Linux文件系统和日志分析
inode和block概述
文件和扇区
文件是存储在硬盘上的,硬盘的最小存储单位叫做“扇区”(sector),每个扇区存储512字节
块(block)
一般连续八个扇区组成一个“块”(block),一个块是4K大小,是文件存取的最小单位
操作系统读取硬盘的时候,是一次性读取多个扇区,即一个块一个块的读取的
文件数据
文件数据包括实际数据与元数据(类似文件属性)
文件数据存储在“块”中,存储文件元信息(比如文件的创建者、创建日期、文件大小、文件权限等)的区域就叫做inode
inode(索引节点)
一个文件必须占用一个 inode,并且至少占用一个 block
inode不包含文件名。文件名是存放在目录当中的。Linux 系统中一切皆文件,因此目录也是一种文件
每个inode都有一个号码,操作系统用inode号码来识别不同的文件。Linux系统内部不使用文件名,而使用inode号码来识别文件。对于系统来说,文件名只是inode号码便于识别的别称,文件名和inode号码是一一对应关系,每个inode号码对应一个文件名
inode的内容
inode包含文件的元信息
文件的字节数
文件拥有者的User ID
文件的Group ID
文件的读、写、执行权限
文件的时间戳
用stat命令可以查看某个文件的inode信息
stat aa.txt
Linux系统文件三个主要时间属性
ctime(change time) #最后一次改变文件或目录(属性)的时间
atime(access time) #最后一次访问文件或目录的时间
mtime(modify time) #最后一次修改文件或目录(内容)的时间
目录文件的结构
目录也是一种文件
目录文件的结构
每个inode都有一个号码,操作系统用inode号码来识别不同的文件
Linux系统内部不使用文件名,而使用inode号码来识别文件
对于用户,文件名只是inode号码便于识别的别称
inode的号码
是用户通过文件名打开文件时,系统内部的过程
系统找到这个文件名对应的inode号码
通过inode号码,获取inode信息
根据inode信息,找到文件数据所在的block,读出数据
查看inode号码的方法
ls -i命令
查看文件名对应的inode号码
ls -i aa.txt
stat命令
查看文件inode信息中的inode号码
stat aa.txt
inode的大小
inode也会消耗硬盘空间
每个inode的大小一般是128字节或256字节
格式化文件系统是确定了inode的总数
使用df -i命令可以查看每个硬盘分区的inode总数和已经使用的数量
inode的特殊作用
由于 inode 号码与文件名分离,导致Linux 系统具备以下几种特有的现象:
*文件名包含特殊字符,可能无法正常删除。这时直接删除 inode,能够起到删除文件的作用;
移动文件或重命名文件,只是改变文件名,不影响 inode 号码;
打开一个文件以后,系统就以 inode 号码来识别这个文件,不再考虑文件名
文件数据被修改保存后,会生成一个新的 inode 号码*
通过删除inode号删除文件
find ./ -inum 52305140 -exec rm -i {} \;
find ./ -inum 50464299 -delete
模拟inode节点耗尽故障处理
主要的几个步骤
使用fdisk创建分区/dev/sdb1,分区大小30M即可
fdisk /dev/sdb
mkfs.ext4 /dev/sdb1 #这边我们用ext4类型的文件系统进行模拟
mkdir /test
mount /dev/sdb1 /mnt
df -i
模拟inode节点耗尽故障
for ((i=1; i<=7680; i++));do touch /test/file$i;done
或者 touch {1..7680}.txt
df -i
df -hT
删除文件恢复
rm -rf /test/*
df -i
df -hT
EXT类型文件恢复
extundelete 是一个开源的 Linux 数据恢复工具,支持 ext3、ext4文件系统。(ext4只能在centos6版本恢复)
使用fdisk创建分区/dev/sdb1,格式化ext3文件系统
fdisk /dev/sdb
mkfs.ext3 /dev/sdb1
mkdir /test
mount /dev/sdb1 /test
df -hT
安装依赖包
yum -y install e2fsprogs-devel e2fsprogs-libs
编译安装 extundelete
cd /test 切换到test目录中
wget http://nchc.dl.sourceforge.net/project/extundelete/extundelete/0.2.4/extundelete-0.2.4.tar.bz2 #官网下载源
tar jxvf extundelete-0.2.4.tar.bz2 #解压tar包
cd extundelete-0.2.4/ #切换到解压出来的目录中
./configure --prefix=/usr/local/extundelete && make && make install #指定安装目录,开始安装
ln -s /usr/local/extundelete/bin/* /usr/bin/ #创建软连接,让系统识别命令
模拟删除并执行恢复操作
cd /test
echo a>a
echo a>b
echo a>c
echo a>d
ls
extundelete /dev/sdb1 --inode 2 #查看文件系统/dev/sdb1下存在哪些文件,i 节点是从 2 开始的,2 代表该文件系统最开始的目录。
rm -rf a b
extundelete /dev/sdb1 --inode 2
cd ~
umount /test
extundelete /dev/sdb1 --restore-all #恢复/dev/sdb1 文件系统下的所有内容
#在当前目录下会出现一个RECOVERED_FILES/目录,里面保存了已经恢复的文件
