文章目录
1、indoe与block
- 文件数据包括元信息与实际数据
- 文件存储在硬盘上,硬盘最小储存单位是“扇区”每个扇区存储512字节
- block块
- 连续的八个扇区组成一个block
- 是文件存取的最小的单位
- inode(索引节点)
- 中文译名为“索引节点”。也称为i节点
- 用于存储文件元信息
- 元信息对应着是inode
- 数据对应着是block
- 一个文件必须占用一个inode,但是至少占用一个block
- inode值也会占用磁盘的大小
2、inode的内容
1.inode包含文件的元信息
- 文件的字节数
- 文件拥有者的User ID(不包含文件名)
- 文件的Group ID
- 文件的读、写、执行权限
- 文件的时间戳
2.用stat命令可以查看某个文件的inode信息
- 示例:stat 2.txt
-
数据不会显示在终端的目录中,要想显示会有一个链接(硬链接)指向源文件,这个源文件会映射为2.txt
df -i :查看查看每个硬盘分区的inode总数和已经使用的数量
3.Linux系统文件三个主要的时间属性
-
ctime
-
最后一次改变文件或目录的时间
-
atime
-
最后一次访问文件或目录的时间
-
mtime
-
最后一次修改文件或目录的时间
4.目录文件的结构
-
目录也是一种文件
-
目录文件的结构
-
每个inode都有一个号码,操作系统用inode号码来识别不同的文件
-
Linux系统内部不使用文件名,而使用inode号码来识别文件
-
对于用户,文件名只是inode号码便于识别的别称
-
inode号码会随着源文件内容的更改,而发生变化
5.inode的特殊作用
-
由于inode号码与文件名分离,导致一些Unix/Linux系统具有以下的现象
-
当文件包含特殊字符,可能无法正常删除文件,这时直接删除inode,就可以删除文件
#ls -i查看文件的inode值 find ./ -inum inode值 -exec rm -i {} \; #删除inode值一样的文件
-
移动或重命名文件时,只改变文件名,不影响inode号码
-
打开一个文件后,系统通过inode号码来识别该文件,不在考虑文件名
-
-
cp相当于创建一个硬链接
3、恢复XFS类型的文件
-
xfsdump命令格式
xfsdump -f 备份存放位置要备份的路径或设备文件
-
xfsdump备份级别(默认为0)
- 0:完全备份
- 1-9:增量备份
-
xfsdump常用选项:-f、-L、-M、-s
-f:只能配分已挂载的文件系统
-L:指定标签 session label;
-M:指定设备标签 media label;
-s:备份单个文件,-s 后面不能直接跟路径
1.xfsdump使用限制
- 只能备份已挂载的文件系统
- 必须使用root的权限才能操作
- 只能备份XFS文件系统
- 备份后的数据只能让xfsrestore解析
- 不能备份两个具有相同UUID的文件系统(可用blkid命令查看)
2.恢复xfs文件操作
#使用fdisk创建分区/dev/sdb1,格式化xfs文件系统
fdisk /dev/sdb
partprobe /dev/sdb #请求重新加载分区
mkfs.xfs /dev/sdb1 #mkfs.xfs [-f] /dev/sdb1
mkdir /data
mount /dev/sdb1 /data/
cd /data
cp /etc/passwd ./
mkdir test
touch test/a
#使用xfsdump命令备份整个分区
rpm -qa | grep xfsdump
yum install -y xfsdump
xfsdump -f /opt/dump_sdb1 /dev/sdb1 [-L dump_sdb1 -M sdb1]
xfsdump -f /opt/dump_sdb /dev/sdb1 -L dump_sdb -M sdb1
#模拟数据丢失并使用xfsrestore 命令恢复文件
cd /data/
rm -rf ./*
ls
xfsrestore -f /opt/dump_sdb1 /data/
4、日志
-
内核及系统日志由系统服务rsyslog 统一管理,主配置文件为/etc/rsyslog.conf
