目录
前言
在Linux当中读取数据时,我们要知道Linux是怎么读取数据的,读取的过程是怎么样的,怎么样来查看日志分析来排除故障。
一、inode与block
1.inode和block的概述
1.文件数据包括元信息和实际数据
2.文件储存在硬盘上,硬盘上最小存储单位是“扇区”,每个扇区存储512字节
3.block(块)-连续的八个扇区组成一个block,是文件存取最小单位
4.inode(索引节点)-也叫i节点,用于存储文件元信息
5.操作系统读取硬盘的时候,是一次性连续读取多个扇区,即一个块一个块的读取的
2.inode包含文件的元信息(不包含文件名)
1.文件的创建者
2.文件字节数
3.文件权限
4.文件创建日期等
3.inode内容
1.每个inode都有一个号码,操作系统用inode号码来识别不同的文件
2.Linux系统内部不使用文件名,而使用inode号码来识别文件
3.对于系统来说,文件名只是inode号码便于识别的别称
4.文件名和inode号码是一一对应关系,每个inode号码对应一个文件名
4.查看inode的节点号和大小
1.ls -i 文件名 (仅显示文件名和大小)
2.stat 文件名 (更详细一些)
3.inode也会消耗硬盘空间(每个inode大小一般是128字节或256字节)
4.格式化文件系统时确定了inode的总数
5.使用df -i、df-iTh命令即可查看每个硬盘分区对应的总inode数和占用的inode数
5.用户通过文件名打开文件时,系统内部的过程
1.系统会先根据文件名去查找它对应的inode号码
2.通过inode号码,获取inode信息
3.根据inode信息,看该用户是否具有访问这个文件的权限,如果没有就拒绝访问,如果有就指向相对应的数据block,并读取数据
6.Linux系统文件有三个主要的时间属性
1.ctime(change time)-最后改变文件或目录的(属性)的时间
2.atime(access time)-最后一次访问文件或目录的时间
3.mtime(modify time)-最后一次修改文件或目录(内容)的时间
7.inode的特殊作用
1.文件名包含特殊字符,可能无法正常删除。这时直接删除inode,能够起到删除文件的作用。
2.移动文件或重命名文件,只是改变文件名,不影响inode 号码。
3.打开一个文件以后,系统就以inode 号码来识别这个文件,不再考虑文件名。
4.文件数据被修改保存后,会生成一个新的inode 号码。
二、inode节点耗尽故障处理
每个文件都会有对应一个inode号码,但这样就会出现inode号已经用光硬盘还未存满的情况,一旦发生这种情况后,我们就无法再在硬盘上创建新文件了,下面通过一个案例来模拟Linux文件系统中文件数量耗尽的故障。
三、恢复误删除的文件
1.EXT类型文件恢复
extundelete 是一一个开源的Linux 数据恢复工具,支持ext3、 ext4文件系统。 ( ext4只能在centos6版本恢复)
模拟删除并执行恢复操作
2.XFS类型文件备份和恢复
CentOs 7系统默认采用xfs类型的文件,xfs类型的文件可使用xfsdump 与xfsrestore 工具进行备份恢复。
xfsdump 的备份级别有两种: 0表示完全备份; 1-9表示增量备份。xfsdump的备份级别默认为0。
xfsdump使用限制:
1.只能备份已挂载的文件系统
2.必须使用root的权限才能操作
3.只能备份XFS文件系统
4.备份后的数据只能让xfsrestore解析
5.不能备份两个具有相同UUID的文件系统(可用blkid命令查看)
xfsdump命令常用的选项:
| xfsdump -f | 指定备份文件目录 |
| xfsdump -L | 指定标签session label |
| xfsdump -M | 指定设备标签media labe… |
| xfsdump -s | 备份单个文件,-s后面不能直接跟路径 |
模拟删除并执行恢复操作
四、分析日志文件
1.日志的功能
1.用于记录系统、程序运行中发生的各种事件
2.通过阅读日志,有助于诊断和解决系统故障
2.常见的一些日志文件
1.内核及公共消息日志:
/var/log/messages: 记录Linux内核消息及各种应用程序的公共日志信息,包括启动、IO错误、网络错误、程序故障等。
2.计划任务日志:
/var/log/cron: 记录crond计划任务产生的事件信息。
3.系统引导日志:
/var/log/dmesg: 记录Linux系统在引导过程中的各种事件信息。
4.邮件系统日志:
/var/log/maillog: 记录进入或发出系统的电子邮件活动。
5.用户登录日志:
/var/log/secure: 记录用户认证相关的安全事件信息。
/var/log/lastlog: 记录每个用户最近的登录事件。二进制格式
/var/log/wtmp: 记录每个用户登录、注销及系统启动和停机事件。二进制格式
/var/run/btmp: 记录失败的、错误的登录尝试及验证事件。二进制格式
3.内核及系统日志
由系统服务 rsyslog 统一管理
软件包:rsyslog-7.4.7-16.el7.x86_ 64
配置文件: /etc/rsyslog.conf
主要程序: /sbin/rsyslogd
4.分析工具
文本查看、grep过滤检索、Webmin管理套件中查看
awk、sed等文本过滤,格式化编辑工具
Webalizer、Awstats等专用日志分析工具
5.Linux系统内核日志消息的优先级别
| 优先级别 | 说明 |
|---|---|
| 0EMERG(紧急) | 会导致主机系统不可用的情况 |
| 1ALERT(警告) | 必须马上采取措施解决的问题 |
| 2CRIT (严重) | 比较严重的情况 |
| 3ERR (错误) | 运行出现错误 |
| 4WARNING (提醒) | 可能影响系统功能,需要提醒用户的重要事件 |
| 5NOTICE (注意) | 不会影响正常功能,但是需要注意的事件 |
| 6INFO(信息) | 一般信息 |
| 7DEBUG (调试) | 程序或系统调试信息等 |
6.详细日志分析命令
| users | 命令只是简单地输出当前登录的用户名称,每个显示的用户名对应一个登录会话。如果一个用户有不止一个登录会话,那他的用户名将显示与其相同的次数 |
| who | 命令用于报告当前登录到系统中的每个用户的信息。使用该命令,系统管理员可以查看当前系统存在哪些不合法用户,从而对其进行审计和处理。who 的默认输出包括用户名、终端类型、登录日期及远程主机 |
| w | 命令用于显示当前系统中的每个用户及其所运行的进程信息,比 users、who 命令的输出内容要丰富一些 |
| last | 命令用于查询成功登录到系统的用户记录,最近的登录情况将显示在最前面。通过last 命令可以及时掌握 Linux 主机的登录情况,若发现未经授权的用户登录过,则表示当前主机可能已被入侵 |
| lastb | 命令用于查询登录失败的用户记录,如登录的用户名错误、密码不正确等情况都将记录在案。登录失败的情况属于安全事件,因为这表示可能有人在尝试猜解你的密码。除了使用 lastb 命令查看以外,也可以直接从安全日志文件/var/log/secure 中获得相关信息 |
7.日志管理策略
1.及时做好备份和归档
2.延长日志保存期限
3.控制日志访问权限
4.集中管理日志
总结
八个扇区组成的一个block(块),大小是4k。
inode是元信息(类似文件属性)是文件数据存储在“块"中,存储文件元信息的区域。
Linux系统中访问文件时,先找到对应的inode号码,通过inode号码获取inode信息,再根据inode信息,找到数据所在的block,读出数据。
日志中可能会有重要的信息,要做好日志的访问权限。
将日志统一收集整理和分析,防止丢失。
扫一扫
209
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
