了解快捷键能够提升您的生产力。这里有一些实用的 Ubuntu 快捷键助您像专业人士一样使用 Ubuntu。

您可以用键盘和鼠标组合来使用操作系统。

注意：本文中提到的键盘快捷键适用于 Ubuntu 18.04 GNOME 版。 通常，它们中的大多数（或者全部）也适用于其他的 Ubuntu 版本，但我不能够保证。

实用的 Ubuntu 快捷键

让我们来看一看 Ubuntu GNOME 必备的快捷键吧！通用的快捷键如 Ctrl+C（复制）、Ctrl+V（粘贴）或者 Ctrl+S（保存）不再赘述。

注意：Linux 中的 Super 键即键盘上带有 Windows 图标的键，本文中我使用了大写字母，但这不代表你需要按下 shift 键，比如，T 代表键盘上的 ‘t’ 键，而不代表 Shift+t。

1、 Super 键：打开活动搜索界面

使用 Super 键可以打开活动菜单。如果你只能在 Ubuntu 上使用一个快捷键，那只能是 Super 键。

想要打开一个应用程序？按下 Super 键然后搜索应用程序。如果搜索的应用程序未安装，它会推荐来自应用中心的应用程序。

想要看看有哪些正在运行的程序？按下 Super 键，屏幕上就会显示所有正在运行的 GUI 应用程序。

想要使用工作区吗？只需按下 Super 键，您就可以在屏幕右侧看到工作区选项。

2、 Ctrl+Alt+T：打开 Ubuntu 终端窗口

使用 Ctrl+alt+T 来打开终端窗口

想要打开一个新的终端，您只需使用快捷键 Ctrl+Alt+T。这是我在 Ubuntu 中最喜欢的键盘快捷键。 甚至在我的许多 FOSS 教程中，当需要打开终端窗口是，我都会提到这个快捷键。

3、 Super+L 或 Ctrl+Alt+L：锁屏

当您离开电脑时锁定屏幕，是最基本的安全习惯之一。您可以使用 Super+L 快捷键，而不是繁琐地点击屏幕右上角然后选择锁定屏幕选项。

有些系统也会使用 Ctrl+Alt+L 键锁定屏幕。

4、 Super+D or Ctrl+Alt+D：显示桌面

按下 Super+D 可以最小化所有正在运行的应用程序窗口并显示桌面。

再次按 Super+D 将重新打开所有正在运行的应用程序窗口，像之前一样。

您也可以使用 Ctrl+Alt+D 来实现此目的。

5、 Super+A：显示应用程序菜单

您可以通过单击屏幕左下角的 9 个点打开 Ubuntu 18.04 GNOME 中的应用程序菜单。 但是一个更快捷的方法是使用 Super+A 快捷键。

它将显示应用程序菜单，您可以在其中查看或搜索系统上已安装的应用程序。

您可以使用 Esc 键退出应用程序菜单界面。

6、 Super+Tab 或 Alt+Tab：在运行中的应用程序间切换

如果您运行的应用程序不止一个，则可以使用 Super+Tab 或 Alt+Tab 快捷键在应用程序之间切换。

按住 Super 键同时按下 Tab 键，即可显示应用程序切换器。 按住 Super 的同时，继续按下 Tab 键在应用程序之间进行选择。 当光标在所需的应用程序上时，松开 Super 和 Tab 键。

默认情况下，应用程序切换器从左向右移动。 如果要从右向左移动，可使用 Super+Shift+Tab 快捷键。

在这里您也可以用 Alt 键代替 Super 键。

提示：如果有多个应用程序实例，您可以使用 Super+` 快捷键在这些实例之间切换。

7、 Super+箭头：移动窗口位置

https://player.vimeo.com/video/289091549

这个快捷键也适用于 Windows 系统。 使用应用程序时，按下 Super+左箭头，应用程序将贴合屏幕的左边缘，占用屏幕的左半边。

同样，按下 Super+右箭头会使应用程序贴合右边缘。

按下 Super+上箭头将最大化应用程序窗口，Super+下箭头将使应用程序恢复到其正常的大小。

8、 Super+M：切换到通知栏

GNOME 中有一个通知栏，您可以在其中查看系统和应用程序活动的通知，这里也有一个日历。

通知栏

使用 Super+M 快捷键，您可以打开此通知栏。 如果再次按这些键，将关闭打开的通知托盘。

使用 Super+V 也可实现相同的功能。

9、 Super+空格：切换输入法（用于多语言设置）

如果您使用多种语言，可能您的系统上安装了多个输入法。 例如，我需要在 Ubuntu 上同时使用印地语和英语，所以我安装了印地语（梵文）输入法以及默认的英语输入法。

如果您也使用多语言设置，则可以使用 Super+空格 快捷键快速更改输入法。

10、 Alt+F2：运行控制台

这适用于高级用户。 如果要运行快速命令，而不是打开终端并在其中运行命令，则可以使用 Alt+F2 运行控制台。

控制台

当您使用只能在终端运行的应用程序时，这尤其有用。

11、 Ctrl+Q：关闭应用程序窗口

如果您有正在运行的应用程序，可以使用 Ctrl+Q 快捷键关闭应用程序窗口。您也可以使用 Ctrl+W 来实现此目的。

Alt+F4 是关闭应用程序窗口更“通用”的快捷方式。

它不适用于一些应用程序，如 Ubuntu 中的默认终端。

12、 Ctrl+Alt+箭头：切换工作区

切换工作区

如果您是使用工作区的重度用户，可以使用 Ctrl+Alt+上箭头和 Ctrl+Alt+下箭头在工作区之间切换。

13、 Ctrl+Alt+Del：注销

不！在 Linux 中使用著名的快捷键 Ctrl+Alt+Del 并不会像在 Windows 中一样打开任务管理器（除非您使用自定义快捷键）。

注销

在普通的 GNOME 桌面环境中，您可以使用 Ctrl+Alt+Del 键打开关机菜单，但 Ubuntu 并不总是遵循此规范，因此当您在 Ubuntu 中使用 Ctrl+Alt+Del 键时，它会打开注销菜单。

在 Ubuntu 中使用自定义键盘快捷键

您不是只能使用默认的键盘快捷键，您可以根据需要创建自己的自定义键盘快捷键。

转到“设置->设备->键盘”，您将在这里看到系统的所有键盘快捷键。向下滚动到底部，您将看到“自定义快捷方式”选项。

您需要提供易于识别的快捷键名称、使用快捷键时运行的命令，以及您自定义的按键组合。

Ubuntu 中你最喜欢的键盘快捷键是什么？

快捷键无穷无尽。如果需要，你可以看一看所有可能的 GNOME 快捷键，看其中有没有你需要用到的快捷键。

您可以学习使用您经常使用应用程序的快捷键，这是很有必要的。例如，我使用 Kazam 进行屏幕录制，键盘快捷键帮助我方便地暂停和开始录像。

您最喜欢、最离不开的 Ubuntu 快捷键是什么？

via: https://itsfoss.com/ubuntu-shortcuts/

作者：Abhishek Prakash 选题：lujun9972 译者：XiatianSummer 校对：wxy

本文由 LCTT 原创编译，Linux中国 荣誉推出

总所周知，Linux 游戏库中的游戏只有 Windows 游戏库中的一部分，实际上，许多人甚至都不会考虑将操作系统转换为 Linux，原因很简单，因为他们喜欢的游戏，大多数都不能在这个平台上运行。

