linux Troubleshooting
Linux OOM Killer 与内存不足排查
Linux 进程被 OOM Killer 杀、容器状态 OOMKilled 或 dmesg 出现 Out of memory: Killed process 时,用 dmesg -T 与 journalctl -k 查历史内核日志确认时间和被杀进程,区分宿主机 OOM 与容器 cgroup 限制,再看进程 RSS 增长趋势排查泄漏。
先确认是不是 OOM Killer 杀进程,再看被杀进程、当时内存水位和容器 cgroup 限制。不要只看当前 free,因为事故发生后内存可能已经恢复。
Scenario
这篇文章解决什么问题
适用于“Linux OOM Killer 与内存不足排查”对应的线上或本地排障场景。不要只根据最终报错下结论,应先把问题拆成入口、链路、目标服务和资源限制几层,再用命令逐层证实。先确认是不是 OOM Killer 杀进程,再看被杀进程、当时内存水位和容器 cgroup 限制。不要只看当前 free,因为事故发生后内存可能已经恢复。
Symptoms
典型现象
- Linux 进程被 OOM Killer 杀、容器状态 OOMKilled 或 dmesg 出现 Out of memory: Killed process 时,用 dmesg -T 与 journalctl -k 查历史内核日志确认时间和被杀进程,区分宿主机 OOM 与容器 cgroup 限制,再看进程 RSS 增长趋势排查泄漏。
- 相关日志、命令或页面中反复出现 linux、memory、oom 等关键词。
- 同一服务在不同机器、不同入口或不同时间段表现不一致,需要通过证据链缩小范围。
Before Debugging
排查前先确认
- 先确定故障资源:CPU、内存、磁盘、网络、权限、文件句柄还是 systemd 生命周期。
- 区分当前状态和故障发生时状态,事故恢复后 free/top 可能已经看不出根因。
- 任何清理或 kill 操作前先记录 PID、命令行、日志和影响范围。
Root Causes
常见根因分层
资源耗尽或限制过低
磁盘、内存、CPU、load、文件句柄和进程数限制都会让服务表现为启动失败、连接失败或随机超时。
- 先看系统级指标,再看进程级指标
- 确认 systemd/cgroup 限制
- 保留 dmesg/journalctl 历史证据
运行环境和交互 shell 不一致
systemd 服务没有你的 shell 环境变量、工作目录和 PATH;手动能跑不代表服务单元能跑。
- ExecStart 使用绝对路径
- 设置 WorkingDirectory 和 EnvironmentFile
- 修改 unit 后 daemon-reload
文件、权限和句柄生命周期异常
权限不对、文件已删除但仍被进程持有、日志无限增长、fd 泄漏都会造成表象复杂的问题。
- 用 lsof +L1 查 deleted 文件
- 检查目录权限和属主
- 看 /proc/<pid>/limits
Diagnosis Path
分步诊断流程
1. 固定现场,避免追着变化状态跑
先记录故障时间、影响入口、完整错误和最近一次变更。Linux OOM Killer 与内存不足排查 这类问题经常在重启、重试或缓存刷新后短暂消失,没有现场信息会很难复盘。
- 截图或保存完整错误文本
- 记录请求域名/IP/端口/namespace/服务名
- 标出最近发布、配置、证书、镜像或依赖变更
dmesg -T | grep -i "out of memory|killed process"
journalctl -k --since "2 hours ago" | grep -i oom2. 在故障发生的同一位置复现
很多误判来自测试位置不同:本机通不代表服务器通,容器内通不代表宿主机通,集群外通也不代表 Pod 内通。复现命令要尽量贴近真实流量路径。
- 从报错服务所在机器执行测试
- 必要时加 Host、SNI、namespace 或代理参数
- 把成功路径和失败路径的输出并排比较
journalctl -k --since "2 hours ago" | grep -i oom
free -h
ps -eo pid,comm,rss,vsz,%mem --sort=-rss | head3. 读取服务端证据,而不是只看客户端提示
客户端报错通常是结果摘要。真正能区分根因的是服务端日志、内核日志、事件、进程状态或数据库状态。
- 从内核日志确认 OOM 发生时间和被杀进程。
- 区分宿主机 OOM 与容器 cgroup OOMKilled。
