目录
文件存储在硬盘上,硬盘最小存储单位是“扇区”,每个扇区存储512字节
/var/log/secure:系统安全日志,文本格式, 可以直接查看,应周期性分析
日志管理策略
及时作好备份和归档
延长日志保存期限
控制日志访问权限
-
日志中可能会包含各类敏感信息,如账户、口令等
集中管理日志
-
将服务器的日志文件发到统一的日志文件服务器
-
便于日志信息的统一收集、整理和分析
-
杜绝日志信息的意外丢失、恶意篡改或删除
inode和block概述
文件数据包括元信息与实际数据
文件存储在硬盘上,硬盘最小存储单位是“扇区”,每个扇区存储512字节
block (块)
-
连续的八个扇区组成一个 block
-
是文件存取的最小单位
inode (索引节点)
-
中文译名为“索引节点”,也叫i节点
-
用于存储文件元信息
如何查看inode号
ls -i
stat
查看剩余的inode号:
df -i
有3个时间: 最近访问atime; 最后一次查看文件 需要打开文件才会变更
最近更改mtime: 最近更改文件内容的时间,注意: 更改完内容之后,ctime也会改变
最近改动ctime: 最近更改文件元信息的时间,比如改变权限等
目录文件的结构
-
目录也是一种文件
-
目录文件的结构
文件名1 | inode号码1 |
---|---|
文件名2 | inode号码1 |
每一行称为一个目录项
inode号的大小和你的设备大小有关
每个inode都有一个号码,操作系统用inode号码来识别不同的文件
Linux系统内部不使用文件名,而使用inode号码来识别文件
对于用户,文件名只是inode号码便于识别的别称
xfs类型备份和恢复
xfsdump 按照inode 顺序备份一个 xfs 文件系统。xfsdump 的备份级别有两种:
-
0 表示完全备份
-
1-9 表示增量 备份
-
xfsdump 的备份级别默认为 0
xfsdump 的命令格式为:
xfsdump -f 备份存放位置 要备份路径或设备文件。
常用的备份参数包括以下几种:
-
-f:指定备份文件目录
-
-L:指定标签 session label
-
-M:指定设备标签 media label
-
-s:备份单个文件,-s 后面不能直接跟路径
使用 xfsdump 时,需要注意以下的几个限制:
-
不支持没有挂载的文件系统备份,所以只能备份已挂载的;
-
必须使用 root 的权限才能操作;
-
只能备份 XFS 文件系统;
-
备份下来的数据只能让 xfsrestore 解析;
-
不能备份两个具有相同 UUID 的文件系统(可使用blkid查看)。
rsyslog配置文件:管理日志
/etc/rsyslog.conf 配置文件格式:由三部分组成
-
MODULES:相关模块配置
-
GLOBAL DIRECTIVES:全局配置
-
RULES:日志记录相关的规则配置
rsyslog 特性
-
多线程 快
-
UDP, TCP, SSL, TLS, RELP 支持的协议多
-
MySQL, PGSQL, Oracle实现日志存储 支持的数据库
-
强大的过滤器,可实现过滤记录日志信息中任意部分
-
自定义输出格式 可以日志
-
适用于企业级
日志等级
等级名称 | 说 明 |
---|---|
debug (LOG_DEBUG) | 一般的调试信息说明 |
info (LOG_INFO) | 基本的通知信息 |
notice (LOG_NOTICE) | 普通信息,但是有一定的重要性 |
warning(LOG_WARNING) | 警吿信息,但是还不会影响到服务或系统的运行 |
error(LOG_ERR) | 错误信息, 一般达到err等级的信息已经可以影响到服务成系统的运行了 |
crit (LOG_CRIT) | 临界状况信思,比err等级还要严® |
alert (LOG_ALERT) | 状态信息,比crit等级还要严重,必须立即采取行动 |
emerg (LOG_EMERG) | 疼痛等级信息,系统已经无法使用了 |
* | 代表所有日志等级。比如,“authpriv.*”代表amhpriv认证信息服务产生的日志,所有的日志等级都记录 |
实际操作,将ssh服务的日志单独设置
要想使用rsyslog 软件单独实现日志管理
1.需要该软件支持 rsyslog
2.修改配置文件
3两个服务都要重启重启(systemctl restart rsyslog.service sshd)
更改ssh配置文件vim /etc/ssh/sshd_config
ELK
ELK:由Elasticsearch, Logstash, Kibana三个软件组成
-
非关系型分布式数据库基于apache软件基金会jakarta项目组的项目lucene
-
Elasticsearch是个开源分布式搜索引擎,可以处理大规模日志数据,比如:Nginx、Tomcat、系统日志等功能
-
Logstash对日志进行收集、分析,过滤,并将其存储供以后使用
-
Kibana 可以提供的日志分析友好的 Web 界面
日志文件
-
/var/log/secure:系统安全日志,文本格式, 可以直接查看,应周期性分析
-
/var/log/btmp:lastb命令进行查看当前系统上,用户的失败尝试登录相关的日志信息,二进制格式。
-
/var/log/wtmp:last命令可以查看当前系统上,用户正常登录系统的相关日志信息,二进制格式,
-
/var/log/lastlog:lastlog命令可以查看每一个用户最近一次的登录信息,二进制格式,
-
/var/log/dmesg:开机后的硬件变化将不再记录专用命令dmesg查看,可持续记录硬件变化的情况
-
/var/log/boot.log 系统服务启动的相关信息,文本格式
-
/var/log/messages :系统中大部分的信息
-
/var/log/anaconda : anaconda的日志操作系统安装时安装的软件信息