在撰写本文时，Steam 上已有超过 5000 种游戏可以在 Linux 上运行，而 Steam 上的游戏总数已经接近 27000 种了。现在 5000 种游戏可能看起来很多，但还没有达到 27000 种，确实没有。

虽然几乎所有的新的 独立游戏 indie game 都是在 Linux 中推出的，但我们仍然无法在这上面玩很多的 3A 大作。对我而言，虽然这其中有很多游戏我都很希望能有机会玩，但这从来都不是一个非黑即白的问题。因为我主要是玩独立游戏和复古游戏，所以几乎所有我喜欢的游戏都可以在 Linux 系统上运行。

认识 Proton，Steam 的一个 WINE 复刻

现在，这个问题已经成为过去式了，因为本周 Valve 宣布要对 Steam Play 进行一次更新，此次更新会将一个名为 Proton 的 Wine 复刻版本添加到 Linux 客户端中。是的，这个工具是开源的，Valve 已经在 GitHub 上开源了源代码，但该功能仍然处于测试阶段，所以你必须使用测试版的 Steam 客户端才能使用这项功能。

使用 proton ，可以在 Linux 系统上通过 Steam 运行更多 Windows 游戏

这对我们这些 Linux 用户来说，实际上意味着什么？简单来说，这意味着我们可以在 Linux 电脑上运行全部 27000 种游戏，而无需配置像 PlayOnLinux 或 Lutris 这样的东西。我要告诉你的是，配置这些东西有时候会非常让人头疼。

对此更为复杂的答案是，某种原因听起来非常美好。虽然在理论上，你可以用这种方式在 Linux 上玩所有的 Windows 平台上的游戏。但只有一少部分游戏在推出时会正式支持 Linux。这少部分游戏包括 《DOOM》、《最终幻想 VI》、《铁拳 7》、《星球大战：前线 2》，和其他几个。

你可以在 Linux 上玩所有的 Windows 游戏（理论上）

虽然目前该列表只有大约 30 个游戏，你可以点击“为所有游戏启用 Steam Play”复选框来强制使用 Steam 的 Proton 来安装和运行任意游戏。但你最好不要有太高的期待，它们的稳定性和性能表现不一定有你希望的那么好，所以请把期望值压低一点。

据这份报告，已经有超过一千个游戏可以在 Linux 上玩了。按此指南来了解如何启用 Steam Play 测试版本。

体验 Proton，没有我想的那么烂

例如，我安装了一些难度适中的游戏，使用 Proton 来进行安装。其中一个是《上古卷轴 4：湮没》，在我玩这个游戏的两个小时里，它只崩溃了一次，而且几乎是紧跟在游戏教程的自动保存点之后。

我有一块英伟达 Gtx 1050 Ti 的显卡。所以我可以使用 1080P 的高配置来玩这个游戏。而且我没有遇到除了这次崩溃之外的任何问题。我唯一真正感到不爽的只有它的帧数没有原本的高。在 90% 的时间里，游戏的帧数都在 60 帧以上，但我知道它的帧数应该能更高。

我安装和运行的其他所有游戏都运行得很完美，虽然我还没有较长时间地玩过它们中的任何一个。我安装的游戏中包括《森林》、《丧尸围城 4》和《刺客信条 2》。（你觉得我这是喜欢恐怖游戏吗？）

为什么 Steam（仍然）要下注在 Linux 上？

现在，一切都很好，这件事为什么会发生呢？为什么 Valve 要花费时间，金钱和资源来做这样的事？我倾向于认为，他们这样做是因为他们懂得 Linux 社区的价值，但是如果要我老实地说，我不相信我们和它有任何的关系。

如果我一定要在这上面花钱，我想说 Valve 开发了 Proton，因为他们还没有放弃 Steam Machine。因为 Steam OS 是基于 Linux 的发行版，在这类东西上面投资可以获取最大的利润，Steam OS 上可用的游戏越多，就会有更多的人愿意购买 Steam Machine。

可能我是错的，但是我敢打赌啊，我们会在不远的未来看到新一批的 Steam Machine。可能我们会在一年内看到它们，也有可能我们再等五年都见不到，谁知道呢！

无论哪种方式，我所知道的是，我终于能兴奋地从我的 Steam 游戏库里玩游戏了。这个游戏库是多年来我通过各种慈善包、促销码和不定时地买的游戏慢慢积累的，只不过是想试试让它在 Lutris 中运行。

为 Linux 上越来越多的游戏而激动？

你怎么看？你对此感到激动吗？或者说你会害怕只有很少的开发者会开发 Linux 平台上的游戏，因为现在几乎没有需求？Valve 喜欢 Linux 社区，还是说他们喜欢钱？请在下面的评论区告诉我们您的想法，然后重新搜索来查看更多类似这样的开源软件方面的文章。

via: https://itsfoss.com/steam-play-proton/

作者：Phillip Prado 选题：lujun9972 译者：hopefully2333 校对：wxy

本文由 LCTT 原创编译，Linux中国 荣誉推出

日志聚合系统可以帮助我们进行故障排除和其它任务。以下是三个主要工具介绍。

指标聚合 metrics aggregation 与 日志聚合 log aggregation 有何不同？日志不能包括指标吗？日志聚合系统不能做与指标聚合系统相同的事情吗？

这些是我经常听到的问题。我还看到供应商推销他们的日志聚合系统作为所有可观察问题的解决方案。日志聚合是一个有价值的工具，但它通常对时间序列数据的支持不够好。

时间序列的指标聚合系统中几个有价值的功能是专门为时间序列数据定制的 固定间隔 regular interval 和存储系统。固定间隔允许用户不断地收集实时的数据结果。如果要求日志聚合系统以固定间隔收集指标数据，它也可以。但是，它的存储系统没有针对指标聚合系统中典型的查询类型进行优化。使用日志聚合工具中的存储系统处理这些查询将花费更多的资源和时间。

所以，我们知道日志聚合系统可能不适合时间序列数据，但是它有什么好处呢？日志聚合系统是收集事件数据的好地方。这些无规律的活动是非常重要的。最好的例子为 web 服务的访问日志，这些很重要，因为我们想知道什么正在访问我们的系统，什么时候访问的。另一个例子是应用程序错误记录 —— 因为它不是正常的操作记录，所以在故障排除过程中可能很有价值的。

日志记录的一些规则：

• 须包含时间戳
• 须格式化为 JSON
• 不记录无关紧要的事件
• 须记录所有应用程序的错误
• 可记录警告错误
• 可开关的日志记录
• 须以可读的形式记录信息
• 不在生产环境中记录信息
• 不记录任何无法阅读或反馈的内容

云的成本

当研究日志聚合工具时，云服务可能看起来是一个有吸引力的选择。然而，这可能会带来巨大的成本。当跨数百或数千台主机和应用程序聚合时，日志数据是大量的。在基于云的系统中，数据的接收、存储和检索是昂贵的。

