我们在Linux上工作时，每个人都会遇到需要查找shell命令的帮助信息的时候。 尽管内置的帮助像man pages、whatis命令有所助益， 但man pages的输出非常冗长， 除非是个有linux经验的人，不然从大量的man pages中获取帮助信息是非常困难的，而whatis命令的输出很少超过一行， 这对初学者来说是不够的。

在Linux Shell中解释Shell命令

有一些第三方应用程序， 像我们在Linux 用户的命令行速查表提及过的'cheat'命令。cheat是个优秀的应用程序，即使计算机没有联网也能提供shell命令的帮助， 但是它仅限于预先定义好的命令。

Jackson写了一小段代码，它能非常有效地在bash shell里面解释shell命令，可能最美之处就是你不需要安装第三方包了。他把包含这段代码的的文件命名为“explain.sh”。

explain.sh工具的特性

• 易嵌入代码。
• 不需要安装第三方工具。
• 在解释过程中输出恰到好处的信息。
• 需要网络连接才能工作。
• 纯命令行工具。
• 可以解释bash shell里面的大部分shell命令。
• 无需使用root账户。

先决条件

唯一的条件就是'curl'包了。 在如今大多数Linux发行版里面已经预安装了curl包， 如果没有你可以按照下面的命令来安装。

# apt-get install curl  [On Debian systems]
# yum install curl      [On CentOS systems]

在Linux上安装explain.sh工具

我们要将下面这段代码插入'~/.bashrc'文件（LCTT译注: 若没有该文件可以自己新建一个）中。我们要为每个用户以及对应的'.bashrc'文件插入这段代码，但是建议你不要加在root用户下。

我们注意到.bashrc文件的第一行代码以（#）开始， 这个是可选的并且只是为了区分余下的代码。

explain.sh 标记代码的开始， 我们将代码插入.bashrc文件的底部。（备注：原代码有误，处理 https 时需要指定加密套件，据微信网友“高小树”同学的改进，原来的-Gs应该修改为-G --ciphers ecdhe_ecdsa_aes_128_sha。谢谢“高小树”同学。）

# explain.sh begins
explain () {
  if [ "$#" -eq 0 ]; then
    while read  -p "Command: " cmd; do
      curl -G --ciphers ecdhe_ecdsa_aes_128_sha "https://www.mankier.com/api/explain/?cols="$(tput cols) --data-urlencode "q=$cmd"
    done
    echo "Bye!"
  elif [ "$#" -eq 1 ]; then
    curl -G --ciphers ecdhe_ecdsa_aes_128_sha "https://www.mankier.com/api/explain/?cols="$(tput cols) --data-urlencode "q=$1"
  else
    echo "Usage"
    echo "explain                  interactive mode."
    echo "explain 'cmd -o | ...'   one quoted command to explain it."
  fi
}

explain.sh工具的使用

在插入代码并保存之后，你必须退出当前的会话然后重新登录来使改变生效（LCTT译注：你也可以直接使用命令source ~/.bashrc 来让改变生效）。每件事情都是交由‘curl’命令处理， 它负责将需要解释的命令以及命令选项传送给mankier服务，然后将必要的信息打印到Linux命令行。不必说的就是使用这个工具你总是需要连接网络。

让我们用explain.sh脚本测试几个笔者不懂的命令例子。

1.我忘了‘du -h’是干嘛用的， 我只需要这样做:

$ explain 'du -h'

获得du命令的帮助

2.如果你忘了'tar -zxvf'的作用，你可以简单地如此做:

$ explain 'tar -zxvf'

Tar命令帮助

3.我的一个朋友经常对'whatis'以及'whereis'命令的使用感到困惑，所以我建议他：

在终端简单的地敲下explain命令进入交互模式。

$ explain

然后一个接着一个地输入命令，就能在一个窗口看到他们各自的作用：

Command: whatis
Command: whereis

Whatis/Whereis命令的帮助

你只需要使用“Ctrl+c”就能退出交互模式。

4. 你可以通过管道来请求解释更多的命令。

$ explain 'ls -l | grep -i Desktop'

获取多条命令的帮助

同样地，你可以请求你的shell来解释任何shell命令。 前提是你需要一个可用的网络。输出的信息是基于需要解释的命令，从服务器中生成的，因此输出的结果是不可定制的。

