VisualVM 通过JMX、Jstatd 对tomcat 监控


声明:本文转载自https://my.oschina.net/u/3338455/blog/1798180,转载目的在于传递更多信息,仅供学习交流之用。如有侵权行为,请联系我,我会及时删除。

插播一条广告→2021 ByteDance字节跳动内推←各城市、各方向的岗位都有,大量招人!


VisualVM 通过JMX、Jstatd 对tomcat 监控 有更新!

 2018-03-19   |    3 评论   |    300 浏览

前言:

年后找工作,第一次面试就被一个面试官批评我的系统没有监控是不行的(其他的都没怎么聊),虽然这个面试好像只是在走个过场(浪费我时间,我请假是要扣工资的!),于我有点不尊重,但是我还是在这次面试者知道一个常用的监控jvm的东西叫JMX(Java Management Extensions,即Java管理扩展)。(后面也有了解到一个叫zabbix的系统,也可以通过JMX实现对jvm监控,这个系统功能比较多,还能做到微信公众号异常通知,读者可以自行去了解,这里不多描述)。在搭建这个JMX环境的时候遇到了一些问题,在这里总结一下,希望有兴趣搭建的同学避免一些不必要的坑。

效果预览:
6d7600e86b57479a8c097b9bf1ed0582-9D40E3A710774FBC93F0D5D090E4EB85.png

2a3f5f633ea644949ae788dcb7a0cde2-AA220701E4EA4E9BB9906F7845F87E2D.png

开始

一:通过jmx监控jvm

(ps:所有环境在虚拟机下运行,操作系统为:centos 7 64)

安装虚拟机,用宝塔快速构建一个java(1.8),tomcat8环境。自行下载VisualVm客户端

开启tomcat的jmx支持

在tomcat的安装目录下/www/server/tomcat/bin 修改catalina.sh文件,加入以下一段代码:

CATALINAOPTS=“$CATALINAOPTS -Dcom.sun.management.jmxremote #开启远程
-Dcom.sun.management.jmxremote.port=12345 #开启jmx监控的端口
-Dcom.sun.management.jmxremote.ssl=false #是否开启ssl
-Dcom.sun.management.jmxremote.authenticate=false #是否需要权限认证(账户密码)
-Djava.rmi.server.hostname=192.168.181.137” #本机IP地址

(ps:这是无密码访问模式)
18a080015c5d4e2dacfa211931c7bc3b-6C14BD912D404602801052B3706F5C1F.png

**关闭tomcat,一定要确认tomcat是完整关闭的。可以直接杀死tomcat进程来关闭tomcat
**
kill -9 ps -ef|grep tomcat|awk '{print $2}'

1072edd42b1444ec8cba7c3deb3ba4ec-6F865A687FE348D8A7FE33212E9763B6.png

启动tomcat,观察启动日志

/www/server/tomcat/bin/startup.sh

d0b0a82eefae4c209243109246250329-070449B8640A4963963A26C2816F0EF5.png

VisuaIVM 连接服务

  • 新建一个host*

6f3a599e3f7e469bbd469b99cbea7e88-07BD2A936A8A437380F2ED03D7A95B67.png

d44db7c1972f44f5954dcb965267c427-092D3D7F1AD849339C2BA2C9C9FF8797.png

创建jmx链接

c7236e7079274d318d0ec450705db45c-image.png

01b5c292de534ca588ce2ef4cb7bb269-image.png

肯定会出现这个提示

7b6afa92391b4cfda945af70b554e993-image.png

为什么了?

这是我从网上找到的:这是因为JMX在远程连接时,会随机开启一个RMI端口作为连接的数据端口,很有可能这个端口会被防火墙给阻止,以至于连接超时失败。好在在Java7u25版本后可-Dcom.sun.management.jmxremote.rmi.port=端口号来定死这个端口,好消息是,你可以将这个端口和jmx.port的端口设置成一个端口,这样防火墙策略就只需要同行一个端口就可以了。

所以只需要在第2步哪里添加多一条属性,指定这个RMI端口,并且与jmx.port一致,然后重启tomcat就好了。

69b70245df0c4846828526b9eb90f145-image.png

当然这只是一个简单的监控,这里还有一个好用的工具visual GC(可以看到每一个代的jvm内存情况),但是jmx无法显示他。如何可以让这个插件运行起来了?下面继续。