以一个真实的系统来参考，大约 500 个节点和几百个应用程序的集合每天产生 200GB 的日志数据。这个系统可能还有改进的空间，但是在许多 SaaS 产品中，即使将它减少一半，每月也要花费将近 10000 美元。而这通常仅保留 30 天，如果你想查看一年一年的趋势数据，就不可能了。

并不是要不使用这些基于云的系统，尤其是对于较小的组织它们可能非常有价值的。这里的目的是指出可能会有很大的成本，当这些成本很高时，就可能令人非常的沮丧。本文的其余部分将集中讨论自托管的开源和商业解决方案。

工具选择

ELK

ELK，即 Elasticsearch、Logstash 和 Kibana 简称，是最流行的开源日志聚合工具。它被 Netflix、Facebook、微软、LinkedIn 和思科使用。这三个组件都是由 Elastic 开发和维护的。Elasticsearch 本质上是一个 NoSQL 数据库，以 Lucene 搜索引擎实现的。Logstash 是一个日志管道系统，可以接收数据，转换数据，并将其加载到像 Elasticsearch 这样的应用中。Kibana 是 Elasticsearch 之上的可视化层。

几年前，引入了 Beats 。Beats 是数据采集器。它们简化了将数据运送到 Logstash 的过程。用户不需要了解每种日志的正确语法，而是可以安装一个 Beats 来正确导出 NGINX 日志或 Envoy 代理日志，以便在 Elasticsearch 中有效地使用它们。

安装生产环境级 ELK 套件时，可能会包括其他几个部分，如 Kafka、Redis 和 NGINX。此外，用 Fluentd 替换 Logstash 也很常见，我们将在后面讨论。这个系统操作起来很复杂，这在早期导致了很多问题和抱怨。目前，这些问题基本上已经被修复，不过它仍然是一个复杂的系统，如果你使用少部分的功能，建议不要使用它了。

也就是说，有其它可用的服务，所以你不必苦恼于此。可以使用 Logz.io，但是如果你有很多数据，它的标价有点高。当然，你可能规模比较小，没有很多数据。如果你买不起 Logz.io，你可以看看 AWS Elasticsearch Service (ES) 。ES 是 Amazon Web Services (AWS) 提供的一项服务，它很容易就可以让 Elasticsearch 马上工作起来。它还拥有使用 Lambda 和 S3 将所有AWS 日志记录到 ES 的工具。这是一个更便宜的选择，但是需要一些管理操作，并有一些功能限制。

ELK 套件的母公司 Elastic 提供 一款更强大的产品，它使用 开源核心 open core 模式，为分析工具和报告提供了额外的选项。它也可以在谷歌云平台或 AWS 上托管。由于这种工具和托管平台的组合提供了比大多数 SaaS 选项更加便宜，这也许是最好的选择，并且很有用。该系统可以有效地取代或提供 安全信息和事件管理（SIEM）系统的功能。

ELK 套件通过 Kibana 提供了很好的可视化工具，但是它缺少警报功能。Elastic 在付费的 X-Pack 插件中提供了警报功能，但是在开源系统没有内置任何功能。Yelp 已经开发了一种解决这个问题的方法，ElastAlert，不过还有其他方式。这个额外的软件相当健壮，但是它增加了已经复杂的系统的复杂性。

Graylog

Graylog 最近越来越受欢迎，但它是在 2010 年由 Lennart Koopmann 创建并开发的。两年后，一家公司以同样的名字诞生了。尽管它的使用者越来越多，但仍然远远落后于 ELK 套件。这也意味着它具有较少的社区开发特征，但是它可以使用与 ELK 套件相同的 Beats 。由于 Graylog Collector Sidecar 使用 Go 编写，所以 Graylog 在 Go 社区赢得了赞誉。

Graylog 使用 Elasticsearch、MongoDB 和底层的 Graylog Server 。这使得它像 ELK 套件一样复杂，也许还要复杂一些。然而，Graylog 附带了内置于开源版本中的报警功能，以及其他一些值得注意的功能，如流、消息重写和地理定位。

流功能可以允许数据在被处理时被实时路由到特定的 Stream。使用此功能，用户可以在单个 Stream 中看到所有数据库错误，在另外的 Stream 中看到 web 服务器错误。当添加新项目或超过阈值时，甚至可以基于这些 Stream 提供警报。延迟可能是日志聚合系统中最大的问题之一，Stream 消除了 Graylog 中的这一问题。一旦日志进入，它就可以通过 Stream 路由到其他系统，而无需完全处理好。

消息重写功能使用开源规则引擎 Drools 。允许根据用户定义的规则文件评估所有传入的消息，从而可以删除消息（称为黑名单）、添加或删除字段或修改消息。

Graylog 最酷的功能或许是它的地理定位功能，它支持在地图上绘制 IP 地址。这是一个相当常见的功能，在 Kibana 也可以这样使用，但是它增加了很多价值 —— 特别是如果你想将它用作 SIEM 系统。地理定位功能在系统的开源版本中提供。

如果你需要的话，Graylog 公司会提供对开源版本的收费支持。它还为其企业版提供了一个开源核心模式，提供存档、审计日志记录和其他支持。其它提供支持或托管服务的不太多，如果你不需要 Graylog 公司的，你可以托管。

Fluentd

Fluentd 是 Treasure Data 开发的，CNCF 已经将它作为一个孵化项目。它是用 C 和 Ruby 编写的，并被 AWS 和 Google Cloud 所推荐。Fluentd 已经成为许多系统中 logstach 的常用替代品。它可以作为一个本地聚合器，收集所有节点日志并将其发送到中央存储系统。它不是日志聚合系统。

它使用一个强大的插件系统，提供不同数据源和数据输出的快速和简单的集成功能。因为有超过 500 个插件可用，所以你的大多数用例都应该包括在内。如果没有，这听起来是一个为开源社区做出贡献的机会。

Fluentd 由于占用内存少（只有几十兆字节）和高吞吐量特性，是 Kubernetes 环境中的常见选择。在像 Kubernetes 这样的环境中，每个 pod 都有一个 Fluentd 附属件 ，内存消耗会随着每个新 pod 的创建而线性增加。在这种情况下，使用 Fluentd 将大大降低你的系统利用率。这对于 Java 开发的工具来说是一个常见的问题，这些工具旨在为每个节点运行一个工具，而内存开销并不是主要问题。

via: https://opensource.com/article/18/9/open-source-log-aggregation-tools

作者：Dan Barker 选题：lujun9972 译者：heguangzhi 校对：wxy

本文由 LCTT 原创编译，Linux中国 荣誉推出

有什么好的方法，既可以宣传开源的精神又不用写代码呢？这里有个点子：“ 开源食堂 open source cooking ”。在过去的 8 年间，这就是我们在慕尼黑做的事情。

开源食堂已经是我们常规的开源宣传活动了，因为我们发现开源与烹饪有很多共同点。

协作烹饪

慕尼黑开源聚会自 2009 年 7 月在 Café Netzwerk 创办以来，已经组织了若干次活动，活动一般在星期五的晚上组织。该聚会为开源项目工作者或者开源爱好者们提供了相互认识的方式。我们的信条是：“ 每四周的星期五属于自由软件 Every fourth Friday for free software ”。当然在一些周末，我们还会举办一些研讨会。那之后，我们很快加入了很多其他的活动，包括白香肠早餐、桑拿与烹饪活动。

