Linux查看CPU和内存占用情况 top和free命令【教程】
别被top的“内存耗尽”骗了:看懂a vailable才是关键
免费影视、动漫、音乐、游戏、小说资源长期稳定更新! 👉 点此立即查看 👈
在Linux系统里判断内存是否真的不够用,一个最常见的误区就是只看top命令。很多人一看到used值接近总量就慌了,其实这很可能是个假警报。真正决定系统内存余量的,是free命令输出的a vailable字段,而不是top里的used或free值。
简单来说,a vailable反映的是当前能立即分配给新进程的物理内存,而top显示的used包含了大量可以被内核随时回收的缓存,这直接导致了误判。
为什么 top 的内存数据不能直接判断内存是否不够用
问题出在top命令第四行(KiB Mem)的统计口径上。这里的used值是一个“总分配量”,它把内核缓存(page cache)、slab、buffers等都算了进去。而这些内存,绝大多数情况下都是可以被系统快速回收的,并非被进程“独占”。另一方面,free值又只计算完全空闲、未被使用的内存页,这个数字又过于保守。
于是,尴尬的局面就出现了:这两个数字都无法准确回答“此刻还能给新进程分配多少物理内存”这个核心问题。
由此引发的误判场景比比皆是:
- 看到
used: 1.5G / total: 2G就以为内存快爆了,急忙去杀进程,殊不知a vailable可能还剩1.1G,系统其实很宽松。 - 杀掉一个
top里显示%MEM很高的进程后,系统反而更卡了。这是因为你清除了该进程带来的缓存,导致后续磁盘读取操作猛增。 - 只盯着
top按%MEM排序,可能忽略了“多个小进程合起来吃光a vailable”这种更隐蔽的真瓶颈。
free -h 怎么看才对:盯死 a vailable 和 buff/cache
正确的方法是运行free -h,然后把目光锁定在两处:
Mem:行末的a vailable值:这是内核估算出的、当前可立即分配给新进程的物理内存。它已经扣除了不可回收的slab等部分,并合理评估了page cache中可回收的部分,是目前最可靠的“余量”指标。buff/cache值:这个值高本身不等于有问题。Linux的策略就是利用空闲内存做缓存来提升性能。只要a vailable大于总内存的10%,通常就无需干预。
那么,什么时候才需要警惕呢?当a vailable持续低于总内存的5%,并且swap used开始持续增长时,这才是内存真正紧张的明确信号。
来看一个示例输出片段:
Mem: 1.8G 330M 813M 739M 1.4G
这里的关键是最后一列的数值1.4G,它代表的就是a vailable(注意看表头,不是找“a vail Mem”字样,而是第五列对应的数值)。这说明系统还有1.4G的物理内存可以随时调用,余量充足。
top 里哪些字段真有用,哪些该忽略
虽然top不适合判断总体内存水平,但在定位“谁在吃内存”时依然是一把利器,前提是得看对字段。
- 按下
Shift+M按内存排序后,优先关注RES(Resident Memory Size,常驻内存集)。它表示进程实际占用的物理内存大小。VIRT(虚拟内存)包含太多东西(如mmap映射、swap空间、未实际分配的地址空间),参考意义不大。 %MEM是RES占总物理内存的百分比,可以作为相对参考。但真正决定一个进程内存影响大小的,是RES的绝对值(单位是KiB)。- 可以忽略旧版
top中可能存在的SWAP列。它通常显示的是进程的swap in/out速率,而不是当前占用的swap空间量。 - 如果发现某个进程
RES异常高,怀疑内存泄漏,可以用命令cat /proc/做进一步确认。/status | grep -E "VmRSS|MMUPageSize"
当 a vailable 确实很低时,下一步查什么
如果确认a vailable真的告急了,先别急着杀进程或者盲目增加swap。第一步是排除缓存策略导致的假象,并精准定位问题源头。
- 验证估算逻辑:查看
/proc/meminfo文件,对比MemA vailable与Buffers、Cached、SReclaimable等字段的关系,理解free命令的a vailable是如何计算出来的。 - 确认swap真实使用:运行
vmstat 1 5,观察si(swap in)和so(swap out)列。如果它们持续为非零值,才说明swap正在被频繁使用,内存压力真实存在。 - 定位独占内存:使用
