误删文件不要慌,手把手带你深入理解Linux文件系统和日志分析后分分钟找回!

最新推荐文章于 2023-05-09 13:41:57 发布
最新推荐文章于 2023-05-09 13:41:57 发布
阅读量512 收藏 3
点赞数 1
分类专栏: Linux系统 文章标签: linux inode 日志分析 运维 centos
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_45551608/article/details/116134135
版权

Linux文件系统与日志分析

一、Linux文件系统

1.1 inode与block

1.概述:

  • 文件数据包括元信息实际信息
  • 文件存储在硬盘上,硬盘最小存储单位是“扇区”,每个扇区存储512字节。
  • block:(块)
    • 连续的八个扇区组成一个block(4k);
    • 是文件存取的最小单位。
  • inode:(索引节点)
    • 中文译名为“索引节点”,也叫i节点;
    • 用于存储文件元信息

2.inode和block的关系
在这里插入图片描述

  • 文件数据包括实际数据与元信息(类似文件属性)。文件数据存储在“块"中,存储文件元信息(比如文件的创建者、创建日期、文件大小、文件权限等)的区域就叫做inode。 因此,一 个文件必须占用一个inode, 并且至少占用一个block.

  • inode不包含文件名。文件名是存放在目录当中的。Linux系统中一切皆文件,因此目录也是一种文件。结构如下图所示:
    在这里插入图片描述

  • 每个inode都有一个号码,操作系统用inode号码来识别不同的文件。Linux系统内部不使用文件名,而使用inode号码来识别文件。对于系统来说,文件名只是inode号码便于识别的别称,文件名和inode号码是一 一对应关系,每个inode号码对应一个文件名。.

查看文件名对应的inode号码有两种方式:

1.	查看文件名对应的inode号码
	ls -i 文件名

2. 	查看文件inode信息中的inode号码
	stat 文件名

3.inode包含文件的元信息

  • 文件的字节数
  • 文件拥有者的User ID
  • 文件的Group ID
  • 文件的读、写、执行权限
  • 文件的时间戳等
    在这里插入图片描述
    4.Linux系统文件三个主要的时间属性
  • ctime(change time):最后一次改变文件或目录(属性)的时间
  • atime(access time):最后一次访问文件或目录的时间
  • mtime(modify time):最后一次修改文件或目录(内容)的时间

5.用户通过文件名打开文件时,系统内部的过程

  1. 系统找到这个文件名对应的inode号码
  2. 通过inode号码, 获取inode信息
  3. 根据inode信息,找到文件数据所在的block,读出数据

6.硬盘分区后的结构
在这里插入图片描述
7.访问文件的简单流程
在这里插入图片描述
8.inode的大小

  • inode也会消耗硬盘空间:每个inode的大小一般是128字节或者256字节
  • 格式化文件系统时确定inode的总数;
  • 使用df -i命令可以查看每个硬盘分区的inode总数和已经使用的数量(如下图)。

在这里插入图片描述
9.inode特点
由于inode 号码与文件名分离,导致Linux系统具备以下几种特有的现象:

  • 文件名包含特殊字符,可能无法正常删除。这时直接删除inode,能够起到删除文件的作用;
删除inode号的方法:
[root@cheng0307 tmp]# find ./ -inum 68201002 -exec rm -i {} \;
[root@cheng0307 tmp]# find ./ inum 68201002 -delete
  • 移动文件或重命名文件,只是改变文件名,不影响inode 号(这里指的是非挂载磁盘,实例如下);

在这里插入图片描述

  • 打开一个文件以后,系统就以inode号码来识别这个文件,不再考虑文件名。
  • 文件数据被修改保存后,会生成一个新的inode 号码。

在这里插入图片描述

1.2 硬链接和软件

  • 为文件或目录建立链接文件
  • 链接文件的分类和对比
操作和范围软链接硬链接
删除原始文件后失效仍然可用
使用范围适用于文件或目录只可用于文件
保存位置与原始文件可以位于不同的文件系统中必须与原始文件在同一个文件系统(如一个Linux分区)内
  • 软硬链接的格式
	硬链接
	ln  源文件  目标位置