事实上，第一次开源烹饪聚会举办的有些混乱，但是我们经过这 8 年来以及 15 次的活动，已经可以为 25-30 个与会者提供丰盛的美食了。

回头看看这些夜晚，我们愈发发现共同烹饪与开源社区协作之间，有很多相似之处。

烹饪步骤中的自由开源精神

这里是几个烹饪与开源精神相同的地方：

• 我们乐于合作且朝着一个共同的目标前进
• 我们成了一个社区
• 由于我们有相同的兴趣与爱好，我们可以更多的了解我们自身与他人，并且可以一同协作
• 我们也会犯错，但我们会从错误中学习，并为了共同的利益去分享关于错误的经验，从而让彼此避免再犯相同的错误
• 每个人都会贡献自己擅长的事情，因为每个人都有自己的一技之长
• 我们会动员其他人去做出贡献并加入到我们之中
• 虽说协作是关键，但难免会有点混乱
• 每个人都会从中收益

烹饪中的开源气息

同很多成功的开源聚会一样，开源烹饪也需要一些协作和组织结构。在每次活动之前，我们会组织所有的成员对菜单进行投票，而不单单是直接给每个人分一角披萨，我们希望真正的作出一道美味，迄今为止我们做过日本、墨西哥、匈牙利、印度等地区风味的美食，限于篇幅就不一一列举了。

就像在生活中，共同烹饪同样需要各个成员之间相互的尊重和理解，所以我们也会试着为素食主义者、食物过敏者、或者对某些事物有偏好的人提供针对性的事物。正式开始烹饪之前，在家预先进行些小规模的测试会非常有帮助（和乐趣！）

可扩展性也很重要，在杂货店采购必要的食材很容易就消耗掉 3 个小时。所以我们使用一些表格工具（自然是 LibreOffice Calc）来做一些所需要的食材以及相应的成本。

我们会同志愿者一起，对于每次晚餐我们都有一个“包维护者”，从而及时的制作出菜单并在问题产生的时候寻找一些独到的解决方法。

虽然不是所有人都是大厨，但是只要给与一些帮助，并比较合理的分配任务和责任，就很容易让每个人都参与其中。某种程度上来说，处理 18kg 的西红柿和 100 个鸡蛋都不会让你觉得是件难事，相信我！唯一的限制是一个烤炉只有四个灶，所以可能是时候对基础设施加大投入了。

发布有时间要求，当然要求也不那么严格，我们通常会在 21:30 和 01:30 之间的相当“灵活”时间内供应主菜，即便如此，这个时间也是硬性的发布规定。

最后，像很多开源项目一样，烹饪文档同样有提升的空间。类似洗碟子这样的扫尾工作同样也有可优化的地方。

未来的一些新功能点

我们预计的一些想法包括：

• 在其他的国家开展活动
• 购买和烹饪一个价值 700 欧元的大南瓜，并且
• 找家可以为我们采购提供折扣的商店

最后一点，也是开源软件的动机：永远记住，还有一些人们生活在阴影中，他们为没有同等的权限去访问资源而苦恼着。我们如何通过开源的精神去帮助他们呢？

一想到这点，我便期待这下一次的开源烹饪聚会。如果读了上面的东西让你觉得不够完美，并且想自己运作这样的活动，我们非常乐意你能够借鉴我们的想法，甚至抄袭一个。我们也乐意你能够参与到我们其中，甚至做一些演讲和问答。

via: https://opensource.com/article/18/9/open-source-cooking

作者：Florian Effenberger 选题：lujun9972 译者：sd886393 校对：wxy

本文由 LCTT 原创编译，Linux中国 荣誉推出

如果你使用过 top 命令来查看 Fedora 系统中的内存使用情况，你可能会惊讶，看起来消耗的数量比系统可用的内存更多。下面会详细介绍内存使用情况以及如何理解这些数据。

内存实际使用情况

操作系统对内存的使用方式并不是太通俗易懂。事实上，其背后有很多不为人知的巧妙技术在发挥着作用。通过这些方式，可以在无需用户干预的情况下，让操作系统更有效地使用内存。

大多数应用程序都不是系统自带的，但每个应用程序都依赖于安装在系统中的库中的一些函数集。在 Fedora 中，RPM 包管理系统能够确保在安装应用程序时也会安装所依赖的库。

当应用程序运行时，操作系统并不需要将它要用到的所有信息都加载到物理内存中。而是会为存放代码的存储空间构建一个映射，称为虚拟内存。操作系统只把需要的部分加载到内存中，当某一个部分不再需要后，这一部分内存就会被释放掉。

这意味着应用程序可以映射大量的虚拟内存，而使用较少的系统物理内存。特殊情况下，映射的虚拟内存甚至可以比系统实际可用的物理内存更多！而且在操作系统中这种情况也并不少见。

另外，不同的应用程序可能会对同一个库都有依赖。Fedora 中的 Linux 内核通常会在各个应用程序之间共享内存，而不需要为不同应用分别加载同一个库的多个副本。类似地，对于同一个应用程序的不同实例也是采用这种方式共享内存。

如果不首先了解这些细节，top 命令显示的数据可能会让人摸不着头脑。下面就举例说明如何正确查看内存使用量。

使用 top 命令查看内存使用量

如果你还没有使用过 top 命令，可以打开终端直接执行查看。使用 Shift + M 可以按照内存使用量来进行排序。下图是在 Fedora Workstation 中执行的结果，在你的机器上显示的结果可能会略有不同：

主要通过以下三列来查看内存使用情况：VIRT、RES 和 SHR。目前以 KB 为单位显示相关数值。

VIRT 列代表该进程映射的 虚拟 virtual 内存。如上所述，虚拟内存不是实际消耗的物理内存。例如， GNOME Shell 进程 gnome-shell 实际上没有消耗超过 3.1 GB 的物理内存，但它对很多更低或更高级的库都有依赖，系统必须对每个库都进行映射，以确保在有需要时可以加载这些库。

RES 列代表应用程序消耗了多少实际（ 驻留 resident ）内存。对于 GNOME Shell 大约是 180788 KB。例子中的系统拥有大约 7704 MB 的物理内存，因此内存使用率显示为 2.3％。

但根据 SHR 列显示，其中至少有 88212 KB 是 共享 shared 内存，这部分内存可能是其它应用程序也在使用的库函数。这意味着 GNOME Shell 本身大约有 92 MB 内存不与其他进程共享。需要注意的是，上述例子中的其它程序也共享了很多内存。在某些应用程序中，共享内存在内存使用量中会占很大的比例。

值得一提的是，有时进程之间通过内存通信，这些内存也是共享的，但 top 这样的工具却不一定能检测到，所以以上的说明也不一定准确。

关于交换分区

系统还可以通过交换分区来存储数据（例如硬盘），但读写的速度相对较慢。当物理内存渐渐用满，操作系统就会查找内存中暂时不会使用的部分，将其写出到交换区域等待需要的时候使用。

因此，如果交换内存的使用量一直偏高，表明系统的物理内存已经供不应求了。有时候一个不正常的应用也有可能导致出现这种情况，但如果这种现象经常出现，就需要考虑提升物理内存或者限制某些程序的运行了。

