型。这个参数的值非常的多，我们暂且放在一边，看一下以上命令的简单意义。

• 类型，也就是我们要获取的是哪个类型的指标数据，这里的-n，代表的是监控一些网络信息
• 类型参数，有的类型带有参数，有的没有。这里的DEV，代表的是监控网卡信息
• 时间间隔，表示多少秒采样一次数据，这里的1就是1秒
• 次数，表示采样的次数。比如时间间隔是3，采样次数是4，那么sar命令将会阻塞12秒钟
  

我们来看小小偷窥一下它的输出。

# sar -n DEV 1 2
03:10:29 PM     IFACE   rxpck/s   txpck/s    rxkB/s    txkB/s   rxcmp/s   txcmp/s  rxmcst/s   %ifutil
03:10:30 PM        lo     30.00     30.00      2.09      2.09      0.00      0.00      0.00      0.00
  `' c8 R# o( y! p03:10:30 PM      eth0      6.00      2.00      0.38      0.32      0.00      0.00      0.00      0.00
# ]+ d5 m6 N" |2 g6 k
3 Y6 e5 x; [2 o+ ~  K5 B03:10:30 PM     IFACE   rxpck/s   txpck/s    rxkB/s    txkB/s   rxcmp/s   txcmp/s  rxmcst/s   %ifutil
$ b; T' N5 v" Q03:10:31 PM        lo     39.00     39.00      2.95      2.95      0.00      0.00      0.00      0.00
03:10:31 PM      eth0     11.00     12.00      0.72      5.26      0.00      0.00      0.00      0.00

! `2 N; K9 R; \' q1 O8 rAverage:        IFACE   rxpck/s   txpck/s    rxkB/s    txkB/s   rxcmp/s   txcmp/s  rxmcst/s   %ifutil
Average:           lo     33.00     33.00      2.38      2.38      0.00      0.00      0.00      0.00
( B6 A1 a+ T& U) i3 bAverage:         eth0      9.33      8.33      0.60      2.39      0.00      0.00      0.00      0.00
) b) V' H- `: G. w$ M! {8 @# p

非常非常规整的二维数组，不像top命令那种张狂的显示(top -b -n 1可以输出当前信息)。可以很方便的使用sed，awk这样的工具进行处理。

了解这命令构成的各个部分，我们就可以放心大胆的来看具体的参数，都有哪些了。能不能抓到这只猹，在此一举。

之所以说sar命令，站在鄙视链的顶端，那是因为它的参数是非常丰富的。我们再也不需要各种iostat、top、vmstat等五花八门的命令，只需要一个sar，就能统一天下。

Linux下的资源监控，不外乎下面几种。有磁盘、CPU、网络、内存、IO等。不好意思，sar都能监控到，就是这么目空一切。

接下来，我们就来漫游一小把。

1. CPU信息

我们就先从cpu信息开始说起。作为计算机的大脑，作为一个指挥者，我们要监控它的一举一动。实际上，对于CPU有下面三种监控。

（1）利用率，使用sar -u，我们看下它的执行结果。可以看到每种类型的使用情况，和top命令种的意义，是一样的。

# sar -u 1 1
03:37:39 PM     CPU     %user     %nice   %system   %iowait    %steal     %idle
03:37:40 PM     all      0.25      0.50      0.50      0.00      0.00     98.75
Average:        all      0.25      0.50      0.50      0.00      0.00     98.75
' v7 N7 x- \0 I) {  X. k# a0 x7 F, L

（2）负载，使用sar -q，同样的，和top的参数意义是相似的。除了load值，它还显示了等待队列的长度，对于排查排队问题非常有帮助。

# sar -q  1 1
03:40:15 PM   runq-sz  plist-sz   ldavg-1   ldavg-5  ldavg-15   blocked
03:40:16 PM         0       468      0.02      0.04      0.00         0
Average:            0       468      0.02      0.04      0.00         0
% f  D1 y; h4 H( C

