文章目录
inode
inode和block概述
文件数据包括元信息与实际数据
文件存储在硬盘上,硬盘最小存储单位是“扇区”,
每个扇区存储512字节
block:
连续的八个扇区组成一个block
是文件存取的最小单位
inode(索引节点)
中文译名为“索引节点”,也叫i节点
用于存储文件元信息
inode的内容
inode包含文件的元信息(不包含文件名)
文件的字节数
文件拥有者的User lD
文件的Group ID
文件的读、写、执行权限
文件的时间戳
…
用stat命令可以查看某个文件的inode信息
示例: stat a.txt
Linux系统文件三个主要的时间属性:
ctime(change time)最后一次改变文件或目录(属性)的时间。
atime(access time)最后一次访问文件或目录的时间。
mtime(modify time)最后一次修改文件或目录(内容)的时间。
目录也是一种文件。
每个inode都有一个号码,操作系统用inode号码来识别不同的文件。
Linux系统内部不使用文件名,而使用inode号码来识别文件。
对于用户,文件名只是inode号码便于识别的别称。
用户通过文件名打开文件时,系统内部的过程
1.系统找到这个文件名对应的inode号码
2.通过inode号码,获取inode信息
3.根据inode信息,找到文件数据所在的block,读出数据查看
inode号码的方法
ls -i命令:查看文件名对应的inode号码ls -i a.txt
stat命令:查看文件inode信息中的inode号码stat a.txt
访问文件的简单流程
1.用户访问文件
2.系统查找文件对应的inode
3.判断用户是否具备访问权限
4.是:指向对应的数据block,否:返回Permission denied
inode的大小
inode也会消耗硬盘空间
每个inode的大小—般是128字节或256字节
格式化文件系统时确定inode的总数
使用df -i命令可以查看每个硬盘分区的inode总数及可用数量
inode也会消耗硬盘空间,所以格式化的时候,操作系统自动将硬盘分成两个区域。一个是数据区,存放文件数据:另一个是inode区,存放inode所包含的信息。每个inode的大小,一般是128字节或256字节。
通常情况下不需要关注单个inode的大小,而是需要重点关注inode.总数。inode的总数在格式化时就给定了,执行"df -i"命令即可查看每个硬盘分区对应的的inode总数和已经使用的inode数量。
每个inode节点的大小,一般是128字节或256字节。inode节点的总数,在格式化时就给定了,一般是每1KB或每2KB就设置一个inode。假定在一块1GB的硬盘中,每个inode节点大小为128字节,每1RB就设置一个inode,那么inodetable的大小就会达到128MB,占整块硬盘12.8%。
由于inode号码与文件名分离,导致Linux系统具备以下几种特有的现象:
1.文件名包含特殊字符,可能无法正常删除。这时直接删除inode,能够起到删除文件的作用;2.移动文件或重命名文件,只是改变文件名,不影响inode号码;
3.打开一一个文件以后,系统就以inode号码来识别这个文件,不再考虑文件名。4.文件数据被修改保存后,会生成-一个新的inode号码。
find ./ -inum 140 -exec rm -i { } ;
find ./ -inum 4299 -delete
链接文件:为文件或目录建立链接文件
链接文件分类
硬链接
ln 源文件 目标位置
软链接
ln -s 源文件或目录…链接文件或目标位置
inode节点耗尽故障处理
#使用fdisk创建分区/ dev / sdb1,分区大小30M即可fdisk /dev / sdb
mkfs.ext3 / dev / sdb1
mkdir /test
mount / dev / sdb1 /test
df -i
#模拟inode节点耗尽故障
for((i=1; i<=5680; i++) ) ;do touch /test/file$i; done
或i=i+1或i+=1
touch { 1…10000}.txt
df -i
df -Th
#删除文件恢复rm -rf /test/*
df -i
df -Th
恢复误删除的文件ext3
EXT类型文件恢复
extundelete是一个开源的Linux数据恢复工具,支持ext3、ext4文件系统。(ext4只能在centos6版本恢复)
#使用fdisk创建分区/dev / sdc1,格式化ext3文件系统
fdisk /dev / sdc
partprobe / dev / sdc
mkfs.ext3 / dev / sdc1
mkdir /test
mount / dev / sdc1/test
df -Th
#安装依赖包
yum -y install e2fsprogs-devel e2fsprogs-libs gcc gcc-c++
#编译安装extundelete
cd /test
