Linux系统监控：w命令详解与实战应用

1. Linux系统管理利器：w命令深度解析

作为Linux系统管理员，我每天到办公室第一件事就是敲下w命令。这个看似简单的小工具，实际上是我监控服务器状态的"瑞士军刀"。它能在一瞬间告诉我：谁登录了系统、他们在做什么、系统负载如何——这些信息对维护系统安全稳定至关重要。

w命令的全称是"who and what"，它比基础的who命令提供了更丰富的上下文信息。想象一下，当你管理着几十台服务器时，突然收到CPU告警，w命令能帮你快速定位是哪个用户正在运行资源密集型任务。这种即时洞察力，在故障排查时往往能节省数小时的盲目排查时间。

2. w命令核心功能拆解

2.1 信息输出结构解析

执行w命令后，你会看到类似这样的输出：

code复制 10:30:45 up 15 days,  3:12,  3 users,  load average: 0.08, 0.03, 0.01
USER     TTY      FROM             LOGIN@   IDLE   JCPU   PCPU WHAT
john     pts/0    192.168.1.100    09:15    5.00s  0.10s  0.00s sshd: john [priv]
alice    pts/1    203.0.113.42     10:20    1:05m  0.05s  0.05s -bash
root     pts/2    10.0.0.1         10:25    0.00s  0.20s  0.01s w

这个输出包含三个关键部分：

1. 系统概览行：显示当前时间、系统运行时间、登录用户数和系统负载（1/5/15分钟平均值）
2. 标题行：说明各列含义
3. 用户详情行：每个登录会话的详细信息

提示：系统负载值如果接近或超过CPU核心数，就表示系统可能过载。比如4核CPU上load average为4.0表示CPU资源已被充分利用。

2.2 各字段含义详解

3. w命令实战应用手册

3.1 基础查询技巧

3.1.1 精简输出模式

当只需要基本信息时，使用-s参数可以简化输出：

bash复制$ w -s
 10:35:22 up 15 days,  3:17,  3 users,  load average: 0.05, 0.02, 0.00
USER     TTY      FROM              IDLE WHAT
john     pts/0    192.168.1.100     5.00s sshd: john [priv]
alice    pts/1    203.0.113.42      1:10m -bash

这种模式去除了JCPU/PCPU等相对少用的信息，在终端空间有限时特别实用。

3.1.2 监控特定用户

使用w 用户名格式可以只查看特定用户的信息：

bash复制$ w alice
 10:37:01 up 15 days,  3:19,  3 users,  load average: 0.01, 0.01, 0.00
USER     TTY      FROM             LOGIN@   IDLE   JCPU   PCPU WHAT
alice    pts/1    203.0.113.42     10:20    1:12m  0.05s  0.05s -bash

这在检查某个已知用户活动时非常高效。

3.2 高级监控技巧

3.2.1 自动化用户活动监控脚本

结合watch命令，可以创建一个实时监控面板：

bash复制watch -n 5 "w -i | grep -v '0.00s'"

这个命令会：

1. 每5秒刷新一次
2. 显示包含空闲时间的用户信息
3. 过滤掉完全活跃的会话（0.00s空闲）

我常用这个方法来发现哪些用户会话可能已经闲置但未注销。

3.2.2 异常登录检测脚本

以下脚本可以检测非常规时间的登录活动：

bash复制#!/bin/bash
CURRENT_HOUR=$(date +%H)
if [ $CURRENT_HOUR -gt 22 ] || [ $CURRENT_HOUR -lt 6 ]; then
    w -i | mail -s "夜间登录活动警报" admin@example.com
fi

这个脚本会在晚上10点到早上6点之间检测到任何登录活动时发送邮件通知。

4. 系统管理员必备的w命令技巧

4.1 结合其他工具增强功能

4.1.1 与awk联用进行数据分析

bash复制w -h | awk '{print $1,$3,$4}' | sort | uniq -c

这个命令组合可以统计各来源IP的登录次数，对安全审计很有帮助。

4.1.2 创建用户活动日志

将w命令输出重定向到日志文件并添加时间戳：

bash复制echo "=== $(date) ===" >> /var/log/user_activity.log
w >> /var/log/user_activity.log

然后设置cronjob每小时运行一次，就能建立完整的用户活动历史记录。

4.2 常见问题解决方案

4.2.1 为什么w命令显示的用户数与who不同？

w和who统计会话的方式略有不同：

• who统计的是登录会话数
• w统计的是活动终端数

如果一个用户通过多个终端登录，w会显示为多个条目，而who可能合并显示。

4.2.2 如何解读IDLE时间格式？

IDLE列的显示格式可能有几种：

• 5.00s：5秒
• 1:05m：1分5秒
• 2days：2天
• old：会话已存在很久但活动不明确

5. 生产环境实战案例

5.1 服务器负载突增排查

上周我们的一台数据库服务器突然出现CPU负载飙升。使用w命令快速发现了问题：

code复制$ w
 14:20:33 up 30 days,  7:45,  8 users,  load average: 15.32, 8.76, 4.21
USER     TTY      FROM             LOGIN@   IDLE   JCPU   PCPU WHAT
dev1     pts/0    10.0.1.15       13:45    0.00s  2:45   2:30  /usr/bin/python3 data_import.py