对于我来说这个工具真的很有用，并且它已经荣幸地添加在我的.bashrc文件中。你对这个项目有什么想法？它对你有用么？它的解释令你满意吗？请让我知道吧！

请在下面评论为我们提供宝贵意见，喜欢并分享我们以及帮助我们得到传播。

via: http://www.tecmint.com/explain-shell-commands-in-the-linux-shell/

作者：Avishek Kumar 译者：dingdongnigetou 校对：wxy

本文由 LCTT 原创翻译，Linux中国 荣誉推出

你在家里运行着一台 Linux 服务器，它放在一个 NAT 路由器或者限制性防火墙后面。现在你想在外出时用 SSH 登录到这台服务器。你如何才能做到呢？SSH 端口转发当然是一种选择。但是，如果你需要处理多级嵌套的 NAT 环境，端口转发可能会变得非常棘手。另外，在多种 ISP 特定条件下可能会受到干扰，例如阻塞转发端口的限制性 ISP 防火墙、或者在用户间共享 IPv4 地址的运营商级 NAT。

什么是反向 SSH 隧道？

SSH 端口转发的一种替代方案是 反向 SSH 隧道。反向 SSH 隧道的概念非常简单。使用这种方案，在你的受限的家庭网络之外你需要另一台主机（所谓的“中继主机”），你能从当前所在地通过 SSH 登录到它。你可以用有公网 IP 地址的 VPS 实例 配置一个中继主机。然后要做的就是从你的家庭网络服务器中建立一个到公网中继主机的永久 SSH 隧道。有了这个隧道，你就可以从中继主机中连接“回”家庭服务器（这就是为什么称之为 “反向” 隧道）。不管你在哪里、你的家庭网络中的 NAT 或 防火墙限制多么严格，只要你可以访问中继主机，你就可以连接到家庭服务器。

在 Linux 上设置反向 SSH 隧道

让我们来看看怎样创建和使用反向 SSH 隧道。我们做如下假设：我们会设置一个从家庭服务器（homeserver）到中继服务器（relayserver）的反向 SSH 隧道，然后我们可以通过中继服务器从客户端计算机（clientcomputer） SSH 登录到家庭服务器。本例中的中继服务器 的公网 IP 地址是 1.1.1.1。

在家庭服务器上，按照以下方式打开一个到中继服务器的 SSH 连接。

homeserver~$ ssh -fN -R 10022:localhost:22 [email protected]

这里端口 10022 是任何你可以使用的端口数字。只需要确保中继服务器上不会有其它程序使用这个端口。

“-R 10022:localhost:22” 选项定义了一个反向隧道。它转发中继服务器 10022 端口的流量到家庭服务器的 22 号端口。

用 “-fN” 选项，当你成功通过 SSH 服务器验证时 SSH 会进入后台运行。当你不想在远程 SSH 服务器执行任何命令，就像我们的例子中只想转发端口的时候非常有用。

运行上面的命令之后，你就会回到家庭主机的命令行提示框中。

登录到中继服务器，确认其 127.0.0.1:10022 绑定到了 sshd。如果是的话就表示已经正确设置了反向隧道。

relayserver~$ sudo netstat -nap | grep 10022

tcp      0    0 127.0.0.1:10022          0.0.0.0:*               LISTEN      8493/sshd           

现在就可以从任何其它计算机（客户端计算机）登录到中继服务器，然后按照下面的方法访问家庭服务器。

relayserver~$ ssh -p 10022 homeserver_user@localhost

需要注意的一点是你在上面为localhost输入的 SSH 登录/密码应该是家庭服务器的，而不是中继服务器的，因为你是通过隧道的本地端点登录到家庭服务器，因此不要错误输入中继服务器的登录/密码。成功登录后，你就在家庭服务器上了。

通过反向 SSH 隧道直接连接到网络地址变换后的服务器

上面的方法允许你访问 NAT 后面的 家庭服务器，但你需要登录两次：首先登录到 中继服务器，然后再登录到家庭服务器。这是因为中继服务器上 SSH 隧道的端点绑定到了回环地址（127.0.0.1）。

事实上，有一种方法可以只需要登录到中继服务器就能直接访问NAT之后的家庭服务器。要做到这点，你需要让中继服务器上的 sshd 不仅转发回环地址上的端口，还要转发外部主机的端口。这通过指定中继服务器上运行的 sshd 的 GatewayPorts 实现。

