一、日志文件简介
···1.日志文件用于记录系统、程序运作中发生的各种事件
2.日志文件的分类
1)日志管理服务:由系统服务rsyslog管理
·软件包 rsyslog-5.8…rpm
·主程序 /sbin/rsyslogd
·配置文件 /etc/rsyslog.conf(默认的日志设置)
·启动脚本 /etc/init.d/rsyslog
2)内核及系统日志:主配置文件/etc/rsyslog.conf
3) 用户日志:记录用户登录及退出系统的信息,包括用户名、登录的终端、登录时间、来源主机、进程操作等
4) 程序日志:记录本程序允许过程中的各种事件信息
·所有有rpm安装的程序日志都放在/var/log
·系统本身和大部分服务器程序的日志默认放在/var/log
5)常见的日志文件
·/var/log/message:记录内核消息及各种应用程序的公共日志,未使用独立日志文件的程序服务
·/var/log/cron:crond计划任务的日志
·/var/log/dmesg:记录系统在引导过程中的各种事件信息
·/var/log/maillog:电子邮件的日志
·/var/log/lastlog:记录每个用户最近的登录时间
·/var/log/secure:记录用户认证相关的安全事件
·var/log/wtmp:每个用户登录、注销、系统启动和停机的事件信息
·/var/log/btmp:失败、错误登录的事件
2./etc/rsyslog.conf查看系统默认的日志设置
1)根据日志的的重要程度分为不同的优先级
·0 emerg(紧急):会导致主机系统不可以
·1 alert(警告):必须马上解决的问题
·2 crit(严重):比较严重的错误
·3 err(错误):运行出现错误
·4 warning(提醒):可能影响系统功能,需要提醒用户的重要事件
·5 notice(注意):不会影响正常功能,但要注意
·6 info(信息):一般信息
·7 debug(调试):程序或系统调试信息
2)日志记录格式(四个字段)
·时间标签:消息发出的时间和日期
·主机名:生成消息的计算的名称
·子系统名称:发出消息的程序的名称
·消息:消息的具体内容
3.用户日志
1)查询当前的用户情况
·users:简单列出当前登录的用户名称
·who:当前登录到系统的每个用户的信息
·w:显示当前系统中每个用户及其运行的进程信息
·last:查询用户成功登录到系统的记录
·lastb查询登录失败的用户记录
二、深入理解Linux文件系统
1.inode和block
1)扇区(sector):硬盘上的最小存储单位,每个扇区存储512字节
2)块(block):文件存取的最小单位,8个扇区组成一个块,即每个块4KB
2.inode(索引节点、i节点):存储文件原信息的地方
1)元信息
·文件字节数
·文件拥有者的userID
·文件的权限
·文件的时间戳
2)stat:查看某个文件的inode信息
·inode 文件名
3.主要的时间属性
1)ctime:最后一次改变文件或目录属性的时间
2)mtime:最后一次修改文件或目录内容的时间
3)atime:最后一次访问文件或目录的时间
4.inode号
1)每个inode都有一个inode号,系统通过inode号来识别文件
·ls -i 查看文件的inode号
2)inode号也会消耗磁盘空间,每个128字节或256字节,inode的总数在格式化时给定
·df -i 查看inode号的详情
3)系统识别文件的步骤
·系统找到这个文件的inode号
·通过inode号获取inode信息
·根据inode信息,找到文件所在的块,读出数据
三、故障分析
1.MBR故障
前提:有多块硬盘以备份MBR
1)将MBR扇区备份到另一块硬盘(挂载到/backup)
dd if=/dev/sda of=/root/backup/sda.mbr.bak bs=512 count=1
2)模拟MBR扇区被破坏
dd if=/dev/zero of=/dev/sda bs=512 count=1
3)从备份恢复MBR(引导程序)
·安装光盘引导进入急救模式,选择Rescue installed system
·选择语言
·选择键盘
·是否安装网卡(no)
·选择continue
·进入”bash-4.1#”提示符的bash shell环境
·创建一个新目录,并挂载到有备份文件的分区,将备份文件恢复到光盘,重启
2.修复GRUB引导文件
1)备份/boot/grub/grub.conf
2) 同上进入shell环境
3) 换到待修复的Linux系统根环境
chroot /mnt/sysimage
4)将备份的文件复制到/boot/grub/,名字改为grub.conf
3.遗忘密码
(1)进入单用户模式修改
1)重启,出现grub时按上下箭头,将光标定位到centos,按e,进入编辑模式
2)定位到kernel,按e
3)在末尾添加single或1或l,回车
4)按b键就进入了单用户模式
5)设置密码
·passwd root
(2)进入急救模式重设密码
1)切换到待修复的Linux系统的根目录
2)执行passwd root