感谢 Stig Nygaard 在 Flickr 上提供的图片（CC BY 2.0）。

via: https://fedoramagazine.org/understand-fedora-memory-usage-top/

作者：Paul W. Frields 选题：lujun9972 译者：HankChow 校对：wxy

本文由 LCTT 原创编译，Linux中国 荣誉推出

tcpdump 是一个有名的命令行数据包分析工具。我们可以使用 tcpdump 命令捕获实时 TCP/IP 数据包，这些数据包也可以保存到文件中。之后这些捕获的数据包可以通过 tcpdump 命令进行分析。tcpdump 命令在网络层面进行故障排除时变得非常方便。

tcpdump 在大多数 Linux 发行版中都能用，对于基于 Debian 的Linux，可以使用 apt 命令安装它。

# apt install tcpdump -y

在基于 RPM 的 Linux 操作系统上，可以使用下面的 yum 命令安装 tcpdump。

# yum install tcpdump -y

当我们在没用任何选项的情况下运行 tcpdump 命令时，它将捕获所有接口的数据包。因此，要停止或取消 tcpdump 命令，请键入 ctrl+c。在本教程中，我们将使用不同的实例来讨论如何捕获和分析数据包。

示例：1）从特定接口捕获数据包

当我们在没用任何选项的情况下运行 tcpdump 命令时，它将捕获所有接口上的数据包，因此，要从特定接口捕获数据包，请使用选项 -i，后跟接口名称。

语法：

# tcpdump -i {接口名}

假设我想从接口 enp0s3 捕获数据包。

输出将如下所示，

tcpdump: verbose output suppressed, use -v or -vv for full protocol decode
listening on enp0s3, link-type EN10MB (Ethernet), capture size 262144 bytes
06:43:22.905890 IP compute-0-1.example.com.ssh > 169.144.0.1.39374: Flags [P.], seq 21952160:21952540, ack 13537, win 291, options [nop,nop,TS val 26164373 ecr 6580205], length 380
06:43:22.906045 IP compute-0-1.example.com.ssh > 169.144.0.1.39374: Flags [P.], seq 21952540:21952760, ack 13537, win 291, options [nop,nop,TS val 26164373 ecr 6580205], length 220
06:43:22.906150 IP compute-0-1.example.com.ssh > 169.144.0.1.39374: Flags [P.], seq 21952760:21952980, ack 13537, win 291, options [nop,nop,TS val 26164373 ecr 6580205], length 220
06:43:22.906291 IP 169.144.0.1.39374 > compute-0-1.example.com.ssh: Flags [.], ack 21952980, win 13094, options [nop,nop,TS val 6580205 ecr 26164373], length 0
06:43:22.906303 IP 169.144.0.1.39374 > compute-0-1.example.com.ssh: Flags [P.], seq 13537:13609, ack 21952980, win 13094, options [nop,nop,TS val 6580205 ecr 26164373], length 72
06:43:22.906322 IP compute-0-1.example.com.ssh > 169.144.0.1.39374: Flags [P.], seq 21952980:21953200, ack 13537, win 291, options [nop,nop,TS val 26164373 ecr 6580205], length 220
^C
109930 packets captured
110065 packets received by filter
133 packets dropped by kernel
[[email protected] ~]#

示例：2）从特定接口捕获特定数量数据包

假设我们想从特定接口（如 enp0s3）捕获 12 个数据包，这可以使用选项 -c {数量} -I {接口名称} 轻松实现。

root@compute-0-1 ~]# tcpdump -c 12 -i enp0s3

上面的命令将生成如下所示的输出，

示例：3）显示 tcpdump 的所有可用接口

使用 -D 选项显示 tcpdump 命令的所有可用接口，

[root@compute-0-1 ~]# tcpdump -D
1.enp0s3
2.enp0s8
3.ovs-system
4.br-int
5.br-tun
6.nflog (Linux netfilter log (NFLOG) interface)
7.nfqueue (Linux netfilter queue (NFQUEUE) interface)
8.usbmon1 (USB bus number 1)
9.usbmon2 (USB bus number 2)
10.qbra692e993-28
11.qvoa692e993-28
12.qvba692e993-28
13.tapa692e993-28
14.vxlan_sys_4789
15.any (Pseudo-device that captures on all interfaces)
16.lo [Loopback]
[[email protected] ~]#

我正在我的一个 openstack 计算节点上运行 tcpdump 命令，这就是为什么在输出中你会看到数字接口、标签接口、网桥和 vxlan 接口

示例：4）捕获带有可读时间戳的数据包（-tttt 选项）

默认情况下，在 tcpdump 命令输出中，不显示可读性好的时间戳，如果您想将可读性好的时间戳与每个捕获的数据包相关联，那么使用 -tttt 选项，示例如下所示，

[[email protected] ~]# tcpdump -c 8 -tttt -i enp0s3
tcpdump: verbose output suppressed, use -v or -vv for full protocol decode
listening on enp0s3, link-type EN10MB (Ethernet), capture size 262144 bytes
2018-08-25 23:23:36.954883 IP compute-0-1.example.com.ssh > 169.144.0.1.39406: Flags [P.], seq 1449206247:1449206435, ack 3062020950, win 291, options [nop,nop,TS val 86178422 ecr 21583714], length 188
2018-08-25 23:23:36.955046 IP 169.144.0.1.39406 > compute-0-1.example.com.ssh: Flags [.], ack 188, win 13585, options [nop,nop,TS val 21583717 ecr 86178422], length 0
2018-08-25 23:23:37.140097 IP controller0.example.com.amqp > compute-0-1.example.com.57818: Flags [P.], seq 814607956:814607964, ack 2387094506, win 252, options [nop,nop,TS val 86172228 ecr 86176695], length 8
2018-08-25 23:23:37.140175 IP compute-0-1.example.com.57818 > controller0.example.com.amqp: Flags [.], ack 8, win 237, options [nop,nop,TS val 86178607 ecr 86172228], length 0
2018-08-25 23:23:37.355238 IP compute-0-1.example.com.57836 > controller0.example.com.amqp: Flags [P.], seq 1080415080:1080417400, ack 1690909362, win 237, options [nop,nop,TS val 86178822 ecr 86163054], length 2320
2018-08-25 23:23:37.357119 IP controller0.example.com.amqp > compute-0-1.example.com.57836: Flags [.], ack 2320, win 1432, options [nop,nop,TS val 86172448 ecr 86178822], length 0
2018-08-25 23:23:37.357545 IP controller0.example.com.amqp > compute-0-1.example.com.57836: Flags [P.], seq 1:22, ack 2320, win 1432, options [nop,nop,TS val 86172449 ecr 86178822], length 21
2018-08-25 23:23:37.357572 IP compute-0-1.example.com.57836 > controller0.example.com.amqp: Flags [.], ack 22, win 237, options [nop,nop,TS val 86178825 ecr 86172449], length 0
8 packets captured
134 packets received by filter
69 packets dropped by kernel
[[email protected] ~]#