wget http://nchc.dl.sourceforge.net/project/extundelete/extundelete/0.2.4/extundelete-0.2.4,tar,bz2tar jxvf extundelete-0.2.4.tar.bz2
cd extundelete-0.2.4/
./ configure --prefix=/usr/1ocal/extundelete && make && make install
ln -s /usr / local/extundelete/bin/* /usr/bin/
#模拟删除并执行恢复操作
cd /test
echo a>a
echo b>b
ls
extundelete / dev / sdc1 --inode 2
e查看文件系统/dev/sdc1下存在哪些文件,i节点是从2开始的,2代表该文件系统最开始的目录
rm -rf a b
extundelete / dev / sdcl --inode 2
cd ~
umount /test
extundelete /dev/sdcl --restore-all #恢复/dev/sdcl文件系统下的所有内容
#在当前目录下会出现一个RECOVERED_FILES/目录,里面保存了已经恢复的文件
ls RECOVERED FILES/
恢复误删除的文件XFS
xfs类型文件备份和恢复
Centos 7系统默认采用xfs类型的文件,xfs类型的文件可使用xfsdump 与xfsrestore 工具进行备份恢复。xfsdump 的备份级别有两种:0表示完全备份; 1-9表示增量备份。xfsdump的备份级别默认为0。
xfsdump的命令格式为:
xfsdump -f备份存放位置要备份的路径或设备文件xfsdump命令常用的选项:
-f:指定备份文件目录
-L:指定标签session label
-M:指定设备标签media labe. . … 。
-s:备份单个文件,-s后面不能直接跟路径
xfsdump使用限制:
1.只能备份己挂载的文件系统
2.必须使用root的权限才能操作
3.只能备份XFS文件系统
4.备份后的数据只能让xfsrestore解析
5.不能备份两个具有相同UUID的文件系统(可用blkid命令查看)
#使用fdisk创建分区/dev / sdb1,格式化xfs文件系统
fdisk / dev / sdb
partprobe /dev / sdb
mkfs.xfs /dev /sdb1
mkdir /data
mount / dev / sdb1 /data/
cd /data
cp /etc/passwd ./
mkdir test
touch test/a
#使用xfsdump命令备份整个分区
rpm -qa l grep xfsdump
yum instali -y xfsdump
xfsdump -f /opt/dump_sdb1 /dev/sib1 -L dump_sdb1 -M sdb1
xfsdump -f / opt / dump_sdb / dev/sdb1 -L dump_sdb -M sdb1
#模拟数据丢大并使用xfsrestore命令恢复文件
cd /data/
rm -rf ./*
ls
xfsrestore -f / opt/ dump__sdb1 /data/
日志分析
内核及系统日志由系统服务rsyslog 统一管理,主配置文件为/etc/rsyslog.confLinux操作系统本身和大部分服务器程序的日志文件都默认放在目录/var/log/下。
常见的一些日志文件:
#内核及公共消息日志:/ var/ log / messages:
记录Linux内核消息及各种应用程序的公共日志信息,包括启动、IO错误、网络错误、程序故障等。对于未使用独立日志文件的应用程序或服务,一般都可以从该日志文件中获得相关的事件记录信息。
#计划任务日志:
/var / 1og / cron:记录crond计划任务产生的事件信息。
#系统引导日志:
/var/log / dmesg:记录Linux系统在引导过程中的各种事件信息。
#邮件系统日志;
/var/ log/maillog: 记录进入或发出系统的电子邮件活动。
#用户登录日志:
/var/ log/ secure: 记录用户认证相关的安全事件信息。
/var/log/lastlog:记录每个用户最近的登录事件。二进制格式
/var/1og/wtmp:记录每个用户登录、注销及系统启动和停机事件。二进制格式
/var/run/btmp:记录失败的、错误的登录尝试及验证事件。二进制格式
/etc/rsyslog.conf管理日志配置
vim /etc/rsyslog.conf#查看rsyslog.conf配置文件
*.info;mail.none; authpriv.none ; cron.none /var/log /messages
*.info#表示info等级及以,上的所有等级的信息都写到对应的日志文件里
mail.none #表示某事件的信息不写到日志文件里(这里比如是邮件)
rsyslog服务
ps -ef l grep rsyslogd查看服务是否开启