（3）中断，使用sar -I，注意i是大写的。由于有不同的换算方式，所以中断的参数，分为默认、SUM、ALL等。

# sar -I SUM 1 2
03:44:36 PM      INTR    intr/s
03:44:37 PM       sum   1118.00
4 x! w& e# e# |' c, L7 z03:44:38 PM       sum   1024.00
/ h$ l! K- d# T7 RAverage:          sum   1071.00
. B3 c! J* [' B4 w5 D  |# t3 R& t

（4）上下文切换，使用sar -w，它经常与监控swap交换分区的使用情况的sar -W搞混，所以要注意。

# sar -w  1
04:08:33 PM    proc/s   cswch/s
! y& H) N6 h; Z9 f8 K& @# Y04:08:34 PM      0.00   1686.00
2. 内存信息

看完了CPU就再看内存。CPU跑满了机器可能表现就是慢点，内存跑满了可是要死人的。

内存主要是分为下面这些部分，我们平常监控的，主要是物理内存、虚拟内存、内核等。

（1）内存利用率，使用sar -r命令。有些sar版本可能会有sar -R，但一般小写的就够了。

# sar -r 1 1
03:48:39 PM kbmemfree   kbavail kbmemused  %memused kbbuffers  kbcached  kbcommit   %commit  kbactive   kbinact   kbdirty
03:48:40 PM   1663884   2650804   6057692     78.45         0   1001040   6954428     90.06   4915476    582184       100
% @6 I) l5 E6 N6 m1 w* E3 qAverage:      1663884   2650804   6057692     78.45         0   1001040   6954428     90.06   4915476    582184       100
4 `: N& I/ Z+ q5 J2 a4 o4 d

（2）swap交换分区。对于swap分区来说，就可以使用sar -S。效果如下。如果想要看交换分区的使用情况（非容量情况），就要切换到sar -W命令。

# sar -S 1 1
) c2 E! ]' o+ k/ n4 l$ c/ v8 P- D04:05:22 PM kbswpfree kbswpused  %swpused  kbswpcad   %swpcad
$ o5 k1 i- t% p1 m( T04:05:23 PM         0         0      0.00         0      0.00
& y, w4 H, Y; b. X  o7 JAverage:            0         0      0.00         0      0.00
% o4 D; f& T0 M) P

（3）内核使用情况，主要是使用sar -v命令。v一般在别的命令中用作版本展示，sar命令用来输出slab区的一些信息，可以说是特立独行，不走寻常路。

# sar -v  1
04:10:17 PM dentunusd   file-nr  inode-nr    pty-nr
! N5 f2 Z' d; g" L: n# t$ b04:10:18 PM    115135      3776    111146         3
04:10:19 PM    115145      3776    111151         3
5 K! I$ x  ]$ i% J7 A. X04:10:20 PM    115149      3776    111155         3

（4）sar还能监控到内存分页信息，它有一个牛x的名字sar -B，来看看它的效果。

# sar -B
04:15:39 PM  pgpgin/s pgpgout/s   fault/s  majflt/s  pgfree/s pgscank/s pgscand/s pgsteal/s    %vmeff
04:15:40 PM     20.00     10.00      0.00      0.00      1.00      0.00      0.00      0.00      0.00
04:15:41 PM     16.00      0.00      0.00      0.00      0.00      0.00      0.00      0.00      0.00
04:15:42 PM     20.00    186.00      0.00      0.00      0.00      0.00      0.00      0.00      0.00
3. I/O信息

IO信息监控，同样是一个响亮的sar -b，不过这里的b，变成了小写的。

# sar -b 1 2

* ?4 h8 [/ L+ b8 ^/ g04:17:25 PM       tps      rtps      wtps   bread/s   bwrtn/s
) T9 Y# ~- k- r; @; ]1 k) v) h04:17:26 PM      6.00      4.00      2.00     32.00     23.00
, F) s2 @/ P; R4 b- ^04:17:27 PM      5.00      5.00      0.00     48.00      0.00
Average:         5.50      4.50      1.00     40.00     11.50

