Linux——深入理解linux文件系统与日志分析

一、Linux文件系统

在这里插入图片描述

1、inode与block

文件数据包括元信息实际信息

扇区(sector)

  • 文件存储在硬盘上,硬盘最小存储单位是“扇区”,每个扇区存储512字节

块(block)

  • 一般连续八个扇区组成一个"块"(block),一个块是4K大小,是文件存取的最小单位,文件数据存储在“块”中。
  • 操作系统读取硬盘的时候,是一次性连续读取多个扇区,即一个块一个块的读取的。

索引节点(inode)

  • 中文译名为“索引节点”,也叫i节点;
  • 文件数据包括实际数据与元信息(类似文件属性);
  • 文件数据存储在"块"中,存储文件元信息(比如文件的创建者、创建日期、文件大小、文件权限等)的区域就叫做inode。
  • 因此一个文件必须占用一个inode,并且至少占用一个 block;
  • inode不包含文件名。文件名是存放在目录当中的。Linux 系统中一切皆文件,因此目录也是一种文件;
  • 每个inode都有一个号码。操作系统用inode号码来识别不同的文件。Linux内部不使用文件名,而使用inode号来识别文件;
  • 文件名只是inode号便于识别的别称。文件名和inode号是一一对应的关系,每个inode号都对应一个文件名。

文件数据

  • 文件数据包括实际数据与元信息(类似文件属性);
  • 文件数据存储在“块”中,文件元信息存储在inode中。

系统访问文件过程

  • 当用户在Linux系统中试图访问一个文件时,系统会先根据文件名去查找它对应的inode号码;通过inode号码,获取inode信息;根据inode信息,看该用户是否具有访问这个文件的权限;如果有,就指向相对应的数据block,并读取数据。

在这里插入图片描述

2、查看文件名对应的inode号的方式

 第一种方式:  ls -i 文件名
 第二种方式:  stat  文件名
  • 文件的字节数
  • 文件拥有者的User ID
  • 文件的Group ID
  • 文件的读、写、执行权限
  • 文件的时间戳等
    在这里插入图片描述

3、 inode的大小

  • inode也会消耗硬盘空间:每个inode的大小一般是128字节或者256字节;
  • 格式化文件系统时确定inode的总数;
  • 使用df -i命令可以查看每个硬盘分区的inode总数和已经使用的数量。
    在这里插入图片描述

4、Linux系统文件三个主要的时间属性

  • ctime(change time):最后一次改变文件或目录(属性)的时间
  • atime(access time):最后一次访问文件或目录的时间
  • mtime(modify time):最后一次修改文件或目录(内容)的时间

5、inode和block的关系

  • 文件数据包括实际数据与元信息(类似文件属性)。文件数据存储在“块"中,存储文件元信息(比如文件的创建者、创建日期、文件大小、文件权限等)的区域就叫做inode。 因此,一 个文件必须占用一个inode, 并且至少占用一个block;
  • inode不包含文件名。文件名是存放在目录当中的。Linux系统中一切皆文件,因此目录也是一种文件;
  • 每个inode都有一个号码,操作系统用inode号码来识别不同的文件。Linux系统内部不使用文件名,而使用inode号码来识别文件。对于系统来说,文件名只是inode号码便于识别的别称,文件名和inode号码是一 一对应关系,每个inode号码对应一个文件名。
    在这里插入图片描述

6、特点

  • 由于inode号码与文件名分离,导致Linux系统具备以下几种特有的现象:
  • 1、文件名包含特殊字符,可能无法正常删除。这时直接删除inode,能够起到删除文件的作用。
删除inode号的方法:
[root@cheng0307 tmp]# find ./ -inum 68201002 -exec rm -i {} \;
[root@cheng0307 tmp]# find ./ inum 68201002 -delete 
  • 2、移动文件或重命名文件,只是改变文件名,不影响inode号码。
  • 3、打开一个文件以后,系统就以inode号码来识别这个文件,不再考虑文件名。
  • 4、文件数据被修改保存后,公生成一个新的inode号码