	软链接
	ln [-s]  源文件或者目录...   链接文件或者目标位置

1.3 案例:恢复误删除的文件(EXT类型)

1.大概步骤:

1)编译安装extundelete软件包

2)安装依赖包:

  • e2fsprogs-libs-1.41.12- 18. el6.x86_ 64.rpm
  • e2fsprogs-devel-1 41.12-18.el6.x86_ 64.rpm

3)配置、编译及安装、模拟删除并执行恢复操作

  • extundelete-0.2.4.tar.bz2

2.详细步骤如下:
第一步:添加新磁盘,具体步骤可以参考本文第三段:磁盘管理的检测并确认新硬盘
在这里插入图片描述
第二步:缺新磁盘添加成功
在这里插入图片描述
第三步:对磁盘进行分区,更改类型
在这里插入图片描述
第四步:对新建的分区进行格式化,类型为 ext3
在这里插入图片描述
第五步:挂载并查看
在这里插入图片描述
第六步:安装e2fsprogs-devel 和e2fsprogs-libs程序。如果成功跳过第七步。
在这里插入图片描述
第七步:从网上下载安装e2fsprogs-devel 和e2fsprogs-libs程序
在这里插入图片描述
显示此页面代表完成
在这里插入图片描述
第八步:将extundelete-0.2.4.tar拖入Linux中
在这里插入图片描述
第九步:使用tar命令进行解压
在这里插入图片描述
第十步:编译并安装

在这里插入图片描述
第十一步:将安装程序的bin目录软链接到环境变量的目录下
在这里插入图片描述
第十二步:创建文件并删除进行测试
在这里插入图片描述

1.4 案例:xfs类型文件备份和恢复

1.介绍:

  • Centos 7系统默认采用xfs类型的文件,xfs类型的文件可使用xfsdump 与xfsrestore 工具进行备份恢复。
  • xfsdump的备份级别有两种: 0表示完全备份; 1-9表示增量备份。xfsdump的备份级别默认为0。

2.xfsdump的命令格式

xfsdump -f 备份存放位置  要备份的路径或设备文件

3.xfsdump命令常用的选项

  • -f:指定备份文件目录
  • -L:指定标签session label
  • -M:指定设备标签media label
  • -S:备份单个文件,-s后面不能直接跟路径

4.xfsdump使用限制:

  • 只能备份已挂载的文件系统
  • 必须使用root的权限才能操作
  • 只能备份XFS文件系统
  • 备份后的数据只能让xfsrestore解析
  • 不能备份两个具有相同UUID的文件系统(可用blkid命令查看)

5.实验:演示备份和恢复的具体步骤

第一步:将前面使用的分区sdb1进行解挂并格式化为xfs格式后重新挂载,也可以重新创建然后类型修改为xfs类型,具体步骤参考上一个实验。
在这里插入图片描述
第二步:在挂载目录创建文件用于后面测试用
在这里插入图片描述
第三步:查看程序是否安装,指定备份目录和需要备份的磁盘
在这里插入图片描述
第四步:创建文件并且删除进行测试

在这里插入图片描述

二、日志文件

日志保存位置默认位于:/var/log目录下

2.1 日志的功能

  • 用于记录系统、程序运行中发生的各种事件
  • 通过阅读日志,有助于诊断和解决系统故障

2.2 日志文件的分类

1.内核及系统日志

  • 由系统服务rsyslog统一进行管理,日志格式基本相似
  • 主配置文件/etc/rsyslog.conf

2.用户日志

  • 记录系统用户登录及退出系统的相关信息

3.程序日志

  • 由各种应用程序独立管理的日志文件,记录格式不统一

2.3 主要日志文件分类

1.内核及公共消息日志:

  • /var/log/messages: 记录Linux内核消息及各种应用程序的公共日志信息,包括启动、I0错误、网络错误、程序故障等。
  • 对于未使用独立日志文件的应用程序或服务,一般都可以从该日志文件中获得相关的事件记录信息。
    在这里插入图片描述

