Linux SRE 生产故障排查实战手册

场景

某生产环境 Linux 服务器（运行 Web 服务）响应缓慢，健康检查失败，用户报告延迟增加。

症状

• uptime 显示平均负载高于 CPU 核心数（如负载 20，CPU 16 核）。
• top 中进程占用大量 CPU 或内存，或处于 D 状态（不可中断睡眠）。
• vmstat 显示 r 列（运行队列）持续大于 CPU 核心数，或 si/so 非零（大量交换）。
• iostat 显示磁盘利用率接近 100% 或 await 时间过高（>100ms）。
• 外部 curl 请求超时或返回 5xx。

诊断步骤

1. 快速概览：uptime、free -h、df -h。
2. CPU 分析：top -bn1 | head -20，按 P 排序 CPU，按 M 排序内存。检查是否有异常进程。
3. 内存分析：vmstat 1 5 检查交换活动。cat /proc/meminfo 查看详细内存。
4. 磁盘分析：iostat -x 1 5 关注 %util、r/s、w/s、await。iotop 查看具体进程 I/O。
5. 网络分析：netstat -tan | grep :80 | wc -l 查看连接数，ss -tn 更高效。
6. 系统日志：journalctl -u <服务名> --since "5 minutes ago" 或 tail -100 /var/log/syslog。
7. 进程跟踪：strace -p <PID> -c 统计系统调用，找出耗时操作。

风险控制

• 不要随意 kill 进程：先 kill -0 <PID> 测试，或使用 kill -3 <PID> 获取线程堆栈。
• 避免在生产环境直接重启服务，除非明确知道问题原因。
• 若怀疑资源泄漏，先保存 top 和 ps 快照，再做操作。

回滚方案

• 若是最近配置变更：还原备份配置（如 /etc/nginx/nginx.conf.bak）。
• 若是软件更新：回退到前一版本（如 apt-get install <pkg>=<prev-version>）。
• 若无法快速定位，可重启服务或扩缩容（若使用容器编排）。

验证

• 确认服务恢复：curl -I http://localhost:80 返回 200。
• 检查负载：uptime 降至正常值。
• 监控指标：CPU 和内存使用回落，磁盘 I/O 降低。
• 运行预定义的健康检查脚本。

何时提交 OpsGlobal 工单

• 排查 30 分钟后仍未找到根因。
• 需要深入的内核级调试（如 perf、ftrace）。
• 问题涉及多节点或集群层面。
• 需要安排内核或硬件供应商介入。

提交工单时请附上以下信息： - 时间窗口、症状描述。 - 已执行的命令输出（如 top -bn1、vmstat）。 - 相关日志片段。