目录
3、当创建一个文件时,提示磁盘满了,然后使用df -hT 命令查看并没有满。这是什么原因?☆
一、inode与block ☆
1、inode与block概述
文件数据包括 :元信息 与 实际数据
元信息 : 文件的属性、文件大小、权限、时间戳
实际数据 : 文件的内容
文件存储在硬盘上,硬盘最小存储单位是“扇区”,每个扇区存储512字节
block(块)
① 连续的八个扇区组成一个block(一个block为4K)
② 是文件存取的最小单位
inode(索引节点)
① 中文名“索引节点”,也叫i节点
② 用于存储文件源信息
2、inode的内容
① 每个inode都有一个号码,操作系统用inode号码识别不同的文件
② Linux系统内部不使用文件名,而使用inode号码来识别文件
③对于用户,文件名只是inode号码便于识别的别称
④ 每个inode节点的大小,一般是128字节或256字节。inode节点的总数,在格式化时就给定了,一般是每1KB或每2KB就设置一个inode
2.1、inode包含文件的元信息
文件的字节数
文件的拥有者的UserID
文件的GroupID
文件的读、写、执行权限
文件的时间戳
不包含文件名
用 stat 命令可以查看某个文件的 inode信息。或者使用 ll -ih 查看大小和inode号
2.2、文件的三个时间属性
atime (access time) #最后一次访问文件或目录的时间
mtime (modify time) #最后一次修改文件或目录(内容)的时间
ctime (change time) #最后一次改变文件或目录(属性)的时间,如:文件大小、权限。命令如:chmod 、 chown
2.3 inode号码值
用户通过文件名打开文件的过程
①系统找到这个文件名对应的inode号码
②通过inode号码,获取inode信息
③根据inode信息,找到文件数据所在的block,读出数据
④inode也会消耗硬盘空间,在格式化的时候,操作系统自动将硬盘分成两个区域,一个数据区,存放文件数据,另一个是inode区,存放inode所包含的信息,每个inode的大小,一般是128字节或256字节。
⑤通常情况下不需要关注单个inode的大小,而是重点关注inode总数, inode总数在格式化的时候基于给定了 ,执行 “df -i” 命令可以查看每个硬盘分区对应的inode总数和已经使用的inode数量。
⑥ 软链接的inode与原文件不一样,硬链接的inode与原文件一样
2.4、inode特有现象
由于inode号码与文件名分离,导致Linux系统具备以下几种特有的现象:
1.文件名包含特殊字符,可能无法正常删除。这时直接删除inode,能够起到删除文件的作用;
2.移动文件或重命名文件,只是改变文件名,不影响inode 号码;
3.打开一个文件以后,系统就以inode 号码来识别这个文件,不再考虑文件名。
4.文件数据被修改保存后,会生成一个新的inode 号码
2.5、删除inode
删除inode节点只能使用 fine 组合去删除,不能直接使用 rm 去删除,因为 rm 是以文件名去删除的,就算输入对的一个inode号,rm也会把它们当成一个文件名。
1 find ./ -inum 34437112 -exec rm -i {} \;
2 find ./ -inum 34437111 -delete
☆ 3、当创建一个文件时,提示磁盘满了,然后使用df -hT 命令查看并没有满。这是什么原因?