ls RECOVERED_FILES/
xfs 类型文件备份和恢复
CentOS 7 系统默认采用 xfs类型的文件,xfs 类型的文件可使用 xfsdump 与 xfsrestore 工具进行备份恢复
xfsdump 的备份级别有两种:0 表示完全备份;1-9 表示增量备份。xfsdump 的备份级别默认为 0
xfsdump 的命令格式
xfsdump -f 备份存放位置 要备份的路径或设备文件
xfsdump使用限制
1.只能备份已挂载的文件系统
2.必须使用root的权限才能操作
3.只能备份XFS文件系统
4.备份后的数据只能让xfsrestore解析
5.不能备份两个具有相同UUID的文件系统(可用 blkid命令查看)
xfsdump命令常用的选项
-f 指定备份文件目录
-L 指定标签 session label
-M 指定设备标签 media label
-s 备份单个文件,-s 后面不能直接跟路径
xfs操作的具体步骤
使用fdisk创建分区/dev/sdb1,格式化xfs文件系统
fdisk /dev/sdb
partprobe /dev/sdb
mkfs.xfs [-f] /dev/sdb1
mkdir /data
mount /dev/sdb1 /data/
cd /data
cp /etc/passwd ./
mkdir test
touch test/a
使用 xfsdump 命令备份整个分区
rpm -qa | grep xfsdump
yum install -y xfsdump
xfsdump -f /opt/dump_sdb1 /dev/sdb1 [-L dump_sdb1 -M sdb1]
模拟数据丢失并使用 xfsrestore 命令恢复文件
cd /data/
rm -rf ./*
ls
xfsrestore -f /opt/dump_sdb1 /data/
系统日志
日志文件
日志的功能
用于记录系统、程序运行中发生的各种事件
通过阅读日志,有助于诊断和解决系统故障
日志的分类
内核及系统日志
由系统服务 rsyslog 统一进行管理,日志格式基本相似
主配置文件 /etc/rsyslog.conf
用户日志
记录系统用户登录及退出系统的相关信息
主配置文件/var/log/secure
程序日志
由各种应用程序独立管理的日志文件,记录格式不统一
系统日志默认保存位置
系统日志文件都默认放在目录/var/log/下
常见的一些日志文件
内核及公共消息日志
/var/log/messages:记录Linux内核消息及各种应用程序的公共日志信息,包括启动、To错误、网络错误、程序故障等。
对于未使用独立日志文件的应用程序或服务,一般都可以从该日志文件中获得相关的事件记录信息。
计划任务日志
/ var/ log / cron:记录crond计划任务产生的事件信息。
系统引导日志
/var/log/dmesg:记录Linux系统在引导过程中的各种事件信息。
邮件系统日志
/var/ log/maillog:记录进入或发出系统的电子邮件活动。
用户登录日志
/var/log/security:记录用户认证相关的安全事件信息
/var/log/lastlog:记录每个用户最近的登录事件;二进制格式
/var/log/wtmp:记录每个用户登录、注销及系统启动和停机事件。二进制格式
/var/run/btmp:记录失败的、错误的登录尝试及验证事件。二进制格式
内核及系统日志
由系统服务 rsyslog 统一进行管理
软件包:rsyslog-7.4.7-16.el7.x86_64
主要程序:/sbin/rsyslogd.
配置文件:/etc/rsyslog.cont
查看rsyslog.conf配置文件
vim /etc/rsyslog.conf #查看rsyslog.conf配置文件
*.info;mail.none;authpriv.none;cron.none /var/log/messages
*.info #表示info等级及以上的所有等级的信息都写到对应的日志文件里
mail.none #表示某事件的信息不写到日志文件里
日志消息的级别
级号 | 优先级级别 | 说明 |
---|---|---|
0 | EMERG(紧急) | 会导致主机系统不可用的情况 |
1 | ALERT(警告) | 必须马上采取措施解决的问题 |
2 | CRIT(严重) | 比较严重的情况 |
3 | ERR(错误) | 运行出现错误 |
4 | WARNING(提醒) | 可能影响系统功能,需要提醒用户的重要事件 |
– | – | |
5 | NOTICE(注意) | 不会影响正常功能,但是需要注意的事件 |
6 | INFO(信息) | 一般信息 |
7 | DEBUG(调试) | 程序或系统调试信息等 |
日志记录的一般格式
绿框分别对应时间标签、主机名、子系统名、消息字段
用户日志分析
保存了用户登录、退出系统的相关信息
/var/log/lastlog:最近的用户登录事件
/var/log/wtmp:用户登录、注销及系统开、关机事件
/var/run/utmp:当前登录的每个用户的详细信息
/var/log/secure:与用户验证相关的安全性事件
分析工具
users、 who、w 、last、lastb
last命令用于查询成功登录到系统的用户记录
lastb命令用于查询登录失败的用户记录
程序日志分析
由相应的应用程序独立进行管理
Web服务:Nar/log/httpd/
access_log //记录客户访问事件
error_log //记录错误事件
代理服务:/var/log/squid/
access.log、cache.log
分析工具
文本查看、grep过滤检索、Webmin管理套件中查看
awk、sed等文本过滤、格式化编辑工具
Webalizer、Awstats等专用日志分析工具
日志管理策略
及时作好备份和归档
延长日志保存期限
控制日志访问权限
日志中可能会包含各类敏感信息,如账户、口令等
集中管理日志
将服务器的日志文件发到统一的日志文件服务器
便于日志信息的统一收集、整理和分析
杜绝日志信息的意外丢失、恶意篡改或删除