-
Linux操作系统本身和大部分服务器程序的日志文件都默认放在目录/var/1og/下。
1.常见的一些日志文件
- 内核及公共消息日志路径:/var/log/messages
- 记录Linux内核消息及各种应用程序的公共日志信息,包括启动、IO错误、网络错误、程序故障等
- 对于未使用独立日志文件的应用程序或服务,一般都可以从该日志文件中获得相关的事件记录信息
- 计划任务日志路径:/var/1og/cron
- 记录crond计划任务产生的事件信息
- 系统引导日志路径:/var/log/dmesg
- 记录Linux系统在引导过程中的各种事件信息
- 邮件系统日志路径:/var/log/maillog
- 记录进入或发出系统的电子邮件活动
- 用户登录日志路径
- /var/log/secure: 记录用户认证相关的安全事件信息
- /var/log/lastlog: 记录每个用户最近的登录事件。二进制格式
- /var/1og/wtmp: 记录每个用户登录、注销及系统启动和停机事件。二进制格式
- /var/run/btmp: 记录失败的、错误的登录尝试及验证事件。二进制格式
2.日志消息的级别
Linux系统内核日志消息的优先级别(数字等级越小,优先级越高,消息越重要
级号 | 消息 | 级别 | 说明 |
---|---|---|---|
0 | EMERG(emerg) | 紧急 | 会导致主机系统不可用 |
1 | ALERT(alert) | 警告 | 必须马上采取措施解决的问题 |
2 | CRIT(crit) | 严重 | 比较严重的情况 |
3 | ERR(err) | 错误 | 运行出现错误 |
4 | WARNING(warning) | 提醒 | 可能会影响系统功能的事件 |
5 | NOTICE(notice) | 注意 | 不会影响系统但值得注意 |
6 | INFO(info) | 信息 | 一般信息 |
7 | DEBUG(debug) | 调试 | 程序或系统调试信息等 |
3.公共日志/var/log/messages文件的记录格式
- 时间标签:消息发出的日期和时间。
- 主机名:生成消息的计算机的名称。
- 子系统名称:发出消息的应用程序的名称。
- 消息:消息的具体内容。
4.用户日志分析
1.保存了用户登录、退出系统等相关信息
- /var/log/lastlog:最近的用户登录时间
- /var/log/wtmp:用户登录、注销及系统开、关机事件
- /var/run/utmp:当前登录的每个用户的详细信息
- /var/log/secure:与用户验证相关的安全性时间
2.分析工具
- users、who、w、last、lastb
命令 | 含义 |
---|---|
users | 命令只是简单地输出当前登录的用户名称,每个显示的用户名对应一个登录会话 |
who | 命令用于报告当前登录到系统中的每个用户的信息。使用该命令,系统管理员可以查看当前系统存在哪些不合法用户,从而对其进行审计和处理 |
w | 命令用于显示当前系统中的每个用户及其所运行的进程信息,比 users、who 命令的输出内容要丰富一些 |
last | 命令用于查询成功登录到系统的用户记录,最近的登录情况将显示在最前面 |
lastb | 命令用于查询登录失败的用户记录,如登录的用户名错误、密码不正确等情况都将记录在案 |
5.程序日志分析
1.由相应的引用程序独立进行管理
- Web服务:/var/log/httpd
- access.log 、error_log
- 代理服务:/var/log/squid
- access.log 、 cache.log
- FTP服务:/var/log/xferlog
2.分析工具
- 文件查看、grep过滤检索、Webmin管理套件中查看
- awk、sed等文本过滤、格式化编辑工具
- Weblizer、Awstats等专用日志分析工具
6.日志管理策略
-
及时做好备份和归档
-
延长日志保存期限
-
控制日志访问权限
- 日志中可能包含各类敏感信息,如账户、口令等
-
集中管理日志
- 将服务器的日志发到统一的日志文件服务器
- 便于日志信息的统一收集、整理和分析
- 杜绝日志信息的意外丢失、恶意篡改或删除