深入理解Linux文件系统与日志分析

最新推荐文章于 2024-06-07 19:47:42 发布
最新推荐文章于 2024-06-07 19:47:42 发布
阅读量1.8k 收藏
点赞数
文章标签: linux 安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/empty_csx/article/details/108346813
版权
每个扇区大小规定512G,系统在读取硬盘数据时,并不会一个个扇区去读,而是一次性连续读取多个扇区,即一次性读取一个块(block),这种由多个扇区组成的块,是文件存取的最小单位。块的大小,最常见的是4kB,即连续8个sector组成一个block

inode的作用

用来存储数据的元信息的,所谓元信息是指该数据的一些属性,特性。inode可以记录文件权限(rwx)的记录,文件属主,属组,文件大小,时间戳等,中文译名索引节点,也叫i节点。因此,一个文件必须占用一个inode,至少占用一个block。
inode并不包括文件名,其实文件名是存放在目录当中的,Linix系统中一切皆文件,即目录也是一种文件,查看目录中的文件,cd转目录后通过ls列目录可以查看文件名,而我们每个inode都有一个号码,系统用inode号码识别不同的文件

系统内部不使用文件名,而是用inode号码来识别文件

Linux系统的三个主要的时间属性

ctime(change time)最后一次改变文件或者目录的时间
atime(access time)最后一次访问文件或者目录的时间
mtime (modify time)最后一次修改文件或者目录(内容)的时间
修改时三个时间戳都会发生改变

用户通过文件名打开文件时,系统内部的过程⭐

1.系统找到这个文件名对应的node号码
2.通过node号码,获取inode信息
3.根据inode信息,找到文件数据所在的block,读出数据

查看inode号码的方法

ls -i 命令 查看文件名对应的inode号码
ls -i aa.txt
stat 查看文件inode信息中的inode号码
stat aa.txt

inode也会消耗硬盘空间

每个inode的大小
一般是128字节或者256字节
格式化文件系统时确定inode的总数
使用df -i命令可以查看每个硬盘分区的inode总数的已经使用的数量

inode的特殊作用

由于inode号码与文件名分离,导致一些Unix/Linux系统具有以下的现象:
当文件包含特殊字符时,可能无法正常删除文件,直接删除inode,也可以删除文件
移动或重命名文件时,只改变文件名,不影响inode号码
打开一个文件后,系统通过inode号码来识别该文件,不在考虑文件名

find .-inum 100663364 -exec rm -i {} ;

find找到的内容作为后面rm删除的对象
语法结构分析:
-exec参数后面跟的是命令,它的终止是以;为结束标志的,{}代表前面find找出来的文件名,\代表换行符
;是立即执行的意思

find.-inum 100663364 | xargs rm -f
xargs这参数就是强力,前面输出结果包含空格或制表符也会被强力执行

extundelete 工具仅可恢复EXT类型的文件,无法恢复centos7系统默认采用xfs类型的文件。针对xfs文件系统目前也没有比较成熟的文件恢复工具,所以建议提前做好数据备份,避免数据丢失。xfs类型的文件可使用xfsdump与xfsrestore工具进行备份恢复。若系统中未安装,通过yum-install-y xfsdump命令进行安装。xfsdump按照inode顺序备份的一个xfs文件系统,备份级别有两种:0表示完全备份;1-9表示增量备份,xfsdump默认级别为0.xfsdump的命令格式为xfsdump -f备份存放位置,备份路径或者设备文件
-f:指定备份文件目录
-L:指定标签session label
-M:指定设备标签media label;
-s:备份单个文件,-s后不能直接跟路径

使用xfsclump备份整个分区

xfsdump -f /opt/dump_sdb1    /dev/sdb1
xfsdump -I //查看备份信息与内容

删除内容,模拟数据丢失

cd /data
rm -rf ./*
恢复
xfsrestore -f   /opt/dump-sdb1   /data

使用xfsdump时,有以下几个限制

xfsdump不支持没有挂载的文件系统备份,所以只能备份已挂载的
xfsdump必须使用root权限才能操作(涉及文件系统的关系)
xfsdump只能备份xfs文件系统
xfsdump备份下来的数据(档案与存储媒体)只能让xfsrestore解析
xfsdump是通过文件系统的UUID来分辨各个备份档的,因此不能备份两个具有相同UUID的文件系统

