目录
Linux系统内核日志消息的优先级别(数字等级越小,优先级越高,消息越重要)
前言
文件系统是Linxu的基础,在Linux里万物皆文件,如果不能理解Linux系统的文件是如何调用,那么就很难理解应该如何处理系统中存在的一些问题,尤其是和挂载,以及文件名有关的问题,而日志则是运维工作里不可或缺的一部分,能够帮助我们快速定位故障原因。
inode和block
- 文件数据包括元信息与实际数据
- 文件存储在硬盘上,硬盘最小存储单位是扇区扇区存储512字节
block(块)
- 连续八个扇区组成一个block
- 是文件存储的最小单位
inode(索引节点)
- 中文译名为“索引节点”,也叫i节点
- 用于存储文件的元信息
indoe的内容
- 文件的字节数
- 文件拥有者的UserID
- 文件的GroupID
- 文件的读、写、执行权限
- 文件的时间戳等等
inode包含很多文件元信息,但不包含文件名
使用stat可查看某个文件的iinode信息
[root@localhost home]# stat /home/ghr5
文件:"/home/ghr5"
大小:78 块:0 IO 块:4096 目录
设备:fd00h/64768d Inode:35645299 硬链接:3
权限:(0700/drwx------) Uid:( 1001/ ghr5) Gid:( 1001/ ghr5)
环境:unconfined_u:object_r:user_home_dir_t:s0
最近访问:2021-08-23 23:53:45.081667528 +0800
最近更改:2021-08-23 23:53:45.083667526 +0800
最近改动:2021-08-23 23:53:45.083667526 +0800
创建时间:-
Linux系统有三个主要的文件属性
- ctime:最后一次改变文件或目录属性的时间(chmod,chown)
- atime:最后一次访问文件或目录的时间
- mtime:最后一次修改文件或目录的时间
Linxu系统中一切皆文件,目录也是一种文件,文件名其实是存放在目录中的
每个inode都有一个号码,系统使用inode来识别不同的文件,而不使用文件名,对于系统来说文件名只是inode的别称
inode的号码
在系统内,用户通过文件名来打开文件分为三步
- 系统找到这个文件名对应的inode号码
- 根据inode号码,找到文件数据所在的blcok,读出数据
- 根据inode信息,找到文件数据所在的block,读出数据。
使用ls -i可以直接查看文件名对应的inode号。
[root@localhost home]# ls -i
34379749 arlssaze 35645299 ghr5
inode的大小
inode也会消耗硬盘空间,每个inode的大小,一般是128字节或256字节。inode的总数,在格式化时就给定。执行命令df -i可以查看每个硬盘分区的inode总数和已经使用的数量。
[root@localhost home]# df -i
文件系统 Inode 已用(I) 可用(I) 已用(I)% 挂载点
/dev/mapper/centos-root 18616320 146340 18469980 1% /
devtmpfs 229400 426 228974 1% /dev
tmpfs 233381 1 233380 1% /dev/shm
tmpfs 233381 620 232761 1% /run
tmpfs 233381 16 233365 1% /sys/fs/cgroup
/dev/sda1 256000 328 255672 1% /boot
tmpfs 233381 6 233375 1% /run/user/42
tmpfs 233381 17 233364 1% /run/user/0
/dev/sr0 0 0 0 - /run/media/root/CentOS
由于inode号码与文件名分离导致了Linux系统中特有的一些现象。
- 文件名如果包含特殊字符而无法删除时,我们可以通过删除文件的inode号来删除文件
- 移动或重命名文件,只改变文件名,不影响inode号
- 打开一个文件后,系统就以inode号识别文件,不在关注文件名。
我们可以在补关闭软件的情况下更新软件,因为系统通过inode号码识别文件,更新时,新版本文件以同样的文件名深生成一个新的inode,不影响运行中的文件。等到下次运行时,文件名会指向新版文件并回收旧的inode号
需要注意的是inode同样有上线,因此有可能发生磁盘空间尚未耗尽而inode先被耗尽的情况。
我们可以通过df -i查看inode的使用情况,并决定处理方法。
硬链接和软连接
硬链接
一般情况下,文件名与inode号是一一对应的关系,但Linux系统允许多个文件名指向同一个inode。这代表我们可以用不用的文件名访问相同的内容
ln 源文件 目标文件
[root@localhost home]# echo 111111 >a.txt
[root@localhost home]# ln a.txt b.txt
[root@localhost home]# ls
arlssaze a.txt b.txt ghr5
[root@localhost home]# cat b.txt
111111
[root@localhost home]# echo 22222 >a.txt
[root@localhost home]# cat b.txt
22222
[root@localhost home]# cat a.txt
22222
当一个文件拥有多个硬链接的时候,对文件的修改会影响到所有文件名,但删除其中一个文件名,不影响其他文件名的访问。只是会使inode中的链接数-1.