2.计划任务日志:

  • /var/log/ cron: 记录crond计划任务产生的事件信息。
    在这里插入图片描述

3.系统引导日志:

  • /var/ log/ dmesg: 记录Linux系统在引导过程中的各种事件信息。
    在这里插入图片描述

4.邮件系统日志:

  • /var/log/maillog:记录进入或发出系统的电子邮件活动。
    在这里插入图片描述

5.用户登录日志:

  • /var/log/secure: 记录用户认证相关的安全事件信息。
  • /var/log/lastlog: 记录每个用户最近的登录事件。二进制格式
  • /var/log/wtmp: 记录每个用户登录、注销及系统启动和停机事件。二进制格式
  • /var/ run/btmp: 记录失败的、错误的登录尝试及验证事件。二进制格式

6.日志配置文件和日志消息等级

vim /etc/rsyslog.conf					#查看rsyslog.conf配置文件
* . info;mail.none;authpriv.none;cron.none	/var/log/messages

*.info			#表示info等级及以上的所有等级的信息都写到对应的日志文件里
mail.none		#表示某事件的信息不写到日志文件里(这里比如是邮件)

Linux系统内核日志消息的优先级别(数字等级越小,优先级越高,消息越重要):

级别消息级别具体描述
0EMERG紧急会导致主机系统不可用的情况
1ALERT警告必须马上采取措施解决的问题
2CRIT严重比较严重的情况
3ERR错误运行出现错误
4WARNING提醒可能影响系统功能,需要提醒用户的重要事件
5NOTICE注意不会影响正常功能,但是需要注意的事件
6INFO信息一般信息
7DEBUG调试程序或系统调试信息等

7.日志记录的一般格式
在这里插入图片描述
8.分析工具

  • users、who、 W、last、 lastb

  • last命令用于查询成功登录到系统的用户记录
    在这里插入图片描述

  • lastb命令用于查询登录失败的用户记录
    在这里插入图片描述

9.程序日志分析:由相应的应用程序独立进行管理

  • Web服务:/var/log/httpd/
    • access_log ——记录客户访问事件
    • error_log ——记录错误事件
  • 代理服务:/var/log/squid/
    • access.log、cache.log
  • 分析工具
  • 文本查看、grep过来检索、Webmin管理套件中查看
  • awk、sed等文本过滤、格式化编辑工具
  • Webalizer、Awstats等专用日志分析工具