二:通过jstatd 监控 GC

在Visualvm客户端上安装Visual gc 插件,但是由于oracla已经关闭了这个下载页面所以在工具上不能自动下载成功

6e0f201129794531b8472d3ca4ada884-image.png

查资料发现,visualvm 已经迁移到了github上了,地址,立即前往

8206f499096c482caaaa0d9125c0d1a3-image.png

找到适合自己JDK的版本

b1369fe743ff4b1facee185795c6a0a3-image.png

**把对应的更新地址复制一下,回到Visualvm->工具->插件->设置

d6913b69f2d54e049800ca49bd902bc6-image.png

把这个地址改成你刚才复制的链接,我这里已经改好了。

修改之后重新更新可用插件,安装就可以了。然后重启Visualvm 就会发现多了一个插件

bd67702ee3a24eee8b2a8e3286f7adbe-image.png

到现在为止,我们还是不能直接通过jstatd连接到服务器上监听jvm!,首先在服务器上创建一个文件命名为jstatd.all.policy内容为:

grant codebase “file:${java.home}/../lib/tools.jar” {
permission java.security.AllPermission;
};

命令为:

vi jstatd.all.policy ,然后把内容复制进去。保存退出!

然后复制到jdk安装目录的bin里面,我这里的安装目录是:/usr/java/jdk1.8.0_121/bin

cp jstatd.all.policy /usr/java/jdk1.8.0_121/bin

进入jdk安装目录下:cd /usr/java/jdk1.8.0_121/bin/

b52d7c0700f646bfbb02d0608e6a0130-image.png

运行jstatd

f1de7b15d43845f093eaade180b8143a-image.png

指定端口运行:(切记:一定要把端口放开,不要被防火墙拦截了)

jstatd -J-Djava.security.policy=jstatd.all.policy -p 1099

后面加多一个“&” 可以后台运行。

cdd3f9f143c046c58e468f523d656e32-image.png

尝试连接,jstatd

094dd206e7a24745b15d4b87c5c82bbc-image.png

默认就是1099端口

你会发现现在还是连不上的!连不上!连不上!

网上说是因为这个原因:

d97616621f9748b294b62714bbf51f8d-image.png

需要把这个127.0.0.1 修改成本机ip地址。(主要不是这个原因),可以不修改这个,通过参数的方式指定IP

jstatd -J-Djava.security.policy=jstatd.policy -J-Djava.rmi.server.hostname=192.168.181.138 -p 1099

其实这个并不是主要原因!!!

经过我的反复测试发现,jstatd 打开的同时还会注册一个rmi的通信端口,由于防火墙的原因,这个端口被隔离

开了,导致ViualVM 连接不上jstatd。

解决方法:

1、关闭防火墙(正式环境中,防火墙是肯定开启的)

2、开启一个端口对应的通信端口。(我一般会把39000以上的端口放开,宝塔自动回放开39000-40000的端口)
只要修改下启动的语句就好

最终版运行语句:

rmiregistry 39000 & jstatd -J-Djava.security.policy=jstatd.policy -J-Djava.rmi.server.hostname=192.168.181.138 -p 1099

这句话的意思:指定注册的端口为 39000以上的端口 ,连接端口为 1099(这么做的好处就是,我不需要再去找出这个注册的端口是哪一个,然后再手动去放开,这样指定了39000以上端口,会出现在我的开放端口范围之内。)

手动打开的方法

5251fb6f8eb2435aa2b732f58cb3a128-image.png

然后通过pid 查看到相关的端口

896e6a9eb1c04096baf3d5c1eb13bd50-image.png

然后把它从防火墙放开就好!!!

最终!!!

重新jstatd连接之后,GC 得到了监控!

f3d02f2c869640929d4182317feb5e7c-image.png

*
ps:这篇博客是整理网上的教程,然后通过自己的多次试验得出的方法(避免了网上重复复制的一堆错误的教程),如果有不当的地方,还请大佬们提出,共同学习进步。

本文发表于2018年04月20日 22:38
(c)注:本文转载自https://my.oschina.net/u/3338455/blog/1798180,转载目的在于传递更多信息,并不代表本网赞同其观点和对其真实性负责。如有侵权行为,请联系我们,我们会及时删除.

阅读 1944 讨论 0 喜欢 0

抢先体验

扫码体验
趣味小程序
文字表情生成器

闪念胶囊

你要过得好哇,这样我才能恨你啊,你要是过得不好,我都不知道该恨你还是拥抱你啊。

直抵黄龙府,与诸君痛饮尔。

那时陪伴我的人啊,你们如今在何方。

不出意外的话,我们再也不会见了,祝你前程似锦。

这世界真好,吃野东西也要留出这条命来看看

快捷链接
网站地图
提交友链
Copyright © 2016 - 2021 Cion.
All Rights Reserved.
京ICP备2021004668号-1