深入理解Linux文件系统与日志分析

一、inode与block
1、inode与block概述

文件数据包括元信息与实际数据，文件存储在硬盘上，硬盘最小存储单位是扇区，每个扇区存储512字节。

block(块）：连续的八个扇区组成一个block块，是文件存取的最小单元。（8*512=4k）

inode（索引节点）：中文名为索引节点，也叫“i节点”用于存储文件的元信息

总结：元信息----->inode 数据----->block

一个文件占用且只占用一个inode，但至少占用一个block

2、inode详解

（1）inode的内容：

inode包含文件的元信息：

文件的字节数

文件的拥有者User ID

文件的Group ID

文件的读、写、执行权限

文件的时间戳等 

注：inode不包含文件名

每个inode有一个inode号，inode大小一般为128字节或256字节（inode会占用1%的磁盘大小）

（2）查看inode信息

用stat命令可以查看某个文件的inode信息

示例：

[root@zyf ~]#stat aa.txt
用df -i命令可以查看所有的磁盘的inode信息（总数和已使用的inode数量）

（3）inode中包含的Linux系统文件三个主要的时间属性

   ：ctime（change time）最后一次改变文件或目录（属性）的时间

   ：atime（access time）最后一次访问文件或目录的时间

   ：mtime （modify time）最后一次修改文件或目录（内容）的时间

列：如果用cat访问文件 ，那么文件的atime就会变化

 如果echo一个字符串到文件中，那么文件的ctime 和mtime会改变

如果修改文件的权限，那么只有文件的time会变

 

（4）inode：目录文件的结构

目录也是一种文件

目录的文件结构如下（每一行称为一个目录项）

文件名1	inode号码1
文件名2	inode号码2
.........	..........

 

每个inode都有一个号码，操作系统用inode号码来识别不同的文件

Linux系统内部不使用文件名，而使用inode号码来识别文件

对于用户，文件名只是inode号码便于识别的别称

目录文件的走向：一般inode表会占用文件系统磁盘空间的1%

一个目录文件的内容就是一个该目录下所有文件的目录项的列表

（5）inode的号码

用户通过文件名打开文件时，系统内部的过程

1.系统找到这个文件名对应的inode号码

2.通过inode号码，获取inode信息

3.根据inode信息，找到文件数据所在的block，读出数据

查看inode号吗的方法

用ls -i命令可以查看指定文件的inode号

stat命令也可以查看indoe信息中的inode号 

（6）inode的特殊作用

由于inode号码与文件名分离，导致一些Uinx/Linux系统具有以下的现象

当文件名包含特殊字符，可能无法正常删除文件，直接删除inode，也可以删除文件

移动或重命名文件时，只改变文件名，不影响inode号码

打开一个文件后，系统通过inode号码来识别该文件，不再考虑文件名。

列：删除Linux系统中可以通过删除inode号来删除文件

3 文件存储小结

（1）硬盘分区后的结构

文件名	---->	目录项	----	目录块
元信息	---->	inode	----	inode表区块
数据	---->	block	----	block数据区

（2）链接文件

为文件或目录建立连接文件

连接文件分类

 

	软连接	硬链接
删除原始文件后	生效	依然可用
使用范围	设用于文件或目录	只用于文件
保存位置	与原始文件可以位于不同的文件系统中	必须与原始文件在同一个文件系统内部

 