打开中继服务器的 /etc/ssh/sshd\_config 并添加下面的行。

relayserver~$ vi /etc/ssh/sshd_config

GatewayPorts clientspecified

重启 sshd。

基于 Debian 的系统：

relayserver~$ sudo /etc/init.d/ssh restart

基于红帽的系统：

relayserver~$ sudo systemctl restart sshd

现在在家庭服务器中按照下面方式初始化一个反向 SSH 隧道。

homeserver~$ ssh -fN -R 1.1.1.1:10022:localhost:22 [email protected]

登录到中继服务器然后用 netstat 命令确认成功建立的一个反向 SSH 隧道。

relayserver~$ sudo netstat -nap | grep 10022

tcp      0      0 1.1.1.1:10022     0.0.0.0:*           LISTEN      1538/sshd: dev  

不像之前的情况，现在隧道的端点是 1.1.1.1:10022（中继服务器的公网 IP 地址），而不是 127.0.0.1:10022。这就意味着从外部主机可以访问隧道的另一端。

现在在任何其它计算机（客户端计算机），输入以下命令访问网络地址变换之后的家庭服务器。

clientcomputer~$ ssh -p 10022 [email protected]

在上面的命令中，1.1.1.1 是中继服务器的公共 IP 地址，homeserver\_user必须是家庭服务器上的用户账户。这是因为你真正登录到的主机是家庭服务器，而不是中继服务器。后者只是中继你的 SSH 流量到家庭服务器。

在 Linux 上设置一个永久反向 SSH 隧道

现在你已经明白了怎样创建一个反向 SSH 隧道，然后把隧道设置为 “永久”，这样隧道启动后就会一直运行（不管临时的网络拥塞、SSH 超时、中继主机重启，等等）。毕竟，如果隧道不是一直有效，你就不能可靠的登录到你的家庭服务器。

对于永久隧道，我打算使用一个叫 autossh 的工具。正如名字暗示的，这个程序可以让你的 SSH 会话无论因为什么原因中断都会自动重连。因此对于保持一个反向 SSH 隧道非常有用。

第一步，我们要设置从家庭服务器到中继服务器的无密码 SSH 登录。这样的话，autossh 可以不需要用户干预就能重启一个损坏的反向 SSH 隧道。

下一步，在建立隧道的家庭服务器上安装 autossh。

在家庭服务器上，用下面的参数运行 autossh 来创建一个连接到中继服务器的永久 SSH 隧道。

homeserver~$ autossh -M 10900 -fN -o "PubkeyAuthentication=yes" -o "StrictHostKeyChecking=false" -o "PasswordAuthentication=no" -o "ServerAliveInterval 60" -o "ServerAliveCountMax 3" -R 1.1.1.1:10022:localhost:22 [email protected]

“-M 10900” 选项指定中继服务器上的监视端口，用于交换监视 SSH 会话的测试数据。中继服务器上的其它程序不能使用这个端口。

“-fN” 选项传递给 ssh 命令，让 SSH 隧道在后台运行。

“-o XXXX” 选项让 ssh：

• 使用密钥验证，而不是密码验证。
• 自动接受（未知）SSH 主机密钥。
• 每 60 秒交换 keep-alive 消息。
• 没有收到任何响应时最多发送 3 条 keep-alive 消息。

其余 SSH 隧道相关的选项和之前介绍的一样。

如果你想系统启动时自动运行 SSH 隧道，你可以将上面的 autossh 命令添加到 /etc/rc.local。

总结

在这篇博文中，我介绍了你如何能从外部通过反向 SSH 隧道访问限制性防火墙或 NAT 网关之后的 Linux 服务器。这里我介绍了家庭网络中的一个使用事例，但在企业网络中使用时你尤其要小心。这样的一个隧道可能被视为违反公司政策，因为它绕过了企业的防火墙并把企业网络暴露给外部攻击。这很可能被误用或者滥用。因此在使用之前一定要记住它的作用。

via: http://xmodulo.com/access-linux-server-behind-nat-reverse-ssh-tunnel.html

作者：Dan Nanni 译者：ictlyh 校对：wxy

本文由 LCTT 原创翻译，Linux中国 荣誉推出

Credit: Sandra H-S

有一个问题几乎困扰着所有的文件系统 -- 包括 Unix 和其他的 -- 那就是文件的不断积累。几乎没有人愿意花时间清理掉他们不再使用的文件和整理文件系统，结果，文件变得很混乱，很难找到有用的东西，要使它们运行良好、维护备份、易于管理，这将是一种持久的挑战。