不能对目录做硬链接。但是目录本身为一个硬链接,目录下的隐藏文件.(点号)也是这个目录的硬链接
软链接
软链接就是再创建一个独立文件,尽管他们的inode号不同,但是目标文件受到访问时会将访问导向源文件的路径。软连接也被称为符号链接。
这样的做法意味着当源文件被删除时。目标导向的路径就会失效。软连接与硬链接最大的不同在于软链接导向源文件的文件名而不是inode。所以不会增加inode的链接数,当原文件被删除时。目标文件就会失效
ls -s 源文件 目标文件
[root@localhost home]# ln -s a.txt c.txt
[root@localhost home]# ls
arlssaze a.txt b.txt c.txt ghr5
[root@localhost home]# rm -rf a.txt
[root@localhost home]# ls
arlssaze b.txt c.txt ghr5
[root@localhost home]# cat c.txt
cat: c.txt: 没有那个文件或目录
[root@localhost home]#
恢复误删除的文件
在Linux系统中,当我们删除一个文件的时候实际上并不清除inode节点和block的数据,只是在文件父目录的block里删除了文件的名字。
在我们的运维工作中,可能会需要处理他人的一些误删除操作。
#extundelete 是一一个开源的Linux 数据恢复工具,支持ext3、 ext4文件系统。 ( ext4只能在centos6版本恢复)
#使用fdisk创建分区/dev/sdc1, 格式化ext3文件系统
fdisk /dev/sdc
partprobe /dev/sdc
mkfs.ext3 /dev/sdc1
mkdir /test
mount /dev/sdc1/test
df -hT
#安装依赖包
yum -y install e2fsprogs-devel e2fsprogs-libs gcc gcc-c++
#编译安装extundelete
cd /test
wget http://nchc.dl.sourceforge.net/project/extundelete/extundelete/0.2.4/extundelete-0.2.4.tar.bz2
tar jxvf extundelete-0.2.4.tar.bz2
cd extundelete-0.2.4/
./configure --prefix=/usr/1ocal/extundelete && make && make install
ln -s /usr/local/extundelete/bin/* /usr/bin/
#模拟删除并执行恢复操作
cd /test
echo a>a
echo a>b
echo a>c
echo a>d
ls
extundelete /dev/sdc1 --inode 2 #查看文件系统/dev/sdc1下存在哪些文件,i节点是从2开始的,2代表该文件系统最开始的目录。
rm -rf a b
extundelete /dev/sdc1 --inode 2
cd ~
umount /test
extundelete /dev/sdc1 --restore-all #恢复/dev/sdc1 文件系统下的所有内容
#在当前目录下会出现一个RECOVERED_FILES/目录,里面保存了已经恢复的文件
ls RECOVERED FILES/
xfs类型文件备份和恢复
CentOs 7系统默认采用xfs类型的文件,xfs类型的文件可使用xfsdump 与xfsrestore 工具进行备份恢复。
xfsdump 的备份级别有两种: 0表示完全备份; 1-9表示增量备份。xfsdump的备份级别默认为0。
xfsdump的命令格式为:
xfsdump |-f 备份存放位置要备份的路径或设备文件
xfsdump命令常用的选项:
-f: 指定备份文件目录
-L: 指定标签session label
-M: 指定设备标签media labe........ 。
-s:备份单个文件,-s后面不能直接跟路径
xfsdump使用限制:
1.只能备份已挂载的文件系统
2.必须使用root的权限才能操作
3.只能备份XFS文件系统