实验步骤

用extundelete恢复ext类型文件的过程。

编译安装extundelete
在这里插入图片描述
在这里插入图片描述
在这里插入图片描述
在这里插入图片描述

添加磁盘分区,格式化,挂载

在这里插入图片描述
在这里插入图片描述
在这里插入图片描述

在这里插入图片描述

误删文件
在这里插入图片描述

在这里插入图片描述

找到误删文件,拷贝到data
在这里插入图片描述

用xfsdump恢复xfs类型文件的过程。

  1. 初始化磁盘,挂载
    在这里插入图片描述
    在这里插入图片描述

  2. 测试文件
    在这里插入图片描述

3用xfsdump命令备份整个分区

在这里插入图片描述
在这里插入图片描述

4.模拟数据丢失
在这里插入图片描述

5.卸载磁盘恢复文件
在这里插入图片描述
在这里插入图片描述

extundelete与xfsdump的区别

1.extundelete需要额外去装而xfs默认系统自带
2.extundelete恢复时候需要解挂载,而xfsdump需要挂载点在线时使用
3.xfsdump使用时必须root账户才能用
4.extundelete只能恢复文件系统格式时ext格式的文件(必须centos6系统)
xfsdump只能恢复文件系统格式时xfs格式的文件(centos7默认是xfs文件系统格式)

