前言
在Linux系统中会出现各种故障,一般情况下故障的状态是很容易发现的而真正故障原因就很难察觉,所以熟悉分析Linux的日志文件就很有必要了,日志文件有助于管理者方便的定位到系统故障的原因。
一、inode与block
其实inode和block之间的关系就像是一本书一样,inode是一本书的目录,一本书会有很多内容,一个知识点或者一个故事会占很多页,一个block就相当于书中的一页内容。 所以说一般情况下一个inode会对应一个或多个block。
- 一个文件会占用一个Inode(不包含文件名)至少一个block块
- inode节点:(文件属性:文件大小、权限、时间戳)
- block块:数据文件即编写文件内容大小
- 文件数据存在于块中 ;文件元信息存在于inode
1.1概述
- 文件数据包括元信息与实际数据
- 文件存储在硬盘上,硬盘的最小存储单位叫做"扇区" ( sector )每个扇区存储512字节。
- 一个文件必须占用一个inode ,至少占用一个block。
1.1.1block(块)
- 操作系统读取硬盘的时候,不会一个个扇区地读取,这样效率太低,而是一次性连续读取多个扇区,即一次性读取一个"块" ( block)。这种由多个扇区组成的"块",是文件存取的最小单位。"块"的大小 ,最常见的是4KB ,即连续八个扇区组成一个块。
1.1.2inode(索引节点)
- 文件数据存储在"块”中,那么还必须找到一个地方存储文件的元信息,比如文件的创建者、文件的创建日期、文件的大小等等。这种存储文件元信息的区域就叫做inode(索引节点),也叫i节点。
1.1.3系统访问文件过程
当用户在Linux系统中试图访问一个文件时,系统会先根据文件名去查找它对应的inode号码;通过inode号码,获取inode信息;根据inode信息,看该用户是否具有访问这个文件的权限;如果有,就指向相对应的数据block,并读取数据:
1.2inode的内容
(类似文件属性)
inode包含文件的元信息 :
文件的字节数
文件拥有者的User ID
文件的Group ID
文件的读、写、执行权限
文件的时间戳
PS:不包含文件名
1.3 inode的大小
- inode也会消耗硬盘空间:每个inode的大小一般是128字节或者256字节;
- 格式化文件系统时确定inode的总数;
- 使用df -i命令可以查看每个硬盘分区的inode总数和已经使用的数量。
每个inode节点的大小,一般是128字节或256字节。inode节点的总数,在格式化时就给定了,一般是每1KB或每2KB就设置一个inode。
假定在一块1GB的硬盘中,每个inode节点大小为128字节,每1KB就设置一个inode,那么inode table的大小就会达到128MB,占整块硬盘12.8%。
1.3.1 inode 节点耗尽故障处理
实验:
-
创建磁盘分区
fdisk /dev/sdb ##创建一个30M的磁盘分区
-
挂载磁盘
mkdir mnt ###创建空目录,用作磁盘挂载点
mkfs.xfs /dev/sdb1 ###格式化磁盘,并写入格式
mount /dev/sdb1 mnt ###将磁盘挂载到空目录下
df -i ###查看磁盘分区inode节点
- 模拟节点耗尽
当可用inode用完之后磁盘无法写入新的文件,因此要删除无用文件以达到可以解放内存的作用
rm -rf ./* ###删除当前目录下所有
df -i ###显示inode
1.4查找文件对应的inode(内容)
第一种方式: ls -i
第二种方式: df -i
第三种方式: stat
------------------- Linux系统文件三个主要的时间属性--------------------
ctime(change time):最后一次改变文件或目录(属性)的时间
atime(access time):最后一次访问文件或目录的时间
mtime(modify time):最后一次修改文件或目录(内容)的时间
1.5硬盘分区后的结构
1.6文件名包含特殊字符,可能无法正常删除
这时直接删除inode,能够起到删除文件的作用
[root@Kiro opt]# find ./ -inum 67154696 -exec rm -i {} \;
