深入理解Linux文件系统与日志分析

已于 2022-04-10 21:42:16 修改
阅读量1.6k 收藏
点赞数
文章标签: linux
于 2022-04-09 00:12:14 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/SmileLife_/article/details/124048850
版权

目录

1、inode和block概述

1.1 inode的内容

1.1-1 inode包含文件的元信息

1.1-2 用stat命令可以查看某个文件的inode信息

1.1-3 Linux系统文件三个主要的时间属性

 1.1-4 inode结构

1.2、inode的号码

1.2-1 通过文件名打开文件时,系统内部的过程

1.2-2 查看inode号码的方法

 1.3 inode数据的走向

 2、文件储存小结

硬盘分区后结构

 3、inode的大小

4、inode的特殊作用

4.1 由于inode号码和文件分离,导致一些Unix/Linux系统具有以下的现象

5、链接文件

6、案例:恢复EXT文件类型

编译安装extundelete软件包

模拟删除并执行恢复操作

7.1、案例:恢复XFS类型的文件

7.1-1 xfsdump命令格式

7.1-2 xfsdump备份级别(默认为0)

7.1-3 xfsdump的常用选项:-f、-L、-M、-s

7.1-4 xfsrestore命令格式

7.1-5 模拟删除并执行恢复操作

7.2、xfsdump使用限制

 8、日志文件

8.1 日志的功能

8.2 Linux系统内核日志消息的优先级

8.3 常见的一些日志文件

 8.4 由系统服务 rsyslog 统一管理

8.5 用户日志分析

8.5-1 保存了用户登录、退出系统等相关信息

8.5-2 分析工具

8.6 程序日志分析

 8.6-1 由相应的应用程序独立进行管理

8.6-2 分析工具

8.7 日志管理策略

1、inode和block概述

文件数据包括元信息与实际数据

元信息:可以理解为文件属性(用ls创建者属主,权限,文件的创建日期,文件的大小)

数据:就是文件编写的内容

注:一个文件必须占用一个inode,但至少会占用一个block大小

文件储存在硬盘上,硬盘储存最小单位是“扇区”,每个扇区储存512字节

block(块)

  • 连续的八个扇区组成一个block
  • 是文件存取的最小单位

inode(索引节点)

  • 中文译名为“索引节点”,也叫i节点
  • 用于储存文件元信息

1.1 inode的内容

1.1-1 inode包含文件的元信息

  • 文件的字节数
  • 文件拥有者的User ID
  • 文件的Group ID
  • 文件的读、写、执行权限
  • 文件的时间戳

1.1-2 用stat命令可以查看某个文件的inode信息

示例:

例2:也可以用ls -i直接查看文件的inode号

 小结:

inode——节点

元信息(文件属性:文件大小,权限,时间戳)

block——块的大小

数据文件:编写文件名的内用

(文件数据存在块中,文件元信息存放在inode中)

1.1-3 Linux系统文件三个主要的时间属性

1、ctime(change time)

  • 最后一次改变文件或目录(属性)的时间

例:

2、atime(access time)

  • 最后一次访问文件或目录的时间

例:我们查看一下ky19.txt,然后再用stat命令查看会发现访问时间变了

3、mtime(modify time)

  • 最后一次修改文件或目录(内容)的时间

 例:因为改变的属性和大小,所以时间都是同时变化的

 1.1-4 inode结构

1、文件目录的结构

  • 目录也是一种文件
  • 目录文件的结构

2、每个inode都有一个号码,操作系统inode号码来识别不同的文件

3、Linux系统内部不是用文件名,而是用inode号码来识别文件

4、对于用户,文件名只是inode号码便于识别的名称

1.2、inode的号码

1.2-1 通过文件名打开文件时,系统内部的过程

  1. 系统找到这个文件名对应的inode号码
  2. 通过inode号码,获得inode信息
  3. 根据inode信息,找到文件数据所在的block,读书数据