4.备份后的数据只能让xfsrestore解析
5.不能备份两个具有相同UUID的文件系统(可用blkid命令查看)
#使用fdisk创建分区/dev/sdb1,格式化xfs文件系统
fdisk /dev/sdb
partprobe /dev/sdb
mkfs.xfs /dev/sdb1 # mkfs.xfs [-f] /dev/sdb1
mkdir /data
mount /dev/sdb1 /data/
cd /data
cp /etc/passwd ./
mkdir test
touch test/a
#使用xfsdump命令备份整个分区
rpm -qa | grep xfsdump
yum install -y xfsdump
xfsdump -f /opt/dump_sdb1 /dev/sdb1 [-L dump_sdb1 -M sdb1]
xfsdump -f /opt/dump_sdb /dev/sdb1 -L dump_sdb -M sdb1
#模拟数据丢失并使用xfsrestore 命令恢复文件
cd /data/
rm -rf ./*
ls
xfsrestore -f /opt/dump_sdb1 /data/
日志文件
日志文件的分类
- 内核及系统日志:这种日志数据由系统服务rsyslog统一管理,根据其主配置文件/etc/rsyslog.conf中的设置决定将内核的信息以及各种程序系统消息记录到什么位置,系统中由相当一部分程序会把自己的日志文件交给rsyslog管理。因为他们 拥有相同格式
- 用户日志:这种日志数据用于记录Linux系统用户登陆及退出系统的相关信息,包括用户名、登陆终端、登陆时间、来源主机、正在使用的进程操作等。
- 程序日志:有些应用程序会选择由自己独立管理一份日志文件,用于记录本程序运行过程中的各种信息。这些程序之间所使用的日志记录格式可能会有较大差异。
常见日志文件
内核及公共消息日志:
/var/log/messages: 记录Linux内核消息及各种应用程序的公共日志信息,包括启动、IO错误、网络错误、程序故障等。
对于未使用独立日志文件的应用程序或服务,一般都可以从该日志文件中获得相关的事件记录信息。
计划任务日志
/var/log/cron: 记录crond计划任务产生的事件信息。
系统引导日志:
/var/log/dmesg: 记录Linux系统在引导过程中的各种事件信息。
邮件系统日志:
/var/log/maillog: 记录进入或发出系统的电子邮件活动。
用户登录日志:
/var/log/secure: 记录用户认证相关的安全事件信息。
/var/log/lastlog: 记录每个用户最近的登录事件。二进制格式
/var/log/wtmp: 记录每个用户登录、注销及系统启动和停机事件。二进制格式
/var/run/btmp: 记录失败的、错误的登录尝试及验证事件。二进制格式
分析日志文件
内核及系统日志
- 系统默认日志功能主要由rsyslog提供服务
- 使用vim /etc/rsyslog.conf 可以查看rsyslog.conf配置文件
Linux系统内核日志消息的优先级别(数字等级越小,优先级越高,消息越重要)
0 EMERG(紧急):会导致主机系统不可用的情况。
1 ALERT(警告):必须马上采取措施解决的问题。
2 CRIT(严重):比较严重的情况。
3 ERR (错误) :运行出现错误。
4 WARNING(提醒):可能影响系统功能,需要提醒用户的重要事件。
5 NOTICE (注意) :不会影响正常功能,但是需要注意的事件。
6 INFO(信息):一般信息。
7 DEBUG(调试):程序或系统调试信息等。
内核中的大部分消息都会被记录到公共日志/var/log/messages里,
less /var/log/messages
Aug 4 07:24:48 localhost kernel: BIOS-e820: [mem 0x0000000000000000-0x000000000009ebff] usable
#对于rsyslog管理日志来说,每一条消息包含以下四个字段
#时间标签:消息发出的日期和时间。
#主机名:生成消息的计算机的名称。
#子系统名称:发出消息的应用程序的名称。
#消息:消息的具体内容。
