Linux 文件系统与日志分析

云计算 同时被 2 个专栏收录
133 篇文章 0 订阅
105 篇文章 0 订阅


1.前言

  Linux,全称 GNU/Linux,是一套免费使用和自由传播的类 Unix 操作系统,是一个基于 POSIX 的多用户、多任务、支持多线程和多 CPU 的操作系统。伴随着互联网的发展,Linux 得到了来自全世界软件爱好者、组织、公司的支持。它除了在服务器方面保持着强劲的发展势头以外,在个人电脑、嵌入式系统上都有着长足的进步。使用者不仅可以直观地获取该操作系统的实现机制,而且可以根据自身的需要来修改完善Linux,使其最大化地适应用户的需要。
  Linux 的基本思想有两点:一切都是文件;每个文件都有确定的用途。其中第一条详细来讲就是系统中的所有都归结为一个文件,包括命令、硬件和软件设备、操作系统、进程等等对于操作系统内核而言,都被视为拥有各自特性或类型的文件。至于说 Linux 是基于 Unix 的,很大程度上也是因为这两者的基本思想十分相近。

2.深入理解 Linux 文件系统

2.1 inode 与 block 详解

(1) inode 和 block 概述

  文件是存储在硬盘上的,硬盘的最小存储单位叫做 “扇区” (sector),每个扇区存储 512 字节。一般连续八个扇区组成一个 “块” (block),一个块是 4K 大小,是文件存取的最小单位。操作系统读取硬盘的时候,是一次性连续读取多个扇区,即一个块一个块的读取的。
  文件数据包括实际数据与元信息(类似文件属性)。文件数据存储在 “块” 中,存储文件元信息(比如文件的创建者、创建日期、文件大小、文件权限等)的区域就叫做 inode。 因此,一个文件必须占用一个 inode,并且至少占用一个 block。inode 不包含文件名,文件名是存放在目录当中的。Linux 系统中一切皆文件,因此目录也是一种文件。
  每个 inode 都有一个号码,操作系统用 inode 号码来识别不同的文件。Linux 系统内部不使用文件名,而使用 inode 号码来识别文件。对于系统来说,文件名只是 inode 号码便于识别的别称,文件名和 inode 号码是一一对应关系,每个 inode 号码对应一个文件名。所以当用户在 Linux 系统中试图访问一个文件时,系统会先根据文件名去查找它对应的 inode 号码,通过 inode 号码获取 inode 信息,根据 inode 信息看该用户是否具有访问这个文件的权限,如果有就指向对应的数据 block,并读取数据。
在这里插入图片描述

(2) inode 内容

inode 包含文件的元信息,具体来说有以下内容:

  • 文件的字节数
  • 文件拥有者的 User ID
  • 文件的 Group ID
  • 文件的读、写、执行权限
  • 文件的时间戳,共有三个:
简写全名中文名含义
atimeaccess time访问时间文件内容最后被访问的时间
mtimemodify time修改时间文件内容最后被修改的时间
ctimechange time变化时间文件的元数据发生变化的时间(比如权限,所有者等)
  • 链接数,即有多少文件名指向这个 inode
  • 文件数据 block 的位置

(3) 查看文件的 inode 号码

查看文件名对应的 inode 号码有两种方式:

ls -i 文件名
stat 文件名

示例:

[root@c7-1 ~]#touch test1
[root@c7-1 ~]#ls -i test1 
100764458 test1
[root@c7-1 ~]#stat test1
  文件:"test1"
  大小:0         	块:0          IO 块:4096   普通空文件
设备:802h/2050d	Inode:100764458   硬链接:1
权限:(0644/-rw-r--r--)  Uid:(    0/    root)   Gid:(    0/    root)
最近访问:2021-08-23 00:06:53.974603350 +0800
最近更改:2021-08-23 00:06:53.974603350 +0800
最近改动:2021-08-23 00:06:53.974603350 +0800
创建时间:-