原因之一 inode节点满了
inode节点满的情况如下:
①挂载并查看还有92M未使用 51197个inode可以使用
②连续创建文件消耗完inode值
③ 创建文件失败并查看原因(inode为0)
二、日志文件分析 ☆
内核及系统日志由系统服务rsyslog 统一管理,主配置文件为/etc/rsyslog.conf
Linux操作系统本身和大部分服务器程序的日志文件都默认放在目录/var/1og/下。
1、常见的一些日志文件:
#内核及公共消息日志:
/var/log/messages: 记录Linux内核消息及各种应用程序的公共日志信息,包括启动、IO错误、网络错误、程序故障等。
对于未使用独立日志文件的应用程序或服务,一般都可以从该日志文件中获得相关的事件记录信息。
#计划任务日志:
/var/log/cron: 记录crond计划任务产生的事件信息。
#系统引导日志:
/var/log/dmesg: 记录Linux系统在引导过程中的各种事件信息。
#邮件系统日志:
/var/log/maillog: 记录进入或发出系统的电子邮件活动。
#用户登录日志:
/var/log/secure: 记录用户认证相关的安全事件信息。
/var/log/lastlog: 记录每个用户最近的登录事件。二进制格式
/var/1og/wtmp: 记录每个用户登录、注销及系统启动和停机事件。二进制格式
/var/run/btmp: 记录失败的、错误的登录尝试及验证事件。二进制格式
2、日志的功能
①用于 记录 系统、程序运行中发生的各种事件(用来追责)
②通过阅读日志,有助于 诊断 和 解决系统故障
③日志核心功能:用于 数据恢复
3、日志消息的优先级别
数字等级越小,优先级越高、消息越重要。
级号 | 消息 | 级别 | 说明 |
0 | EMERG(emerg) | 紧急 | 会导致主机系统不可用 |
1 | ALERT(alert) | 警告 | 必须马上采取措施解决的问题 |
2 | CRIT(crit) | 严重 | 比较严重的情况 |
3 | ERR(err) | 错误 | 运行出现错误 |
4 | WARNING(warning) | 提醒 | 可能会影响系统功能的事件 |
5 | NOTICE(notice) | 注意 | 不会影响系统但值得注意 |
6 | INFO(info) | 信息 | 一般信息 |
7 | DEBUG(debug) | 调试 | 程序或系统调试信息等 |
###一般来说服务越重要给的等级反而不会太高,因为当它出错时就不会只是简单的紧急报错就过去,我们需要看到详细的报错信息,并且去修复错误
4、日志记录的一般格式
5、用户日志的分析 ☆☆☆
保存了用户登录、退出系统等相关信息
/var/log/lastlog:最近的用户登录时间
/var/log/wtmp:用户登录、注销及系统开、关机事件
/var/run/utmp:当前登录的每个用户的详细信息
/var/log/secure:与用户验证相关的安全性时间
分析工具
① users:命令只是简单地输出当前登录的用户名称,每个显示的用户名对应一个登录会话,如果一个用户有不止一个登录会话,那他的用户名将显示与其相同的次数
② who:命令用于报告当前登录到系统中的每个用户的信息。使用该命令,系统管理员可以查看当前系统存在哪些不合法用户,从而对其进行审计和处理,who的默认输出包括用户名、终端类型、登录日期及远程主机
③ w 命令用于显示当前系统中的每个用户及其所运行的进程信息,比users、who输出的内容要丰富一些④ last :命令用于查看成功登录到系统的用户记录,最近的登录情况将显示在最前面,通过last命令可以掌握 linux 主机的登录情况,若发现未经授权的用户登录过,则表示当前主机可能已被入侵
lastb:命令用于查询登录失败的用户记录,如登录的用户错误、密码不正确等情况将记录在案。登录失败的情况属于安全事件、表示可能有人在尝试猜解你的密码,除了使用lastb命令查看以外,也可以直接从安全日志文件/var/log/secure中获得相关信息。
⑤ journalctl 可以使用 journalctl 查看所有日志(内核日志和应用日志),日志的配置文件 /etc/systemd/journald.conf
journalctl -b #查看本次启动的日志
journalctl -k #查看内核日志
journalctl -xe 经常用来查看最近报错的日志
-e:从结尾开始看
-x:提供问题相关的网址
6、日志管理
及时做好备份和归档
延长日志保存期限
控制日志访问权限
日志中可能包含各类敏感信息,如账户、口令等
集中管理日志
将服务器的日志发到统一的日志文件服务器
便于日志信息的统一收集、整理和分析
杜绝日志信息的意外丢失、恶意篡改或删除
总结:
1、block和inode
block存储文件具体数据
inode存储文件属性。inode号在分区的时候就已经创建了一定的个数。inode号也占用磁盘空间,且inode号有一定的数量,如果用完,那么该分区将无法创建新的文件。
2、日志
日志主要用来记录时间,查看内容进行排错,解决系统故障,或者用来数据恢复。
日志的位置有很多种,包括内核系统、用户、程序日志,他们都统一由系统服务(rsyslog)管理,在配置文件中:/etc/syslog.conf中。
日志存在级别,级别越低,优先级越高、数据越重要。