Linux文件系统与日志分析
一、Linux文件系统
1.1 inode与block
1.概述:
- 文件数据包括元信息与实际信息;
- 文件存储在硬盘上,硬盘最小存储单位是“扇区”,每个扇区存储512字节。
- block:(块)
- 连续的八个扇区组成一个block(4k);
- 是文件存取的最小单位。
- inode:(索引节点)
- 中文译名为“索引节点”,也叫i节点;
- 用于存储文件元信息
2.inode和block的关系
-
文件数据包括实际数据与元信息(类似文件属性)。文件数据存储在“块"中,存储文件元信息(比如文件的创建者、创建日期、文件大小、文件权限等)的区域就叫做inode。 因此,一 个文件必须占用一个inode, 并且至少占用一个block.
-
inode不包含文件名。文件名是存放在目录当中的。Linux系统中一切皆文件,因此目录也是一种文件。结构如下图所示:
-
每个inode都有一个号码,操作系统用inode号码来识别不同的文件。Linux系统内部不使用文件名,而使用inode号码来识别文件。对于系统来说,文件名只是inode号码便于识别的别称,文件名和inode号码是一 一对应关系,每个inode号码对应一个文件名。.
查看文件名对应的inode号码有两种方式:
1. 查看文件名对应的inode号码
ls -i 文件名
2. 查看文件inode信息中的inode号码
stat 文件名
3.inode包含文件的元信息
- 文件的字节数
- 文件拥有者的User ID
- 文件的Group ID
- 文件的读、写、执行权限
- 文件的时间戳等
4.Linux系统文件三个主要的时间属性 - ctime(change time):最后一次改变文件或目录(属性)的时间
- atime(access time):最后一次访问文件或目录的时间
- mtime(modify time):最后一次修改文件或目录(内容)的时间
5.用户通过文件名打开文件时,系统内部的过程
- 系统找到这个文件名对应的inode号码
- 通过inode号码, 获取inode信息
- 根据inode信息,找到文件数据所在的block,读出数据
6.硬盘分区后的结构
7.访问文件的简单流程
8.inode的大小
- inode也会消耗硬盘空间:每个inode的大小一般是128字节或者256字节;
- 格式化文件系统时确定inode的总数;
- 使用
df -i
命令可以查看每个硬盘分区的inode总数和已经使用的数量(如下图)。
9.inode特点
由于inode 号码与文件名分离,导致Linux系统具备以下几种特有的现象:
- 文件名包含特殊字符,可能无法正常删除。这时直接删除inode,能够起到删除文件的作用;
删除inode号的方法:
[root@cheng0307 tmp]# find ./ -inum 68201002 -exec rm -i {} \;
[root@cheng0307 tmp]# find ./ inum 68201002 -delete
- 移动文件或重命名文件,只是改变文件名,不影响inode 号(这里指的是非挂载磁盘,实例如下);
- 打开一个文件以后,系统就以inode号码来识别这个文件,不再考虑文件名。
- 文件数据被修改保存后,会生成一个新的inode 号码。
1.2 硬链接和软件
- 为文件或目录建立链接文件
- 链接文件的分类和对比
操作和范围 | 软链接 | 硬链接 |
---|---|---|
删除原始文件后 | 失效 | 仍然可用 |
使用范围 | 适用于文件或目录 | 只可用于文件 |
保存位置 | 与原始文件可以位于不同的文件系统中 | 必须与原始文件在同一个文件系统(如一个Linux分区)内 |
- 软硬链接的格式
硬链接
ln 源文件 目标位置
软链接
ln [-s] 源文件或者目录... 链接文件或者目标位置
1.3 案例:恢复误删除的文件(EXT类型)
1.大概步骤:
1)编译安装extundelete软件包
2)安装依赖包:
- e2fsprogs-libs-1.41.12- 18. el6.x86_ 64.rpm
- e2fsprogs-devel-1 41.12-18.el6.x86_ 64.rpm
3)配置、编译及安装、模拟删除并执行恢复操作
- extundelete-0.2.4.tar.bz2
2.详细步骤如下:
第一步:添加新磁盘,具体步骤可以参考本文第三段:磁盘管理的检测并确认新硬盘
第二步:缺新磁盘添加成功
第三步:对磁盘进行分区,更改类型
第四步:对新建的分区进行格式化,类型为 ext3
第五步:挂载并查看
第六步:安装e2fsprogs-devel 和e2fsprogs-libs程序。如果成功跳过第七步。
第七步:从网上下载安装e2fsprogs-devel 和e2fsprogs-libs程序
显示此页面代表完成
第八步:将extundelete-0.2.4.tar拖入Linux中
第九步:使用tar命令进行解压
第十步:编译并安装
第十一步:将安装程序的bin目录软链接到环境变量的目录下
第十二步:创建文件并删除进行测试
1.4 案例:xfs类型文件备份和恢复
1.介绍:
- Centos 7系统默认采用xfs类型的文件,xfs类型的文件可使用xfsdump 与xfsrestore 工具进行备份恢复。
- xfsdump的备份级别有两种: 0表示完全备份; 1-9表示增量备份。xfsdump的备份级别默认为0。
2.xfsdump的命令格式
xfsdump -f 备份存放位置 要备份的路径或设备文件
3.xfsdump命令常用的选项
- -f:指定备份文件目录
- -L:指定标签session label
- -M:指定设备标签media label
- -S:备份单个文件,-s后面不能直接跟路径
4.xfsdump使用限制:
- 只能备份已挂载的文件系统
- 必须使用root的权限才能操作
- 只能备份XFS文件系统
- 备份后的数据只能让xfsrestore解析
- 不能备份两个具有相同UUID的文件系统(可用blkid命令查看)
5.实验:演示备份和恢复的具体步骤
第一步:将前面使用的分区sdb1进行解挂并格式化为xfs格式后重新挂载,也可以重新创建然后类型修改为xfs类型,具体步骤参考上一个实验。
第二步:在挂载目录创建文件用于后面测试用
第三步:查看程序是否安装,指定备份目录和需要备份的磁盘
第四步:创建文件并且删除进行测试
二、日志文件
日志保存位置默认位于:/var/log目录下
2.1 日志的功能
- 用于记录系统、程序运行中发生的各种事件
- 通过阅读日志,有助于诊断和解决系统故障
2.2 日志文件的分类
1.内核及系统日志
- 由系统服务rsyslog统一进行管理,日志格式基本相似
- 主配置文件
/etc/rsyslog.conf
2.用户日志
- 记录系统用户登录及退出系统的相关信息
3.程序日志
- 由各种应用程序独立管理的日志文件,记录格式不统一
2.3 主要日志文件分类
1.内核及公共消息日志:
- /var/log/messages: 记录Linux内核消息及各种应用程序的公共日志信息,包括启动、I0错误、网络错误、程序故障等。
- 对于未使用独立日志文件的应用程序或服务,一般都可以从该日志文件中获得相关的事件记录信息。
2.计划任务日志:
- /var/log/ cron: 记录crond计划任务产生的事件信息。
3.系统引导日志:
- /var/ log/ dmesg: 记录Linux系统在引导过程中的各种事件信息。
4.邮件系统日志:
- /var/log/maillog:记录进入或发出系统的电子邮件活动。
5.用户登录日志:
- /var/log/secure: 记录用户认证相关的安全事件信息。
- /var/log/lastlog: 记录每个用户最近的登录事件。二进制格式
- /var/log/wtmp: 记录每个用户登录、注销及系统启动和停机事件。二进制格式
- /var/ run/btmp: 记录失败的、错误的登录尝试及验证事件。二进制格式
6.日志配置文件和日志消息等级
vim /etc/rsyslog.conf #查看rsyslog.conf配置文件
* . info;mail.none;authpriv.none;cron.none /var/log/messages
*.info #表示info等级及以上的所有等级的信息都写到对应的日志文件里
mail.none #表示某事件的信息不写到日志文件里(这里比如是邮件)
Linux系统内核日志消息的优先级别(数字等级越小,优先级越高,消息越重要):
级别 | 消息 | 级别 | 具体描述 |
---|---|---|---|
0 | EMERG | 紧急 | 会导致主机系统不可用的情况 |
1 | ALERT | 警告 | 必须马上采取措施解决的问题 |
2 | CRIT | 严重 | 比较严重的情况 |
3 | ERR | 错误 | 运行出现错误 |
4 | WARNING | 提醒 | 可能影响系统功能,需要提醒用户的重要事件 |
5 | NOTICE | 注意 | 不会影响正常功能,但是需要注意的事件 |
6 | INFO | 信息 | 一般信息 |
7 | DEBUG | 调试 | 程序或系统调试信息等 |
7.日志记录的一般格式
8.分析工具
-
users、who、 W、last、 lastb
-
last命令用于查询成功登录到系统的用户记录
-
lastb命令用于查询登录失败的用户记录
9.程序日志分析:由相应的应用程序独立进行管理
- Web服务:/var/log/httpd/
- access_log ——记录客户访问事件
- error_log ——记录错误事件
- 代理服务:/var/log/squid/
- access.log、cache.log
- 分析工具
- 文本查看、grep过来检索、Webmin管理套件中查看
- awk、sed等文本过滤、格式化编辑工具
- Webalizer、Awstats等专用日志分析工具
10.日志管理策略
- 及时做好备份和归档
- 延长日志保存期限
- 控制日志访问权限
- 日志中可能会包含各类敏感信息,如账户和口令等
- 集中管理日志
- 将服务器的日志文件发到统一-的日志文件服务器
- 便于日志信息的统- -收集、 整理和分析
- 杜绝日志信息的意外丢失、恶意篡改或删除