深入理解linux文件系统与日志分析

目录

前言

一、block与inode

    1、block和inode概述

    2、inode的内容

    3、文件存储小结

    4、由于inode号码与文件名分离，导致Linux系统具备以下几种特有的现象:

二、链接文件

    1、硬链接

    2、软链接

三、inode节点耗尽故障处理过程

四、恢复误删除的文件ext

    1、编译安装extundelete

    2、模拟删除并执行恢复操作

五、恢复误删除的文件xfs

    1、xfsdump的命令格式为:

    2、xfsdump命令常用的选项:

    3、xfsdump使用限制:

    4、模拟删除并执行恢复操作

六、分析日志文件

    1、日志的功能

    2、日志文件的分类

    3、常见的一些日志文件:

    4、内核及系统日志

    5、用户日志分析

    6、日志管理策略

总结

---

前言

      在处理Linux系统出现的各种故障时，故障的症状是最易发现的，而导致这一故障的原因才是最终排除故障的关键。熟悉linux系统中常见的日志文件，了解一般故障的分析与解决办法，将有助于管理员快速定位故障点，从而“对症下药”，及时解决各种系统问题。

一、block与inode

    1、block和inode概述

      文件数据包括元信息与实际数据；
      文件存储在硬盘上,硬盘最小存储单位是"扇区”，每个扇区存储512字节。

      1-1、block（块）

           连续的八个扇区组成一个block，一块是4k大小，是文件存取的最小单位；操作系统读取硬盘的时候，是一次性连续读取多个扇区，即一个块一个块的读取。

       1-2、inode

           中文译名为“索引节点”，也叫i节点用于存储文件元信息；

           文件数据包括实际数据与元信息(类似文件属性)。文件数据存储在"块"中，存储文件元信息             (比如文件的创建者、创建日期、文件大小文件权限等)的区域就叫做inode。

       因此，一个文件必须占用一个inode，并且至少占用一个block。inode不包含文件名。文件名

是存放在目录当中的。Linux系统中一切皆文件，因此目录也是一种文件。每个inode都有一个号

码，操作系统用inode号码来识别不同的文件。Linux系统内部不使用文件名，而使用inodie号码来

识别文件。对于系统来说，文件名只是inode号码便于识别的别称，文件名和inode号码是一一对应

关系，每个inode号码对应一个文件名。

       所以，当用户在Linux系统中试图访问一个文件时，系统会先根据文件名去查找它对应的inode

号码:通过inode号码，获取inode信息;根据inode信息，看该用户是否具有访问这个文件的权限;如果

有，就指向相对应的数据block，并读取数据。

     2、inode的内容

       2-1、inode包含文件的元信息

            文件的字节数；文件拥有者的User lD；文件的Group lD；文件的读、写、执行权限文件                的时间戳。

       2-2、查看文件名对应的inode号码有两种方式:

            ls -i文件名  、      stat文件名

       2-3、inode的大小与总数

            inode也会消耗硬盘空间，所以格式化的时候，操作系统自动将硬盘分成两个区域。一个是

            数据区，存放文件数据:另一个是inode区，存放inode所包含的信息。每个inode的大小，

           一般是128字节或256字节。

           通常情况下不需要关注单个inode的大小，而是需要重点关注inode 的总数。inode的总数在

           格式化时就给定了，执行"df-i"命令即可查看每个硬盘分区对应的的inode总数和已经使用的 

            inode数量。

       2-4、Linux系统文件三个主要的时间属性

            octime(change time)：最后一次改变文件或目录（属性)的时间

            atime(access time)：最后一次访问文件或目录的时间

            omtime(modify time)：最后一次修改文件或目录(内容)的时间

   3、文件存储小结

     3-1、硬盘分区后的结构

     3-2、访问文件的简单流程

    4、由于inode号码与文件名分离，导致Linux系统具备以下几种特           有的现象:

        文件名包含特殊字符，可能无法正常删除。这时直接删除inoda，能够起到删除文件的作用；

        find ./ -inum 52305140 -exec rm -i {} \;
        find ./ -inum 50464299 -delete

       移动文件或重命名文件，只是改变文件名，不影响inode 号码;

      打开一个文件以后，系统就以inode号码来识别这个文件，不再考虑文件名。

      文件数据被修改保存后，会生成一个新的inode号码。

二、链接文件

    为文件或目录建立链接文件

    链接文件分类

	软链接（符号链接）	硬链接
删除原始文件后	失效	任旧可用
使用范围	适用于文件或目录	只可用于文件
保存位置	与原始文件可以位于不同的文件系统中	必须与原始文件在同一个文件系统(如—个Linux分区)内