(4) inode的大小

  inode 也会消耗硬盘空间,所以格式化的时候,操作系统自动将硬盘分成两个区域。一个是数据区,存放文件数据;另一个是 inode 区,存放 inode 所包含的信息。每个inode的大小,一般是 128 字节或 256 字节。假定在一块 1GB 的硬盘中,每个 inode 节点的大小为 128 字节,每 1KB 就设置一个 inode,那么 inode table 的大小就会达到 128MB,占整块硬盘的 12.8%。
  通常情况下不需要关注单个 inode 的大小,而是需要重点关注 inode 总数。inode 的总数在格式化时就给定了,执行 “df-i” 命令即可查看每个硬盘分区对应的的 inode 总数和已经使用的 inode 数量。

[root@c7-1 ~]#df -i
文件系统          Inode 已用(I)  可用(I) 已用(I)% 挂载点
devtmpfs         479977     406   479571       1% /dev
tmpfs            482670       1   482669       1% /dev/shm
tmpfs            482670    1260   481410       1% /run
tmpfs            482670      16   482654       1% /sys/fs/cgroup
/dev/sda2      26214400   59040 26155360       1% /
/dev/sda5      20971520       3 20971517       1% /data
/dev/sda1       1048576     328  1048248       1% /boot
tmpfs            482670       1   482669       1% /run/user/0

由于 inode 号码与文件名分离,导致 Linux 系统具备以下几种特有的现象:

  • 文件名包含特殊字符,可能无法正常删除。这时直接删除 inode,能够起到删除文件的作用
find ./ -inum 52305140 -exec rm -i {} \;
find ./ -inum 50464299 -delete
  • 移动文件或重命名文件,只是改变文件名,不影响 inode 号码
  • 打开一个文件以后,系统就以 inode 号码来识别这个文件,不再考虑文件名
  • 文件数据被修改保存后,会生成一个新的 inode 号码
[root@c7-1 ~]#touch test
[root@c7-1 ~]#ls -i
100764458 test
[root@c7-1 ~]#find ./ -inum 100764458 -exec rm -i {} \;
rm:是否删除普通空文件 "./test"?y
[root@c7-1 ~]#ls
[root@c7-1 ~]#

(5) 文件存储总结

硬盘分区后的结构:
在这里插入图片描述
用户访问文件流程:
用户访问文件流程

(6) inode 节点耗尽故障处理

添加一块硬盘,不用太大,我们分区只需要 15M 
echo "- - -" > /sys/class/scsi_host/host0/scan	#扫描磁盘,fdisk -l 查看,如果没有显示 /dev/sdb,扫描 host1/host2
echo -e "n\np\n1\n\n+15M\nw\n" | fdisk /dev/sdb
partprobe /dev/sdb
mkfs.ext3 /dev/sdb1
mkdir /test
mount /dev/sdb1 /test/
df -i	#查看 inode 
for ((i=1;i<=3829;i++));do touch /test/file${i};done        或者        touch {1..3829}.txt
ls /test |wc -l
df -i	#此时 /dev/sdb1 的 inode 已用尽
touch test.txt	#创建失败,容量还有,但是 inode 已经用尽
rm -rf /test/*	#删除无用文件,恢复 inode 占用

(7) 恢复误删除的 ext 格式文件

#extundelete 是一个开源的 Linux 数据恢复工具,支持 ext3、ext4 文件系统。(ext4 只能在 centos6 版本恢复,ext3 可以在 centos7 版本恢复)
添加一块硬盘
echo "- - -" > /sys/class/scsi_host/host0/scan
echo -e "n\np\n1\n\n\nw\n" | fdisk /dev/sdb
partprobe /dev/sdb
mkfs.ext3 /dev/sdb1
mkdir /test
mount /dev/sdb1 /test/
df -Th
#安装依赖包
yum -y install e2fsprogs-devel e2fsprogs-libs gcc gcc-c++ make wget
#编译安装 extundelete 
cd /test
wget http://nchc.dl.sourceforge.net/project/extundelete/extundelete/0.2.4/extundelete-0.2.4.tar.bz2
tar jxvf extundelete-0.2.4.tar.bz2
cd extundelete-0.2.4/
./configure --prefix=/usr/local/extundelete && make && make install
ls /usr/local/extundelete/bin/extundelete
ln -s /usr/local/extundelete/bin/* /usr/bin/
#模拟删除并执行恢复操作
cd /test
echo a>a
echo a>b
echo a>c
echo a>d
ectundelete /dev/sdb1 --inode 2	#查看文件系统 /dev/sdb1下存在哪些文件,inode 节点是从 2 开始的,2 代表该文件系统最开始的目录
rm -rf /test/*
cd
umount /test/
df -Th
extundelete /dev/sdb1 --restore-all	#恢复 /dev/sdb1 下的所有数据,在当前目录下会出现一个 RECOVERED_FILES 目录,里面保存了已经恢复的文件
ls RECOVERED_FILES/

