Linux文件系统与日志分析

1.inode与block

文件数据包括元信息与实际数据;
文件存储在硬盘上,硬盘最小存储单位是“扇区”,每个扇区存储512字节;

block(块):连续的八个扇区组成一个 block(4K),是文件存取的最小单位;

inode(索引节点):中文译名为“索引节点”,也叫i节点,用于存储文件元信息


一个文件必须占用一个inode,但至少占用一个block

(1)inode的内容

(1)inode包含文件的元信息:文件的字节数;文件拥有者的User ID(不包含文件名);文件的Group ID;文件的读、写、执行权限;文件的时间戳等

stat 文件名 ###查看文件的元信息
stat 文件名 或 ls -i 文件名 ###查看文件的inode号

(2)Linux系统文件三个主要的时间属性
atime(access time):最后一次访问文件或目录的时间。
mtime(modify time):最后一次修改文件或目录(内容)的时间。
ctime(change time):最后一次改变文件或目录(属性)的时间。

(3)目录文件的结构:目录也是一种文件;目录文件的结构
每个inode都有一个号码,操作系统用inode号码来识别不同的文件
Linux系统内部不使用文件名,而使用inode号码来识别文件
对于用户,文件名只是inode号码便于识别的别称

(2)inode的号码

用户通过文件名打开文件时,系统内部的过程:
系统找到这个文件名对应的inode号码
通过inode号码,获取inode信息
根据inode信息,找到文件数据所在的block,读出数据

查看inode号码的方法:
ls -i 文件名 ###查看文件名对应的inode号码
stat 文件名 ###查看文件inode信息中的inode号码

硬盘分区后的结构

访问文件的简单流程

用户通过文件名访问文件的过程:
先根据文件名找到对应的inode号;再通过inode号获取inode信息;再根据inode信息判断用户是否具有访问权限;如果有则指向实际数据的块并读取数据,否则拒绝访问。

(3)inode的大小

inode也会消耗硬盘空间:每个inode的大小,一般是128字节或256字节
格式化文件系统时确定inode的总数

df -i ###查看每个硬盘分区的inode总数和已经使用的数量

(4)inode的特殊作用

由于inode号码与文件名分离,导致一些Unix/Linux系统具有以下的现象:
当文件名包含特殊字符,可能无法正常删除文件,直接删除inode,也可以删除文件;
移动或重命名文件时,只改变文件名,不影响inode号码;
打开一个文件后,系统通过inode号码来识别该文件,不再考虑文件名。

直接查看、修改文件内容或者改变文件名都不会影响 inode号,使用 vi 编辑器修改文件保存退出后会影响 inode号
针对无法正常删除文件名含有特殊符号的文件时,可根据 inode号 来删除文件
find 目录 -inum <inode号> -delete



2.硬链接与软连接

硬链接 软链接
删除源文件不会失效 删除源文件会失效
ln 源文件路径 链接文件路径 ln -s 源文件路径 链接文件路径
只适用于文件 适用于文件和目录
硬链接文件必须要和源文件在一个分区 软链接文件可以和源文件不在一个分区
硬链接文件和源文件inode号相同 软链接文件和源文件inode号不同

3.恢复误删的文件

(1)恢复EXT类型的文件

编译安装extundelete软件包
安装依赖包
e2fsprogs-libs-1.41.12-18.el6.x86 64.rpm
e2fsprogs-devel-1.41.12-18.el6.x86 64.rpm
配置、编译及安装
extundelete-0.2.4.tar.bz2
模拟删除并执行恢复操作







echo $PATH
ln -s /usr/local/extundelete/bin/extundelete /usr/local/bin/
extundelete /dev/sdb1 --inode 2
umount /dev/sdb1 #解挂
extundelete /dev/sdb1 --restore-all

*注:EXT类型的文件inode号占完,不能再创建新文件

(2)恢复XFS类型的文件

xfsdump -f备份存放位置 要备份的路径或设备文件

xfsdump备份级别(默认为0):
0:完全备份
1-9:增量备份

常用选项
-f 指定备份文件目录
-L 指定标签 session label
-M 指定设备标签 media label
-s 备份单个文件,-s 后面不能直接跟路径

xfsrestore -f 恢复文件的位置 存放恢复后文件的位置
模拟删除并执行恢复操作

xfsdump使用限制
只能备份已挂载的文件系统
必须使用root的权限才能操作
只能备份XFS文件系统
备份后的数据只能让xfsrestore解析
不能备份两个具有相同UUID的文件系统