示例：5）捕获数据包并将其保存到文件（-w 选项）

使用 tcpdump 命令中的 -w 选项将捕获的 TCP/IP 数据包保存到一个文件中，以便我们可以在将来分析这些数据包以供进一步分析。

语法：

# tcpdump -w 文件名.pcap -i {接口名}

注意：文件扩展名必须为 .pcap。

假设我要把 enp0s3 接口捕获到的包保存到文件名为 enp0s3-26082018.pcap。

[root@compute-0-1 ~]# tcpdump -w enp0s3-26082018.pcap -i enp0s3

上述命令将生成如下所示的输出，

[root@compute-0-1  ~]# tcpdump -w enp0s3-26082018.pcap -i enp0s3
tcpdump: listening on enp0s3, link-type EN10MB (Ethernet), capture size 262144 bytes
^C841 packets captured
845 packets received by filter
0 packets dropped by kernel
[root@compute-0-1  ~]# ls
anaconda-ks.cfg enp0s3-26082018.pcap
[root@compute-0-1  ~]#

捕获并保存大小大于 N 字节的数据包。

[root@compute-0-1  ~]# tcpdump -w enp0s3-26082018-2.pcap greater 1024

捕获并保存大小小于 N 字节的数据包。

[root@compute-0-1  ~]# tcpdump -w enp0s3-26082018-3.pcap less 1024

示例：6）从保存的文件中读取数据包（-r 选项）

在上面的例子中，我们已经将捕获的数据包保存到文件中，我们可以使用选项 -r 从文件中读取这些数据包，例子如下所示，

[root@compute-0-1 ~]# tcpdump -r enp0s3-26082018.pcap

用可读性高的时间戳读取包内容，

[root@compute-0-1  ~]# tcpdump -tttt -r enp0s3-26082018.pcap
reading from file enp0s3-26082018.pcap, link-type EN10MB (Ethernet)
2018-08-25 22:03:17.249648 IP compute-0-1.example.com.ssh > 169.144.0.1.39406: Flags [P.], seq 1426167803:1426167927, ack 3061962134, win 291, options
[nop,nop,TS val 81358717 ecr 20378789], length 124
2018-08-25 22:03:17.249840 IP 169.144.0.1.39406 > compute-0-1.example.com.ssh: Flags [.], ack 124, win 564, options [nop,nop,TS val 20378791 ecr 81358
717], length 0
2018-08-25 22:03:17.454559 IP controller0.example.com.amqp > compute-0-1.example.com.57836: Flags [.], ack 1079416895, win 1432, options [nop,nop,TS v
al 81352560 ecr 81353913], length 0
2018-08-25 22:03:17.454642 IP compute-0-1.example.com.57836 > controller0.example.com.amqp: Flags [.], ack 1, win 237, options [nop,nop,TS val 8135892
2 ecr 81317504], length 0
2018-08-25 22:03:17.646945 IP compute-0-1.example.com.57788 > controller0.example.com.amqp: Flags [.], seq 106760587:106762035, ack 688390730, win 237
, options [nop,nop,TS val 81359114 ecr 81350901], length 1448
2018-08-25 22:03:17.647043 IP compute-0-1.example.com.57788 > controller0.example.com.amqp: Flags [P.], seq 1448:1956, ack 1, win 237, options [nop,no
p,TS val 81359114 ecr 81350901], length 508
2018-08-25 22:03:17.647502 IP controller0.example.com.amqp > compute-0-1.example.com.57788: Flags [.], ack 1956, win 1432, options [nop,nop,TS val 813
52753 ecr 81359114], length 0
.........................................................................................................................

示例：7）仅捕获特定接口上的 IP 地址数据包（-n 选项）

使用 tcpdump 命令中的 -n 选项，我们能只捕获特定接口上的 IP 地址数据包，示例如下所示，

[root@compute-0-1 ~]# tcpdump -n -i enp0s3

上述命令输出如下，

tcpdump: verbose output suppressed, use -v or -vv for full protocol decode
listening on enp0s3, link-type EN10MB (Ethernet), capture size 262144 bytes
22:22:28.537904 IP 169.144.0.20.ssh > 169.144.0.1.39406: Flags [P.], seq 1433301395:1433301583, ack 3061976250, win 291, options [nop,nop,TS val 82510005 ecr 20666610], length 188
22:22:28.538173 IP 169.144.0.1.39406 > 169.144.0.20.ssh: Flags [.], ack 188, win 9086, options [nop,nop,TS val 20666613 ecr 82510005], length 0
22:22:28.538573 IP 169.144.0.20.ssh > 169.144.0.1.39406: Flags [P.], seq 188:552, ack 1, win 291, options [nop,nop,TS val 82510006 ecr 20666613], length 364
22:22:28.538736 IP 169.144.0.1.39406 > 169.144.0.20.ssh: Flags [.], ack 552, win 9086, options [nop,nop,TS val 20666613 ecr 82510006], length 0
22:22:28.538874 IP 169.144.0.20.ssh > 169.144.0.1.39406: Flags [P.], seq 552:892, ack 1, win 291, options [nop,nop,TS val 82510006 ecr 20666613], length 340
22:22:28.539042 IP 169.144.0.1.39406 > 169.144.0.20.ssh: Flags [.], ack 892, win 9086, options [nop,nop,TS val 20666613 ecr 82510006], length 0
22:22:28.539178 IP 169.144.0.20.ssh > 169.144.0.1.39406: Flags [P.], seq 892:1232, ack 1, win 291, options [nop,nop,TS val 82510006 ecr 20666613], length 340
22:22:28.539282 IP 169.144.0.1.39406 > 169.144.0.20.ssh: Flags [.], ack 1232, win 9086, options [nop,nop,TS val 20666614 ecr 82510006], length 0
22:22:28.539479 IP 169.144.0.20.ssh > 169.144.0.1.39406: Flags [P.], seq 1232:1572, ack 1, win 291, options [nop,nop,TS val 82510006 ecr 20666614], length 340
22:22:28.539595 IP 169.144.0.1.39406 > 169.144.0.20.ssh: Flags [.], ack 1572, win 9086, options [nop,nop,TS val 20666614 ecr 82510006], length 0
22:22:28.539760 IP 169.144.0.20.ssh > 169.144.0.1.39406: Flags [P.], seq 1572:1912, ack 1, win 291, options [nop,nop,TS val 82510007 ecr 20666614], length 340
.........................................................................