(8) 恢复误删除的 xfs 格式文件

xfs 类型文件备份和恢复:

centos7 系统默认采用 xfs 类型的文件,xfs 类型的文件可使用 xfsdump 与 xfsrestore 工具进行备份恢复
xfsdump 的备份级别有两种: 0 表示完全备份; 1-9 表示增量备份。xfsdump 的备份级别默认为 0

xfsdump 的命令格式为:

xfsdump [参数] [备份存放位置] [要备份的路径或设备文件]

xfsdump 命令常用的选项:

-f: 指定备份文件目录
-L: 指定标签 session label
-M: 指定设备标签 media label
-s:备份单个文件,-s 后面不能直接跟路径

xfsdump使用限制:

只能备份已挂载的文件系统
必须使用 root 的权限才能操作
只能备份 xfs 文件系统
备份后的数据只能让 xfsrestore 解析
不能备份两个具有相同 UUID 的文件系统(可用 blkid 命令查看)

xfsrestore 命令格式:

xfsrestore -f [恢复文件的位置] [存放恢复后文件的位置]

示例:

添加一块硬盘
echo "- - -" > /sys/class/scsi_host/host0/scan
echo -e "n\np\n1\n\n\nw\n" | fdisk /dev/sdb
partprobe /dev/sdb
mkfs.xfs -f /dev/sdb1
mkdir /data
mount /dev/sdb1 /data
df -Th
cd /data && cp /etc/passwd ./ && cp -r /var/log/ ./ && ls

#使用 xfsdump 命令备份整个分区
rpm -qa | grep xfsdump
yum -y install xfsdump

xfsdump -f /opt/dump_sdb1 /dev/sdb1
#输入标签
dump_sdb1 
sdb1
#上面步骤等同于 xfsdump -f /opt/dump_sdb1 /dev/sdb1 -L dump_sdb -M sdb1

ls /opt	#此时存在文件 dump_sdb1

#模拟数据丢失并使用 xfsrestore 命令恢复文件
rm -rf /data/*
ls /data
xfsrestore -f /opt/dump_sdb1 /data/
ls /data

2.2 软链接和硬链接

(1) 概念

作用:为文件或目录建立链接文件

链接文件分类:

软链接硬链接
删除原始文件后失效仍旧可用
使用范围适用于文件或目录只可用于文件
保存位置与原始文件可以位于不同的文件系统中必须与原始文件在同一个文件系统中(如一个 Linux 分区内)

(2) 命令管理 – ln

格式:

ln [参数] [源文件或目录] [目标文件或目录]
参数含义
-s软链接(符号链接)
-b删除,覆盖以前建立的链接
-f强制执行
-i交互模式,文件存在则提示用户是否覆盖
-n把符号链接视为一般目录
-d允许超级用户制作目录的硬链接

示例:

[root@c7-1 data]#ll
total 4
drwxr-xr-x 2 root root 19 Jul 28 17:51 test
-rw-r--r-- 1 root root 10 Jul 28 17:35 test.txt
[root@c7-1 data]#ln test.txt test.link
[root@c7-1 data]#ln -s test.txt test.soft.link
[root@c7-1 data]#ll
total 8
drwxr-xr-x 2 root root 19 Jul 28 17:51 test
-rw-r--r-- 2 root root 10 Jul 28 17:35 test.link
lrwxrwxrwx 1 root root  8 Jul 28 19:56 test.soft.link -> test.txt
-rw-r--r-- 2 root root 10 Jul 28 17:35 test.txt