1.2-2 查看inode号码的方法

ls -i 命令:查看文件名对应的inode号码

stat 命令:查看文件inode信息中inode号码

 1.3 inode数据的走向

 2、文件储存小结

  • 硬盘分区后结构

  •  访问文件的简单流程

 3、inode的大小

1、inode也会消耗硬盘空间

  • 每个inode的大小
  • 一般是128字节或256字节

2、格式化文件系统是确时inode总数

3、使用df -i命令可以查看每个硬盘分区的inode总数和已经使用的数量

4、inode的特殊作用

4.1 由于inode号码和文件分离,导致一些Unix/Linux系统具有以下的现象

  • 当文件名包含特殊字符时,可能无法正常删除文件,直接删除inode也可以删除文件
  • 移动或者重命名文件时,只改变文件名,不影响inode号码
  • 打开一个文件后,系统用过inode号码来识别该文件,不在考虑文件名

5、链接文件

为文件或目录建立链接文件

链接文件分类

硬链接:ln 源文件 目标位置

软连接:ln -s 源文件或目录 连接文件或目标位置

6、案例:恢复EXT文件类型

编译安装extundelete软件包

  • 安装依赖包

e2fsprogs-libs-1.41.12-18.el6.x86_64.rpm

e2fsprogs-devel-1.41.12-18.el6.x86_64.rpm

  • 配置、编译及安装

extundelete-0.2.4.tar.bz2

模拟删除并执行恢复操作

 

安装依赖包

 

 

 

 创建软连接

 

 

 开始恢复

 

 

7.1、案例:恢复XFS类型的文件

7.1-1 xfsdump命令格式

xfsdump -f 备份存放位置 要备份的路径或设备文件

7.1-2 xfsdump备份级别(默认为0)

  • 0:完全备份
  • 1-9:增量备份

7.1-3 xfsdump的常用选项:-f、-L、-M、-s

  1. -f:指定备份文件目录
  2. -L:指定标签session label
  3. -M:指定设备标签media labe......
  4. -s:备份单个文件,-s后面不能直接更跟路径

7.1-4 xfsrestore命令格式

xfsrestore -f 恢复文件位置 存放恢复后文件位置

7.1-5 模拟删除并执行恢复操作

7.2、xfsdump使用限制

  • 只能备份已挂载的文件系统
  • 必须使用root权限才能操作
  • 只能备份XFS系统
  • 备份后的数据只能让xfsrestore解析
  • 不能备份两个具有相同UUID的文件系统

例子:

首先我们增加一块设备,也就是硬盘

 然后我们进行一次分区

 分区完后我们把这个设备xfs格式化

然后我们创建一个目录并挂载上

 然后我们cp一个文件到date里面

 查询并筛选有无xfsdump安装包

 如果没有我们就用yum install 安装一个xfsdump

然后我们就会进入交互式界面

 第一个输入的是备份的位置

 第二个定义备份的设备

 然后我们用ls查看一下备份的文件

例2:

模拟删除后恢复所有文件

首先我们删除/date下所有文件

然后我们用xfsrestore进行恢复

 

还有一种无交互的

 然后我们删除一下再进行备份后进行恢复

 

例3:

我们备份一下增量文件

先编辑一些内容到passwd里面并查看一下

 

 用ls查看/opt/下有无增量文件

 还原增量备份要先还原到完全备份的状态再还原增量备份的状态

 

 