[root@Kiro opt]# find ./ -inum 67154696 -delete
二、软连接与硬链接
2.1软硬链接的的格式
硬链接
ln 源文件 目标位置
软链接
ln [-s] 源文件或者目录... 链接文件或者目标位置
2.2软硬链接对比区别
操作和范围 | 软链接 | 硬链接 |
---|---|---|
删除原始文件后 | 失效 | 仍然可用 |
使用范围 | 适用于文件或目录 | 只可用于文件 |
保存位置 | 与原始文件可以位于不同的文件系统中 | 必须与原始文件在同一个文件系统(如一个Linux分区)内 |
三、恢复删除的文件
- 安装依赖包
e2fsprogs-libs-1.41.12-18.el6.x86_64rpm
e2fsprogs-devel-1.41.12-18.el6.x86_64rpm
- 配置、编译及安装
extundelete-0.2.4.tar.bz2
extundelete是一个开源的Linux数据恢复工具,支持ext3、ext4文件系统。(ext4只能在centos6版本恢复)#使用fdisk创建分区/dev/sdcl格式化ext3文件系统
http://nchc.dl.sourceforge.net/project/extundelete/extundelete/0.2.4/extundelete-0.2.4.
可以在这个网站里下载extundelete软件包
3.1恢复EXT类型的文件
extundelete是一个开源的Linux 数据恢复工具,支持ext3、ext4文件系统。
(ext4只能在centos6版本恢复)
3.1.1操作步骤及命令详解
先使用fdisk命令对新添加的磁盘分区并格式化
命令:fdisk /dev/sdb
partprobe /dev/sdb(不重启识别新分区)或者
mkdisk.ext3 /dev/sdb1 对磁盘进行格式化
mkdir /test 创建一个文件夹
接着将磁盘挂载到文件加上
mount /dev/sdb1 /test
df -h查看挂载成功没
安装依赖包
yum install -y e2fsprogs-devel e2fsprogs-libs
将extundelete软件包上传到机器上
如果没有可以用wget命令下载
wget http://nchc.dl.sourceforge.net/project
/extundelete/extundelete/0.2.4/extundelete-0.2.4.
下载完后解压文件 tar jxvf extundelete-0.2.4.tar.bz2
解压完成后切换目录到他所在目录下进行编译安装(相当于你下载了一个安装包压缩包,你解压之后还要对他进行安装)
cd extundelete-0.2.4/
编译安装
用脚本进行配置
./configure --prefix=/usr/1ocal/extundelete
然后make && make install
安装完成后就可以测试删除恢复了
3.1.2示例
先添加一块硬盘在进行分区
现在直接运行命令是运行不了的必须运行/usr/local/extundelete/bin 才能运行
所以要软链接一下才方便使用
ln -s /usr/local/extundelete/bin/* /usr/bin/
模拟删除并执行恢复操作
cd /test
echo a>a
echo a>b
echo a>c
echo a>d
ls
extundelete /dev/sdb1 – inode 2 ,查看文件系统/dev/sdb1下存在哪些文件具体的使用情况。i节点是从2开始的,2代表该文件系统最开始的目录。
开始测试删除恢复
extundelete /dev/sdc1 --inode 2 在查看文件是否还存在
开始恢复数据 extundelete /dev/sdb1 --restore-all ###恢复/dev/sdb1文件系统下所有内容
恢复数据前先解挂载,防止数据重复
恢复所有内容
等待恢复完成后在当前目录下会出现一个RECOVERED_FILES/目录,里面保存了已经恢复的文件
ls 查看一下目录
RECOVERED_FILES/
刚删除的文件全在这个目录下
3.2恢复XFS类型的文件
3.2.1xfs类型文件常用恢复工具
-
