Linux文件系统和日志分析

inode和block

Linux的存储有两种机制：inode和block

1.文件会生成一个inode号   2.文件必然要占用存储空间（block），block最小是4k。如果文件大小不满4k也要占一个block。

存储的元信息：文件的创建者，更改日期，文件的大小，文件的权限。

一个文件必须占用一个inode号，至少占一个block

对于系统来说文件名亦是inode号的别称，方便用户使用。文件名和inode号一一对应

系统通过inode号来识别文件

查看文件名对应的inode号

ls -i 文件名

stat 文件名

Linux系统的三个时间戳

atime：访问这个文件就会改变这个时间。

mtime：修改文件数据内容，就会更新。

ctime：修改文件的权限或属性，更改文件内容也可能改变。

xfs文件系统进行备份和恢复文件

centos7默认使用xfs系统

xfsdump：备份磁盘数据

xfsrestore：恢复数据

xfsdump的备份是有级别的，0表示全量，1-9表示增量备份。

xfsdump的命令格式和选项：

-f：指定备份文件的目录

-L：指定目录标签

-l：指定备份级别

--M：指定设备标签

-s：备份单个文件

xfsdump使用是有限制的

1.只能恢复已经挂载的文件系统设备。

2.只能备份xfs文件系统

3.必须要有root权限

4.数据恢复只能通过xfsrestore解析，进行恢复

5.两个设备的UUID相同，不能进行备份

实验

先添加一个硬盘然后分区挂载

 将data下面的内容进行备份，看到success就是成功

[root@localhost data]# touch 123 456

[root@localhost data]# xfsdump -f /opt/backup /dev/sdb1 [-L backup -M sdb1]

删除data下面的内容

进行内容恢复

日志分析

内核以及系统日志 rsyslog统一管理

配置文件：/etc/rsyslog.conf

/var/log/messages：内核日志，各种应用程序包括第三方程序的控制日志

/var/log/cron：定时任务的日志

/var/log/dmesg：系统引导日志

日志级别:0-7

0 emerg 紧急

1   alert          警告

2   crit            严重

3   err            错误

4   warning    提醒

5   notice       注意

6   info           信息

7   debug       调试

*.info：表示所有info级别的日志，包括info级别以上的事件信息保存到/var/log/messages

*.=info：明确指定只保存info级别的日志，其他的都不要。

*.！info：除了info级别的日志都要

设备字段

auth：用户认证   

authpriv：认证的是远程登录产生的日志信息

news：网络信息记录的事件日志

cron：定时任务

kern：内核的事件消息

mail：邮件

user：用户进程记录的日志

uucp：进程间的实验通信日志

实验

将ssh服务日志单独存放

开两个虚拟机

[root@localhost ~]# systemctl stop firewalld.service

[root@localhost ~]# setenforce 0

关闭防火墙和selinux的安全机制

[root@localhost ~]# vim /etc/rsyslog.conf

进配置文件添加一下

[root@localhost ~]# vim /etc/ssh/sshd_config

[root@localhost ~]# vim /etc/rsyslog.conf

进配置文件添加一下

[root@localhost ~]# vim /etc/ssh/sshd_config

32行注释掉

34行添加

修改完配置文件，重启服务

去另一个虚拟机验证一下

配置日志服务器，收集日志

关闭防火墙和selinux的安全机制

取消注释

接收方ip地址

配置玩文件重新启动

查看514端口号是否正常运行

以上都市发送方

接收方

配置文件

取消注释

重新启动

查看514端口号是否正常运行

发送方发送

接收方收到