Linux文件系统和日志分析

一、文件系统备份

1、概念

文件数据包：存储的文件（图片，视频，文本）

Linux的存储有两个机制：inode block

1、文件会生成一个inode号

2、文件必然要存储空间，block block块，最小是4K，如果文件不满4K，也要占一个block

2、inode号

一般inode号占用的空间512K左右，128字节-256字节

inode号用完了，既然磁盘还有空间也无法创建数据

df -i 查看所用inode号

ls -i 查看文件的inode号

一个文件必须占用一个inode号，至少占一个块

文件必须有inode号

创建文件不满4K也要占一个块

Linux一切皆文件，目录也是文件

Linux内部怎么来识别文件，识别的是inode号，对于系统来说，文件名，目录名 只是inode号的别称，方便用户使用，文件名和inode号一一对应

系统通过inode号来识别文件

3、文件名和inode号剥离之后

1、文件名包含特殊字符，可能无法正常删除，这时可以通过inode号，直接找到数据所在块，直接删除

2、移动，重命名，不影响inode号

3、一旦打开之后，系统全部以inode号识别，文件名不再考虑

4、vim编辑器修改文件内容之后，坑你会生成一个新的inode号

5、文件名不在元信息当中

inode号和数据块也有映射也有关联

删除乱码文件

find /opt/ -inum inode号 -exec rm -rf {} \;

4、xfs文件系统进行备份和恢复文件

CentOS 7 默认使用xfs文件系统

xfsdump的备份是有级别的，0表示全量1-9表示增量备份

xfsdump的命令格式和选项

-f：指定备份文件的目录

-L：指定目录标签

-l：指定备份级别

-M： 指定设备标签

-s： 备份单个文件 （后面不能直接跟路径）

xfsdump -f 备份文件的存放位置 要备份的路径和设备 [指定标签]

xfsdump使用是有限制的

1、只能恢复已经挂载的文件系统设备

2、只能备份xfs文件系统

3、必须要有root权限

4、数据恢复只能通过xfsrestore解析，进行恢复

5、两个设备的UUID相同，不能进行备份

数据要先备份，再恢复

xfsdump 备份磁盘数据

xfsrestore 恢复数据

二、日志文件分析

内核以及系统日志 rsyslog 统一管理

配置文件：/etc/rsyslog.conf

配置文件里面的内容是固定格式

1、日志记录的规则

日志级别0-7

0 EMERG 紧急

1 ALERT 警告

2 CRIT 严重

3 ERR 错误 服务或者程序运行时出现错误

4 WARNING 提醒 可能会影响系统功能，需要提示用户注意，不是报错，磁盘使用85%

5 NOTICE 注意 不会影响正常功能 但是需要注意，一般不做处理 有用户登录

6 INFO 信息 一般信息 ，系统的正常信息

7 DEBUG 调试 调试程序时候用的

none 没有优先级 ，而且不记录任何日志消息

*.info：所有info级别的日志，包括info级别以上的事件信息，保存到/var/log/messages

*.=info 明确指定只保存info级别的日志，其他的都不要

*.!info 除了info级别的都要

*.info; *.notice 包含ifo和notice的日志，以及以上级别的日志，都要

2、设备字段

auth 用户认证

authpriv 认证的是远程登录产生的日志信息 ssh

news：网络信息记录的时间日志

cron：定时任务

kern：内核的事件信息

mail：邮件

user：用户进程记录的日志

uucp：进程间通信

3、分析工具

users 展示登录当前系统用户

w 显示目前登录系统的详细信息

last 列出截止目前登录过系统的用户信息

lastb 列出失败的用户信息记录