linux运维必了解的日志文件系统

一、inode与block

1.1inode和block概述

• 文件存储在硬盘上**,硬盘的最小存储单位叫做"扇区"** ( sector )每个扇区存储512字节。

• 操作系统读取硬盘的时候，不会一个个扇区地读取，这样效率太低，而是一次性连续读取多个扇区,即一次性读取一个"块" ( block )。这种由多个扇区组成的"块"，是文件存取的最小单位。"块"的大小 ,最常见的是4KB ,即连续八个扇区组成一个块。

• 文件数据存储在"块”中,那么还必须找到一个地方存储文件的元信息，比如文件的创建者、文件的创建日期、文件的大小等等。这种存储文件元信息的区域就叫做inode（索引节点），也叫i节点。

• 一个文件必须占用一个inode ，至少占用一个block。

1.1.1inode和block的关系

1.2inode的内容

1.2.1inode包含文件的元信息

inode包含很多文件的元信息，例如:

• 文件的字节数

• 文件拥有者的User ID

• 文件的Group ID

• 文件的读、 写、执行权限

• 文件的时间戳

• 文件类型

• 链接数

• 有关文件的其他数据

PS：inode不包含文件名

可以用stat命令，查看某个文件的inode信息

示例：

[root@localhost ~]# stat /etc/passwd

1.2.2linux文件系统的三个时间戳

• ctime（change time）：最后一次改变文件或目录的时间，例如执行chmod、chown

• atime（access time）：是最近一次访问文件或目录的时间

• mtime（modify time）：是最后一次修改文件或目录（内容）的时间

1.2.3目录文件结构

inode不包含文件名。文件名是存放在目录当中的。Linux系统中一切皆文件，因此目录也是一种文件。

• 每个inode都有一个号码，操作系统用inode号码来识别不同的文件，linux系统内部使用不同文件名，而使用inode来识别文件。 对于系统来说，文件名只是inode号码便于识别的别称，文件名和inode号码是一 一对应关系，每个inode号码对应一个文件名。.

1.3inode的号码

1. 表面上，用户通过文件名，打开文件

2. 实际上,系统内部这个过程分成三步：

1. 系统找到这个文件名对应的inode号码
2. 通过inode号码 ,获取inode信息
3. 根据inode信息，找到文件数据所在的block

1.3.1 硬盘分区后的结构

• 访问文件的简单流程：
• 当一个用户在Linux系统中试图访问一个文件时,系统会先根据文件名去查找它的 inode ,看该用户是否具有访问这个文件的权限
• 如果有，就指向相对应的数据block
• 如果没有,就返回Permission denied

1.4inode的大小

• inode也会消耗硬盘空间，每个inode的大小，一般是128字节或256字节
• inode的总数，在格式化时就确定
• 查看每个硬盘分区的inode总数和已经使用的数量，可以使用命令: df -i
  [root@localhost ~]# df -i
  文件系统 Inode 已用(I) 可用(I) 已用(I)% 挂载点
  /dev/mapper/centos-root 26214400 145278 26069122 1% /
  devtmpfs 221158 446 220712 1% /dev
  tmpfs 225137 1 225136 1% /dev/shm
  tmpfs 225137 646 224491 1% /run
  tmpfs 225137 16 225121 1% /sys/fs/cgroup
  /dev/sda1 524288 328 523960 1% /boot
  /dev/mapper/centos-home 38400000 10 38399990 1% /home
  tmpfs 225137 9 225128 1% /run/user/42
  tmpfs 225137 1 225136 1% /run/user/0

1.5恢复误删除的xfs文件

Centos 7系统默认采用xfs类型的文件，xfs类型的文件可使用xfsdump 与xfsrestore 工具进行备份恢复。

xfsdump的备份级别有两种:

    0表示完全备份;

    1-9表示增量备份。

    xfsdump的备份级别默认为0。

xfsdump格式：
xfsdump -f 备份存放位置 要备份的路径或设备文件

xfsdump常用选项：

选项	功能
f	指定备份文件目录
-L	指定标签session label
-M	指定设备标签media label
-S	备份单个文件，-s后面不能直接跟路径

• xfsdump使用限制

• 只能备份已挂载的文件系统

• 必须使用root的权限才能操作

• 只能备份XFS文件系统

• 备份后的数据只能让xfsrestore解析

• 不能备份两个具有相同UUID的文件系统(可用blkid命令查看)

1.创建磁盘分区并格式化挂载

2. 在挂载目录下创建文件或目录

3. 安装xfsdump，指定备份目录和需要备份的磁盘

4. 删除文件，做恢复测试

1.6EXT类型文件恢复误删除

一、安装依赖包：

e2fsprogs-libs-1.41.12- 18. el6.x86_ 64.rpm

e2fsprogs-devel-1 41.12-18.el6.x86_ 64.rpm

二、 配置、编译及安装

安装依赖包：

extundelete-0.2.4.tar.bz2

1.创建分区格式化ext3类型 挂载

2.下载解压安装包3.编译安装

4. 设置软连接让系统可以直接识别此命令

5.模拟删除数据并恢复

可以使用extundelete /devlsdb1 --inode 2查看文件系统/devlsdb1下存在哪些文件，
具体的使用情况。其中–inode 2代表从i节点为2的文件开始查看，一般文件系统格式化挂载之后，i节点是从2开始的，2代表该文件系统最开始的目录。
在恢复前需要先解挂载

