毫秒级网络监控(网络示波器)

服务器

浏览数:180

2019-10-13

网络监控的工具很多,但没有找到精确到毫秒/微秒级别的,于是自己做了一个。可以查看/调试网络活动的内部细节,比如网络流量的波动,多网卡网络活动的时序。最快可以精确到0.4ms的采样周期。

比如下图是一次下载开始时的网络活动细节。

图:一次下载开始时的网络活动

原理

在Linux下,统计网络活动的工具有很多。比如:最常用的ifconfig 就可以显示指定接口的收/发的数据(字节数和包的数目),以及丢包数,错误数等。
类似的工具还有:

  • ip -s link:侧重于接口的统计
  • netstat -s:侧重于协议的统计
  • ethtool -S:也是接接口统计

当然,proc文件系统里也有,甚至中断的统计值也有:

  • /proc/net/dev
  • /proc/softirqs: 包括网络收发相关的中断计数

用下面的命令,就可以用“实时的”方式查看网络收发数据的状况了。当然,不是那么直观。

watch -n 0.1 cat "/proc/net/dev | grep enp"

为了达到最快的速度,我们需要使用源头的数据。

源头在 /sys/class/net/(nic)/statistics 目录,因为这个目录里的文件是单一的,一个文件对应于一个计数项。

图:网络状态计数器

现在我们可以用 watch 假装实时地观察感兴趣的计数器了。

/sys/class/net/enp1s0/statistics$ watch -n 0.1 cat rx_bytes tx_bytes

实现及特性

对上面的计数器定时采样,就可以得到网络活动的波动。主要有下面一些选项:

  • 采样周期
  • 采样总时长
  • 触发条件:什么情况下开始采样
  • 网络接口:对哪些网络接口进行采样
  • 计数器:对哪些计数器进行采样,比如收到的字节数,发送的包的数目等

下面是这个工具的命令行选项及运行示意。

图:netmon命令行使用及示例

数据输出为CSV文件。为了方便,时间戳已使用相对时间(以采样开始作为时间0点),数据也使用相对值(即每个周期的数据增量)。

输出的CSV文件可以用Excel显示为图表。为了方便,用pandas写了几行脚本生成图表,在python notebook里运行。

图:多网卡监控示例

最后的图表也可以用累加方式显示。看哪种更直观。

图:监控数据累加显示

性能

最初是用Python写的采样程序,采样周期只能到大约2ms,如果采样的计数器较多,可能只能到20ms.

最后还是改用C++,采样周期可以到20μs. 但是,操作系统对计数器的更新频率远没有这么高,估计是400μs的样子。也许内核里可以设置这个更新频率?没有深究,因为0.4ms的采样周期已经足够用了。

触发

因为不可能无限地采样,所以什么时候开始采样,是比较重要的一个环节。模仿示波器的思路,增加了对触发条件的支持。

触发的条件是:当采样的数据超过某个阈值才开始采样。比如采样的计数器是 rx_bytes, 阈值是 8000, 采样周期是1ms,则表示:在1ms内收到的数据超过8000字节,即开始采样。

对于多网卡/多计数器,则有一个聚合函数来处理这些计数器:

  • min: 表示所有计数器中最小的值,要超过阈值。其实就是说:所有计数器都要超过阈值,才开始采样。
  • max: 任一计数器超过阈值,即开始采样。
  • avg: 计数器的平均值超过阈值,即开始采样。
  • sum: 计数器的总和超过阈值,即开始采样。
  • first/last: 按照命令行中的输入顺序,第一个/最后一个计数器超过阈值,开始采样。

结语

在Linux系统中,/sys/class/net/(nic)/statistics 目录包含了各种网络状态的计数器。对它们进行采样,可以实现毫秒级的网络监控,可用于诊断/调优网络活动细节及时序。

这个工具实现了命令行下的采样,包含多种触发采样条件,最高有效采样周期达0.4ms(受限于操作系统的网络状态更新频率)。另外提供了脚本对数据进行可视化。总体上相当于一个简易的“网络示波器”。

代码:https://github.com/loblab/netmon

作者:萝卜头实验室