10.日志管理策略

  • 及时做好备份和归档
  • 延长日志保存期限
  • 控制日志访问权限
    • 日志中可能会包含各类敏感信息,如账户和口令等
  • 集中管理日志
    • 将服务器的日志文件发到统一-的日志文件服务器
    • 便于日志信息的统- -收集、 整理和分析
    • 杜绝日志信息的意外丢失、恶意篡改或删除
码海小虾米_
关注
  • 1
    点赞
  • 3
    收藏
    觉得还不错? 一键收藏
  • 打赏
    打赏
  • 4
    评论
专栏目录
手把手Windows与Linux文件rsync同步方案.docx
08-29
详细说明如何通过rsync工具,在Windows与Linux之间完成文件同步实践方案
linux管理
njhwwgc的专栏
05-16 340
使用df和du命令来监控文件系统的有效空间的大小 通过清除不用的文件和core文件来清理文件系统空间 通过修剪日志文件来清理/var文件系统 从命令行扩展一个卷组 从命令行扩展一个逻辑卷从命令行扩展一个文件系统 1.监控磁盘使用情况使用df 命令检查文件系统的有效空间。# df -kFilesystem kbytes used avail %used Mounted on/dev/vg00/lvo
结构化Log分析
QTrace_PyformUI的博客
07-30 828
Android开发时Log对问题分析是很重要的。如果APK比较简单,那么用文本编辑器或者Android Studio中自Log查看器就可以了。但是如果程序比较复杂,各个模块都添加了Log, 如果这时再用文本编辑器来查看Log, 往往就会一头雾水了。特别是对于Anroid系统开发者,Val报了一个Bug后,附的Log都是整个系统的,往往都是上百兆的。用文本或者AndroidStudio的Log查看器,只能查看或者简单查找。
使用Linux筛选文本-日志分析
szgyunyun的博客
02-22 217
用于简单的文本筛选和日志分析还是很方便的。 我这里用的kali **目的:**筛选出test文件中 状态码为500的url 命令: cat test |grep '500' >test1 或 grep '500' test >out 满足两个条件中的一个条件(包含“500” 或者 包含“302”)的命令: cat test |grep -E '500|302' >test3 同时满足两个条件中(包含“1805” 和 “1905”)的命令: cat test| grep
linux 登陆日志被删除,渗透测试TIPS之删除、伪造Linux系统登录日志
weixin_42122986的博客
05-01 407
原标题:渗透测试TIPS之删除、伪造Linux系统登录日志0x00. 引言擦除日志在渗透测试中是非常重要的一个阶段,这样可以更好地隐藏入侵痕迹,做到不被系统管理人员察觉,实现长期潜伏的目的。 前段时间NSA泄露的渗透测试工具中就有一款wtmp日志的擦除,非常好用,这引起了我的兴趣,于是研究了一下linux 登录相关二进制日志的文件格式,用python写了一个日志擦除,伪造的工具(末尾附源码)0x0...
XFS 文件系统的特点、优缺点以及使用场景
qq_44370158的博客
05-09 3670
总之,XFS 文件系统是一种高性能的日志文件系统,具有较高的性能和可靠性,适合用于大型存储设备的管理、对文件和目录的权限和安全性要求较高的应用场景以及需要高性能和稳定性的应用场景。同时,XFS 文件系统还支持读写权限控制、文件系统级别的加密和压缩等功能,能够满足不同应用场景的需求。XFS 文件系统在某些情况下可能会产生较大的元数据开销,对于处理大量小文件的应用场景,可能会影响文件系统的性能。XFS 文件系统具有较高的性能和可靠性,能够更好地管理大量的文件和目录,并能够在异常情况下更快地恢复文件系统
linux常见实战(一)--【基于centos7的磁盘操作(新磁盘挂载/已有磁盘扩容)】
weixin_47025891的博客
05-15 828
Linux 中,有许多文件系统,包括 ext4、xfs、zfs 和btrfs。其中XFS是基于 RHEL 的发行版中的默认文件系统,而 Ext4 是 Debian 和 Ubuntu 发行版中的标准文件系统。本文基于centos7进行磁盘操作(新磁盘挂载、已有磁盘扩容)...
深入理解Linux文件系统日志分析
weixin_47151643的博客
06-26 997
深入理解Linux文件系统日志分析 文章目录深入理解Linux文件系统日志分析一:inode和block概述1.1文件数据包括元信息与实际数据1.2 block(快)1.3 inode(索引节点)1.4inode包含文件的元信息1.5Linux系统文件三个主要的时间属性1.6 inode的内容1.7 inode的号码1.8 inode的大小1.9 inode的特殊作用由于inode号码与文件名分离,导致一些Unix/Linux系****统具有以下的现象**二:硬链接与软链接链接文件分类2.1硬链接2.2
Java 日志格式规范
Admans的专栏