    1、硬链接

      ln 源文件 目标位置

    2、软链接

      ln [-s] 源文件或目录... 链接文件或目标位置

三、inode节点耗尽故障处理过程

#使用fdisk创建分区/dev/sdb1， 分区大小30M即可
fdisk /dev/sdb
mkfs.ext3 /dev/sdb1
mkdir /test
mount /dev/sdb1 /test
df -i
#模拟inode节点耗尽故障
for ((i=1; i<=5680; i++)) ;
>do 
>touch /test/file$i;
>done 
touch {1..5680}.txt 
df -i
df -hT
#删除文件恢复
rm -rf /test/*
df -i
df -hT

解决方案：找出该分区中占用大量i节点的细小文件，并进行转移或者删除即可。

四、恢复误删除的文件ext

    在linux系统运维工作中，经常会遇到因操作不慎、操作错误等导致文件数据丢失的情况，尤其对于客户企业中的一些新手。当然，这里所指的是彻底删除，即已经不能通过“回收站”找回的情况下，比如使用“rm -rf”来删除数据。针对Linux下的EXT文件系统，可用的恢复工具extundelete是一个开源的Linux数据恢复工具，支持ext3、ext4文件系统。

    1、编译安装extundelete

      编译安装之前需要先安装两个依赖包e2fsprogs-libs-1.41.12-18.e16.x86_64.rpm和e2fsprogs-devel-1.41.12-18.e16.x86_64.rpm,这两个包在系统安装光盘的/Package目录下就有，使用rpm命令将其安装。e2fsprogs-devel-1.41.12-18.e16.x86_64.rpm安装依赖于libcom_err-devel包。

      安装完依赖包之后，即可将提前上传的extundelete软件包解压、配置、编译、安装。

    2、模拟删除并执行恢复操作

#使用fdisk创建分区/dev/sdc1， 格式化ext3文件系统
fdisk /dev/sdc
partprobe /dev/sdc
mkfs.ext3 /dev/sdc1
mkdir /test
mount /dev/sdc1/test
df -hT
#安装依赖包
yum -y install e2fsprogs-devel e2fsprogs-libs gcc gcc-c++ 
#编译安装extundelete
cd /test
wget http://nchc.dl.sourceforge.net/project/extundelete/extundelete/0.2.4/extundelete-0.2.4.tar.bz2
tar jxvf extundelete-0.2.4.tar.bz2
cd extundelete-0.2.4/
./configure --prefix=/usr/1ocal/extundelete && make && make install
ln -s /usr/local/extundelete/bin/* /usr/bin/
#模拟删除并执行恢复操作
cd /test
echo a>a
echo a>b
echo a>c
echo a>d
ls
extundelete /dev/sdc1 --inode 2   #查看文件系统/dev/sdc1下存在哪些文件，i节点是从2开始的，2代表该文件系统最开始的目录。


rm -rf a b
extundelete /dev/sdc1 --inode 2
cd ~
umount /test
extundelete /dev/sdc1 --restore-all #恢复/dev/sdc1 文件系统下的所有内容
#在当前目录下会出现一个RECOVERED_FILES/目录，里面保存了已经恢复的文件
ls RECOVERED FILES/

五、恢复误删除的文件xfs

    CentOs 7系统默认采用xfs类型的文件，xfs类型的文件可使用xfsdump 与xfsrestore 工具进行备份恢复。
xfsdump 的备份级别有两种: 0表示完全备份; 1-9表示增量备份。xfsdump的备份级别默认为0。

   1、xfsdump的命令格式为:

     xfsdump -f  备份存放位置    要备份的路径或设备文件

    2、xfsdump命令常用的选项:

-f	指定备份文件目录
-L	指定标签session label
-M	指定设备标签media labe........
-s	备份单个文件，-s后面不能直接跟路径

   3、xfsdump使用限制:

     只能备份已挂载的文件系统；
     必须使用root的权限才能操作；
     只能备份XFS文件系统；
     备份后的数据只能让xfsrestore解析；
    不能备份两个具有相同UUID的文件系统(可用blkid命令查看)；

   4、模拟删除并执行恢复操作

#使用fdisk创建分区/dev/sdb1，格式化xfs文件系统
fdisk /dev/sdb
partprobe /dev/sdb
mkfs.xfs /dev/sdb1                                     #    mkfs.xfs [-f] /dev/sdb1
mkdir /data
mount /dev/sdb1 /data/
cd /data
cp /etc/passwd ./
mkdir test
touch test/a