用户日志
在wtmp、btmp、lastlog等日志文件中,保存了系统用户登陆、退出等相关的事件消息。但这些文件是二进制的数据文件,不能直查看文本,需要使用users、who、w、last、lastb等查询命令。
users:命令只是简单地输出当前登录的用户名称,每个显示的用户名对应一个登录会话。如果一个用户有不止一个登录会话,那他的用户名将显示与其相同的次数
who:命令用于报告当前登录到系统中的每个用户的信息。使用该命令,系统管理员可以查看当前系统存在哪些不合法用户,从而对其进行审计和处理。who 的默认输出包括用户名、终端类型、登录日期及远程主机
[root@localhost ~]# users
root root root #root用户打开三个终端
who:报告当前系统中登陆的每个信息,可以用来查看非法用户。默认输出类型为用户名、终端类型、登陆日期、远程主机
[root@localhost ~]# who
root :0 2021-08-23 22:22 (:0)
root pts/0 2021-08-23 22:22 (:0)
root pts/1 2021-08-24 11:26 (192.168.116.1)
w:命令用于显示当前系统中的每个用户及其所运行的进程信息,比 users、who 命令的输出内容要丰富一些
[root@localhost ~]# w
12:18:36 up 58 min, 3 users, load average: 0.00, 0.01, 0.05
USER TTY FROM LOGIN@ IDLE JCPU PCPU WHAT
root :0 :0 一22 ?xdm? 31.66s 0.09s /usr/libexec/gnome-session-b
root pts/0 :0 一22 13:53m 0.10s 0.10s bash
root pts/1 192.168.116.1 11:26 4.00s 0.15s 0.01s w
last:命令用于查询成功登录到系统的用户记录,最近的登录情况将显示在最前面。通过last 命令可以及时掌握 Linux 主机的登录情况,若发现未经授权的用户登录过,则表示当前主机可能已被入侵
[root@localhost ~]# last
root pts/1 192.168.116.1 Tue Aug 24 11:26 still logged in
root pts/0 :0 Mon Aug 23 22:22 still logged in
root :0 :0 Mon Aug 23 22:22 still logged in
reboot system boot 3.10.0-693.el7.x Thu Aug 12 22:35 - 12:19 (11+13:43)
lastb:命令用于查询登录失败的用户记录,如登录的用户名错误、密码不正确等情况都将记录在案。登录失败的情况属于安全事件,因为这表示可能有人在尝试猜解你的密码。除了使用 lastb 命令查看以外,也可以直接从安全日志文件/var/log/secure 中获得相关信息
[root@localhost ~]# lastb
root :0 :0 Mon Aug 23 22:22 - 22:22 (00:00)
root :0 :0 Fri Aug 13 05:29 - 05:29 (00:00)
程序日志
还有一部分非rsyslog服务管理的日志文件
如httpd 网站服务程序使用两个日志文件:
access_log : #记录客户访问事件
error_log #记录错误事件。
在日志里我们需要特别注意一些可疑的行为
- 用户在非常规时间登陆,或者用户登陆ip和以往不一样。
- 用户登陆失败的日志记录,尤其是那些一再连续尝试进入失败的日志记录
- 非法使用或者不正当使用超级用户权限
- 无故或者非法重启各项网络服务的记录
- 不正常的日志文件,如日志残缺,或缺少中间记录
总结
文件系统的调用是我们理解Linux系统必不可少的部分,而正确的使用日志,看懂日志。知道如何寻找自己需要的日志都是一个运维的最基本的素养。只有这样。我们才能在出现可疑情况的时候发现日志里记录的蛛丝马迹去定位自己系统隐藏的问题。也只有这样才能对抗不孔不入的黑客的攻击。即使发现并止损