Linux文件系统与日志分析

芒地狠

已于 2022-07-17 10:42:44 修改

阅读量213

点赞数 1

文章标签： linux 运维服务器 mysql

于 2022-07-15 09:35:39 首次发布

本文链接：https://blog.csdn.net/m0_71521555/article/details/125790489

版权

本文详细介绍了Linux文件系统中的inode与block概念，包括inode的元信息、时间属性、号码值以及inode在文件删除中的作用。同时，讨论了磁盘空间满但df-hT显示未满的情况，可能是inode已满导致。此外，还阐述了日志文件的重要性，列举了常见的日志文件、日志级别、日志分析工具，并提出了日志管理的最佳实践。

摘要由CSDN通过智能技术生成

3、当创建一个文件时，提示磁盘满了，然后使用df -hT 命令查看并没有满。这是什么原因？☆

一、inode与block ☆

1、inode与block概述

文件数据包括：元信息与实际数据
元信息：文件的属性、文件大小、权限、时间戳
实际数据：文件的内容
文件存储在硬盘上，硬盘最小存储单位是“扇区”，每个扇区存储512字节

block（块）
① 连续的八个扇区组成一个block（一个block为4K）
② 是文件存取的最小单位
inode（索引节点）
① 中文名“索引节点”，也叫i节点
② 用于存储文件源信息

2、inode的内容

① 每个inode都有一个号码，操作系统用inode号码识别不同的文件
② Linux系统内部不使用文件名，而使用inode号码来识别文件
③对于用户，文件名只是inode号码便于识别的别称
④ 每个inode节点的大小，一般是128字节或256字节。inode节点的总数，在格式化时就给定了，一般是每1KB或每2KB就设置一个inode

2.1、inode包含文件的元信息

文件的字节数
文件的拥有者的UserID
文件的GroupID
文件的读、写、执行权限
文件的时间戳
不包含文件名
用 stat 命令可以查看某个文件的 inode信息。或者使用 ll -ih 查看大小和inode号

2.2、文件的三个时间属性

atime （access time） #最后一次访问文件或目录的时间
mtime （modify time） #最后一次修改文件或目录（内容）的时间
ctime （change time） #最后一次改变文件或目录（属性）的时间，如：文件大小、权限。命令如：chmod 、 chown

2.3 inode号码值

用户通过文件名打开文件的过程
①系统找到这个文件名对应的inode号码
②通过inode号码，获取inode信息
③根据inode信息，找到文件数据所在的block，读出数据
④inode也会消耗硬盘空间，在格式化的时候，操作系统自动将硬盘分成两个区域，一个数据区，存放文件数据，另一个是inode区，存放inode所包含的信息，每个inode的大小，一般是128字节或256字节。
⑤通常情况下不需要关注单个inode的大小，而是重点关注inode总数， inode总数在格式化的时候基于给定了，执行 “df -i” 命令可以查看每个硬盘分区对应的inode总数和已经使用的inode数量。

⑥ 软链接的inode与原文件不一样，硬链接的inode与原文件一样

2.4、inode特有现象

由于inode号码与文件名分离，导致Linux系统具备以下几种特有的现象:
1.文件名包含特殊字符，可能无法正常删除。这时直接删除inode，能够起到删除文件的作用;
2.移动文件或重命名文件，只是改变文件名，不影响inode 号码;
3.打开一个文件以后，系统就以inode 号码来识别这个文件，不再考虑文件名。
4.文件数据被修改保存后，会生成一个新的inode 号码

2.5、删除inode

删除inode节点只能使用 fine 组合去删除，不能直接使用 rm 去删除，因为 rm 是以文件名去删除的，就算输入对的一个inode号，rm也会把它们当成一个文件名。

1   find  ./  -inum  34437112 -exec  rm -i {} \;

2   find  ./  -inum   34437111 -delete

☆ 3、当创建一个文件时，提示磁盘满了，然后使用df -hT 命令查看并没有满。这是什么原因？

原因之一 inode节点满了

inode节点满的情况如下：

①挂载并查看还有92M未使用 51197个inode可以使用

②连续创建文件消耗完inode值

③ 创建文件失败并查看原因（inode为0）

二、日志文件分析 ☆

内核及系统日志由系统服务rsyslog 统一管理，主配置文件为/etc/rsyslog.conf
Linux操作系统本身和大部分服务器程序的日志文件都默认放在目录/var/1og/下。

1、常见的一些日志文件:

#内核及公共消息日志:
/var/log/messages: 记录Linux内核消息及各种应用程序的公共日志信息，包括启动、IO错误、网络错误、程序故障等。
对于未使用独立日志文件的应用程序或服务，一般都可以从该日志文件中获得相关的事件记录信息。
#计划任务日志:
/var/log/cron: 记录crond计划任务产生的事件信息。
#系统引导日志:
/var/log/dmesg: 记录Linux系统在引导过程中的各种事件信息。
#邮件系统日志:
/var/log/maillog: 记录进入或发出系统的电子邮件活动。

#用户登录日志:
/var/log/secure: 记录用户认证相关的安全事件信息。
/var/log/lastlog: 记录每个用户最近的登录事件。二进制格式
/var/1og/wtmp: 记录每个用户登录、注销及系统启动和停机事件。二进制格式
/var/run/btmp: 记录失败的、错误的登录尝试及验证事件。二进制格式

2、日志的功能

①用于记录系统、程序运行中发生的各种事件（用来追责）
②通过阅读日志，有助于诊断和解决系统故障
③日志核心功能：用于数据恢复

3、日志消息的优先级别

数字等级越小，优先级越高、消息越重要。

级号	消息	级别	说明
0	EMERG（emerg）	紧急	会导致主机系统不可用
1	ALERT（alert）	警告	必须马上采取措施解决的问题
2	CRIT（crit）	严重	比较严重的情况
3	ERR（err）	错误	运行出现错误
4	WARNING（warning）	提醒	可能会影响系统功能的事件
5	NOTICE（notice）	注意	不会影响系统但值得注意
6	INFO（info）	信息	一般信息
7	DEBUG（debug）	调试	程序或系统调试信息等

###一般来说服务越重要给的等级反而不会太高，因为当它出错时就不会只是简单的紧急报错就过去，我们需要看到详细的报错信息，并且去修复错误

4、日志记录的一般格式

5、用户日志的分析 ☆☆☆

保存了用户登录、退出系统等相关信息
/var/log/lastlog：最近的用户登录时间
/var/log/wtmp：用户登录、注销及系统开、关机事件
/var/run/utmp：当前登录的每个用户的详细信息
/var/log/secure：与用户验证相关的安全性时间

分析工具

① users：命令只是简单地输出当前登录的用户名称，每个显示的用户名对应一个登录会话，如果一个用户有不止一个登录会话，那他的用户名将显示与其相同的次数

② who：命令用于报告当前登录到系统中的每个用户的信息。使用该命令，系统管理员可以查看当前系统存在哪些不合法用户，从而对其进行审计和处理，who的默认输出包括用户名、终端类型、登录日期及远程主机

③ w 命令用于显示当前系统中的每个用户及其所运行的进程信息，比users、who输出的内容要丰富一些④ last ：命令用于查看成功登录到系统的用户记录，最近的登录情况将显示在最前面，通过last命令可以掌握 linux 主机的登录情况，若发现未经授权的用户登录过，则表示当前主机可能已被入侵