我见过的一种解决问题的方法是建议使用者将所有的数据碎屑创建一个文件集合的总结报告或"概况"，来报告诸如所有的文件数量；最老的，最新的，最大的文件；并统计谁拥有这些文件等数据。如果有人看到五年前的一个包含五十万个文件的文件夹，他们可能会去删除哪些文件 -- 或者，至少会归档和压缩。主要问题是太大的文件夹会使人担心误删一些重要的东西。如果有一个描述文件夹的方法能帮助显示文件的性质，那么你就可以去清理它了。

当我准备做 Unix 文件系统的总结报告时，几个有用的 Unix 命令能提供一些非常有用的统计信息。要计算目录中的文件数，你可以使用这样一个 find 命令。

$ find . -type f | wc -l
187534

虽然查找最老的和最新的文件是比较复杂，但还是相当方便的。在下面的命令，我们使用 find 命令再次查找文件，以文件时间排序并按年-月-日的格式显示，在列表顶部的显然是最老的。

在第二个命令，我们做同样的，但打印的是最后一行，这是最新的。

$ find -type f -printf '%T+ %p\n' | sort | head -n 1
2006-02-03+02:40:33 ./skel/.xemacs/init.el
$ find -type f -printf '%T+ %p\n' | sort | tail -n 1
2015-07-19+14:20:16 ./.bash_history

printf 命令输出 ％T（文件日期和时间）和 ％P（带路径的文件名）参数。

如果我们在查找家目录时，无疑会发现，history 文件（如 .bash\_history）是最新的，这并没有什么用。你可以通过 "un-grepping" 来忽略这些文件，也可以忽略以.开头的文件，如下图所示的。

$ find -type f -printf '%T+ %p\n' | grep -v "\./\." | sort | tail -n 1
2015-07-19+13:02:12 ./isPrime

寻找最大的文件使用 ％s（大小）参数，包括文件名（％f），因为这就是我们想要在报告中显示的。

$ find -type f -printf '%s %f \n' | sort -n | uniq | tail -1
20183040 project.org.tar

统计文件的所有者，使用％u（所有者）

$ find -type f -printf '%u \n' | grep -v "\./\." | sort | uniq -c
   180034 shs
     7500 jdoe

如果文件系统能记录上次的访问日期，也将是非常有用的，可以用来看该文件有没有被访问过，比方说，两年之内没访问过。这将使你能明确分辨这些文件的价值。这个最后访问（％a）参数这样使用：

$ find -type f -printf '%a+ %p\n' | sort | head -n 1
Fri Dec 15 03:00:30 2006+ ./statreport

当然，如果大多数最近​​访问的文件也是在很久之前的，这看起来你需要处理更多文件了。

$ find -type f -printf '%a+ %p\n' | sort | tail -n 1
Wed Nov 26 03:00:27 2007+ ./my-notes

要想层次分明，可以为一个文件系统或大目录创建一个总结报告，显示这些文件的日期范围、最大的文件、文件所有者们、最老的文件和最新访问时间，可以帮助文件拥有者判断当前有哪些文件夹是重要的哪些该清理了。

via: http://www.itworld.com/article/2949898/linux/profiling-your-file-systems.html

作者：Sandra Henry-Stocker 译者：strugglingyouth 校对：wxy

本文由 LCTT 原创翻译，Linux中国 荣誉推出

问题

我试着在Ubuntu中安装Emerald图标主题，而这个主题被打包成了.7z归档包。和以往一样，我试着通过在GUI中右击并选择“提取到这里”来将它解压缩。但是Ubuntu 15.04却并没有解压文件，取而代之的，却是丢给了我一个下面这样的错误信息：

Could not open this file

无法打开该文件

There is no command installed for 7-zip archive files. Do you want to search for a command to open this file?

