Понимание высоко загружает среднее число vmstat, mpstat, SAR и вершиной
iptables не похоже на файл конфигурации PAM, где первое правило удовлетворяет процедуру. В iptables все правила должны быть удовлетворены.
Это совершенно неправильно. Правила проходят в порядке, и когда правило, которое соответствует прыжкам на один из встроенных целей (, принять , , капля или очереди ), обработка Пакета заканчивается там: больше никаких правил не пройдено. Последнее утверждение о том, что «если бы не было никакого принять все угодно, ничто не пройдет через брандмауэр», является True (с политикой падения), но пакет не должен соответствовать всем правилам принимать, чтобы быть правдой, он только должен достичь один.
Это возможно для обработки пакета несколькими правилами сопоставления, потому что могут быть правила, которые переходят на пользовательские цепи (в этом случае, в этом случае правила в цепочке пробуются по порядку), или это не прыгает в Все и присутствует только для каких-либо других причин, таких как регистрация. Но однажды принимают или DROP , вот и все, вот в этом, пакет либо отправляется, либо отбрасывается; Если достигается Очередь , пакет передается в пользовательскую связь для дальнейшей обработки; И в любом случае больше не обрабатываются правила для этого пакета. Наконец, если (и только если) обработка достигает конца встроенной цепи, применяется политика цепи.
Например, предположим, что iptables -l показывает
Chain INPUT (policy DROP) target prot opt source
destination ACCEPT all -- anywhere anywhere
, поскольку политика капля , только пакеты, явно принимаемые некоторым правилом. Единое правило выглядит , как оно принимает все, но это не обязательно так: могут быть условия, которые iptables -l опускают. Беги iptables -vl для распечатки всех условий. Общее пропущенное условие - это интерфейс; Имея правило, которое принимает все петлевое движение, довольно распространено. Вы бы увидели что-то вроде
# iptables -L INPUT
Chain INPUT (policy ACCEPT)
target prot opt source destination
ACCEPT all -- anywhere anywhere
# iptables -vL INPUT
Chain INPUT (policy DROP 0 packets, 0 bytes)
pkts bytes target prot opt in out source destination
0 0 ACCEPT all -- lo any anywhere anywhere
, если правило принято все трафик, вы увидите любой в столбце в в IPTables Iptables .
Среднее значение нагрузки является относительным сроком; Можно иметь 0,01, 3,00, 14,00 - это просто индикатор, сколько работы резервировано, что является функцией того, сколько ящиков у вас есть. На 4 основной системе 3.9 означает, что ничего не подразумевается (но почти ...).
Глядя на ваш вывод из TOP , я вижу, что вы используете 10,7% вашего процессора только для TOP . Я собираюсь угадать, но у вас есть нижнее конечное ядро. В этом случае средние значения были бы легко вставать в диапазон 0,8.
Важно отметить, что среднее значение нагрузки не соответствует напрямую соразмерным соревнованием с нестандартным процессором вашего процессора, но более, так как проходит через работу, а на каком уровне находятся в (если есть).
Вот более исчерпывающий ответ для тонкостей того, как на самом деле рассчитывается logavg: https://stackoverflow.com/questions/11987495/linux-proc-oldavg
Предполагая, что perf работает в вашей системе (она просто падает на моем старом ноутбуке), вы можете получить более точный учет ЦП, который показывает% total, т.е. игнорирует все ваше время простоя, поэтому вы получите хорошие большие проценты:
perf top --sort=comm
Думаю, это не совсем помогает, как будто это больше связано с вводом-выводом, хотя оно по крайней мере выделит основные задачи, которые на самом деле просыпаются , а не просто спать все время.