从输出可见：

1. load average很高（15.32）
2. dev1用户正在运行Python脚本
3. JCPU和PCPU时间都很长

进一步检查发现是开发人员误操作导致的全表扫描。通过w命令，我们仅用30秒就定位到了问题源头。

5.2 安全审计中的应用

在一次例行安全检查中，我们发现了一个异常登录：

code复制$ w
 03:15:22 up 45 days, 12:30,  2 users,  load average: 0.00, 0.01, 0.05
USER     TTY      FROM             LOGIN@   IDLE   JCPU   PCPU WHAT
john     pts/0    192.168.1.100    09:15    5.00s  0.10s  0.00s sshd: john [priv]
admin    pts/1    156.34.78.90     02:50    0.00s  0.20s  0.15s -bash

可疑点：

1. admin账号在凌晨2:50登录
2. 来自不常见的IP地址(156.34.78.90)

进一步调查确认这是一次未授权的访问尝试，我们立即采取措施封锁了该IP。

6. 性能优化与最佳实践

6.1 减少w命令自身资源消耗

在非常繁忙的系统上，w命令可能会消耗可观资源。可以通过以下方式优化：

1. 使用-s简化输出
2. 避免在高频监控脚本中直接使用w，改用who或检查/var/run/utmp
3. 对大型系统，考虑按需查询特定用户而非显示全部

6.2 与其他系统监控工具集成

将w命令输出与以下工具结合可以构建更完善的监控系统：

1. Prometheus：通过node_exporter收集用户会话指标
2. ELK Stack：将用户活动日志导入Elasticsearch进行分析
3. Grafana：创建用户活动可视化面板

例如，这个命令可以提取当前用户数供Prometheus抓取：

bash复制echo "current_users $(w -h | wc -l)" > /var/lib/node_exporter/textfile_collector/users.prom

7. 专家级使用技巧

7.1 解析终端类型标识

TTY列中的设备标识包含重要信息：

了解这些标识有助于判断用户的实际登录方式。

7.2 解读JCPU和PCPU时间

• JCPU时间：该终端上所有进程使用的CPU时间总和
• PCPU时间：当前进程使用的CPU时间

这两个值的比例可以揭示很多信息：

1. JCPU高但PCPU低：该用户之前运行过耗时任务
2. PCPU接近JCPU：当前进程是主要资源消耗者
3. 两者都很高：用户持续运行高负载任务

8. 生产环境中的注意事项

1. 权限控制：普通用户也可以运行w命令查看其他用户活动，在共享主机环境中可能涉及隐私问题。考虑使用mesg n限制非root用户的查看权限。

2. 时间同步：确保所有服务器的时钟同步（使用NTP），否则登录时间记录可能不准确，影响问题排查。

3. 日志轮转：如果设置w命令输出日志，记得配置logrotate防止日志文件无限增长。

4. 安全考虑：w命令显示的IP信息可能被恶意用户利用进行内部网络探测。在高度安全敏感的环境中，可能需要限制普通用户访问。

9. 替代方案与互补工具

虽然w命令功能强大，但在某些场景下其他工具可能更合适：

1. who命令：当只需要基本登录信息时更轻量
2. last命令：查看历史登录记录而非当前会话
3. ps命令：更详细的进程信息
4. top/htop：实时系统资源监控

我通常的工作流程是：

1. 先用w快速概览
2. 对可疑会话用ps -u 用户名深入检查
3. 必要时用last查看历史记录

10. 真实故障排查案例

去年我们遇到一个棘手问题：某台服务器每隔几天就会神秘重启。通过分析w命令的历史日志，我们发现了一个模式：

code复制$ grep -A 5 "===" /var/log/user_activity.log | less
=== Tue Mar 15 02:15:01 UTC 2022 ===
 02:15:03 up 3 days,  5:20,  1 user,  load average: 0.00, 0.01, 0.05
USER     TTY      FROM             LOGIN@   IDLE   JCPU   PCPU WHAT
backup   pts/0    10.0.0.100       02:00    0.00s  5:30   5:25  /usr/bin/backup_script.sh

=== Fri Mar 18 02:15:01 UTC 2022 ===
 02:15:03 up 3 days,  5:18,  1 user,  load average: 0.00, 0.01, 0.05
USER     TTY      FROM             LOGIN@   IDLE   JCPU   PCPU WHAT
backup   pts/0    10.0.0.100       02:00    0.00s  5:45   5:40  /usr/bin/backup_script.sh

规律很明显：每隔3天凌晨2点，backup用户运行一个脚本，随后系统重启。进一步检查发现是备份脚本存在内存泄漏，触发了OOM killer。如果没有w命令的历史记录，这个每三天出现一次的问题会很难诊断。