糖果剑客
关注
Linux文件系统(inode号,xfs文件备份)
Gloom丿郁的博客
01-03 598
文章目录Linux文件系统一、inode与block(1)文件是存储在硬盘上的,硬盘的最小存储单位叫做"扇区”(sector),每个扇区存储512字节。(2)查看文件名对应的inode号码有两种方式:inode和block概述inde的内容inode的特殊作用文件存储小结二、硬链接与软链接小实验(硬链接)软链接三、恢复误删除的文件(1)inode节点耗尽故障处理小实验(2)EXT类型文件恢复**使用fdisk创建分区/dev/sdc1,格式化ext3文件系统****安装依赖包**模拟删除并执行恢复操作(3)
【底层原理】彻底理解Linux文件系统(一)
资料qun832218493
07-06 321
概述提到文件系统Linux的老江湖们对这个概念当然不会陌生,然而刚接触Linux的新手们就会被文件系统这个概念弄得晕头转向,恰好我当年正好属于后者。从windows下转到Linux的童鞋听到最多的应该是fat32和ntfs(在windows 2000之后所出现的一种新型的日志文件系统),那个年代经常听到说“我要把C盘格式化成ntfs格式,D盘格式化成fat32格式”。一到Linux下,很多入门Linux的书籍中当牵扯到文件系统这个术语时,二话不说,不管三七二十一就给出了下面这个图,然后逐一解释一下每个目录
深入理解Linux文件系统
zhangyuebk的博客
02-16 569
文章目录导读:1.深入理解Linux文件系统1.1 inode和block概述1) 概述2 )inode的内容3) 目录文件结构4)inode号码5)inode的大小6)inode特殊作用7)通过删除inode号删除文件1.2inode节点耗尽故障处理 导读: 在处理Linux系统出现的各种故障时,故障的症状是最容易发现的,而导致这一故障的原因才是最终排除故障的关键。熟悉Linux 系统中常见的日志文件,了解一般故障的分析与解决办法,将有助于管理员快速定位故障点,“对症下药”,及时解决各种系统问题。另外,之
深入理解linux文件系统
STARDEIT的博客
09-24 312
目录 一、indoe和block详解 二、文件恢复extundelete 2.1使用 extundelete 工具如何恢复误删除的文件 2.2模拟删除并恢复 三、xfs类型备份和恢复 四、日志 4.1常见的一些日志文件: 4.2 内核和公共日志 4.2用户日志 一、indoe和block详解 文件数据包括元信息与实际数据 文件存储在硬盘上,硬盘最小存储单位是“扇区”,每个扇区存储512字节 block(块) 连续的八个扇区组成一个block 是文件存取的最小单位 in...
Linux深入理解Linux文件系统
不要因为走的太远而忘了为什么出发
08-22 2887
文章目录前言一、inode 与 block1. block2. inode(索引节点)3. 访问文件的流程4. inode 的内容5. inode 的大小6. inode 的特殊作用二、链接文件三、恢复误删除的文件1.编译安装 extundelete2.模拟删除并执行恢复四、分析日志文件 前言 在处理 Linux 系统出现的各种故障时,故障的症状是容易被发现的,但是导致故障的原因才是排除故障的关键。只有熟悉了解 Linux 系统的日志文件,才能对症下药,及时的解决掉各种系统问题。 一、inode 与 b
理论题·深入理解Linux文件系统日志分析
weixin_47153668的博客
06-23 1542
深入理解Linux文件系统日志分析 文章目录深入理解Linux文件系统日志分析inode和block概述文件数据包括元信息与实际数据文件存储在硬盘上,硬盘最小存储单位是“扇区”,每个扇区存储512字节block(块)inode(索引节点)inode的内容inode包含文件的元信息---不包含文件名用stat命令可以查看某个文件inode信息每个inode都有一个号码,操作系统用inode号码来识别不同的文件Linux系统内部不使用文件名,而使用inode号码来识别文件对于用户,文件名只是inode号码便
11、深入理解Linux文件系统日志分析
最新发布
2401_85163870的博客
06-07 1289
文件是存储在硬盘上的,硬盘的最小存储单位叫做“扇区”,每个扇区存储512字节。操作系统读取硬盘的时候,不会一个个扇区地去读取,这样效率太低,而是一次性连续读取多个扇区,即一次性读取一个“块”(block)。注:这种由多个扇区组成的块,是文件存取的最小单位,块的大小,最常见的是4KB,即连续八个sector组成一个block。补充:在操作系统中,block大小对文件系统的性能具有重要影响。如果block大小设置的过大,可能会导致空间浪费和碎片化问题;
深入理解Linux文件系统日志分析(内涵理论与XFS、EXT文件数据恢复实验)
weixin_45726050的博客
11-24 2110
文章目录前言:一、inode与block1.1 inode与block概述1.2 inode的内容二、硬连接与软连接2.1 硬链接2.2 软链接2.3 软链接与硬连接总结三、恢复误删除的文件(实验)3.1 恢复XFS类型的文件3.2 恢复EXT类型的文件四、日志文件的分类4.1 日志的功能4.2 日志文件的分类4.3 日志保存位置:4.4 ⭐主要日志文件介绍五、日志文件分析5.1 内核及系统日志5...
Linux系统日志文件的打印与存储
02-24
本文将深入探讨Linux系统日志文件的打印与存储。 一、日志文件的位置与类型 在Linux系统中,日志文件通常存储在/var/log目录下,这里包含了多种类型的日志文件: 1. /var/log/messages:主要记录系统级信息和警告...
extundelete-0.2.4.zip
08-13
Centos6 ext4文件误删除恢复文件工具 可以用此工具来恢复在系统中误删除的文件或目录 extundelete:支持 ext3 和 ext4 文件系统, 实现原理:通过分析文件系统日志,解析出所有文件的 inode 信息,利用 inode 去查找所在 block ,利用 dd 备份出以删除的数据。
Linux下高效数据恢复软件extundelete应用实战
07-30
作为一名运维人员,保证数据的安全是根本职责,所以在维护系统的时候,要慎之又慎,但是有时难免会出现数据被误删除的情况,在这个时候改如何快速、有效地恢复数据呢?本文我们就来介绍一下Linux系统下常用的几个数据恢复工具。
深入理解和管理linux文件系统
tianrenbo的博客
02-27 557
Linux支持数量众多的本地文件系统类型和几种通过网络访问远程磁盘的文件 系统,分析/proc/filesystems文件的内容即可找出当前Linux内核提供了对哪些文 件系统的支持。    要在内核中增加对任意此类文件系统的支持都是相当简单的,只需在构造新的 内核时选中相应的配置选项即可。例如,对于makexconfig来说,只需在它的 Filesystems下面选中想要的文件系统
linux(十九)深入理解linux文件系统
云来云去的博客
05-17 2218
一、inode 与 block 文件数据包括元信息与实际数据 文件存储在硬盘上,硬盘最小存储单位是”扇区“,每个扇区存储512字节 block(块) 连续的八个扇区组成一个block (xfs 、 ext4 文件系统)是文件存取的最小单位 4K占用1个block , 5k占用2两个block 。 其中在RAID中chunk:512K,LVM 的PE:4M 皆为最小的存储单元如图 类型 最小存储单元 大小 RAID chunk 4M ...
Linux】—— 深入理解文件系统
chenxiyuehh的博客
05-28 1181
Linux文件系统 文件结构 我相信很多人都听过这么一句话:在Linux系统中有一个重要的概念:Linux下一切皆文件。 其实这是UNIX哲学的一个体现,而Linux是重写UNIX而来,所以这个概念也就传承了下来。在UNIX系统中,把一切资源都看作是文件,包括硬件设备,其实就是为了方便管理。UNIX系统把每个硬件都看成是一个文件,通常称为设备文件,这样用户就可以用读写文件的方式实现对硬件的访问。...
深入理解Linux文件系统编程(一)
嵌入式Developer_小J的天空
11-12 2862
深入理解Linux文件系统编程(一)    Jiangdg_VIP http://blog.csdn.net/u012637501        文件系统linux操作系统组织系统资源的一种方式,操作系统的可用性取决于对文件系统的支持,操作系统就是通过文件系统接口提供各种功能。对于Linux操作系统来说,文件是对系统资源的一个抽象,是对系统资源进行访问的一个通用接口,诸如内存、
Linux深入理解文件系统及其实现
SoniciSika
03-18 357
文章目录Linux:Proc文件系统和实现Abstractfile_operationsproc_create[^5]seq_fileLinux 链表seq_filesingleConclusion Linux:Proc文件系统和实现 Abstract “一切都是文件”是unix/linux中广为人知的哲学,更详细的解释是:一切设备,套接字,管道,进程,都以文件的形式描述,支持open,close...
深入理解Linux ext2文件系统及其特点与日志功能
本文档详细解读了ext2文件系统的内部结构和工作原理,以及ext3作为后续版本带来的增强特性,对于理解Linux文件系统的操作和管理具有重要意义。无论是对Linux新手还是高级用户,这些信息都是理解文件系统底层机制的...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值