ln  源文件 目标位置    # 创建硬链接
ln  [-s]   源目标文件 。。。 链接文件或目标位置     #创建硬链接

二、 实验

1.实验一模拟硬盘下的inode号消耗殆尽

（1）创建硬盘，Fdisk /dev/sdb 设置分区输入n  设置分区为300M

（2） mkfs.ext3 /dev/sdb1格式化分创建一个目录 mount挂载分区 

 （3）df -i 查看inode节点号

 touch{1..80000} 模拟inode号消耗殆尽

 （5）创建文件 创建不成功

三、日志文件

1、日志文件概述

（1）功能：用于记录系统、程序运行中发生的各种事情

                    通过阅读日志，有助于诊断和解决系统故障

（2）分类：1.内核及系统日志，由系统服务rsyslog统一进行管理，日志格式基本相似

                    2.用户日志，记录系统用户登录及退出系统的相关信息

                    3.程序日志，由各种应用程序独立管理的日志文件，记录格式不统一

（3）内容：日志级别 ：时间，地点，人物，事件

（4）保存位置：默认位于：/var/log目录下

2、主要日志文件介绍
 

内核及公共消息日志，包括启动，io错误，网络错误、程序故障等	/var/log/messages
计划任务日志，记录crond计划任务产生的事件信息	/var/log/cron
系统引导日志，记录linux系统在引导过程中的各种事件信息	/var/log/dmesg
邮件系统日志：记录进入或发出系统的电子邮件活动	/var/log/maillog
用户登录日志	/var/log/lastlog /var/log/secure /var/log/wtmp /var/run/btmp

3. 内核及系统日志

（1）由系统服务rsyslog 统一管理，主要配置文件为/etc/rsyslog.conf
linux操作系统本身和大部分服务器程序的日志文件都默认放在目录/var/log/下。

(2)查看rsyslog.conf配置文件用vim /etc/rsyslog.conf

 

 *.info ：表示所有info等级以上所有等级的信息都写入日志文件中。

mail.none ：表示mail文件不写入日志文件中

(3)Linux系统内核日志消息的优先级别（数字等级越小，优先级越高，消息越重要）；
0  EMERG(紧急):会导致主机系统不可用的情况。

1  ALERT(警告):必须马上采取措施解决的问题。

2  CRIT(严重):比较严重的情况。

3   ERR(错误):运行出现错误。

4  WARNING(提醒):可能影响系统功能，需要提醒用户的重要事件。

5  NOTICE(注意):不会影响正常功能，但是需要注意的事件。

6  INFO(信息):一般信息。

7  DEBUG(调试):程序或系统调试信息等。

（4）公共日志/var/log/messages文件的记录格式
时间标签:消息发出的日期和时间。

主机名:生成消息的计算机的名称。

子系统名称:发出消息的应用程序的名称。

消息:消息的具体内容。

程序自己维护日志记录，httpd网站服务程序使用两个日志文件:

access log:#记录客户访问事件

error log #记录错误事件。

（5）日志记录的一般格式

 Apr  10 20：14：41  #时间标签

ky19fbc   #主机名

kernel     #子系统名

usb 2-2.1 :Product：Virtual Bluetooth Adapter   #消息字段

（6）用户日志分析
保存用户登录、退出系统等相关消息
 

/var/log/lastlog	记录每个用户最近的登录事件。二进制格式
/var/log/secure	记录每个用户认证相关的安全事件信息
/var/log/wtmp	记录每个用户登录、注销及系统启动和停机事件、二进制格式
/var/run/btmp	记录失败的、错误的登录尝试及验证事件。二进制格式

  lastlog查看用户登录信息

lastb 查看用户登录失败信息

  last 显示查询用户登录记录

  users 命令输出当前登录的用户名称

  who 命令用于登录报告每个用户信息

 w 显示当前系统每个用户的进程信息

 

（7）程序日志分析
7.1由相应的应用程序独立进行管理

Web服务：/var/log/httpd

access_log、error_log

代理服务：/var/log/squid

access.log、cache.log

FTP服务：/var/log/xferlog

7.2分析工具

文本查看、grep过滤检索、Webmin管理套件中查看

awk、sed等文本过滤、格式化编辑工具

Webalizer、Awstats等专用日志分析工具

(8)   日志管理策略
及时作好备份和归档
延长日志保存期限
控制日志访问权限：

日志中可能会包含各类敏感信息，如账户、口令等

集中管理日志：

将服务器的日志文件发到统一的日志文件服务器

便于日志信息的统一收集、整理和分析

杜绝日志信息的意外丢失、恶意篡改或删除