没有安装用于7-zip归档文件的命令。你是否想要搜索用于来打开该文件的命令？

错误信息看上去是这样的：

原因

发生该错误的原因从错误信息本身来看就十分明了。7Z，称之为7-zip更好，该程序没有安装，因此7Z压缩文件就无法解压缩。这也暗示着Ubuntu默认不支持7-zip文件。

解决方案：在Ubuntu中安装 7zip

要解决该问题也十分简单，在Ubuntu中安装7-Zip包即可。现在，你也许想知道如何在Ubuntu中安装 7Zip吧？好吧，在前面的错误对话框中，如果你右击“Search Command”搜索命令，它会查找可用的 p7zip 包。只要点击“Install”安装，如下图：

可选方案：在终端中安装 7Zip

如果偏好使用终端，你可以使用以下命令在终端中安装 7zip：

sudo apt-get install p7zip-full

注意：在Ubuntu中，你会发现有3个7zip包：p7zip，p7zip-full 和 p7zip-rar。p7zip和p7zip-full的区别在于，p7zip是一个更轻量化的版本，仅仅提供了对 .7z 和 .7za 文件的支持，而完整版则提供了对更多（用于音频文件等的） 7z 压缩算法的支持。对于 p7zip-rar，它除了对 7z 文件的支持外，也提供了对 .rar 文件的支持。

事实上，相同的错误也会发生在Ubuntu中的RAR文件身上。解决方案也一样，安装正确的程序即可。

希望这篇快文帮助你解决了Ubuntu 14.04中如何打开 7zip的谜团。如有任何问题或建议，我们将无任欢迎。

via: http://itsfoss.com/fix-there-is-no-command-installed-for-7-zip-archive-files/

作者：Abhishek 译者：GOLinux 校对：wxy

本文由 LCTT 原创翻译，Linux中国 荣誉推出

这个星期我将给本地一所高中做一次有关于程序猿是怎样工作的演讲。我是志愿（由 Transfer 组织的）来到这所学校谈论我的工作的。这个学校本周将有一个技术主题日，并且他们很想听听科技行业是怎样工作的。因为我是从事软件开发的，这也是我将和学生们讲的内容。演讲的其中一部分是我为什么觉得软件开发是一个很酷的职业。主要原因如下：

5个原因

1、创造性

如果你问别人创造性的工作有哪些，别人通常会说像作家，音乐家或者画家那样的（工作）。但是极少有人知道软件开发也是一项非常具有创造性的工作。它是最符合创造性定义的了，因为你创造了一个以前没有的新功能。这种解决方案可以在整体和细节上以很多形式来展现。我们经常会遇到一些需要做权衡的场景（比如说运行速度与内存消耗的权衡）。当然前提是这种解决方案必须是正确的。这些所有的行为都是需要强大的创造性的。

2、协作性

另外一个表象是程序猿们独自坐在他们的电脑前，然后撸一天的代码。但是软件开发事实上通常总是一个团队努力的结果。你会经常和你的同事讨论编程问题以及解决方案，并且和产品经理、测试人员、客户讨论需求以及其他问题。 经常有人说，结对编程（2个开发人员一起在一个电脑上编程）是一种流行的最佳实践。

3、高需性

世界上越来越多的人在用软件，正如 Marc Andreessen 所说 " 软件正在吞噬世界 "。虽然程序猿现在的数量非常巨大（在斯德哥尔摩，程序猿现在是 最普遍的职业 ），但是，需求量一直处于供不应求的局面。据软件公司说，他们最大的挑战之一就是 找到优秀的程序猿 。我也经常接到那些想让我跳槽的招聘人员打来的电话。我知道至少除软件行业之外的其他行业的雇主不会那么拼（的去招聘）。

4、高酬性

软件开发可以带来不菲的收入。卖一份你已经开发好的软件的额外副本是没有 边际成本 的。这个事实与对程序猿的高需求意味着收入相当可观。当然还有许多更捞金的职业，但是相比一般人群，我认为软件开发者确实“日进斗金”(知足吧！骚年~~)。

5、前瞻性

有许多工作岗位消失，往往是由于它们可以被计算机和软件代替。但是所有这些新的程序依然需要开发和维护，因此，程序猿的前景还是相当好的。

但是...

外包又是怎么一回事呢？

难道所有外包到其他国家的软件开发的薪水都很低吗？这是一个理想丰满，现实骨感的例子（有点像 瀑布开发模型 ）。软件开发基本上跟设计的工作一样，是一个探索发现的工作。它受益于强有力的合作。更进一步说，特别当你的主打产品是软件的时候，你所掌握的开发知识是绝对的优势。知识在整个公司中分享的越容易，那么公司的发展也将越来越好。

换一种方式去看待这个问题。软件外包已经存在了相当一段时间了。但是对本土程序猿的需求量依旧非常高。因为许多软件公司看到了雇佣本土程序猿的带来的收益要远远超过了相对较高的成本（其实还是赚了）。

