在站群伺服器上排除問題的頭五分鐘

一、儘可能搞清楚問題的前因後果
不要一下子就扎到站群伺服器前面，你需要先搞明白對這臺站群伺服器有多少已知的情況，還有故障的具體情況。不然你很可能就是在無的放矢。
必須搞清楚的問題有：

故障的表現是什麼？無響應？報錯？
故障是什麼時候發現的？
故障是否可重現？
有沒有出現的規律（比如每小時出現一次）
最後一次對整個平臺進行更新的內容是什麼（程式碼、站群伺服器等）？
故障影響的特定使用者群是什麼樣的 (已登入的, 退出的, 某個地域的…)?
基礎架構（物理的、邏輯的）的檔案是否能找到?
是否有監控平臺可用?（比如 Munin 、 Zabbix 、 Nagios 、 New Relic… 什麼都可以）
是否有日誌可以檢視?.（比如 Loggly 、 Airbrake 、 Graylog…）

最後兩個是最方便的資訊來源，不過別抱太大希望，基本上它們都不會有。只能再繼續摸索了。
 
 
二、有誰在?
$ w
$ last
用這兩個命令看看都有誰線上，有哪些使用者訪問過。這不是什麼關鍵步驟，不過最好別在其他使用者正幹活的時候來除錯系統。有道是一山不容二虎嘛。（ne cook in the kitchen is enough.）
三、之前發生了什麼?
$ history
檢視一下之前站群伺服器上執行過的命令。看一下總是沒錯的，加上前面看的誰登入過的資訊，應該有點用。另外作為 admin 要注意，不要利用自己的許可權去侵犯別人的隱私哦。
到這裡先提醒一下，等會你可能會需要更新 HISTTIMEFORMAT 環境變數來顯示這些命令被執行的時間。對要不然光看到一堆不知道啥時候執行的命令，同樣會令人抓狂的。
四、現在在執行的程式是啥?
$ pstree -a
$ ps aux
這都是檢視現有程式的。 ps aux 的結果比較雜亂， pstree -a 的結果比較簡單明瞭，可以看到正在執行的程式及相關使用者。
五、監聽的網際網路服務
$ netstat -ntlp
$ netstat -nulp
$ netstat -nxlp
我一般都分開執行這三個命令，不想一下子看到列出一大堆所有的服務。 netstat -nalp 倒也可以。不過我絕不會用 numeric 選項（鄙人一點淺薄的看法：IP 地址看起來更方便）。
找到所有正在執行的服務，檢查它們是否應該執行。檢視各個監聽埠。在 netstat 顯示的服務列表中的 PID 和 ps aux 程式列表中的是一樣的。
如果站群伺服器上有好幾個 Java 或者 Erlang 什麼的程式在同時執行，能夠按 PID 分別找到每個程式就很重要了。
通常我們建議每臺站群伺服器上執行的服務少一點，必要時可以增加站群伺服器。如果你看到一臺站群伺服器上有三四十個監聽埠開著，那還是做個記錄，回頭有空的時候清理一下，重新組織一下站群伺服器。
 
六、 CPU 和記憶體
$ free -m
$ uptime
$ top
$ htop
注意以下問題:

還有空餘的記憶體嗎? 站群伺服器是否正在記憶體和硬碟之間進行 swap?
還有剩餘的 CPU 嗎? 站群伺服器是幾核的? 是否有某些 CPU 核負載過多了?
站群伺服器最大的負載來自什麼地方? 平均負載是多少?

七、硬體
$ lspci
$ dmidecode
$ ethtool
有很多站群伺服器還是裸機狀態，可以看一下：

找到 RAID 卡 (是否帶 BBU 備用電池?) 、 CPU 、空餘的記憶體插槽。根據這些情況可以大致瞭解硬體問題的來源和效能改進的辦法。
網路卡是否設定好? 是否正執行在半雙工狀態? 速度是 10MBps? 有沒有 TX/RX 報錯?

