該怎麼解決運維定位服務故障問題？

遇到伺服器故障，問題出現的原因很少可以一下就想到。

我們基本上都會從以下步驟入手，這些也是絕大多數智慧運維工程師在定位故障時前幾分鐘的主要排查點：

一、儘可能搞清楚問題的前因後果

不要一下子就扎到伺服器前面，你需要先搞明白對這臺伺服器有多少已知的情況，還有故障的具體情況。不然你很可能就是在無的放矢。

必須搞清楚的問題有：

故障的表現是什麼?無響應?報錯?

故障是什麼時候發現的?

故障是否可重現?

有沒有出現的規律(比如每小時出現一次)

最後一次對整個平臺進行更新的內容是什麼(程式碼、伺服器等)?

故障影響的特定使用者群是什麼樣的(已登入的, 退出的,

某個地域的…)?

基礎架構(物理的、邏輯的)的文件是否能找到?

是否有監控平臺可用? (比如Munin、Zabbix、

Nagios、 New Relic… 什麼都可以)

是否有日誌可以檢視?. (比如Loggly、Airbrake、

Graylog…)

最後兩個是最方便的資訊來源，不過別抱太大希望，基本上它們都不會有。只能再繼續摸索了。

二、有誰在?

$ w

$ last

用這兩個命令看看都有誰線上，有哪些使用者訪問過。這不是什麼關鍵步驟，不過最好別在其他使用者正幹活的時候來除錯系統。有道是一山不容二虎嘛。(ne

cook in the kitchen is enough.)

三、之前發生了什麼?

$ history

檢視一下之前伺服器上執行過的命令。看一下總是沒錯的，加上前面看的誰登入過的資訊，應該有點用。另外作為admin要注意，不要利用自己的許可權去侵犯別人的隱私哦。

到這裡先提醒一下，等會你可能會需要更新

HISTTIMEFORMAT

環境變數來顯示這些命令被執行的時間。對要不然光看到一堆不知道啥時候執行的命令，同樣會令人抓狂的。

四、現在在執行的程式是啥?

$ pstree -a

$ ps aux

這都是檢視現有程式的。 ps aux 的結果比較雜亂，

pstree -a 的結果比較簡單明瞭，可以看到正在執行的程式及相關使用者。

五、監聽的網路服務

$ netstat -ntlp

$ netstat -nulp

$ netstat -nxlp

我一般都分開執行這三個命令，不想一下子看到列出一大堆所有的服務。netstat

-nalp倒也可以。不過我絕不會用 numeric 選項 (鄙人一點淺薄的看法：IP 地址看起來更方便)。

找到所有正在執行的服務，檢查它們是否應該執行。檢視各個監聽埠。在netstat顯示的服務列表中的PID

和 ps aux 程式列表中的是一樣的。

如果伺服器上有好幾個Java或者Erlang什麼的程式在同時執行，能夠按PID分別找到每個程式就很重要了。

通常我們建議每臺伺服器上執行的服務少一點，必要時可以增加伺服器。如果你看到一臺伺服器上有三四十個監聽埠開著，那還是做個記錄，回頭有空的時候清理一下，重新組織一下伺服器。

六、CPU 和記憶體

$ free -m

$ uptime

$ top

$ htop

注意以下問題:

還有空餘的記憶體嗎?

伺服器是否正在記憶體和硬碟之間進行swap?

還有剩餘的CPU嗎? 伺服器是幾核的?

是否有某些CPU核負載過多了?

伺服器最大的負載來自什麼地方?

平均負載是多少?

七、硬體

$ lspci

$ dmidecode

$ ethtool

有很多伺服器還是裸機狀態，可以看一下：

找到RAID 卡 (是否帶BBU備用電池?)、

CPU、空餘的記憶體插槽。根據這些情況可以大致瞭解硬體問題的來源和效能改進的辦法。

網路卡是否設定好? 是否正執行在半雙工狀態?

速度是10MBps? 有沒有 TX/RX 報錯?

八、IO 效能

$ iostat -kx 2

$ vmstat 2 10

$ mpstat 2 10

$ dstat --top-io

--top-bio

這些命令對於除錯後端效能非常有用。

檢查磁碟使用量：伺服器硬碟是否已滿?

是否開啟了swap交換模式

(si/so)?

CPU被誰佔用：系統程式? 使用者程式?

虛擬機器?

dstat 是我的最愛。用它可以看到誰在進行 IO：

是不是MySQL吃掉了所有的系統資源? 還是你的PHP程式?

九、掛載點 和 檔案系統

$ mount

$ cat /etc/fstab

$ vgs

$ pvs

$ lvs

$ df -h

$ lsof +D /

一共掛載了多少檔案系統?

有沒有某個服務專用的檔案系統?

(比如MySQL?)

檔案系統的掛載選項是什麼： noatime? default?

有沒有檔案系統被重新掛載為只讀模式了?

磁碟空間是否還有剩餘?

是否有大檔案被刪除但沒有清空?

如果磁碟空間有問題，你是否還有空間來擴充套件一個分割槽?

十、系統日誌和核心訊息

$ dmesg

$ less

/var/log/messages

$ less

/var/log/secure

$ less /var/log/auth

檢視錯誤和警告訊息，比如看看是不是很多關於連線數過多導致?

看看是否有硬體錯誤或檔案系統錯誤?

分析是否能將這些錯誤事件和前面發現的疑點進行時間上的比對。

十一、應用系統日誌

這裡邊可分析的東西就多了,

不過恐怕你作為運維人員是沒功夫去仔細研究它的。關注那些明顯的問題，比如在一個典型的LAMP(Linux+Apache+Mysql+Perl)應用環境裡:

Apache & Nginx; 查詢訪問和錯誤日誌,

直接找 5xx 錯誤, 再看看是否有 limit_zone錯誤。

MySQL;

在mysql.log找錯誤訊息，看看有沒有結構損壞的表， 是否有innodb修復程式在執行，是否有disk/index/query

問題.

PHP-FPM; 如果設定了 php-slow 日誌,

直接找錯誤資訊 (php, mysql, memcache, …)，如果沒設定，趕緊設定。

Varnish; 在varnishlog 和

varnishstat 裡, 檢查 hit/miss比.

看看配置資訊裡是否遺漏了什麼規則，使終端使用者可以直接攻擊你的後端?

HA-Proxy;

後端的狀況如何?健康狀況檢查是否成功?是前端還是後端的佇列大小達到最大值了?

結論

經過這5分鐘之後，你應該對如下情況比較清楚了：

在伺服器上執行的都是些啥?

這個故障看起來是和 IO/硬體/網路或者系統配置

(有問題的程式碼、系統核心調優, …)相關。

這個故障是否有你熟悉的一些特徵?比如對資料庫索引使用不當，或者太多的apache後臺程式。

你甚至有可能找到真正的故障源頭。就算還沒有找到，搞清楚了上面這些情況之後，你現在也具備了深挖下去的條件，繼續努力吧!

瞭解更多關於IT運營管理方面的內容或者工具，可以關注一下我們ServiceHot哦~