Linux日志文件系统

Au杨

已于 2022-08-10 19:47:31 修改

阅读量569

点赞数 1

文章标签： linux 服务器 java

于 2022-08-10 17:41:08 首次发布

本文链接：https://blog.csdn.net/javaaaa123/article/details/126260816

版权

一、inode与block

1.1inode和block概述

1.文件存储在硬盘上,硬盘的最小存储单位叫做"扇区" ( sector )每个扇区存储512字节。

2.操作系统读取硬盘的时候，不会一个个扇区地读取，这样效率太低，而是一次性连续读取多个扇区,即一次性读取一个"块" ( block )。这种由多个扇区组成的"块"，是文件存取的最小单位。"块"的大小 ,最常见的是4KB ,即连续八个扇区组成一个块。

3.文件数据存储在"块”中,那么还必须找到一个地方存储文件的元信息，比如文件的创建者、文件的创建日期、文件的大小等等。这种存储文件元信息的区域就叫做inode（索引节点），也叫i节点。

4.一个文件必须占用一个inode ，至少占用一个block。

inode和block的关系

1.2inode的内容

inode包含文件的元信息

inode包含很多文件的元信息，例如:

文件的字节数
文件拥有者的User ID
文件的Group ID
文件的读、写、执行权限
文件的时间戳
文件类型
链接数
有关文件的其他数据

注意：inode不包含文件名

可以用stat命令，查看某个文件的inode信息

eg：

[root@localhost ~]# stat /etc/passwd

linux文件系统的三个时间戳

ctime（change time）：最后一次改变文件或目录的时间，例如执行chmod、chown
atime（access time）：是最近一次访问文件或目录的时间
mtime（modify time）：是最后一次修改文件或目录（内容）的时间

目录文件结构

inode不包含文件名。文件名是存放在目录当中的。Linux系统中一切皆文件，因此目录也是一种文件。

每个inode都有一个号码，操作系统用inode号码来识别不同的文件，linux系统内部使用不同文件名，而使用inode来识别文件。对于系统来说，文件名只是inode号码便于识别的别称，文件名和inode号码是一一对应关系，每个inode号码对应一个文件名。.

1.3inode的号码

表面上，用户通过文件名，打开文件
实际上,系统内部这个过程分成三步：

系统找到这个文件名对应的inode号码

通过inode号码 ,获取inode信息

根据inode信息，找到文件数据所在的block

3.读出数据使用Is -i命令,可以看到文件名对应的inode号码: ls -i /etc/passwd

[root@localhost ~]# ls -i /etc/passwd 69209681 /etc/passwd

4.使用stat命令，查看文件inode信息中的inode号码: stat /etc/passwd

[root@localhost ~]# stat /etc/passwd

硬盘分区后的结构

访问文件的简单流程：

当一个用户在Linux系统中试图访问一个文件时,系统会先根据文件名去查找它的 inode ,看该用户是否具有访问这个文件的权限

如果有，就指向相对应的数据block

如果没有,就返回Permission denied

1.4inode的大小

inode也会消耗硬盘空间，每个inode的大小，一般是128字节或256字节

inode的总数，在格式化时就确定

查看每个硬盘分区的inode总数和已经使用的数量，可以使用命令: df -i

[root@localhost ~]# df -i

1.5inode特点

由于inode 号码与文件名分离，导致Linux系统具备以下几种特有的现象:

1.文件名包含特殊字符，可能无法正常删除。这时直接删除inode，能够起到删除文件的作用

删除inode号的方法：

法一： find 文件位置 -inum inode号码 -exec rm -i {} \;

