Linux 文件系统与日志分析

inode 的内容

Linux 系统文件有三个主要的时间属性，分别是 ctime(change time), atime(access time),

mtime(modify time)

ctime(change time) 是最后一次改变文件或目录（属性）的时间，例如执行 chmod ，

chown 等命令；

atime(access time) 是最后一次访问文件或目录的时间；

  mtime(modify time) 是最后一次修改文件或目录（内容）的时间

inode 的号码

系统找到这个文件名对应的 inode 号码；

通过 inode 号码，获取 inode 信息；

根据 inode 信息，找到文件数据所在的 block ，并读出数据。常见的查看 inode 号码的方式有两种：

  ls -i 命令：直接查看文件名所对应的 inode 号码；

  stat 命令：通过查看文件 inode 信息而查看到 inode 号码

inode 的大小

df -i

inode 也会消耗硬盘空间，所以格式化的时候，操作系统自动将硬盘分成两个区域

另一个是 inode 区，存放 inode 所包含的信息。每个 inode 的 大小，一般是 128 字节或 256 字节

硬链接与软链接

软连接:In-s原文件或目标位置(系统中已经船舰的目录)
硬链接:In原文件目标位置

xfs类型文件备份和恢复

fs类型的文件可使用xfsdump与xfsrestore工具进行备份恢复

-f ：指定备份文件目录；

-L ：指定标签 sessionlabel ；

-M ：指定设备标签 medialabel ；

-s ：备份单个文件， -s 后面不能直接跟路径。

使用 xfsrestore 命令恢复文件。 xfsrestore 命令的语法为： xfsrestore-f 恢复文件的位

置存放恢复后文件的路径。

使用 xfsdump 时，需要注意以下的几个限制：

xfsdump 不支持没有挂载的文件系统备份，所以只能备份已挂载的；

xfsdump 必须使用 root 的权限才能操作 ( 涉及文件系统的关系 ) ；

xfsdump 只能备份 XFS 文件系统；

xfsdump 备份下来的数据 ( 档案或储存媒体 ) 只能让 xfsrestore 解析；

xfsdump 是透过文件系统的 UUID 来分辨各个备份档的，因此不能备份两个具有相同

主要日志文件

内核及系统日志:

rep-v"^$"/etc/rsyslog.conf

内核及大多数系统消息被记录到公共日志文件 /var/log/messages 中，而其他一些程序消息被记录到各自独立的日志文件中，此外日志消息还能够记录到特定的存储设备中，或者直接发送给指定用户

用户日志：在 wtmp 、 btmp 、 astlog 等日志文件中，保存了系统用户登录、退出等相关的事件消息。

程序日志：用程序没有使用rsyslog服务来管理日志，而是由程序自己维护日志记录。

/var/log/cron ：记录 crond 计划任务产生的事件信息。

/var/log/dmesg ：记录 Linux 操作系统在引导过程中的各种事件信息。

/var/log/maillog ：记录进入或发出系统的电子邮件活动。

/var/log/lastlog ：记录每个用户最近的登录事件。

/var/log/secure ：记录用户认证相关的安全事件信息。

/var/log/wtmp ：记录每个用户登录、注销及系统启动和停机事件。

/var/log/btmp ：记录失败的、错误的登录尝试及验证事件。