二、分析日志文件

日志保存位置默认位于：/var/log目录下

日志的功能：

    用于记录系统、程序运行中发生的各种事件

    通过阅读日志，有助于诊断和解决系统故障

2.1日志文件的分类

• 内核及系统日志:这种日志数据由系统服务rsyslog统一管理,根据其主配置文件/etc/rsyslog.conf中的设置决定将内核消息及各种系统程序消息记录到什么位置

• 用户日志:这种日志数据用于记录Linux系统用户登录及退出系统的相关信息,包括用户名、登 录的终端、登录时间、来源主机、正在使用的进程操作等

• 程序日志:有些应用程序会选择由自己独立管理一份日志文件(而不是交给rsyslog服务管理),用于记录本程序运行过程中的各种事件信息

2.2.日志文件的格式

• 事件产生的时间。

• 产生事件的服务器的主机名。

• 产生事件的服务名或程序名。

• 事件的具体信息

2.3常见日志文件

• 内核及公共消息日志 ： /var/log/messages: 记录Linux内核消息及各种应用程序的公共日志信息，包括启动、I0错误、网络错误、程序故障等。 对于未使用独立日志文件的应用程序或服务，一般都可以从该日志文件中获得相关的事件记录信息。

• 计划任务日志

/var/log/ cron ： 记录crond计划任务产生的事件信息。

• 系统引导日志 ：

/var/ log/ dmesg: 记录Linux系统在引导过程中的各种事件信息。

• 邮件系统日志 ：

/var/log/maillog:记录进入或发出系统的电子邮件活动。

• 用户登录日志 ：

  /var/log/secure: 记录用户认证相关的安全事件信息。

  /var/log/lastlog: 记录每个用户最近的登录事件。二进制格式

  /var/log/wtmp: 记录每个用户登录、注销及系统启动和停机事件。二进制格式

  /var/ run/btmp: 记录失败的、错误的登录尝试及验证事件。二进制格式

常见的日志文件当中/var/log/messages和/var/log/secure尤其重要

2.4日志文件分析

2.4.1内核及系统日志配置文件及日志消息等级

[root@localhost mnt]# cat /etc/rsyslog.conf
查看/etc/rsyslog.conf配置文件

* . info;mail.none;authpriv.none;cron.none  /var/log/messages
*.info          #表示info等级及以上的所有等级的信息都写到对应的日志文件里
mail.none       #表示某事件的信息不写到日志文件里(这里比如是邮件)

• Linux系统内核日志消息的优先级别(数字等级越小，优先级越高，消息越重要)

级别	消息	级别	具体描述
0	EMERG	紧急	会导致主机系统不可用的情况
1	ALERT	警告	必须马上采取措施解决问题
2	CRIT	严重	比较严重的情况
3	ERR	错误	运行出现错误
4	WARNING	提醒	可能会影响系统功能的文件
5	NOTICE	注意	不会影响系统但值得注意
6	INFO	信息	一般信息
7	DEBUG	调试	程序或系统调试信息

设备字段说明：

选项	作用
auth	用户认证时产生的日志
authpriv	ssh、ftp等登录信息的验证信息
daemon	一些守护进程产生的日志
ftp	FTP产生的日志
lpr	打印相关活动
mark	rsyslog服务内部的信息，时间标识
news	网络新闻传输协议(nntp)产生的消息。
syslog	系统日志
uucp	Unix-to-Unix Copy 两个unix之间的相关通信
console	针对系统控制台的消息。
cron	系统执行定时任务产生的日志。
kern	系统内核日志
local0~local7	自定义程序使用
mail	邮件日志
user	用户进程

2.4.2用户日志分析

在wtmp、btmp、 lastlog等日志文件中 ,保存了系统用户登录、 退出等相关的事件消息。 但是这些文件都是二进制的数据文件，不能直接使用tail、less等文本查看工具进行浏览,需要使用who、w、users、 last和lastb等用户查询命令来获取日志信息

2.4.2.1查询当前登录的用户情况—users、who、w命令

2.4.2.2查询用户登录的历史记录—last、lastb命令

• last命令—用于查询成功登录到系统的用户记录
  
• lastb命令—用于查询登录失败的用户记录
  

2.4.3程序日志分析

程序日志由相应的应用程序独立进行管理

Web服务：/var/log/httpd/

    access_log ——记录客户访问事件

    error_log ——记录错误事件

代理服务：/var/log/squid/

    access.log、cache.log

分析工具

    文本查看、grep过来检索、Webmin管理套件中查看

    awk、sed等文本过滤、格式化编辑工具

    Webalizer、Awstats等专用日志分析工具

2.5日志管理

及时做好备份和归档

延长日志保存期限

控制日志访问权限

    日志中可能会包含各类敏感信息，如账户和口令等

集中管理日志

    将服务器的日志文件发到统一-的日志文件服务器

    便于日志信息的统- -收集、 整理和分析

    杜绝日志信息的意外丢失、恶意篡改或删除