smem -w工具查看各进程的USS(Unique Set Size,唯一驻留集)。这个指标比RES更能准确反映一个进程“独占”的、无法被共享的内存,是找出内存大户的利器。 - 注意容器环境:在Docker或Kubernetes环境中,宿主机上的
top和free会失真。容器的真实内存用量要看docker stats或对应cgroup的memory.current值。
最后必须强调一点:Linux的缓存机制本身就是一种性能优化。除非你明确知道缓存内容已经过期且不可再生,否则千万不要轻易执行echo 3 > /proc/sys/vm/drop_caches这类操作。强行清空缓存只会导致后续的磁盘IO变慢,让系统性能不升反降。
相关攻略
Linux ARP防火墙怎样阻止攻击 在Linux环境下,针对ARP欺骗这类“中间人”攻击,构建有效的防线并非依赖某个单一的“防火墙”,而是一套组合策略。核心思路在于监控、过滤与隔离。下面就来梳理几种切实可行的防护方法。 1 利用专业工具进行监控与防御 工欲善其事,必先利其器。在ARP防护领域,有
Linux ARP防火墙:如何有效监控与遏制泛洪攻击 在Linux环境下,面对ARP泛洪攻击这类网络层威胁,部署专门的ARP防火墙工具(例如arp-scan或arpwatch)是一种行之有效的监控与初步防御策略。下面,我们就以arp-scan为例,详细拆解其部署和配置步骤,帮你建立起一道主动的ARP
Linux Codesign怎样防止中间人攻击 在Linux环境下,利用codesign进行代码签名是确保软件完整性与来源可信的关键一步。但这个过程本身,也可能成为攻击者的目标,尤其是中间人攻击。那么,如何为这个关键环节加上“安全锁”呢?其实,一套组合拳式的防御策略往往比单一手段更有效。 1 使用
Linux中的ECDSA:数字签名的核心,而非加密工具 在Linux的安全体系中,ECDSA(椭圆曲线数字签名算法)扮演着一个关键角色。不过,这里首先要澄清一个常见的误解:它的主要舞台是数字签名,而非数据加密。简单来说,它的核心任务是确保一份信息的“身份”——证明它来自谁、是否被篡改过,并且事后无法
Linux Khook:内核挂钩利器,能用来做漏洞检测吗? 在Linux内核的深水区,有一个名为Khook的框架,它赋予了我们一种特殊能力:在特定内核事件发生的瞬间,插入并执行自定义的代码逻辑。这听起来很强大,对吧?但这里有个关键问题需要厘清:Khook虽然功能强悍,却并非为系统漏洞检测而量身打造。
热门专题
热门推荐
吉利汽车2026财年首季:营收首破800亿,自主品牌销量登顶 4月29日,吉利汽车交出了一份颇具分量的季度成绩单。2026财年第一季度报告显示,公司营业总收入达到838亿元,同比增长15%;核心归母净利润为45 6亿元,同比增幅高达31%。开门红的态势,相当明显。 销量的强劲增长是业绩的基石。整个第
Kyber Network攻击者再度转移资金,近3000枚ETH流入混币器 区块链安全领域又有了新动态。根据PeckShield监测机构发布的数据,就在4月29日,此前攻击Kyber Network的黑客有了新动作——他们将总计2,900枚ETH,按当时市价计算约合680万美元,分批转入了知名的隐私
VCT EMEA 第一赛段第四周战报:季后赛版图初定,最终轮悬念丛生 随着第四周比赛的尘埃落定,VCT EMEA 第一赛段的小组赛也进入了最后的冲刺阶段。季后赛的晋级形势,在几场关键对决后,已经勾勒出大致的轮廓,但最终的门票归属,仍留有几处引人遐想的悬念。 先来看看过去一周的战果: Eternal
各位团长好! 今天,咱们要迎来一位既熟悉又陌生的“新朋友”。 一位沉睡千年而苏醒的半神裔战士,一位将光明与黑暗之力集于一身的混沌黑骑士! 没错,这位即将登场的时空系刺客,正是: 新SP - 黑骑士希格 基础信息 ◆英雄名:混沌之光-黑骑士希格 ◆阵营:时空系 ◆特长:变身、收割 ◆职业:刺客 ◆上线
宝可梦pokopia:解锁水边小船栖息处全攻略 在宝可梦pokopia的世界里,水边小船栖息处绝对是一个值得探索的秘密角落。想要揭开它的神秘面纱?别急,需要满足几个特定的条件才能顺利解锁。 主线剧情是钥匙 首先,你得在游戏主线剧情上达到一定的进度。这通常意味着,你需要完成一系列关键任务,推动整个故事