- 查看进程 RSS、缓存、swap 使用和内存增长趋势。
free -h
ps -eo pid,comm,rss,vsz,%mem --sort=-rss | head
cat /sys/fs/cgroup/memory.max 2>/dev/null || true4. 做最小修复并立即回归验证
每次只改一个变量,修复后用同一条复现命令回测,并观察日志是否停止增长。这样可以避免多个临时改动互相掩盖。
- 查看进程 RSS、缓存、swap 使用和内存增长趋势。
- 核对服务内存限制、JVM/Node/Python 运行时参数与容器 limit。
- 短期降低并发或重启释放,长期需要定位泄漏、缓存无界增长或资源限制过小。
ps -eo pid,comm,rss,vsz,%mem --sort=-rss | head
cat /sys/fs/cgroup/memory.max 2>/dev/null || trueCommands
排查命令与使用意图
命令 1
用于补充“Linux OOM Killer 与内存不足排查”的排查证据链。dmesg 的输出需要结合上下文其他命令交叉验证,不要单独依赖某一条结果下结论。
dmesg -T | grep -i "out of memory|killed process"命令 2
用于读取 systemd 或内核在故障时间附近记录的真实错误,比 status 摘要更完整。重点看时间、退出码、权限、路径和依赖失败。
journalctl -k --since "2 hours ago" | grep -i oom命令 3
用于补充“Linux OOM Killer 与内存不足排查”的排查证据链。free 的输出需要结合上下文其他命令交叉验证,不要单独依赖某一条结果下结论。
free -h命令 4
用于确认端口监听状态和连接关系。重点看 LISTEN 行的地址是 127.0.0.1 还是 0.0.0.0,以及 ESTAB 连接数。
ps -eo pid,comm,rss,vsz,%mem --sort=-rss | head命令 5
用于读取日志或配置文件内容。重点看时间戳附近的 ERROR、FATAL、refused、timeout 等关键词。
cat /sys/fs/cgroup/memory.max 2>/dev/null || trueRisk Notes
容易踩坑的地方
- 生产上不要在来源未确认时 rm -rf 大目录,应先确认目录用途和影响范围。
- kill 进程前先确认它属于哪个服务、是否会触发级联重启,优先使用 SIGTERM 而非 SIGKILL。
- 不要忽略 dmesg 中的 OOM Killer 记录,它往往是应用内存泄漏或配置不当的早期信号。
Verification
修复后怎么确认
- 原始故障现象已经消失,且使用同一入口重新测试 Linux OOM Killer 与内存不足 能稳定成功。
- 服务端日志不再出现同类错误,监控中的错误率、重启次数、连接数或延迟回到正常区间。
- 如果做过临时绕过,已经记录恢复计划,例如还原宽松策略、补监控、补限制或提交正式配置。
Prevention
后续预防
- 为关键服务配置日志轮转、资源限制和基础监控,避免等到用户报障才发现问题。
- 把 systemd unit、timer 和环境文件纳入版本管理,确保所有变更可追溯可回滚。
- 对清理动作保留可回滚路径,优先移动/截断/轮转,不盲删。
- 建立系统资源基线监控,一旦 CPU、内存、磁盘或文件句柄超过阈值即可自动告警。
常见问题
free 看到 available 还有很多,为什么之前会 OOM?
free 显示的是当前状态。OOM 发生后进程已被杀,内存释放了,需要看 dmesg/journalctl 的历史日志。
加 swap 能彻底解决 OOM 吗?
只能缓冲突发,不能解决泄漏或限制过小。大量 swap 会让服务变慢,甚至引发更长时间抖动。
Long-tail SEO
你可能正在搜索这些报错
下面这些错误原文、场景词和中英文搜索词,都是排查同类问题时常见的入口。
- Linux OOM killer 排查
- Out of memory Kill process
- dmesg oom-killer
- journalctl oom killed process
- container oom killed
- Linux 内存占用高排查
- oom_score_adj
- cgroup memory limit OOM
Need More Help
这个问题还没完全解决?
把你的报错、环境和已经尝试过的步骤发给我,后续会优先补充到排障手册。