Linux流量监控iftop

参考:https://www.cnblogs.com/-wenli/p/14072607.html

iftop可以用来监控网卡的实时流量（可以指定网段）、反向解析IP、显示端口信息等。

CentOS安装

安装依赖包：

yum install -y gcc flex byacc libpcap ncurses ncurses-devel libpcap-devel tcpdump

源码安装配置：

[](javascript:void(0); "复制代码")

cd /usr/local/src
wget http://www.ex-parrot.com/pdw/iftop/download/iftop-0.17.tar.gz
tar xvf iftop\-0.17.tar.gz
cd iftop\-0.17 ./configure --prefix=/usr/local/iftop
make
make install
chmod 700 /usr/local/sbin/iftop #修改IFTOP权限

[](javascript:void(0); "复制代码")

iftop输出

[](javascript:void(0); "复制代码")

TX：发送流量
RX：接收流量
TOTAL：总流量
Cumm：运行iftop到目前时间的总流量
peak：流量峰值
rates：分别表示过去 2s 10s 40s 的平均流量

[](javascript:void(0); "复制代码")

iftop相关参数及使用

?

1 2 3 4 5 6 7 8 9 10

-i设定监测的网卡，如：# iftop -i eth1 -B 以bytes为单位显示流量(默认是bits)，如：# iftop -B -n使host信息默认直接都显示IP，如：# iftop -n -N使端口信息默认直接都显示端口号，如: # iftop -N -F显示特定网段的进出流量，如# iftop -F 10.10.1.0/24或# iftop -F 10.10.1.0/255.255.255.0 -h（display this message），帮助，显示参数信息 -p使用这个参数后，中间的列表显示的本地主机信息，出现了本机以外的IP信息; -b使流量图形条默认就显示; -P使host信息及端口信息默认就都显示; -m设置界面最上边的刻度的最大值，刻度分五个大段显示，例：# iftop -m 100M

交互命令

[](javascript:void(0); "复制代码")

按h切换是否显示帮助;

按n切换显示本机的IP或主机名;

按s切换是否显示本机的host信息;

按d切换是否显示远端目标主机的host信息;

按t切换显示格式为2行/1行/只显示发送流量/只显示接收流量;

按N切换显示端口号或端口服务名称;

按S切换是否显示本机的端口信息;

按D切换是否显示远端目标主机的端口信息;

按p切换是否显示端口信息;

按P切换暂停/继续显示;

按b切换是否显示平均流量图形条;

按B切换计算2秒或10秒或40秒内的平均流量;

按T切换是否显示每个连接的总流量;

按l打开屏幕过滤功能，输入要过滤的字符，比如ip,按回车后，屏幕就只显示这个IP相关的流量信息;

按L切换显示画面上边的刻度;刻度不同，流量图形条会有变化;

按j或按k可以向上或向下滚动屏幕显示的连接记录;

按1或2或3可以根据右侧显示的三列流量数据进行排序;

按<根据左边的本机名或IP排序;

按\>根据远端目标主机的主机名或IP排序;

按o切换是否固定只显示当前的连接;

按f可以编辑过滤代码；

按!可以使用Shell命令，这个没用过！没搞明白啥命令在这好用呢！

按q退出监控。

[](javascript:void(0); "复制代码")

补充：使用sar监控网络流量

yum install –y sysstat

sar \-n DEV 1

[](javascript:void(0); "复制代码")

# 数字1表示每隔1秒输出一组数据
$ sar -n DEV 1 Linux 4.15.0-1035-azure (ubuntu)   01/06/19   \_x86\_64\_  (2 CPU) 13:21:40        IFACE   rxpck/s   txpck/s    rxkB/s    txkB/s   rxcmp/s   txcmp/s  rxmcst/s   %ifutil 13:21:41         eth0     18.00     20.00      5.79      4.25      0.00      0.00      0.00      0.00
13:21:41      docker0      0.00      0.00      0.00      0.00      0.00      0.00      0.00      0.00
13:21:41           lo      0.00      0.00      0.00      0.00      0.00      0.00      0.00      0.00

[](javascript:void(0); "复制代码")

rxpck/s 和 txpck/s 分别是接收和发送的 PPS，单位为包 / 秒。

rxkB/s 和 txkB/s 分别是接收和发送的吞吐量，单位是 KB/ 秒。

rxcmp/s 和 txcmp/s 分别是接收和发送的压缩数据包数，单位是包 / 秒。

%ifutil 是网络接口的使用率，即半双工模式下为 (rxkB/s+txkB/s)/Bandwidth，而全双工模式下为 max(rxkB/s, txkB/s)/Bandwidth。