Centos 7系统默认采用xfs类型的文件,xfs类型的文件可使用xfsdump 与xfsrestore 工具进行备份恢复
-
xfsdump的备份级别有两种:
0表示完全备份;
1-9表示增量备份。
xfsdump的备份级别默认为0。
3.2.2xfsdump常用格式及选项
xfsdump格式:
xfsdump -f 备份存放位置 要备份的路径或设备文件
常用选项 | 功能 |
---|---|
-f | 指定备份文件目录 |
-L | 指定标签session label |
-M | 指定设备标签media label |
-S | 备份单个文件,-s后面不能直接跟路径 |
3.2.3xfsdump命令的限制
- 只能备份已挂载的文件系统
- 必须使用root的权限才能操作
- 只能备份XFS文件系统
- 备份后的数据只能让xfsrestore解析
- 不能备份两个具有相同UUID的文件系统(可用blkid命令查看)
3.2.4操作步骤及命令详解
xfsrestore -f 恢复文件的位置 存放恢复后文件的位置
##使用fdisk创建分区/dev/sdb1,格式化xfs文件系统
fdisk /dev/sdc #创建磁盘
partprobe /dev/sdb或
mkfs.xfs /dev/ sdc1 # mkfs.xfs [-f] /dev/sdbl 格式化磁盘
mkdir /data
mount /dev/sdc1 /mnt/ #挂载磁盘
cd /data #切换目录
cp /etc/passwd ./ #拷贝文件测试磁盘
mkdir test #创建目录
touch test/a ##创建文件
##使用xfsdump命令备份整个分区
rpm -qa | grep xfsdump #检查命令是否安装
yum install -y xfsdump #安装命令
xfsdump -f /opt/dump_sdc1 /dev/sdb1 [-L dump_sdc1 -M sdc1]
#指定备份的目录和需要备份的磁盘
xfsdump -f /opt/dump_sdc /dev/sdb1 -L dump_sdc -M sdc1
##模拟数据丢失并使用xfsrestore 命令恢复文件
cd /data/
rm -rf ./*
ls
xfsrestore -f /opt/dump_sdb1 /data/
3.2.5示例
-
添加一块新的硬盘(参考此篇博客),创建新的分区
-
格式化并挂载,在挂载目录/mnt下创建文件
-
安装xfsdump,指定备份目录和需要备份的磁盘
- 删除文件,做恢复测试
四、日志文件的分析
- 在Linux系统中日志保存位置默认位于:/var/log目录下
4.1日志文件功能
- 用于记录系统、程序运行中发生的各种事件
- 通过阅读日志,有助于诊断和解决系统故障
4.2日志文件的类型
**内核及系统日志:**这种日志数据由系统服务rsyslog统一管理,根据其主配置文件/etc/rsyslog.conf中的设置决定将内核消息及各种系统程序消息记录到什么位置
**用户日志:**这种日志数据用于记录Linux系统用户登录及退出系统的相关信息,包括用户名、登 录的终端、登录时间、来源主机、正在使用的进程操作等
**程序日志:**有些应用程序会选择由自己独立管理一份日志文件(而不是交给rsyslog服务管理),用于记录本程序运行过程中的各种事件信息
4.3不同日志文件保存的位置
主要日志文件介绍
内核及公共消息日志 | /var/log/messages |
计划任务日志 | /var/log/cron |
系统引导日志 | /var/log/dmesg |
邮件系统日志 | /var/log/maillog |
用户登录日志 | /var/log/lastlog |
/var/log/secure | |
/var/log/wtmp | |
/var/log/btmp |
#用户登录日志:
/var/log/secure:记录用户认证相关的安全事件信息。
/var/1og/lastlog:记录每个用户最近的登录事件。二进制格式
/var/1og/wtmp: 记录每个用户登录、注销及系统启动和停机事件。二进制格式
/var/run/btmp: 记录失败的、错误的登录尝试及验证事件。二进制格式
详情介绍
- 内核及公共消息日志 : /var/log/messages:
记录Linux内核消息及各种应用程序的公共日志信息,包括启动、I0错误、网络错误、程序故障等。
对于未使用独立日志文件的应用程序或服务,一般都可以从该日志文件中获得相关的事件记录信息。
- 计划任务日志/var/log/cron:记录crond计划任务产生的事件信息
- 系统引导日志/var/log/dmesg:记录Linux系统在引导过程中的各种事件信息。
- 邮件系统日志 /var/log/maillog:记录进入或发出系统的电子邮件活动。
4.4内核及系统日志
4.4.1 由系统服务 rsyslogd 统一管理
软件包:rsyslog-7.4.7-16.el7.x86_64
主要程序:/sbin/rsyslogd
配置文件:/etc/rsyslog.conf
vim /etc/rsyslog.conf
*.info;mail.none;authpriv.none;cron.none /var/log/messages
*.info //表示info等级及以上的所有等级的信息都写到对应的日志文件里
mail.none //表示某事件的信息不写到日志文件里(这里举例是邮件)如下图:
4.4.2日志消息的级别
Linux系统内核日志消息的优先级别(数字等级越小,优先级越高,消息越重要)
级号 | 消息 | 级别 | 说明 |
---|---|---|---|
0 | EMERG | 紧急 | 会导致主机系统不可用的情况 |
1 | ALERT | 警告 | 必须马上采取措施解决的问题 |
2 | CRIT | 严重 | 比较严重的情况 |
3 | ERR | 错误 | 运行出现错误 |
4 | WARNING | 提醒 | 可能会影响系统功能的事件 |
5 | NOTICE | 注意 | 不会影响系统但值得注意 |
6 | INFO | 信息 | 一般信息 |
7 | DEBUG | 调试 | 程序或系统调试信息等 |
4.5 用户日志分析
4.5.1用户登录日志位置:
/var/log/secure:记录用户认证相关的安全事件信息。
/var/1og/lastlog:记录每个用户最近的登录事件。二进制格式
/var/1og/wtmp: 记录每个用户登录、注销及系统启动和停机事件。二进制格式
/var/run/btmp: 记录失败的、错误的登录尝试及验证事件。二进制格式
users、who、w、last、lastb
4.5.2用户日志分析工具
users:命令只是简单地输出当前登录的用户名称,每个显示的用户名对应一个登录会话。如果一个用户有不止一个登录会话,那他的用户名将显示与其相同的次数
who:命令用于报告当前登录到系统中的每个用户的信息。使用该命令,系统管理员可以查看当前系统存在哪些不合法用户,从而对其进行审计和处理。who的默认输出包括用户名、终端类型、登录日期及远程主机
w:命令用于显示当前系统中的每个用户及其所运行的进程信息,比users、who命令的输出内容要丰富一些
last:命令用于查询成功登录到系统的用户记录,最近的登录情况将显示在最前面。通过last 命令可以及时掌握Linux.主机的登录情况,若发现未经授权的用户登录过,则表示当前主机可能已被入侵
lastb:命令用于查询登录失败的用户记录,如登录的用户名错误、密码不正确等情况都将记录在案。登录失败的情况属于安全事件,因为这表示可能有人在尝试猜解你的密码。除了使用 lastb命令查看以外,也可以直接从安全日志文件/var/log/secure中获得相关信息有哪些系统常见日志。
4.6 程序日志分析
4.6.1位置
Web服务: /var/log/httpd/
access_log、 error_log
代理服务: /var/log/squid/
access.log、cache.log、
FTP服务: /var/log/xferlog
4.1.6工具
文本查看、grep过滤检索、Webmin管理套件中查看
awk、sed等文本过滤、格式化编辑工具
Webalizer、Awstats等专用日志分析工具
总结
日志管理策略
1.及时作好备份和归档
2.延长日志保存期限
3.控制日志访问权限
日志中可能会包含各类敏感信息,如账户、口令等
4.集中管理日志
将服务器的日志文件发到统一的日志文件服务器
便于日志信息的统一收集、整理和分析
杜绝日志信息的意外丢失、恶意篡改或删除