3. Linux 日志文件分析

3.1 日志简介

  Linux 系统拥有非常灵活和强大的日志功能,可以保存几乎所有的操作记录,并可以从中检索出我们需要的信息。
  内核及系统日志由系统服务 rsyslog 统一管理,主配置文件为 /etc/rsyslog.conf。Linux 操作系统本身和大部分服务器程序的日志文件都默认放在目录 /var/log/ 下。

3.2 常见的一些日志文件

(1) 内核及公共消息日志

/var/log/messages

  记录 Linux 内核消息及各种应用程序的公共日志信息,包括启动、IO错误、网络错误、程序故障等。对于未使用独立日志文件的应用程序或服务,一般都可以从该日志文件中获得相关的事件记录信息。

(2) 计划任务日志

/var/log/cron

  记录 crond 计划任务产生的事件信息。

(3) 系统引导日志

/var/log/dmesg

  记录 Linux 系统在引导过程中的各种事件信息。

(4) 邮件系统日志

/var/log/maillog

  记录进入或发出系统的电子邮件活动。

(5) 用户登录日志

/var/log/secure

  记录用户认证相关的安全事件信息。

/var/log/lastlog

  记录每个用户最近的登录事件。二进制格式

/var/log/wtmp

  记录每个用户登录、注销及系统启动和停机事件。二进制格式

/var/run/btmp

  记录失败的、错误的登录尝试及验证事件。二进制格式

3.3 日志消息的级别

Linux 系统内核日志消息的优先级别数字等级越小,优先级越高,消息越重要。

0  EMERG(紧急):会导致主机系统不可用的情况
1  ALERT(警告):必须马上采取措施解决的问题
2  CRIT(严重):比较严重的情况
3  ERR(错误):运行出现错误
4  WARNING(提醒):可能影响系统功能,需要提醒用户的重要事件
5  NOTICE(注意):不会影响正常功能,但是需要注意的事件
6  INFO(信息):一般信息
7  DEBUG(调试):程序或系统调试信息等

3.4 rsyslog 日志管理服务

  在 centos 6.x 中日志服务已经用 rsyslogd 取代了原先的 syslogd 服务。rsyslogd 日志服务更加先进,功能更多。但是不论该服务的使用,还是日志文件的格式其实都是和 syslogd 服务相兼容的,所以操作方法基本和 syslogd 服务一致。

rsyslogd 的新特点:

基于 TCP 网络协议传输日志信息
更安全的网络传输方式
有日志消息的及时分析框架
后台数据库
配置文件中可以写简单的逻辑判断
与 syslog 配置文件相兼容

查看 rsyslog 服务:

[root@c7-1 ~]#systemctl status rsyslog
● rsyslog.service - System Logging Service
   Loaded: loaded (/usr/lib/systemd/system/rsyslog.service; enabled; vendor preset: enabled)
   Active: active (running) since 五 2021-08-13 21:57:13 CST; 1 weeks 2 days ago
......

[root@c7-1 ~]#ps aux | grep rsyslog
root       3422  0.0  0.1 222760  4404 ?        Ssl  15:25   0:00 /usr/sbin/rsyslogd -n
root      21148  0.0  0.0 112728   976 pts/2    R+   17:17   0:00 grep --color=auto rsyslog

rsyslog 的配置使用较复杂,本文碍于篇幅不细讲,参考:
rsyslog 日志管理服务
Rsyslog 详解

3.5 日志分析工具

users

  命令只是简单地输出当前登录的用户名称,每个显示的用户名对应一个登录会话。如果一个用户有不止一个登录会话,那他的用户名将显示与其相同的次数。

who

  命令用于报告当前登录到系统中的每个用户的信息。使用该命令,系统管理员可以查看当前系统存在哪些不合法用户,从而对其进行审计和处理。who 的默认输出包括用户名、终端类型、登录日期及远程主机。