#使用xfsdump命令备份整个分区
rpm -qa | grep xfsdump
yum install -y xfsdump
xfsdump -f /opt/dump_sdb1 /dev/sdb1 [-L dump_sdb1 -M sdb1]
xfsdump -f /opt/dump_sdb /dev/sdb1 -L dump_sdb -M sdb1
#模拟数据丢失并使用xfsrestore 命令恢复文件
cd /data/
rm -rf ./*
ls
xfsrestore -f /opt/dump_sdb1 /data/

六、分析日志文件

    内核及系统日志由系统服务rsyslog 统一管理，主配置文件为/etc/rsyslog.conf

    Linux操作系统本身和大部分服务器程序的日志文件都默认放在目录/var/1og/下。

    1、日志的功能

      用于记录系统、程序运行中发生的各种事件；

      通过阅读日志，有助于诊断和解决系统故障

    2、日志文件的分类

      内核及系统日志
          由系统服务rsyslog统一进行管理，日志格式基本相似

      用户日志
          记录系统用户登录及退出系统的相关信息

      程序日志
         由各种应用程序独立管理的日志文件，,记录格式不统一

    3、常见的一些日志文件:

      #内核及公共消息日志:
        /var/log/messages: 记录Linux内核消息及各种应用程序的公共日志信息，包括启动、IO错             误、网络错误、程序故障等。对于未使用独立日志文件的应用程序或服务，一般都可以从该           日志文件中获得相关的事件记录信息

     #计划任务日志:
       /var/1og/cron: 记录crond计划任务产生的事件信息

     #系统引导日志:
       /var/log/dmesg: 记录Linux系统在引导过程中的各种事件信息。

    #邮件系统日志:
       /var/log/maillog: 记录进入或发出系统的电子邮件活动。

    #用户登录日志:
      /var/log/secure: 记录用户认证相关的安全事件信息。
      /var/log/lastlog: 记录每个用户最近的登录事件。二进制格式
     /var/1og/wtmp: 记录每个用户登录、注销及系统启动和停机事件。二进制格式
     /var/run/btmp: 记录失败的、错误的登录尝试及验证事件。二进制格式

   4、内核及系统日志

     4-1、由系统服务rsyslog统一管理
          软件包: rsyslog-7.4.7-16.el7.x86_64

           主要程序:lsbin/rsyslogd

           配置文件: letc/rsyslog.conf

     4-2、日志消息的优先级别（数字等级越小，优先级越高，消息越重要) ）

级号	消息	级别	说明
0	EMERG	紧急	会导致主机系统不可用的情况
1	ALERT	警告	必须马上采取措施解决的问题
2	CRIT	严重	比较严重的情况
3	ERR	错误	运行出现错误
4	WARNING	提醒	可能会影响系统功能的事件
5	NOTICE	注意	不会影响系统但值得注意
6	INFO	信息	一般信息
7	DEBUG	调试	程序或系统调试信息等

   5、用户日志分析

     保存了用户登录、退出系统等相关信息

        /var/log/lastlog:最近的用户登录事件

        /var/log/wtmp:用户登录、注销及系统开、关机事件

        /var/run/utmp:当前登录的每个用户的详细信息

       /var/log/secure:与用户验证相关的安全性事件

     分析工具
         users . who、w、last、lastb

users	命令只是简单地输出当前登录的用户名称，每个显示的用户名对应一个登录会话。如果一个用户有不止一个登录会话，那他的用户名将显示与其相同的次数。
who	命令用于报告当前登录到系统中的每个用户的信息。使用该命令，系统管理员可以查看当前系统存在哪些不合法用户，从而对其进行审计和处理。who 的默认输出包括用户名、终端类型、登录日期及远程主机。
w	命令用于显示当前系统中的每个用户及其所运行的进程信息，比 users、who 命令的输出内容要丰富一些。
last	命令用于查询成功登录到系统的用户记录，最近的登录情况将显示在最前面。通过last 命令可以及时掌握 Linux 主机的登录情况，若发现未经授权的用户登录过，则表示当前主机可能已被入侵。
lastb	命令用于查询登录失败的用户记录，如登录的用户名错误、密码不正确等情况都将记录在案。登录失败的情况属于安全事件，因为这表示可能有人在尝试猜解你的密码。除了使用 lastb 命令查看以外，也可以直接从安全日志文件/var/log/secure 中获得相关信息。

   6、日志管理策略

     及时作好备份和归档；

     延长日志保存期限；

     控制日志访问权限；

       日志中可能会包含各类敏感信息，如账户、口令等

    集中管理日志；
        将服务器的日志文件发到统一的日志文件服务器

        便于日志信息的统一收集、整理和分析

        杜绝日志信息的意外丢失、恶意篡改或删除

总结

      由于故障现象的不确定性，在进行一些模拟故障的操作之前，一定要提前做好数据备份。对于日志文件也要定期并随机地检查，注意各种可疑状况。