法二： find 文件位置 -inum inode号码 -delete

法三： find 文件位置 -inum inode号码 | xargs rm -rf

eg：

2.mv移动文件或重命名文件，只是改变文件名，不影响inode 号（这里指的是非挂载磁盘）

5656=.-==

3.打开一个文件以后，系统就以inode号码来识别这个文件，不再考虑文件名。

4.文件数据被修改保存后，会生成一个新的inode 号码。

5.cp命令与inode：

分配一个空闲的inode号
在inode表中生成新条目在目录中创建一个目录项
将名称与inode编号关联拷贝数据生成新的文件

6.rm命令与inode

链接数递减，从而释放的inode号可以被重用把数据块放在空闲列表中
删除目录项
数据实际上不会马上被删除，但当另一个文件使用数据块时将被覆盖

1.6软连接与硬链接

创建格式：

ln [-s] 源文件或目录...链接文件或目标位置（加-s为软连接，不加为硬链接）

1.7恢复误删除的xfs文件

Centos 7系统默认采用xfs类型的文件，xfs类型的文件可使用xfsdump 与xfsrestore 工具进行备份恢复。
xfsdump的备份级别有两种:
- 0表示完全备份;
- 1-9表示增量备份。
- xfsdump的备份级别默认为0。
- xfsdump格式：
  
  xfsdump -f 备份存放位置要备份的路径或设备文件

xfsdump常用选项：

xfsdump使用限制：

只能备份已挂载的文件系统
必须使用root的权限才能操作
只能备份XFS文件系统
备份后的数据只能让xfsrestore解析
不能备份两个具有相同UUID的文件系统(可用blkid命令查看)

实例演示：

1.添加一块新的硬盘，创建新的分区，格式化并挂载

2.在挂载目录/mnt下创建文件

3.安装xfsdump，指定备份目录和需要备份的磁盘

4.删除文件，做恢复测试

1.8EXT类型文件恢复误删除

一、安装依赖包：

e2fsprogs-libs-1.41.12- 18. el6.x86_ 64.rpm

e2fsprogs-devel-1 41.12-18.el6.x86_ 64.rpm

二、配置、编译及安装

安装依赖包：

extundelete-0.2.4.tar.bz2

三、具体步骤：

1.安装依赖包

inode节点耗尽故障处理实验：

二、分析日志文件

日志保存位置默认位于：/var/log目录下

日志的功能：

用于记录系统、程序运行中发生的各种事件

通过阅读日志，有助于诊断和解决系统故障

2.1日志文件的分类

内核及系统日志:这种日志数据由系统服务rsyslog统一管理,根据其主配置文件/etc/rsyslog.conf中的设置决定将内核消息及各种系统程序消息记录到什么位置

用户日志:这种日志数据用于记录Linux系统用户登录及退出系统的相关信息,包括用户名、登录的终端、登录时间、来源主机、正在使用的进程操作等

程序日志:有些应用程序会选择由自己独立管理一份日志文件(而不是交给rsyslog服务管理),用于记录本程序运行过程中的各种事件信息

2.2.日志文件的格式

事件产生的时间。
产生事件的服务器的主机名。
产生事件的服务名或程序名。
事件的具体信息。

2.3常见日志文件

内核及公共消息日志 ： /var/log/messages: 记录Linux内核消息及各种应用程序的公共日志信息，包括启动、I0错误、网络错误、程序故障等。对于未使用独立日志文件的应用程序或服务，一般都可以从该日志文件中获得相关的事件记录信息。

计划任务日志：/var/log/ cron ：记录crond计划任务产生的事件信息。

系统引导日志：/var/ log/ dmesg: 记录Linux系统在引导过程中的各种事件信息。

邮件系统日志：/var/log/maillog:记录进入或发出系统的电子邮件活动。

用户登录日志：

/var/log/secure: 记录用户认证相关的安全事件信息。

/var/log/lastlog: 记录每个用户最近的登录事件。二进制格式

/var/log/wtmp: 记录每个用户登录、注销及系统启动和停机事件。二进制格式

/var/ run/btmp: 记录失败的、错误的登录尝试及验证事件。二进制格式

2.4日志文件分析

内核及系统日志配置文件及日志消息等级

[root@localhost mnt]# cat /etc/rsyslog.conf
查看/etc/rsyslog.conf配置文件
* . info;mail.none;authpriv.none;cron.none /var/log/messages

*.info #表示info等级及以上的所有等级的信息都写到对应的日志文件里
mail.none #表示某事件的信息不写到日志文件里(这里比如是邮件)

Linux系统内核日志消息的优先级别(数字等级越小，优先级越高，消息越重要)