w

  命令用于显示当前系统中的每个用户及其所运行的进程信息,比 users、who 命令的输出内容要丰富一些。

last

  命令用于查询成功登录到系统的用户记录,最近的登录情况将显示在最前面。通过last 命令可以及时掌握 Linux 主机的登录情况,若发现未经授权的用户登录过,则表示当前主机可能已被入侵。

lastb

  命令用于查询登录失败的用户记录,如登录的用户名错误、密码不正确等情况都将记录在案。登录失败的情况属于安全事件,因为这表示可能有人在尝试猜解你的密码。除了使用 lastb 命令查看以外,也可以直接从安全日志文件 /var/log/secure 中获得相关信息。

journalctl

  journalctl 工具是 centos7 才有的工具。Systemd 统一管理所有 Unit 的启动日志带来的好处就是可以只用 journalctl 一个命令查看所有日志。日志的配置文件是 /etc/systemd/journald.conf

3.6 日志轮替 – logrotate

  默认情况下,logrotate 命令作为放在 /etc/cron.daily 中的 cron 任务,每天运行一次,它会帮助你设置一个策略,其中超过某个时间或大小的日志文件被轮换。

[root@c7-1 ~]#ll /usr/sbin/logrotate
-rwxr-xr-x. 1 root root 70344 1031 2018 /usr/sbin/logrotate

配置文件:

  • /etc/logrotate.conf:logrotate 的主配置文件
  • /etc/logrotate.d/:存储了特定服务的配置
[root@c7-1 ~]#ll /etc/logrotate.conf
-rw-r--r--. 1 root root 662 731 2013 /etc/logrotate.conf
[root@c7-1 ~]#ll /etc/logrotate.d
总用量 16
-rw-r--r--. 1 root root  91 86 2019 bootlog
-rw-r--r--. 1 root root 224 86 2019 syslog
-rw-r--r--. 1 root root 100 1031 2018 wpa_supplicant
-rw-r--r--. 1 root root 103 88 2019 yum

logrotate 比较重要的选项:

ompress              --> 压缩日志文件的所有非当前版本
daily,weekly,monthly --> 按指定计划轮换日志文件
delaycompress        --> 压缩所有版本,除了当前和下一个最近的
endscript            --> 标记 prerotate 或 postrotate 脚本的结束
errors "emailid"     --> 给指定邮箱发送错误通知
missingok            --> 如果日志文件丢失,不要显示错误
notifempty           --> 如果日志文件为空,则不轮换日志文件
olddir "dir"         --> 指定日志文件的旧版本放在 “dir” 中
postrotate           --> 引入一个在日志被轮换后执行的脚本
prerotate            --> 引入一个在日志被轮换前执行的脚本
rotate 'n'           --> 在轮换方案中包含日志的 n 个版本
sharedscripts        --> 对于整个日志组只运行一次脚本
size='logsize'       --> 在日志大小大于 logsize(例如 100K,4M)时轮换

配置案例参考:配置 logrotate 的终极指导

4.总结

  与 Windows 系统不同,在 Linux 系统中一切皆文件,独特的文件管理机制是 Linux 能够广泛流传应用的原因之一。通过 inode 号来管理具体的数据,不仅方便运维人员的管理,也提高了系统运行的效率。
  Linux 强大的日志功能让我们了解到系统运行的各种错误信息、警告信息和其他提示信息,这些信息对管理员了解系统的运行状态是非常有用的。我们从中检索出有用的信息,及时了解系统的运行状况,预防意外事故的发生,这对于系统能否长久安全稳定运行有重大意义。

  • 1
    点赞
  • 1
    评论
  • 1
    收藏
  • 打赏
    打赏
  • 扫一扫,分享海报

©️2022 CSDN 皮肤主题:技术黑板 设计师:CSDN官方博客 返回首页

打赏作者

公博义

你的鼓励将是我创作的最大动力

¥2 ¥4 ¥6 ¥10 ¥20
输入1-500的整数
余额支付 (余额:-- )
扫码支付
扫码支付:¥2
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、C币套餐、付费专栏及课程。

余额充值