 恢复完成后用cat命令查看一下passwd

 8、日志文件

8.1 日志的功能

  • 用于记录系统,程序运行中发生的各种时间
  • 通过阅读日志,有助于诊断和解决系统故障

8.2 日志文件的分类

  • 内核及系统日志

由系统服务rsyslog统一进行管理,日志格式基本相似

  • 用户日志

记录系统用户登录及退出系统的相关信息

  • 程序日志

 由各种应用程序独立管理的日志文件,记录格式不统一

8.2 Linux系统内核日志消息的优先级

0 EMERG(紧急):会导致主机系统不可用的情况

1 ALERT(警告):必须马上采取措施解决的问题

2 CRIT(严重):比较严重的情况

3 ERR(错误):运行出现错误

4 WARNING(提醒):可能影响系统功能,需要提醒用户的重要事件

5 NOTICE(注意):不会影响正常功能,但是需要注意的事件

6 INFO(信息):一般信息

7 DEBUG(调试):程序或系统调试信息等

注:标红的是日常中经常遇到的

8.3 常见的一些日志文件

内核及系统日志由系统服务rsyslog同一管理,主要配置文件为/etc/rsyslog.conf

Linux操作系统本身和大部分服务器程序的日志文件都默认放在目录/var/log下

查看rsyslog.conf配置文件:vim /etc/rsyslog.conf

*.info:表示info等级及以上的所有等级的信息都写在对应的日志文件里

none:表示某件事的信息不写到日志文件里

1、内核及公共消息的日志文件

/var/log/messgaes:记录Linux内核消息及各种应用程序的公共日志信息,包括启动、IO错误、网络错误、程序故障等。对于未使用独立日志文件的应用程序或服务,一般都可以从该日志文件中获取相关的时间记录信息

2、计划任务日志

/var/log/cren:记录crond计划任务产生的事件信息

3、系统引导日志

/var/log/dmesg:记录LInux系统在引导过程中的各种事件信息

4、邮箱系统日志

/var/log/maillog:记录进入或发出系统的电子邮件活动

5、用户登录日志

/var/log/secure:记录用户认证相关的安全事件信息

/var/log/lastlog:记录每个用户最近的登录信息(二进制格式)

/var/log/wtmp:记录每个用户登录、注销、及系统启动和停机事件(二进制格式)

/var/log/btmp:记录失败的、错误的登录尝试及验证事件(二进制格式)

 例1:用ls查看messages日志文件并用tail -f追踪所查看的日志文件

 例2:用last查找用户最近登录的信息

例3:查看用户登录的认证信息

 8.4 由系统服务 rsyslog 统一管理

  • 软件包:rsyslog-7.4.7-16.el7.x86_64
  • 主要程序:/sbin/rsyslog
  • 配置文件:/etc/rsyslog.conf

8.5 用户日志分析

8.5-1 保存了用户登录、退出系统等相关信息

  • /var/log/lastlog:最近的用户登录事件
  • /var/log/wtmp:用户登录、注销及系统开机、关机事件
  • /var/log/utmp:当前登录的每个用户的详细信息
  • /var/log/secure:与用户验证相关的安全性事件

8.5-2 分析工具

users、who、w、last、lastb、lastlog

users:命令指示简单的输出当前登录的用户名称,每个显示的用户名对应一个登录会话。如果一个用户不止有一个登录会话,那他的用户名将显示与其相同的次数

who:命令用于报告当前登录到系统中的每个用户的信息。使用该命令,系统管理员可以查看当前系统存在哪些不合法的用户,从而对其进行审计和处理

w:命令用于显示当前系统的每个用户及其所运行的进程信息,比users、who命令的输出内容要丰富一些

last:命令用于查看成功登陆到系统的用户登录信息,最近的登录信息将显示在最前面

lastb:命令用于查询登录失败的用户记录,如登录用户名错误、密码不正确等情况都记录在案。登录失败的情况属于安全事件,因为这表示有人在尝试猜解你的密码

lastlog:查看用户登录和未登录的信息

8.6 程序日志分析

 8.6-1 由相应的应用程序独立进行管理

  • WEB服务:/var/log/httpd

access_log、error_log

  • 代理服务:/var/log/squid

access.log、cache.log、

  • FTP服务:/var/log/xferlog

8.6-2 分析工具

  1. 文本查看、grep过滤检索、Webmin管理套件中查看
  2. awk、sed等文本过滤,格式化编辑工具
  3. Webalizer、Awstats等专用日志分析工具

