linux Troubleshooting

Linux 查看 TCP 连接数与状态

Linux 服务器需要统计 TCP 连接总数、状态分布或排查 TIME_WAIT/CLOSE_WAIT 堆积时,用 ss -s 看总览,ss -tan 按状态分组统计,netstat 和 /proc/net/tcp 交叉验证,ss 从 netlink 读取比 netstat 更快也更全。

用 ss -s 看连接概览,ss -tan | awk 状态分组统计,结合 netstat 和 /proc/net/tcp 定位异常连接。

适用环境Linux / systemd / Shell
风险等级
最后验证2026-07-03
建议权限按服务权限要求执行

Scenario

这篇文章解决什么问题

适用于“Linux 查看 TCP 连接数与状态”对应的线上或本地排障场景。不要只根据最终报错下结论,应先把问题拆成入口、链路、目标服务和资源限制几层,再用命令逐层证实。用 ss -s 看连接概览,ss -tan | awk 状态分组统计,结合 netstat 和 /proc/net/tcp 定位异常连接。

Symptoms

典型现象

  • Linux 服务器需要统计 TCP 连接总数、状态分布或排查 TIME_WAIT/CLOSE_WAIT 堆积时,用 ss -s 看总览,ss -tan 按状态分组统计,netstat 和 /proc/net/tcp 交叉验证,ss 从 netlink 读取比 netstat 更快也更全。
  • 相关日志、命令或页面中反复出现 linux、tcp、network 等关键词。
  • 同一服务在不同机器、不同入口或不同时间段表现不一致,需要通过证据链缩小范围。

Before Debugging

排查前先确认

  • 先确定故障资源:CPU、内存、磁盘、网络、权限、文件句柄还是 systemd 生命周期。
  • 区分当前状态和故障发生时状态,事故恢复后 free/top 可能已经看不出根因。
  • 任何清理或 kill 操作前先记录 PID、命令行、日志和影响范围。

Root Causes

常见根因分层

资源耗尽或限制过低

磁盘、内存、CPU、load、文件句柄和进程数限制都会让服务表现为启动失败、连接失败或随机超时。

  • 先看系统级指标,再看进程级指标
  • 确认 systemd/cgroup 限制
  • 保留 dmesg/journalctl 历史证据

运行环境和交互 shell 不一致

systemd 服务没有你的 shell 环境变量、工作目录和 PATH;手动能跑不代表服务单元能跑。

  • ExecStart 使用绝对路径
  • 设置 WorkingDirectory 和 EnvironmentFile
  • 修改 unit 后 daemon-reload

文件、权限和句柄生命周期异常

权限不对、文件已删除但仍被进程持有、日志无限增长、fd 泄漏都会造成表象复杂的问题。

  • 用 lsof +L1 查 deleted 文件
  • 检查目录权限和属主
  • 看 /proc/<pid>/limits

Diagnosis Path

分步诊断流程

1. 固定现场,避免追着变化状态跑

先记录故障时间、影响入口、完整错误和最近一次变更。Linux 查看 TCP 连接数与状态 这类问题经常在重启、重试或缓存刷新后短暂消失,没有现场信息会很难复盘。

  • 截图或保存完整错误文本
  • 记录请求域名/IP/端口/namespace/服务名
  • 标出最近发布、配置、证书、镜像或依赖变更
1. 固定现场,避免追着变化状态跑
ss -s
ss -tan state established | wc -l

2. 在故障发生的同一位置复现

很多误判来自测试位置不同:本机通不代表服务器通,容器内通不代表宿主机通,集群外通也不代表 Pod 内通。复现命令要尽量贴近真实流量路径。

  • 从报错服务所在机器执行测试
  • 必要时加 Host、SNI、namespace 或代理参数
  • 把成功路径和失败路径的输出并排比较
2. 在故障发生的同一位置复现
ss -tan state established | wc -l
ss -tan | awk "{print \$1}" | sort | uniq -c | sort -n
netstat -an | awk "/tcp/ {print \$NF}" | sort | uniq -c