vim fetc/rsyslog.conf #rsyslog服务配置文件
mail.* 代表比*等级高的都记录,
代表任何,也就是说任何日志都记录
.none代表不记录日志
日志存放位置为:所有日志高于疼痛这个等级就会对所有在线用户广播=代表只记录=后面级别的日志
.!代表除了!后面级别的日志不记录其他的都记录
存放路径之前有"-“代表先放入缓存足够大之后再存放在路径
也可以自定义日志
vim letc/rsyslog.conf加入一行内容
*.info /var/ log/info.log
systemctl restart rsyslog 重启服务之后/var/log下面就生成了info.log了
日志消息的级别:
| 级号 | 消息 | 级别 | 说明 |
|---|---|---|---|
| 0 | EMERG | 紧急 | 会导致主机系统不可用的情况 |
| 1 | ALERT | 警告 | 必须马上采取措施解决的问题 |
| 2 | CRIT | 严重 | 比较严重的情况 |
| 3 | ERR | 错误 | 运行出现错误 |
| 4 | WARNING | 提醒 | 肯会影响系统功能的事件 |
| 5 | NOTICE | 注意 | 不会影响系统但值得注意 |
| 6 | INFO | 信息 | 一般信息 |
| 7 | DEBUG | 调试 | 程序或系统调试信息 |
Linux系统内核日志消息的优先级别(数字等级越小,优先级越高,消息越重要) :
公共日志/var/ log/ messages文件的记录格式时间标签:消息发出的日期和时间。
主机名:生成消息的计算机的名称。
子系统名称:发出消息的应用程序的名称。
消息:消息的具体内容。
程序自己维护日志记录,httpd 网站服务程序使用两个日志文件:
access_log : #记录客户访问事件;
error_log#记录错误事件。
日志管理策略:
及时作好备份和归档;
延长日志保存期限;
控制日志访问权限:日志中可能会包含各类敏感信息,如账户、口令等。
集中管理日志:
将服务器的日志文件发到统一的日志文件服务器;
便于日志信息的统一收集、整理和分析;
杜绝日志信息的意外丢失、恶意篡改或删除。
详细日志分析命令:
users:命令只是简单地输出当前登录的用户名称,每个显示的用户名对应一个登录会话。如果一个用户有不止一个登录会话,那他的用户名将显示与其相同的次数
who:命令用于报告当前登录到系统中的每个用户的信息。使用该命令,系统管理员可以查看当前系统存在哪些不合法用户,从而对其进行审计和处理。who的默认输出包括用户名、终端类型、登录日期及远程主机
w:命令用于显示当前系统中的每个用户及其所运行的进程信息,比users、who 命令的输出内容要丰富一些
last:命令用于查询成功登录到系统的用户记录,最近的登录情况将显示在最前面。通过last 命令可以及时掌握Linux主机的登录情况,若发现未经授权的用户登录过,则表示当前主机可能已被入侵
lastb:命令用于查询登录失败的用户记录,如登录的用户名错误、密码不正确等情况都将记录在案。登录失败的情况属于安全事件,因为这表示可能有人在尝试猜解你的密码。除了使用lastb命令查看以外,也可以直接从安全日志文件/var/log/secure 中获得相关信息
有哪些系统常见日志
/var/ log /messages/系统主日志文件
[rootlocalhost ~]#cat /var/log/messages | wc -l
tail -f或者tailf或tailf -100查看时间,主机名,服务,具体信息
/var/log/dmesg开机后的内核自检信息,dmesg命令看的是一样的
/var/log/secure涉及到登陆,验证之类的都会记录比如su
用户日志采用二进制格式,但可以用命令查看,避免认为修改内容,保证日志的有效性
/var/ log/wtmp (last)
/var/ log/ btmp (lastb)
/ var/ log/ lastlog (lastlog)所有账号的登录信息
还有一些服务的日志比如
/var/ log/yum. log
/var/ log/cron
扩展
journalctl工具是centos-7才有的工具
Systemd统一管理所有unit 的启动日志。带来的好处就是﹐可以只用journalctl一个命令,查看所有日志(内核日志和应用日志)。日志的配置文件/etc/systemd/journald.conf
ps -ef l grep journald
journalctl -b查看本次启动的日志
journalctl -k查看内核日志
journalctl | wc -l查看系统总共的日志
journalctl -xe经常用来查看最近报错的日志
-e:从结尾开始看
-x:提供问题相关的网址
注:学生可研究,日志工具可研究: webmin、Webalizer、Awstats等专用日志分析工具
扫一扫
2931
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