八、 IO 效能
$ iostat -kx 2
$ vmstat 2 10
$ mpstat 2 10
$ dstat –top-io –top-bio
這些命令對於除錯後端效能非常有用。

檢查磁碟使用量：站群伺服器硬碟是否已滿?
是否開啟了 swap 交換模式 (si/so)?
CPU 被誰佔用：系統程式? 使用者程式? 虛擬機器?
dstat 是我的最愛。用它可以看到誰在進行 IO： 是不是 MySQL 吃掉了所有的系統資源? 還是你的 PHP 程式?

九、掛載點 和 檔案系統
$ mount
$ cat /etc/fstab
$ vgs
$ pvs
$ lvs
$ df -h
$ lsof +D / /* beware not to kill your box */

一共掛載了多少檔案系統?
有沒有某個服務專用的檔案系統? (比如 MySQL?)
檔案系統的掛載選項是什麼： noatime? default? 有沒有檔案系統被重新掛載為只讀模式了？
磁碟空間是否還有剩餘?
是否有大檔案被刪除但沒有清空?
如果磁碟空間有問題，你是否還有空間來擴充套件一個分割槽？

十、核心、中斷和網際網路
$ sysctl -a | grep …
$ cat /proc/interrupts
$ cat /proc/net/ip_conntrack /* may take some time on busy servers */
$ netstat
$ ss -s

你的中斷請求是否是均衡地分配給 CPU 處理，還是會有某個 CPU 的核因為大量的網際網路中斷請求或者 RAID 請求而過載了？
SWAP 交換的設定是什麼？對於工作站來說 swappinness 設為 60 就很好, 不過對於站群伺服器就太糟了：你最好永遠不要讓站群伺服器做 SWAP 交換，不然對磁碟的讀寫會鎖死 SWAP 程式。
conntrack_max 是否設的足夠大，能應付你站群伺服器的流量?
在不同狀態下 (TIME_WAIT, …)TCP 連線時間的設定是怎樣的？
如果要顯示所有存在的連線，netstat 會比較慢， 你可以先用 ss 看一下總體情況。

你還可以看一下 Linux TCP tuning 瞭解網際網路效能調優的一些要點。
十一、系統日誌和核心訊息
$ dmesg
$ less /var/log/messages
$ less /var/log/secure
$ less /var/log/auth

檢視錯誤和警告訊息，比如看看是不是很多關於連線數過多導致？
看看是否有硬體錯誤或檔案系統錯誤?
分析是否能將這些錯誤事件和前面發現的疑點進行時間上的比對。

十二、定時任務
$ ls /etc/cron* + cat
$ for user in $(cat /etc/passwd | cut -f1 -d:); do crontab -l -u $user; done

是否有某個定時任務執行過於頻繁?
是否有些使用者提交了隱藏的定時任務?
在出現故障的時候，是否正好有某個備份任務在執行？

十三、應用系統日誌
這裡邊可分析的東西就多了, 不過恐怕你作為運維人員是沒功夫去仔細研究它的。關注那些明顯的問題，比如在一個典型的 LAMP（Linux+Apache+Mysql+Perl）應用環境裡:

Apache & Nginx; 查詢訪問和錯誤日誌, 直接找 5xx 錯誤, 再看看是否有 limit_zone 錯誤。
MySQL; 在 mysql.log 找錯誤訊息，看看有沒有結構損壞的表， 是否有 innodb 修復程式在執行，是否有 disk/index/query 問題.
PHP-FPM; 如果設定了 php-slow 日誌, 直接找錯誤資訊 (php, mysql, memcache, …)，如果沒設定，趕緊設定。
Varnish; 在 varnishlog 和 varnishstat 裡, 檢查 hit/miss 比. 看看配置資訊裡是否遺漏了什麼規則，使終端使用者可以直接攻擊你的後端？
HA-Proxy; 後端的狀況如何？健康狀況檢查是否成功？是前端還是後端的佇列大小達到最大值了？

結論
經過這 5 分鐘之後，你應該對如下情況比較清楚了：

在站群伺服器上執行的都是些啥？
這個故障看起來是和 IO/硬體/網際網路 或者 系統配置 (有問題的程式碼、系統核心調優, …) 相關。
這個故障是否有你熟悉的一些特徵？比如對資料庫索引使用不當，或者太多的 apache 後臺程式。