如何成为人生大赢家

虽然我有许多我认为软件开发是一件非常有趣的事情的理由 （详情见: 为什么我热爱编程 ）。但是这些理由，并不适用于所有人。幸运的是，尝试编程是一件非常容易的事情。在互联网上有数不尽的学习编程的资源。例如，Coursera 和 Udacity 都拥有很好的入门课程。如果你从来没有撸过码，可以尝试其中一个免费的课程，找找感觉。

寻找一个既热爱又能谋生的事情至少有2个好处。首先，由于你天天去做，工作将比你简单的只为谋生要有趣的多。其次，如果你真的非常喜欢，你将更好的擅长它。我非常喜欢下面一副关于伟大工作组成的韦恩图（作者 @eskimon） 。因为编码的薪水确实相当不错，我认为如果你真的喜欢它，你将有一个很好的机会，成为人生的大赢家！

via: http://henrikwarne.com/2014/12/08/5-reasons-why-software-developer-is-a-great-career-choice/

作者：Henrik Warne 译者：mousycoder 校对：wxy

本文由 LCTT 原创翻译，Linux中国 荣誉推出

NGINX 是什么?

NGINX (发音为 “engine X”) 是一种流行的 HTTP 和反向代理服务器。作为一个 HTTP 服务器，NGINX 可以使用较少的内存非常高效可靠地提供静态内容。作为反向代理，它可以用作多个后端服务器或类似缓存和负载平衡这样的其它应用的单一访问控制点。NGINX 是一个自由开源的产品，并有一个具备更全的功能的叫做 NGINX Plus 的商业版。

NGINX 也可以用作邮件代理和通用的 TCP 代理，但本文并不直接讨论 NGINX 的那些用例的监控。

NGINX 主要指标

通过监控 NGINX 可以 捕获到两类问题：NGINX 本身的资源问题，和出现在你的基础网络设施的其它问题。大多数 NGINX 用户会用到以下指标的监控，包括每秒请求数，它提供了一个由所有最终用户活动组成的上层视图；服务器错误率 ，这表明你的服务器已经多长没有处理看似有效的请求；还有请求处理时间，这说明你的服务器处理客户端请求的总共时长（并且可以看出性能降低或当前环境的其他问题）。

更一般地，至少有三个主要的指标类别来监视：

• 基本活动指标
• 错误指标
• 性能指标

下面我们将分析在每个类别中最重要的 NGINX 指标，以及用一个相当普遍但是值得特别提到的案例来说明：使用 NGINX Plus 作反向代理。我们还将介绍如何使用图形工具或可选择的监控工具来监控所有的指标。

本文引用指标术语来自我们的“监控 101 系列”,，它提供了一个指标收集和警告框架。

基本活跃指标

无论你在怎样的情况下使用 NGINX，毫无疑问你要监视服务器接收多少客户端请求和如何处理这些请求。

NGINX Plus 上像开源 NGINX 一样可以报告基本活跃指标，但它也提供了略有不同的辅助模块。我们首先讨论开源的 NGINX，再来说明 NGINX Plus 提供的其他指标的功能。

NGINX

下图显示了一个客户端连接的过程，以及开源版本的 NGINX 如何在连接过程中收集指标。

Accepts（接受）、Handled（已处理）、Requests（请求数）是一直在增加的计数器。Active（活跃）、Waiting（等待）、Reading（读）、Writing（写）随着请求量而增减。

*严格的来说，丢弃的连接是 一个资源饱和指标，但是因为饱和会导致 NGINX 停止服务（而不是延后该请求），所以，“已丢弃”视作 一个工作指标 比较合适。

NGINX worker 进程接受 OS 的连接请求时 Accepts 计数器增加，而Handled 是当实际的请求得到连接时（通过建立一个新的连接或重新使用一个空闲的）。这两个计数器的值通常都是相同的，如果它们有差别则表明连接被Dropped，往往这是由于资源限制，比如已经达到 NGINX 的worker\_connections的限制。

