linux文件系统和日志分析
一、Linux文件系统
1.inode与block
1.概述:
(1)文件数据包括元信息与实际信息
(2)文件存储在硬盘上,硬盘最小存储单位是“扇区”,每个扇区存储512字节
(3)block:块
*.连续的八个扇区组成一个block(4k)
*.是文件存取的最小单位
(4)inode:(索引节点)
*.中文译名为索引节点,也叫 i 节点
*.用于存储文件元信息
2.inode和biock的关系
元信息 → inode
数据 → block
*.文件数据包括实际数据与元信息(类似文件的属性)文件数据存储在 块 中,存储文件源信息(比如文件的创建者、创建日期、文件大小、文件权限等)的区域就叫做inode、因此目标也是一种文件,结构乳下图所示:
文件名1 | inode号码1 |
文件名2 | inode号码2 |
文件名3 | inode号码3 |
…….. | ……… |
*.每个inode都有一个号码,操作系统用inode号码来识别不同的文件,Linux系统内部不使用文件名,而使用inode号码来识别文件,对于系统来说,文件名是inode号码便于识别的别称,文件名和inode号码是 一 一 对应关系,每个inode号码对应一个文件名
查看文件名对应inode号码有两种方式
1 | 查看文件名对应的inode号码 |
ls -i | |
2 | 查看文件inode信息中的inode号码 |
stat 文件名 |
3.inode包含文件的元信息
* 文件的字节数
* 文件拥有者的User ID
* 文件的Group ID
* 文件的读、写、执行权限
* 文件的时间戳等
4.Linux系统文件三个主要的时间属性
* ctime(change time) 最后一次改变文件或目录属性的时间
* atime (access time) 最后一次访问文件或目录的时间
* mtime (modify time) 最后一次修改文件或目录内容的时间
5.用户通过文件名打开文件时,系统内部的过程
* 系统找到这个文件名对应的inode号码
* 通过inode号码,获取inode信息
* 根据inode信息,找到文件数据所在的block,读出数据
6.硬盘分区后的结构
文件名 → 目录项 目录块
元信息 → inode inode 表区块
数据 → block biock 数据区
7.访问文件的简单流程
是 → 指定对应的数据biock
用户访问文件———-通过文件名→系统查找文件对应的inode→判断用户是否具备访问权限——|
否 → 返回permission
denied
8.inode的大小
* inode也会消耗硬盘空间:每个inode号的大小一般是128字节或256字节
* 格式化文件系统时确定inode的总数
* 使用df -i命令可以常看每个硬盘分区的inode总数和已经使用的数量
9.inode特点
由于inode 号码与文件名分离,导致Linux系统具备一下几种特有的现象
* 文件名包含特殊字符,可能无法正常删除,直接删除inode,能够起到删除文件的作用
1 | 删除inode号的方法 |
2 | 【root@cocalhost~]#find ./ -inum 68201002 -exec rm -i {}\; |
3 | 【root@cocalhost~】#find./ inum 68201002 -delete |
* 移动文件或重命名文件,只是改变文件名,不影响inode号(这里指的是非挂载磁盘)
* 打开一个文件以后,系统就以inode号码来识别这个文件,不在考虑文件名
* 文件数据被修改保存后,会生成一个新的inode号码
10.硬连接和软件
* 为文件或目录建立链接文件
* 链接文件的分类和对比
操作和范围 | 软链接 | 硬链接 |
删除原始文件后 | 失效 | 仍然可用 |
使用范围 | 适用于文件或目录 | 只可用于文件 |
保存位置 | 与原始文件可以位于不同文件系统中 | 必须与原始文件在同一个文件系统(如一个Linux分区)内 |
* 软链接的格式
1 | 硬链接 |
ln 源文件 目标位置 | |
2 | 软链接 |
ls [-s] 源文件或者目录… 链接文件或者目标位置 |
11.恢复误删的文件(EXT类型)
*1 大概步骤
(1)编译安装extundelete软件包
(2)安装依赖包
* e2fsprogs-libs-1.41.12- 18. el6.x86_ 64.rpm
* e2fsprogs-devel-1 41.12-18.el6.x86_ 64.rpm
(3)配置、编译及安装、模拟删除并执行恢复操作
* extundelete-0.2.4.tar.bz2
*2 详细步骤如下添加新磁盘,具体步骤可以参考本文第三段:磁盘管理的检测并确认新硬盘
缺新磁盘添加成功
对磁盘进行分区,更改类型
对新建的分区进行格式化,类型为ext3
挂载并查看
安装e2fsprogs-devel 和e2fsprogs-libs程序
从网上下载安装e2fsprogs-devel 和e2fsprogs-libs程序
将extundelete-0.2.4.tar拖入Linux中
使用tar命令进行解压
编译并安装