您还可以使用 tcpdump 命令中的 -c 和 -N 选项捕获 N 个 IP 地址包，

[root@compute-0-1  ~]# tcpdump -c 25 -n -i enp0s3

示例：8）仅捕获特定接口上的 TCP 数据包

在 tcpdump 命令中，我们能使用 tcp 选项来只捕获 TCP 数据包，

[root@compute-0-1  ~]# tcpdump -i enp0s3 tcp
tcpdump: verbose output suppressed, use -v or -vv for full protocol decode
listening on enp0s3, link-type EN10MB (Ethernet), capture size 262144 bytes
22:36:54.521053 IP 169.144.0.20.ssh > 169.144.0.1.39406: Flags [P.], seq 1433336467:1433336655, ack 3061986618, win 291, options [nop,nop,TS val 83375988 ecr 20883106], length 188
22:36:54.521474 IP 169.144.0.1.39406 > 169.144.0.20.ssh: Flags [.], ack 188, win 9086, options [nop,nop,TS val 20883109 ecr 83375988], length 0
22:36:54.522214 IP 169.144.0.20.ssh > 169.144.0.1.39406: Flags [P.], seq 188:552, ack 1, win 291, options [nop,nop,TS val 83375989 ecr 20883109], length 364
22:36:54.522508 IP 169.144.0.1.39406 > 169.144.0.20.ssh: Flags [.], ack 552, win 9086, options [nop,nop,TS val 20883109 ecr 83375989], length 0
22:36:54.522867 IP 169.144.0.20.ssh > 169.144.0.1.39406: Flags [P.], seq 552:892, ack 1, win 291, options [nop,nop,TS val 83375990 ecr 20883109], length 340
22:36:54.523006 IP 169.144.0.1.39406 > 169.144.0.20.ssh: Flags [.], ack 892, win 9086, options [nop,nop,TS val 20883109 ecr 83375990], length 0
22:36:54.523304 IP 169.144.0.20.ssh > 169.144.0.1.39406: Flags [P.], seq 892:1232, ack 1, win 291, options [nop,nop,TS val 83375990 ecr 20883109], length 340
22:36:54.523461 IP 169.144.0.1.39406 > 169.144.0.20.ssh: Flags [.], ack 1232, win 9086, options [nop,nop,TS val 20883110 ecr 83375990], length 0
22:36:54.523604 IP 169.144.0.20.ssh > 169.144.0.1.39406: Flags [P.], seq 1232:1572, ack 1, win 291, options [nop,nop,TS val 83375991 ecr 20883110], length 340
...................................................................................................................................................

示例：9）从特定接口上的特定端口捕获数据包

使用 tcpdump 命令，我们可以从特定接口 enp0s3 上的特定端口（例如 22）捕获数据包。

语法：

# tcpdump -i {interface-name} port {Port_Number}

[root@compute-0-1  ~]# tcpdump -i enp0s3 port 22
tcpdump: verbose output suppressed, use -v or -vv for full protocol decode
listening on enp0s3, link-type EN10MB (Ethernet), capture size 262144 bytes
22:54:45.032412 IP compute-0-1.example.com.ssh > 169.144.0.1.39406: Flags [P.], seq 1435010787:1435010975, ack 3061993834, win 291, options [nop,nop,TS val 84446499 ecr 21150734], length 188
22:54:45.032631 IP 169.144.0.1.39406 > compute-0-1.example.com.ssh: Flags [.], ack 188, win 9131, options [nop,nop,TS val 21150737 ecr 84446499], length 0
22:54:55.037926 IP compute-0-1.example.com.ssh > 169.144.0.1.39406: Flags [P.], seq 188:576, ack 1, win 291, options [nop,nop,TS val 84456505 ecr 21150737], length 388
22:54:55.038106 IP 169.144.0.1.39406 > compute-0-1.example.com.ssh: Flags [.], ack 576, win 9154, options [nop,nop,TS val 21153238 ecr 84456505], length 0
22:54:55.038286 IP compute-0-1.example.com.ssh > 169.144.0.1.39406: Flags [P.], seq 576:940, ack 1, win 291, options [nop,nop,TS val 84456505 ecr 21153238], length 364
22:54:55.038564 IP 169.144.0.1.39406 > compute-0-1.example.com.ssh: Flags [.], ack 940, win 9177, options [nop,nop,TS val 21153238 ecr 84456505], length 0
22:54:55.038708 IP compute-0-1.example.com.ssh > 169.144.0.1.39406: Flags [P.], seq 940:1304, ack 1, win 291, options [nop,nop,TS val 84456506 ecr 21153238], length 364
............................................................................................................................

示例：10）在特定接口上捕获来自特定来源 IP 的数据包

在 tcpdump 命令中，使用 src 关键字后跟 IP 地址，我们可以捕获来自特定来源 IP 的数据包，

语法：

# tcpdump -n -i {接口名} src {IP 地址}

例子如下，

[root@compute-0-1  ~]# tcpdump -n -i enp0s3 src 169.144.0.10
tcpdump: verbose output suppressed, use -v or -vv for full protocol decode
listening on enp0s3, link-type EN10MB (Ethernet), capture size 262144 bytes
23:03:45.912733 IP 169.144.0.10.amqp > 169.144.0.20.57800: Flags [.], ack 526623844, win 243, options [nop,nop,TS val 84981008 ecr 84982372], length 0
23:03:46.136757 IP 169.144.0.10.amqp > 169.144.0.20.57796: Flags [.], ack 2535995970, win 252, options [nop,nop,TS val 84981232 ecr 84982596], length 0
23:03:46.153398 IP 169.144.0.10.amqp > 169.144.0.20.57798: Flags [.], ack 3623063621, win 243, options [nop,nop,TS val 84981248 ecr 84982612], length 0
23:03:46.361160 IP 169.144.0.10.amqp > 169.144.0.20.57802: Flags [.], ack 2140263945, win 252, options [nop,nop,TS val 84981456 ecr 84982821], length 0
23:03:46.376926 IP 169.144.0.10.amqp > 169.144.0.20.57808: Flags [.], ack 175946224, win 252, options [nop,nop,TS val 84981472 ecr 84982836], length 0
23:03:46.505242 IP 169.144.0.10.amqp > 169.144.0.20.57810: Flags [.], ack 1016089556, win 252, options [nop,nop,TS val 84981600 ecr 84982965], length 0
23:03:46.616994 IP 169.144.0.10.amqp > 169.144.0.20.57812: Flags [.], ack 832263835, win 252, options [nop,nop,TS val 84981712 ecr 84983076], length 0
23:03:46.809344 IP 169.144.0.10.amqp > 169.144.0.20.57814: Flags [.], ack 2781799939, win 252, options [nop,nop,TS val 84981904 ecr 84983268], length 0
23:03:46.809485 IP 169.144.0.10.amqp > 169.144.0.20.57816: Flags [.], ack 1662816815, win 252, options [nop,nop,TS val 84981904 ecr 84983268], length 0
23:03:47.033301 IP 169.144.0.10.amqp > 169.144.0.20.57818: Flags [.], ack 2387094362, win 252, options [nop,nop,TS val 84982128 ecr 84983492], length 0
^C
10 packets captured
12 packets received by filter
0 packets dropped by kernel

示例：11）在特定接口上捕获来自特定目的 IP 的数据包

语法：

# tcpdump -n -i {接口名} dst {IP 地址}

[root@compute-0-1  ~]# tcpdump -n -i enp0s3 dst 169.144.0.1
tcpdump: verbose output suppressed, use -v or -vv for full protocol decode
listening on enp0s3, link-type EN10MB (Ethernet), capture size 262144 bytes
23:10:43.520967 IP 169.144.0.20.ssh > 169.144.0.1.39406: Flags [P.], seq 1439564171:1439564359, ack 3062005550, win 291, options [nop,nop,TS val 85404988 ecr 21390356], length 188
23:10:43.521441 IP 169.144.0.20.ssh > 169.144.0.1.39406: Flags [P.], seq 188:408, ack 1, win 291, options [nop,nop,TS val 85404988 ecr 21390359], length 220
23:10:43.521719 IP 169.144.0.20.ssh > 169.144.0.1.39406: Flags [P.], seq 408:604, ack 1, win 291, options [nop,nop,TS val 85404989 ecr 21390359], length 196
23:10:43.521993 IP 169.144.0.20.ssh > 169.144.0.1.39406: Flags [P.], seq 604:800, ack 1, win 291, options [nop,nop,TS val 85404989 ecr 21390359], length 196
23:10:43.522157 IP 169.144.0.20.ssh > 169.144.0.1.39406: Flags [P.], seq 800:996, ack 1, win 291, options [nop,nop,TS val 85404989 ecr 21390359], length 196
23:10:43.522346 IP 169.144.0.20.ssh > 169.144.0.1.39406: Flags [P.], seq 996:1192, ack 1, win 291, options [nop,nop,TS val 85404989 ecr 21390359], length 196
.........................................................................................