一旦 NGINX 成功处理一个连接时，连接会移动到Active状态，在这里对客户端请求进行处理：

Active状态

• Waiting: 活跃的连接也可以处于 Waiting 子状态，如果有在此刻没有活跃请求的话。新连接可以绕过这个状态并直接变为到 Reading 状态，最常见的是在使用“accept filter（接受过滤器）” 和 “deferred accept（延迟接受）”时，在这种情况下，NGINX 不会接收 worker 进程的通知，直到它具有足够的数据才开始响应。如果连接设置为 keep-alive ，那么它在发送响应后将处于等待状态。
• Reading: 当接收到请求时，连接离开 Waiting 状态，并且该请求本身使 Reading 状态计数增加。在这种状态下 NGINX 会读取客户端请求首部。请求首部是比较小的，因此这通常是一个快速的操作。
• Writing: 请求被读取之后，其使 Writing 状态计数增加，并保持在该状态，直到响应返回给客户端。这意味着，该请求在 Writing 状态时， 一方面 NGINX 等待来自上游系统的结果（系统放在 NGINX “后面”），另外一方面，NGINX 也在同时响应。请求往往会在 Writing 状态花费大量的时间。

通常，一个连接在同一时间只接受一个请求。在这种情况下，Active 连接的数目 == Waiting 的连接 + Reading 请求 + Writing 。然而，较新的 SPDY 和 HTTP/2 协议允许多个并发请求/响应复用一个连接，所以 Active 可小于 Waiting 的连接、 Reading 请求、Writing 请求的总和。 （在撰写本文时，NGINX 不支持 HTTP/2，但预计到2015年期间将会支持。）

NGINX Plus

正如上面提到的，所有开源 NGINX 的指标在 NGINX Plus 中是可用的，但另外也提供其他的指标。本节仅说明了 NGINX Plus 可用的指标。

Accepted （已接受）、Dropped，总数是不断增加的计数器。Active、 Idle（空闲）和处于 Current（当前）处理阶段的各种状态下的连接或请​​求的当前数量随着请求量而增减。

*严格的来说，丢弃的连接是 一个资源饱和指标，但是因为饱和会导致 NGINX 停止服务（而不是延后该请求），所以，“已丢弃”视作 一个工作指标 比较合适。

当 NGINX Plus worker 进程接受 OS 的连接请求时 Accepted 计数器递增。如果 worker 进程为请求建立连接失败（通过建立一个新的连接或重新使用一个空闲），则该连接被丢弃， Dropped 计数增加。通常连接被丢弃是因为资源限制，如 NGINX Plus 的worker\_connections的限制已经达到。

Active 和 Idle 和如上所述的开源 NGINX 的“active” 和 “waiting”状态是相同的，但是有一点关键的不同：在开源 NGINX 上，“waiting”状态包括在“active”中，而在 NGINX Plus 上“idle”的连接被排除在“active” 计数外。Current 和开源 NGINX 是一样的也是由“reading + writing” 状态组成。

Total 为客户端请求的累积计数。请注意，单个客户端连接可涉及多个请求，所以这个数字可能会比连接的累计次数明显大。事实上，（total / accepted）是每个连接的平均请求数量。

开源 和 Plus 之间指标的不同

提醒指标: 丢弃连接

被丢弃的连接数目等于 Accepts 和 Handled 之差（NGINX 中），或是可直接得到的标准指标（NGINX Plus 中）。在正常情况下，丢弃连接数应该是零。如果在每个单位时间内丢弃连接的速度开始上升，那么应该看看是否资源饱和了。

提醒指标: 每秒请求数

按固定时间间隔采样你的请求数据（开源 NGINX 的requests或者 NGINX Plus 中total） 会提供给你单位时间内（通常是分钟或秒）所接受的请求数量。监测这个指标可以查看进入的 Web 流量尖峰，无论是合法的还是恶意的，或者突然的下降，这通常都代表着出现了问题。每秒请求数若发生急剧变化可以提醒你的环境出现问题了，即使它不能告诉你确切问题的位置所在。请注意，所有的请求都同样计数，无论 URL 是什么。

收集活跃指标

开源的 NGINX 提供了一个简单状态页面来显示基本的服务器指标。该状态信息以标准格式显示，实际上任何图形或监控工具可以被配置去解析这些相关数据，以用于分析、可视化、或提醒。NGINX Plus 提供一个 JSON 接口来供给更多的数据。阅读相关文章“NGINX 指标收集”来启用指标收集的功能。

错误指标

NGINX 错误指标告诉你服务器是否经常返回错误而不是正常工作。客户端错误返回4XX状态码，服务器端错误返回5XX状态码。

提醒指标: 服务器错误率

服务器错误率等于在单位时间（通常为一到五分钟）内5xx错误状态代码的总数除以状态码（1XX，2XX，3XX，4XX，5XX）的总数。如果你的错误率随着时间的推移开始攀升，调查可能的原因。如果突然增加，可能需要采取紧急行动，因为客户端可能收到错误信息。