8.7 日志管理策略

及时做好备份和归档

延长日志保存期限

控制日志访问权限

  • 日志中可能会包含各类敏感信息,如账户、口令等

集中管理日志

  • 将服务器的日志文件发送到统一的日志文件服务器
  • 便于日志信息的统一收集、整理和分析
  • 杜绝日志信息的以外丢失、恶意篡改和删除

微笑着敲代码
关注
理论题·深入理解Linux文件系统日志分析
weixin_47153668的博客
06-23 1542
深入理解Linux文件系统日志分析 文章目录深入理解Linux文件系统日志分析inode和block概述文件数据包括元信息与实际数据文件存储在硬盘上,硬盘最小存储单位是“扇区”,每个扇区存储512字节block(块)inode(索引节点)inode的内容inode包含文件的元信息---不包含文件名用stat命令可以查看某个文件inode信息每个inode都有一个号码,操作系统用inode号码来识别不同的文件Linux系统内部不使用文件名,而使用inode号码来识别文件对于用户,文件名只是inode号码便
linux日志文件系统
04-28
linux日志linux日志文件系统件系统
linux日志文件系统
weixin_33795743的博客
03-23 318
众所周知,文件系统是操作系统最为重要的一部分。每种操作系统都有自己的文件系统文件系统直接影响着操作系统的稳定性和可靠性。Linux下的文件系统通常有两种,即日志文件系统和非日志文件系统,以下简单介绍两类文件系统。 一、 非日志文件系统日志文件系统在工作时,不对文件系统的更改进行日志记录。 文件系统通过为文件分配文件块的方式...
用于Linux日志文件系统
小伟
03-01 2285
用于Linux日志文件系统原文:http://www.byte.com/column/BYT20000524S0001 原文作者:Moshe Bar 翻译:Brimmer 用于Linux日志文件系统最近12个月以来,Linux已经巩固了其作为服务器操作系统的地位。就像集群(cluster)对于企业级的应用很重要那样,日志文件系统(journaling file system)也是同样重要的。
linux日志文件系统
橘子的博客
03-24 1077
每日分享: 文章目录一、inode与block1、inode表结构2、inode号的内容二、硬链接与软链接1、2.读入数据总结 一、inode与block 1、inode表结构 每个文件的属性信息,比如:文件的大小,时间,类型,权限等,称为文件的元数据(meta data) 元数据是存放在inode(index node)表中。inode 表中有很多条记录组成,第一条记录对应的存放了一个 文件的元数据信息。 每一个inode表记录对应的保存了以下信息: inode number 节点号 文件类型 权限
11、深入理解Linux文件系统日志分析
最新发布
2401_85163870的博客
06-07 1289
文件是存储在硬盘上的,硬盘的最小存储单位叫做“扇区”,每个扇区存储512字节。操作系统读取硬盘的时候,不会一个个扇区地去读取,这样效率太低,而是一次性连续读取多个扇区,即一次性读取一个“块”(block)。注:这种由多个扇区组成的块,是文件存取的最小单位,块的大小,最常见的是4KB,即连续八个sector组成一个block。补充:在操作系统中,block大小对文件系统的性能具有重要影响。如果block大小设置的过大,可能会导致空间浪费和碎片化问题;
深入理解Linux文件系统日志分析(内涵理论与XFS、EXT文件数据恢复实验)
weixin_45726050的博客
11-24 2110
文章目录前言:一、inode与block1.1 inode与block概述1.2 inode的内容二、硬连接与软连接2.1 硬链接2.2 软链接2.3 软链接与硬连接总结三、恢复误删除的文件(实验)3.1 恢复XFS类型的文件3.2 恢复EXT类型的文件四、日志文件的分类4.1 日志的功能4.2 日志文件的分类4.3 日志保存位置:4.4 ⭐主要日志文件介绍五、日志文件分析5.1 内核及系统日志5...
Linux系统日志文件的打印与存储
02-24
本文将深入探讨Linux系统日志文件的打印与存储。 一、日志文件的位置与类型 在Linux系统中,日志文件通常存储在/var/log目录下,这里包含了多种类型的日志文件: 1. /var/log/messages:主要记录系统级信息和警告...
linux 日志查看分析
03-14
linux 日志查看分析
Linux环境下日志文件系统 [zt]
vispper的专栏
11-12 5996
 简介文件系统是用来管理和组织保存在磁盘驱动器上的数据的系统软件,其实现了数据完整性的保证,也就是保证写入磁盘的数据和随后读出的内容的一致性。除了保存以文件方式存储的数据以外,一个文件系统同样存储和管理关于文件和文件系统自身的一些重要信息(例如:日期时间、属主、访问权限、文件大小和存储位置等等)。这些信息通常被称为元数据(metadata)。由于为了避免磁盘访问瓶颈效应,一般文件系统