如果你要找问题，就要配合着iowait去找了。

你可能会说，这里面的输出，才有5个选项，完全没有iostat输出的多！有个鸟用？这是因为你还没用到sar -d，我们来看他的效果。呵呵，就是个iostat的翻版啊。

# sar -d   1
- V& E. m9 i, p7 E, f7 q04:18:47 PM       DEV       tps     rkB/s     wkB/s   areq-sz    aqu-sz     await     svctm     %util
, F5 d* M  i' A  P5 a04:18:48 PM  dev253-0      4.00     16.00      0.00      4.00      0.00      0.50      1.75      0.70
  }) t+ ]- B: Y04:18:49 PM  dev253-0      5.00     84.00      0.00     16.80      0.00      0.60      1.80      0.90
& s/ q3 m: j* G, \; ~$ I4. 网络信息

接下来，我们看最复杂的网络信息。说它复杂，是因为它的参数非常的多，比如上面说到的DEV，就表示的网络流量。

• DEV 网卡
• EDEV 网卡 (错误)
• NFS NFS 客户端
• NFSD NFS 服务器
• SOCK Sockets (套接字) (v4)
• IP IP 流 (v4)
• EIP IP 流 (v4) (错误)
• ICMP ICMP 流 (v4)
• EICMP ICMP 流 (v4) (错误)
• TCP TCP 流 (v4)
• ETCP TCP 流 (v4) (错误)
• UDP UDP 流 (v4)
• SOCK6 Sockets (套接字) (v6)
• IP6 IP 流 (v6)
• EIP6 IP 流 (v6) (错误)
• ICMP6 ICMP 流 (v6)
• EICMP6 ICMP 流 (v6) (错误)
• UDP6 UDP 流 (v6)
  ) R  e& a; Z1 o) `( {" M" @

要命的是，这些参数的每个输出，还都不是一样的。可能是26个字母已经无法涵盖这么多参数了吧，所以sar命令统一把它加在了sar -n下面。好在我们平常使用的时候，只和DEV参数打交道既可以了。

5. 如何安装

我们介绍过各种linux命令，像什么top、vmstat、mpstat、iostat...等等等等。

最常用的一套“Vim“技巧
最常用的一套“Sed“技巧
4 L- Y. E" c$ t" Q9 D, O最常用的一套“AWK“技巧

经过我们上面的介绍。发现，这些都不行。要数能力强，还得看sar命令。

sar（System ActivityReporter）是Linux最为全面的系统性能分析工具，可以监控CPU、内存、网络、I/O、文件读写、系统调用等各种资源，算是一个万能的小能手。

sar命令同样是sysstat工具包里的命令，如果你无法执行，需要像下面这样安装。

yum install sysstat

sar对比top这样的命令，有一个非常大的优势，那就是可以显示历史指标。

所以你刚开始安装以后，尝试执行sar。结果报错了。

[root@localhost ~]# sar
Cannot open /var/log/sa/sa08: No such file or directory
  u' b* V+ O: A5 D

这就需要等一小会儿再执行，因为现在它还没有数据。一切面包牛奶，都会有的。

End

sar命令是可以看到历史记录的。那这些文件存在哪呢？我们可以在/var/log/sa目录下找到它们。但可惜的是，vim打开这些文件，是乱码！

可以使用下面的命令导出它们。后面的数字，一般是当天的日期。

sar -A -f /var/log/sa/sa21 > monitor
& R3 E0 \# G6 T1 J8 e

这个monitor文件，我们可以使用图形化的工具打开，也可以使用文本编辑器打开。这里以kSar为例（一个java便携的GUI），选择载入monitor文件，即可出现下面的效果。

有了sar这个强大的命令，你就可以对系统的参数了如指掌。和sar命令比起来，其他的命令可真的是渣。第一是因为sar能看到历史，第二是因为sar功能强大。但那些命令即使是渣，我也用的很欢。原因也有两个，一个就是用习惯了，不想换；另外一个，就是那么牛x的sar命令，参数实在是有点反人类，真的不好记忆。

8 s* M" G* A  W# Z. T7 w. z7 N5 t" t