*注:XFS类型的文件inode号占完,能再创建新文件,多个10~30左右,XFS有冗余机制

4.分析日志文件

(1)日志文件

(1)日志的功能:

用于记录系统、程序运行中发生的各种事件;通过阅读日志,有助于诊断和解决系统故障

(2)日志文件的分类:

①内核及系统日志:由系统服务rsyslog统一进行管理,日志格式基本相似;主配置文件/etc/rsyslog.conf

②用户日志:记录系统用户登录及退出系统的相关信息

③程序日志:由各种应用程序独立管理的日志文件,记录格式不统一

(3)日志保存位置

默认位于:/var/log目录下

主要日志文件介绍
/var/log/messages 记录Linux内核消息及各种应用程序的公共日志信息,包括启动、10错误、网络错误、程序故障等。对于未使用独立日志文件的应用程序或服务,件记录信息
/var/log/cron 记录crond计划任务产生的事件信息
/var/log/dmesg 记录Linux系统在引导过程中的各种事件信息
/var/log/maillog 记录进入或发出系统的电子邮件活动
/var/log/secure 记录用户认证相关的安全事件信息
/var/log/lastlog 记录每个用户最近的登录事件
/var/log/rpmpkgs 记录系统中安装的各rpm包列表信息
/var/log/wtmp 记录每个用户登录、注销及系统启动和停机事件
/var/run/btmp 记录失败的、错误的登录尝试及验证事件

(2)内核及系统日志

(1)由系统服务 rsyslog 统一管理

软件包:rsyslog-7.4.7-16.el7.x86_64

主要程序:/sbin/rsyslogd

配置文件:/etc/rsyslog.conf

(2)日志消息的级别

级号 消息 级别 说明
0 EMERG 紧急 会导致主机系统不可用的情况。如系统崩溃
1 ALERT 警告 必须马上采取措施解决的问题。如数据库被破坏
2 CRIT 严重 比较严重的情况。如硬盘错误,可能会阻碍程序的部分功能
3 ERR 错误 运行出现错误。不是非常紧急,尽快修复的
4 WARNING 提醒 可能会影响系统功能的事件。不是错误,如磁盘用了85%等
5 NOTICE 注意 不会影响系统但值得注意。无需处理
6 INFO 信息 一般信息。正常的系统信息
7 DEBUG 调试 程序或系统调试信息等。包含详细开发的信息,调试程序时使用
none 没有优先级,不记录任何日志消息。


(3)日志记录的一般格式

(3)用户日志分析

保存了用户登录、退出系统等相关信息

用户日志
/var/log/lastlog 最近的用户登录事件
/var/log/wtmp 用户登录、注销及系统开、关机事件
/var/run/utmp 当前登录的每个用户的详细信息
/var/log/secure 与用户验证相关的安全性事件

(1)分析工具

users 、who、w、last、lastb
last 命令用于查询成功登录到系统的用户记录
lastb 命令用于查询登录失败的用户记录

(4)程序日志分析

由相应的应用程序独立进行管理

Web服务:/var/log/httpd/

access_log //记录客户访问事件
error_log //记录错误事件

代理服务:/var/log/squid/

access.log、cache.log

分析工具

文本查看、grep过滤检索、Webmin管理套件中查看

awk、sed等文本过滤、格式化编辑工具

Webalizer、Awstats等专用日志分析工具

(5)Linux系统日志管理

journalctl -r ###查看所有日志(默认情况下,只保存本次启动的日志),-r表示倒序,从尾部看
journalctl -u 服务名 [-f] ### 查看某个服务的日志
journalctl -k ###查看内核日志(不显示应用日志)
journalctl -b -0/-1 ###查看系统 本次/上一次 启动的日志
journalctl _PID=<进程PID> ###查看指定进程的日志
journalctl _UID=<账户UID> ###查看指定用户的日志

*注:集中式收集管理日志方案
rsyslog
shell/python脚本
ELK(elasticsearch+logstash+kibana)
Loki+promtail+grafana

posted @ 2024-04-25 22:40  无敌小鲁班  阅读(62)  评论(0编辑  收藏  举报