linux 日志文件系统,Linux环境下日志文件系统
weixin_34795892的博客
05-01 365
文件系统是用来管理和组织保存在磁盘驱动器上的数据的系统软件,其实现了数据完整性的保证,也就是保证写入磁盘的数据和随后读出的内容的一致性。除了保存以文件方式存储的数据以外,一个文件系统同样存储和管理关于文件和文件系统自身的一些重要信息(例如:日期时间、属主、访问权限、文件大小和存储位置等等)。这些信息通常被称为元数据(metadata)。由于为了避免磁盘访问瓶颈效应,一般文件系统大都以异步方式工作,...
linux日志文件系统总结
星空的专栏
09-19 6843
系统日志(本文参考了ibm网站的linux安全第二卷)          在 Linux 下使用各种日志文件,有些用于某些特殊用途,例如:/var/log/xferlog 用于记录文件传输协议 FTP 的信息。其他日志文件,例如 /var/log/messages 文件通常包含许多系统和内核工具的输入项。这些日志文件为系统的安全状态提供了信息。             我们主要讲解两个日志
linux 日志文件系统,Linux日志文件系统面面观
weixin_30573089的博客
05-01 148
文件系统是用来管理和组织保存在磁盘驱动器上的数据的系统软件,其实现了数据完整性的保 证,也就是保证写入磁盘的数据和随后读出的内容的一致性。除了保存以文件方式存储的数据以外,一个文件系统同样存储和管理关于文件和文件系统自身的一些重要信息(例如:日期时间、属主、访问权限、文件大小和存储位置等等)。这些信息通常被称为元数据(metadata)。由于为了避免磁盘访问瓶颈效应,一般文件系统大都以异步方式工作...
Linux内核日志
m0_57705123的博客
07-05 2782
内核日志printk概述日志的使用日志级别控制台日志级别使用cmdline设置控制日志打印 printk概述 对于做Linux内核开发的人来说,printk实在是再熟悉不过了。内核启动时显示的各种信息大部分都是通过printk来实现的,编写驱动时也经常使用printk来作为一种调试手段。printk的设计是通过一个ring buffer(环形缓冲区)实现的。 printk使用限制:在系统启动过程的早期,例如终端和控制台初始化之前,虽然可以使用printk,但是并不能立即输出而是将信息缓存在printk的简单
Linux日志文件
nnn717的博客
03-21 1605
1 日志的功能 2 日志文件的分类 3 日志服务 4 ELK 5 rsyslog管理 1 日志功能 用于记录系统、程序运行中发生的各种事件 通过阅读日志,有助于诊断和解决系统故障 2 日志文件的分类 内核及系统日志:由系统服务rsyslog统一进行管理,日志格式基本相似,其主配置文件 /etc/rsyslog.conf 用户日志:记录系统用户登录及退出系统的相关信息 程序日志:由各种应用程序独立管理的日志文件,记录格式不统一 3 日志服务 Cen
linux运维必了解的日志文件系统
m0_51160032的博客
09-23 4029
一、inode与block 1.1inode和block概述 文件存储在硬盘上,硬盘的最小存储单位叫做"扇区" ( sector )每个扇区存储512字节。 操作系统读取硬盘的时候,不会一个个扇区地读取,这样效率太低,而是一次性连续读取多个扇区,即一次性读取一个"块" ( block )。这种由多个扇区组成的"块",是文件存取的最小单位。"块"的大小 ,最常见的是4KB ,即连续八个扇区组成一个块。 文件数据存储在"块”中,那么还必须找到一个地方存储文件的元信息,比如文件的创建者
linux的三种日志文件系统,linux系统之日志文件系统详解
weixin_30686891的博客
05-09 1519
①、linux日志系统类型:syslog和syslog-ng(开源版和商业版)1、syslog服务:syslogd:系统日志,非内核产生的信息配置文件:/etc/syslog.conf、配置以后利用service syslog reload(不用重启服务读取配置文件)日志服务器配置:etc/sysconfig/syslog内SYSLOGD_OPTIONS="-m 0"改为SYSLOGD_OPTI...
深入理解Linux ext2文件系统及其特点与日志功能
本文档详细解读了ext2文件系统的内部结构和工作原理,以及ext3作为后续版本带来的增强特性,对于理解Linux文件系统的操作和管理具有重要意义。无论是对Linux新手还是高级用户,这些信息都是理解文件系统底层机制的...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值