Linux系统管理——深入理解linux文件系统

                             第十四 章深入理解linux文件系统

一、深入理解linux文件系统
1、inode与block详解
(1)inode与block概述
①硬盘最小存储单位为扇区（sector），每个扇区512字节
②连续8个扇区组成一个块（block），它是文件存取的最小单位，4kb
③存储文件的元信息的区域叫做inode（索引节点）
(2)inode的内容
①文件字节数
②拥有者的userid
③groupid
④读写和执行的权限
⑤时间戳
⑥使用stat命令可查看具体文件的inode信息
⑦时间属性
1)ctime（change time）：最后一次改变文件或目录（属性）的时间
2)atime（access time）：最后一次访问文件或目录的时间
3)mtime（modify time）：最后一次修改文件或目录（内容）的时间
(3)inode的号码
系统内部打开文件的过程
①找到文件名对应的inode号码
②通过inode号码获取inode信息
③根据inode信息找到文件数据所在的block，独处数据
④使用ls -i可查看文件名对应的inode号码
(4)inode的大小
①每个inode一般为128或256字节
②inode总数在格式化时给定
③执行df -i可查看分区的inode总数及已使用数量
④命令“dumpe2fs -h /dev/mapper/VolGroup-lv_root|grep “Inode size””可查看每个inode大小（CentOS7中会报错）
⑤直接删除inode可达到删除文件的效果
⑥移动或重命名不影响inode号码
⑦打开一个文件后，系统就以inode号码来识别文件，不再考虑文件名
2、inode耗尽故障处理
(1)删除部分无用文件，释放inode
3、硬链接与软连接
(1)硬链接
①inode号码相同，block不同
(2)软连接
①block相同，inode号码不同
4、恢复误删除文件
(1)编译安装extundelete
(2)当出现误删除时，立即卸载该文件系统
(3)使用extundelete /dev/sdb1 --restore-all命令恢复文件
(4)恢复的文件将出现在当前目录中的RECOVERED_FILES目录中
5、修复分区故障
fsck -y -t /分区文件

二、分析日志文件
1、日志文件的分类
(1)内核及系统日志：有系统服务rsyslog统一管理，根据其配置文件/etc/rsyslog.conf中的设置进行管理
(2)用户日志：用于记录系统用户登录及退出的相关信息
(3)程序日志：应用程序自己独立管理的日志文件，用于记录本程序的各种运行信息
(4)系统本身及大部分服务程序的日志文件默认放在/var/log下：
①/var/log/nessages：记录系统内核消息及各种程序的公共日志信息。包括启动、1/0错误、网络错误、程序故障等。对于未使用独立日志的文件或程序，一般都可以从该日志获得相关信息
②/var/log/cron：记录crond计划任务产生的事件信息
③/var/log/demesg：记录系统引导过程中的各种事件信息
④/var/log/maillog：记录进入或发出系统的电子邮件活动
⑤/var/log/lastlog：记录每个用户最近的登录事件
⑥/var/log/secure：记录用户认证相关的安全事件信息（可直接less查看）
⑦/var/log/wtmp：记录每个用户登录、注销及系统启动和停机事件
⑧/var/log/btmp：记录失败的、错误的登录尝试及验证事件
2、日志文件分析
(1)内核及系统日志
①通过查看/etc/rsyslog.conf文件内容，可查看到系统默认的日志设置
②优先级：
1)0 EMERG（紧急）：会导致 主机系统不可用的情况
2)1 ALERT（警告）：必须马上财务措施解决的问题
3)2 CRIT（严重）：比较严重的情况
4)3 ERR（错误）：运行出现错误
5)4 WARNING（提醒）：可能影响系统功能，需要提醒的重要事件
6)5 NOTICE（注意）：不会影响正常功能，但需要注意的事件
7)6 INFO（信息）：一般信息
8)7 DEBUG（调试）：程序或系统调试信息等
③/var/log/messages文件
1)每行为一条日志
2)事件标签：消息发出时间
3)主机名：生成消息的主机名
4)子系统名称：发出消息的应用程序
5)消息：具体内容
④有些情况下，可设置rsyslog，将日志信息记录到文件的同时将信息发送到打印机进行打印
(2)用户日志
①在wtmp、btmp、lastlog等日志文件中，保存了系统用户登录等信息，但它们是二进制文件，需要使用特定命令来获取信息
②查询当前登录的用户情况——users、who、w
③查询用户登录的历史记录——last、lastb命令
1)last用于查询登录成功的记录
2)lastb用于查询登录失败的记录
(3)程序日志
①没有使用rsyslog服务管理日志的应用程序
(4)日志管理中的注意事项
①用户在非常规时间登录，或登录IP和以往不一样
②用户登录失败的日志记录，尤其是连续尝试的记录
③非法使用或不正当使用超级用户权限
④无故或非法重新启动各项网络服务的记录
⑤不正常的日志记录，如日志残缺不全，或者如wtmp这样的日志文件无故缺少了中间的记录文件

三、排除启动类故障
1、MBR扇区故障
(1)MBR引导记录位于硬盘的第一个扇区（512B），该扇区又称为主引导扇区（MBR扇区），除引导记录外，还包含了整个硬盘的分区表记录。
(2)备份MBR扇区数据
①mkdir /backup
②mount /dev/sdb1 /backup
③dd if=/dev/sda of=/backup/sda.mbr.bak bs=512 count=1
(3)模拟MBR扇区故障
①dd if=/dev/zero of=/dev/sda bs=512 count=1
(4)恢复MBR扇区
①使用其他硬盘中的操作系统进行引导，或安装光盘进行引导
②安装向导界面选择Rescue installed system，进入急救模式
③依次按Enter确认，配置网卡时一般选择NO，然后系统会自动查找硬盘中的Linux分区并尝试将其挂载到/mnt/sysimage目录（选择continue继续）
④出现rescue窗口选择OK
⑤最后选择shell start-shell单击OK，进入bash-41#的bash shell环境
⑥mkdir /tmpdir
⑦mount /dev/sdb1 /tmpdir
⑧dd if=/tmpdir/sda.mbr.bak of=/dev/sda