示例：12）捕获两台主机之间的 TCP 数据包通信

假设我想捕获两台主机 169.144.0.1 和 169.144.0.20 之间的 TCP 数据包，示例如下所示，

[root@compute-0-1  ~]# tcpdump -w two-host-tcp-comm.pcap -i enp0s3 tcp and \(host 169.144.0.1 or host 169.144.0.20\)

使用 tcpdump 命令只捕获两台主机之间的 SSH 数据包流，

[root@compute-0-1  ~]# tcpdump -w ssh-comm-two-hosts.pcap -i enp0s3 src 169.144.0.1 and port 22 and dst 169.144.0.20 and port 22

示例：13）捕获两台主机之间（来回）的 UDP 网络数据包

语法：

# tcpdump -w -s -i udp and \(host and host \)

[root@compute-0-1  ~]# tcpdump -w two-host-comm.pcap -s 1000 -i enp0s3 udp and \(host 169.144.0.10 and host 169.144.0.20\)

示例：14）捕获十六进制和 ASCII 格式的数据包

使用 tcpdump 命令，我们可以以 ASCII 和十六进制格式捕获 TCP/IP 数据包，

要使用 -A 选项捕获 ASCII 格式的数据包，示例如下所示:

[root@compute-0-1  ~]# tcpdump -c 10 -A -i enp0s3
tcpdump: verbose output suppressed, use -v or -vv for full protocol decode
listening on enp0s3, link-type EN10MB (Ethernet), capture size 262144 bytes
00:37:10.520060 IP compute-0-1.example.com.ssh > 169.144.0.1.39406: Flags [P.], seq 1452637331:1452637519, ack 3062125586, win 333, options [nop,nop,TS val 90591987 ecr 22687106], length 188
E...[root@compute-0-1 @...............V.|...T....MT......
.fR..Z-....b.:..Z5...{.'p....]."}...Z..9.?......."root@compute-0-1 <.....V..C.....{,...OKP.2.*...`..-sS..1S...........:.O[.....{G..%ze.Pn.T..N.... ....qB..5...n.....`...:=...[..0....k.....S.:..5!.9..G....!-..'..
00:37:10.520319 IP 169.144.0.1.39406 > compute-0-1.example.com.ssh: Flags [.], ack 188, win 13930, options [nop,nop,TS val 22687109 ecr 90591987], length 0
root@compute-0-1 @.|+..............T.V.}O..6j.d.....
.Z-..fR.
00:37:11.687543 IP controller0.example.com.amqp > compute-0-1.example.com.57800: Flags [.], ack 526624548, win 243, options [nop,nop,TS val 90586768 ecr 90588146], length 0
root@compute-0-1 @.!L...
.....(..g....c.$...........
.f>..fC.
00:37:11.687612 IP compute-0-1.example.com.57800 > controller0.example.com.amqp: Flags [.], ack 1, win 237, options [nop,nop,TS val 90593155 ecr 90551716], length 0
root@compute-0-1 @..........
...(.c.$g.......Se.....
.fW..e..
..................................................................................................................................................

要同时以十六进制和 ASCII 格式捕获数据包，请使用 -XX 选项。

[root@compute-0-1  ~]# tcpdump -c 10 -XX -i enp0s3
tcpdump: verbose output suppressed, use -v or -vv for full protocol decode
listening on enp0s3, link-type EN10MB (Ethernet), capture size 262144 bytes
00:39:15.124363 IP compute-0-1.example.com.ssh > 169.144.0.1.39406: Flags [P.], seq 1452640859:1452641047, ack 3062126346, win 333, options [nop,nop,TS val 90716591 ecr 22718257], length 188
0x0000: 0a00 2700 0000 0800 27f4 f935 0800 4510 ..'.....'..5..E.
0x0010: 00f0 5bc6 4000 4006 8afc a990 0014 a990 ..[root@compute-0-1 @.........
0x0020: 0001 0016 99ee 5695 8a5b b684 570a 8018 ......V..[..W...
0x0030: 014d 5418 0000 0101 080a 0568 39af 015a .MT........h9..Z
0x0040: a731 adb7 58b6 1a0f 2006 df67 c9b6 4479 .1..X......g..Dy
0x0050: 19fd 2c3d 2042 3313 35b9 a160 fa87 d42c ..,=.B3.5..`...,
0x0060: 89a9 3d7d dfbf 980d 2596 4f2a 99ba c92a ..=}....%.O*...*
0x0070: 3e1e 7bf7 3af2 a5cc ee4f 10bc 7dfc 630d >.{.:....O..}.c.
0x0080: 898a 0e16 6825 56c7 b683 1de4 3526 ff04 ....h%V.....5&..
0x0090: 68d1 4f7d babd 27ba 84ae c5d3 750b 01bd h.O}..'.....u...
0x00a0: 9c43 e10a 33a6 8df2 a9f0 c052 c7ed 2ff5 .C..3......R../.
0x00b0: bfb1 ce84 edfc c141 6dad fa19 0702 62a7 .......Am.....b.
0x00c0: 306c db6b 2eea 824e eea5 acd7 f92e 6de3 0l.k...N......m.
0x00d0: 85d0 222d f8bf 9051 2c37 93c8 506d 5cb5 .."-...Q,7..Pm\.
0x00e0: 3b4a 2a80 d027 49f2 c996 d2d9 a9eb c1c4 ;J*..'I.........
0x00f0: 7719 c615 8486 d84c e42d 0ba3 698c w......L.-..i.
00:39:15.124648 IP 169.144.0.1.39406 > compute-0-1.example.com.ssh: Flags [.], ack 188, win 13971, options [nop,nop,TS val 22718260 ecr 90716591], length 0
0x0000: 0800 27f4 f935 0a00 2700 0000 0800 4510 ..'..5..'.....E.
0x0010: 0034 6b70 4000 4006 7c0e a990 0001 a990 root@compute-0-1 @.|.......
0x0020: 0014 99ee 0016 b684 570a 5695 8b17 8010 ........W.V.....
0x0030: 3693 7c0e 0000 0101 080a 015a a734 0568 6.|........Z.4.h
0x0040: 39af
.......................................................................

这就是本文的全部内容，我希望您能了解如何使用 tcpdump 命令捕获和分析 TCP/IP 数据包。请分享你的反馈和评论。

via: https://www.linuxtechi.com/capture-analyze-packets-tcpdump-command-linux/

作者：Pradeep Kumar
选题：lujun9972
译者：ypingcn
校对：wxy

本文由 LCTT 原创编译，Linux中国 荣誉推出