关于客户端错误的注意事项：虽然监控4XX是很有用的，但从该指标中你仅可以捕捉有限的信息，因为它只是衡量客户的行为而不捕捉任何特殊的 URL。换句话说，4xx出现的变化可能是一个信号，例如网络扫描器正在寻找你的网站漏洞时。

收集错误度量

虽然开源 NGINX 不能马上得到用于监测的错误率，但至少有两种方法可以得到：

• 使用商业支持的 NGINX Plus 提供的扩展状态模块
• 配置 NGINX 的日志模块将响应码写入访问日志

关于这两种方法，请阅读相关文章“NGINX 指标收集”。

性能指标

提醒指标: 请求处理时间

请求处理时间指标记录了 NGINX 处理每个请求的时间，从读到客户端的第一个请求字节到完成请求。较长的响应时间说明问题在上游。

收集处理时间指标

NGINX 和 NGINX Plus 用户可以通过添加 $request\_time 变量到访问日志格式中来捕​​捉处理时间数据。关于配置日志监控的更多细节在NGINX指标收集。

反向代理指标

反向代理是 NGINX 最常见的使用方法之一。商业支持的 NGINX Plus 显示了大量有关后端（或“上游 upstream”）的服务器指标，这些与反向代理设置相关的。本节重点介绍了几个 NGINX Plus 用户可用的关键上游指标。

NGINX Plus 首先将它的上游指标按组分开，然后是针对单个服务器的。因此，例如，你的反向代理将请求分配到五个上游的 Web 服务器上，你可以一眼看出是否有单个服务器压力过大，也可以看出上游组中服务器的健康状况，以确保良好的响应时间。

活跃指标

每上游服务器的活跃连接的数量可以帮助你确认反向代理是否正确的分配工作到你的整个服务器组上。如果你正在使用 NGINX 作为负载均衡器，任何一台服务器处理的连接数的明显偏差都可能表明服务器正在努力消化请求，或者是你配置使用的负载均衡的方法（例如round-robin 或 IP hashing）不是最适合你流量模式的。

错误指标

错误指标，上面所说的高于5XX（服务器错误）状态码，是监控指标中有价值的一个，尤其是响应码部分。 NGINX Plus 允许你轻松地提取每个上游服务器的 5xx 错误代码的数量，以及响应的总数量，以此来确定某个特定服务器的错误率。

可用性指标

对于 web 服务器的运行状况，还有另一种角度，NGINX 可以通过每个组中当前可用服务器的总量很方便监控你的上游组的健康。在一个大的反向代理上，你可能不会非常关心其中一个服务器的当前状态，就像你只要有可用的服务器组能够处理当前的负载就行了。但监视上游组内的所有工作的服务器总量可为判断 Web 服务器的健康状况提供一个更高层面的视角。

收集上游指标

NGINX Plus 上游指标显示在内部 NGINX Plus 的监控仪表盘上，并且也可通过一个JSON 接口来服务于各种外部监控平台。在我们的相关文章“NGINX指标收集”中有个例子。

结论

在这篇文章中，我们已经谈到了一些有用的指标，你可以使用表格来监控 NGINX 服务器。如果你是刚开始使用 NGINX，监控下面提供的大部分或全部指标，可以让你很好的了解你的网络基础设施的健康和活跃程度：

• 已丢弃的连接
• 每秒请求数
• 服务器错误率
• 请求处理数据

最终，你会学到更多，更专业的衡量指标，尤其是关于你自己基础设施和使用情况的。当然，监控哪一项指标将取决于你可用的工具。参见相关的文章来逐步指导你的指标收集，不管你使用 NGINX 还是 NGINX Plus。

在 Datadog 中，我们已经集成了 NGINX 和 NGINX Plus，这样你就可以以最少的设置来收集和监控所有 Web 服务器的指标。 在本文中了解如何用 NGINX Datadog来监控，并开始免费试用 Datadog吧。

诚谢

在文章发表之前非常感谢 NGINX 团队审阅这篇，并提供重要的反馈和说明。

via: https://www.datadoghq.com/blog/how-to-monitor-nginx/

作者：K Young 译者：strugglingyouth 校对：wxy

本文由 LCTT 原创翻译，Linux中国 荣誉推出