二、 硬链接和软链接

1、格式

硬链接
ln  源文件  目标位置

软链接
ln [-s]  源文件或者目录...   链接文件或者目标位置  

2、硬链接与软链接的对比

操作和范围软链接硬链接
删除原始文件后失效仍然可用
使用范围适用于文件或目录只可用于文件
保存位置与原始文件可以位于不同的文件系统中必须与原始文件在同一个文件系统(如一个Linux分区)内

二、日志分析

日志保存位置默认位于:/var/log目录下

1、日志的功能

  • 用于记录系统、程序运行中发生的各种事件
  • 通过阅读日志,有助于诊断和解决系统故障

2、日志文件的分类

内核及系统日志由系统服务rsyslog统一进行管理,日志格式基本相似;主配置文件/etc/rsyslog.conf
用户日志记录系统用户登录及退出系统的相关信息
程序日志由各种应用程序独立管理的日志文件,记录格式不统一

3、内核及公共消息日志

  • /var/log/messages: 记录Linux内核消息及各种应用程序的公共日志信息,包括启动、I0错误、网络错误、程序故障等。
  • 对于未使用独立日志文件的应用程序或服务,一般都可以从该日志文件中获得相关的事件记录信息。
    在这里插入图片描述

4、计划任务日志

  • /var/log/ cron: 记录crond计划任务产生的事件信息
    在这里插入图片描述

5、系统引导日志

  • /var/ log/ dmesg: 记录Linux系统在引导过程中的各种事件信息
    在这里插入图片描述

6、邮件系统日志

  • /var/log/maillog:记录进入或发出系统的电子邮件活动
    在这里插入图片描述

7、用户登录日志

  • /var/log/secure: 记录用户认证相关的安全事件信息;
  • /var/log/lastlog: 记录每个用户最近的登录事件,二进制格式
  • /var/log/wtmp: 记录每个用户登录、注销及系统启动和停机事件,二进制格式
  • /var/ run/btmp: 记录失败的、错误的登录尝试及验证事件,二进制格式

8、日志配置文件和日志消息等级

Linux系统内核日志消息的优先级别(数字等级越小,优先级越高,消息越重要

vim /etc/rsyslog.conf					#查看rsyslog.conf配置文件
* . info;mail.none;authpriv.none;cron.none	/var/log/messages

*.info			#表示info等级及以上的所有等级的信息都写到对应的日志文件里
mail.none		#表示某事件的信息不写到日志文件里(这里比如是邮件)
级别消息级别具体描述
0EMERG紧急会导致主机系统不可用的情况
1ALERT警告必须马上采取措施解决的问题
2CRIT严重比较严重的情况
3ERR错误运行出现错误
4WARNING提醒可能影响系统功能,需要提醒用户的重要事件
5NOTICE注意不会影响正常功能,但是需要注意的事件
6INFO信息一般信息
7DEBUG调试程序或系统调试信息等

9、日志记录的一般格式

在这里插入图片描述

10、分析工具

  • users、who、 W、last、 lastb
  • last命令用于查询成功登录到系统的用户记录
  • lastb命令用于查询登录失败的用户记录
    在这里插入图片描述

11、程序日志分析

由相应的应用程序独立进行管理

  • Web服务:/var/log/httpd/
    • access_log ——记录客户访问事件
    • error_log ——记录错误事件
  • 代理服务:/var/log/squid/
    • access.log、cache.log
  • 文本查看、grep过来检索、Webmin管理套件中查看
  • awk、sed等文本过滤、格式化编辑工具
  • Webalizer、Awstats等专用日志分析工具

12、日志管理策略

  • 及时做好备份和归档
  • 延长日志保存期限
  • 控制日志访问权限
    • 日志中可能会包含各类敏感信息,如账户和口令等
  • 集中管理日志
    • 将服务器的日志文件发到统一-的日志文件服务器
    • 便于日志信息的统- -收集、 整理和分析
    • 杜绝日志信息的意外丢失、恶意篡改或删除
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值