3. 读取服务端证据,而不是只看客户端提示

客户端报错通常是结果摘要。真正能区分根因的是服务端日志、内核日志、事件、进程状态或数据库状态。

  • 用 ss -s 查看 TCP 连接总数概览。
  • 按状态统计连接数:ss -tan | awk 按第一列分组。
  • 统计 ESTABLISHED 连接数定位并发量。
3. 读取服务端证据,而不是只看客户端提示
ss -tan | awk "{print \$1}" | sort | uniq -c | sort -n
netstat -an | awk "/tcp/ {print \$NF}" | sort | uniq -c
cat /proc/net/tcp | wc -l

4. 做最小修复并立即回归验证

每次只改一个变量,修复后用同一条复现命令回测,并观察日志是否停止增长。这样可以避免多个临时改动互相掩盖。

  • 统计 ESTABLISHED 连接数定位并发量。
  • 用 netstat 或 /proc/net/tcp 交叉验证。
  • 关注 TIME_WAIT、CLOSE_WAIT 异常堆积。
4. 做最小修复并立即回归验证
netstat -an | awk "/tcp/ {print \$NF}" | sort | uniq -c
cat /proc/net/tcp | wc -l

Commands

排查命令与使用意图

命令 1

用于确认端口监听状态和连接关系。重点看 LISTEN 行的地址是 127.0.0.1 还是 0.0.0.0,以及 ESTAB 连接数。

命令 1
ss -s

命令 2

用于确认端口监听状态和连接关系。重点看 LISTEN 行的地址是 127.0.0.1 还是 0.0.0.0,以及 ESTAB 连接数。

命令 2
ss -tan state established | wc -l

命令 3

用于确认端口监听状态和连接关系。重点看 LISTEN 行的地址是 127.0.0.1 还是 0.0.0.0,以及 ESTAB 连接数。

命令 3
ss -tan | awk "{print \$1}" | sort | uniq -c | sort -n

命令 4

用于确认端口监听状态和连接关系。重点看 LISTEN 行的地址是 127.0.0.1 还是 0.0.0.0,以及 ESTAB 连接数。

命令 4
netstat -an | awk "/tcp/ {print \$NF}" | sort | uniq -c

命令 5

用于确认进程打开了哪些文件、socket 或资源限制。适合定位端口占用、deleted 文件和文件句柄耗尽。

命令 5
cat /proc/net/tcp | wc -l

Risk Notes

容易踩坑的地方

  • 生产上不要在来源未确认时 rm -rf 大目录,应先确认目录用途和影响范围。
  • kill 进程前先确认它属于哪个服务、是否会触发级联重启,优先使用 SIGTERM 而非 SIGKILL。
  • 不要忽略 dmesg 中的 OOM Killer 记录,它往往是应用内存泄漏或配置不当的早期信号。

Verification

修复后怎么确认

  • 原始故障现象已经消失,且使用同一入口重新测试 Linux 查看 TCP 连接数与状态 能稳定成功。
  • 服务端日志不再出现同类错误,监控中的错误率、重启次数、连接数或延迟回到正常区间。
  • 如果做过临时绕过,已经记录恢复计划,例如还原宽松策略、补监控、补限制或提交正式配置。

Prevention

后续预防

  • 为关键服务配置日志轮转、资源限制和基础监控,避免等到用户报障才发现问题。
  • 把 systemd unit、timer 和环境文件纳入版本管理,确保所有变更可追溯可回滚。
  • 对清理动作保留可回滚路径,优先移动/截断/轮转,不盲删。
  • 建立系统资源基线监控,一旦 CPU、内存、磁盘或文件句柄超过阈值即可自动告警。

常见问题

TIME_WAIT 很多怎么办?

TIME_WAIT 是主动关闭方的正常状态,量大时可调整 net.ipv4.tcp_tw_reuse,或排查是否有大量短连接。

ss 和 netstat 区别?

ss 从 netlink 直接读取,速度更快且信息更全;netstat 已被弃用但仍可用,新系统优先用 ss。

Long-tail SEO

你可能正在搜索这些报错

下面这些错误原文、场景词和中英文搜索词,都是排查同类问题时常见的入口。

  • linux tcp 连接数
  • ss -tan 统计连接状态
  • TIME_WAIT 过多
  • ss -s 连接概览
  • netstat tcp 状态统计
  • /proc/net/tcp 连接数
  • CLOSE_WAIT 堆积
  • ss established 连接数