08-01 926
在程序中写日志是一件非常重要,但是很容易被开发人员忽视的地方。写好程序的日志可以帮助我们大大减轻后期维护压力。在实际的工作中,开发人员往往迫于巨大时间压力,而写日志又是一个非常繁琐的事情,往往没有引起足够的重视。开发人员应在一开始就养成良好的日志撰写习惯,并且应在实际的开发工作中为写日志预留足够的时间。...
Web网站日志分析【apache 与 iis】
滴水石穿
02-28 1506
Web日志是网站的Web服务处理程序,根据一定的规范生成的ASCII文本。它主要记录了网站访问记录数据内容,是网站分析和网站数据仓库的数据基础来源,而网站分析和数据分析也将对SEO产生一定的影响,所以了解Web日志的格式和组成将有利于我们更好地进行网站数据的收集、处理和分析,从而更好的进行网站优化。
日志分析工具 LogParser 学习笔记
Memetali_ss的博客
04-05 6126
1.LogParser是什么? 官方文档解释:log Parser是一款功能强大的多功能工具,可提供对基于文本的数据(例如日志文件,XML文件和CSV文件)以及Windows®操作系统上的关键数据源(例如事件日志,注册表, 文件系统和ActiveDirectory®的查询以及输出。 您可以告诉Log Parser所需的信息以及处理方式。 查询结果可以在基于文本的自定义格式中输出,也可以持...
手把手教你构建自己的LINUX系统.part1
09-22
手把手教你构建自己的Linux系统》以如何使用源代码搭建一套Linux系统这一独特的角度介绍Linux系统的构成,主要内容包括走进GNU/Linux、LFS,Linux系统定制原理,制作GNU/Linux系统的准备工作,本地定制GNU/Linux...
手把手教你启用Win10的Linux子系统(图文超详细)
09-14
主要介绍了手把手教你启用Win10的Linux子系统(图文超详细),文中通过示例代码介绍的非常详细,对大家的学习或者工作具有一定的参考学习价值,需要的朋友们下面随着小编来一起学习学习吧
百家|手把手教你免费自建百万量级数据日志分析系统.pdf
09-18
百家|手把手教你免费自建百万量级数据日志分析系统 安全对抗 红蓝对抗 数据分析 云安全 开发安全
手把手教你制作ubuntu系统备份文件(iso制作)
01-14
笔者最近在自己的Ubuntu做了很多设置,其中包括花了大量的时间搭建tensorflow开发环境。为了防止系统遇到一些不确定因素导致崩溃,如果想要在系统崩溃之后花少量的时间搭建一个一模一样的环境,可以制作ISO镜像。
linux日志分析与痕迹清理
weixin_52395937的博客
11-23 1427
linux日志路径 auth.log/secure 用户登录日志以及其权限 btmp/wtmp 登录失败记录/用户登录记录 lastlog/faillog 最后一次登录记录/登录失败记录 /var/log/messages — 包括整体系统信息,其中也包含系统启动期间的日志。此外,mail,cron,daemon,kern和auth等内容也记录在var/log/messages日志中。 /var/log/dmesg — 包含内核缓冲信息(kernel ring buffer)。在系统启动时,会在屏幕上显示许
日志的理解
Chen4852010的博客
03-17 2976
1.日志的定义:程序执行过程中,记录程序运行的情况的 信息 2.日志的作用: Log 日志,主要用于记录程序运行的情况,以便于程序在部署之后的排错调试等,也有利于将这些信息进行持久化(如果不将日志信息保存到文件或数据库,则信息便会丢失)。 日志的3个注意点 1.日志级别 (程序运行哪种级别,日志才输出) 2.日志 输出的 目的地(控制台,持久化文件数据库,...) (日志信息 输出到哪,保存到哪) 3.日志信息的格式,日志输出的格式 这些一般是在配置文件中配置,日志依赖 会去 解析
日志文件介绍与分析
2301_76879043的博客
04-19 2112
CentOS 5 之前版本采用的日志管理系统服务syslogd: system application 记录应用日志klogd: linux kernel 记录内核日志日期时间 主机 进程[pid]: 事件内容通过TCP或UDP协议的服务完成日志记录传送,将分布在不同主机的日志实现集中管理。
手把手教你制作ubuntu系统备份文件(iso制作)
最新发布
09-06
下面是一个手把手教你制作Ubuntu系统备份文件(ISO制作)的简单步骤: 首先,我们需要准备一台运行Ubuntu操作系统的计算机和一个空白的DVD或USB存储设备。确保你的计算机能够正常运行,并且有足够的存储空间来容纳...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论 4
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

码海小虾米_

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值