将安装程序的bin目录软连接到环境变量的目录下
创建文件并删除进行测试
12.xfs类型文件备份和恢复
1.Centos 7系统默认采用xfs类型的文件,xfs类型的文件可使用xfsdump 与xfsrestore 工具进行备份恢复。
xfsdump的备份级别有两种: 0表示完全备份; 1-9表示增量备份。xfsdump的备份级别默认为0。
2..xfsdump的命令格式
xfsdump -f 备份存放位置 要备份的路径或设备文件
3.xfsdump命令常用的选项
-f | 指定备份文件目录 |
-L | 指定标签session label |
-M | 指定设备标签media label |
-S | 备份单个文件,-s后面不能直接跟路径 |
4.xfsdump使用限制
只能备份已挂载的文件系统 |
必须使用root的权限才能操作 |
只能备份XFS文件系统 |
备份后的数据只能让xfsrestore解析 |
不能备份两个具有相同UUID的文件系统(可用blkid命令查看) |
5.演示备份和恢复的具体步骤
将前面使用的分区sdb1进行解挂并格式化为xfs格式后重新挂载,也可以重新创建然后类型修改为xfs类型,具体步骤参考上一个实验。
在挂载目录创建文件用于后面测试用
查看程序是否安装,指定备份目录和需要备份的磁盘
创建文件并且删除进行测试
二、日志文件
日志保存位置默认位于:/var/log目录下
1.日志的功能
用于记录系统、程序运行中发生的各种事件 |
通过阅读日志,有助于诊断和解决系统故障 |
2.日志文件的分类
1.内核及系统日志
由系统服务rsyslog统一进行管理,日志格式基本相似 |
主配置文件/etc/rsyslog.conf
|
2.用户日志
记录系统用户登录及退出系统的相关信息 |
3..程序日志
由各种应用程序独立管理的日志文件,记录格式不统一 |
3.主要日志文件分类
1.内核及公共消息日志:
/var/log/messages: 记录Linux内核消息及各种应用程序的公共日志信息,包括启动、I0错误、网络错误、程序故障等。 |
对于未使用独立日志文件的应用程序或服务,一般都可以从该日志文件中获得相关的事件记录信息。 |
2..计划任务日志
/var/log/ cron: 记录crond计划任务产生的事件信息。 |
3..系统引导日志
/var/ log/ dmesg: 记录Linux系统在引导过程中的各种事件信息。 |
4.邮件系统日志:
/var/log/maillog:记录进入或发出系统的电子邮件活动。 |
5..用户登录日志
/var/log/secure: 记录用户认证相关的安全事件信息。 |
/var/log/lastlog: 记录每个用户最近的登录事件。二进制格式 |
/var/log/wtmp: 记录每个用户登录、注销及系统启动和停机事件。二进制格式 |
/var/ run/btmp: 记录失败的、错误的登录尝试及验证事件。二进制格式 |
6.日志配置文件和日志消息等级
vim /etc/rsyslog.conf | #查看rsyslog.conf配置文件 |
* . info;mail.none;authpriv.none;cron.none /var/log/messages | |
*.info | #表示info等级及以上的所有等级的信息都写到对应的日志文件里 |
mail.none | #表示某事件的信息不写到日志文件里(这里比如是邮件) |
Linux系统内核日志消息的优先级别(数字等级越小,优先级越高,消息越重要):
级别 | 消息 | 级别 | 具体描述 |
0 | EMERG | 紧急 | 会导致主机系统不可用的情况 |
1 | ALERT | 警告 | 必须马上采取措施解决的问题 |
2 | CRIT | 严重 | 比较严重的情况 |
3 | ERR | 错误 | 运行出现错误 |
4 | WARNING | 提醒 | 可能影响系统功能,需要提醒用户的重要事件 |
5 | NOTICE | 注意 | 不会影响正常功能,但是需要注意的事件 |
6 | INFO | 信息 | 一般信息 |
7 | DEBUG | 调试 | 程序或系统调试信息等 |
7..日志记录的一般格式
8.分析工具
users、who、 W、last、 lastb |
last命令用于查询成功登录到系统的用户记录 |
lastb命令用于查询登录失败的用户记录
9..程序日志分析:由相应的应用程序独立进行管理
access_log ——记录客户访问事件 |
error_log ——记录错误事件 |
10.代理服务:/var/log/squid/
access.log、cache.log |
分析工具 |
文本查看、grep过来检索、Webmin管理套件中查看 |
awk、sed等文本过滤、格式化编辑工具 |
Webalizer、Awstats等专用日志分析工具 |
11.日志管理策略
及时做好备份和归档 |
延长日志保存期限 |
控制日志访问权限 |
日志中可能会包含各类敏感信息,如账户和口令等 |
*1.集中管理日志 |
将服务器的日志文件发到统一-的日志文件服务器 |
便于日志信息的统- -收集、 整理和分析 |
杜绝日志信息的意外丢失、恶意篡改或删除 |