inode文件与系统日志

一 block与inode

1.1 inode和block概述

1. 文件数据包含元信息与实际数据，元信息存储inode，实际数据存储在block
2. 文件存储在硬盘上，硬盘最小存储单位是“扇区”，每个扇区存储512字节
3. inode不包含文件名。文件名是存放在目录当中的。Linux系统中一切皆文件，因此目录也是一种文件。
4. 每个inode都有一个号码，操作系统用inode号码来认别不同的文件。Linux系统内部不使用文件名，而使用inode号码来认别文件。对于系统来说，文件名只是inode号码便于识别的别称，文件名和inode号码是一一对应关系，每个inode号码对应一个文件名。
5. 所以，当用户在Linux系统中试图访问一个文件时，系统会先根据文件名去查找它对应的inode号码。通过inode号码，获取inode信息，根据inode信息，看该用户是否具有访问这个文件的权限;如果有，就指向相对应的数据block，并读取数据

• block（块）
  • 连续的八个扇区组成一个block（4k）
  • 是文件存取的最小单位
    操作系统在读取硬盘时，是一次性连续读取多个扇区，即一个块一个块的读取
• inode（索引节点）
• 中文译名为“索引节点”，也称“i节点”
• 用于存储文件元信息

1.2 inode的内容

• node包含文件的元信息
  • 文件的字节数
  • 文件拥有者的User ID
  • 文件的Group ID
  • 文件的读、写、执行权限
  • 文件的时间戳
  • 但不包含文件名

用stat命令可以查看某个文件的inode信息
例如：stat qz.txt

• Linux系统文件三个主要的时间属性

命令	说明
ctime(change time)	最后一次改变文件或目录（属性）的时间
atime(access time)	最后一次访问文件或目录的时间
mtime(modify time)	最后一次修改文件或目录（内容）的时间

更改mtime， ctime也会跟着更改
仅仅更改ctime，mtime不会更改

1. 每个indoe都有一个号码，操作系统用inode号码来识别不同的文件
2. Linux系统内部不使用文件名，而使用Indoe号码来识别文件
3. 对于用户，文件名只是indoe号码便于识别的别称
4. 目录也是一种文件
   

1.3 inode的号码

• 用户通过文件名打开文件时，系统内部的过程
  • 系统先找到这个文件名对应的inode号码
  • 通过indoe号码，获取inode信息
  • 根据inode信息，找到文件数据所在的block，读出数据
• 查看inode号码的方法
  • ls -i（查看文件名对应的inode号码）
    例如：ls -i qz.txt
  • stat（查看文件inode信息中的inode号码）
    例如：stat qz.txt

ls -i 文件名：查看对应文件名对应的inode号

1.4 inode的大小

1. node也会消耗硬盘空间(每个inode的大小一般为128字节或256字节)
2. 格式化文件系统时会确定inode的总数
3. 格式化的时候，操作系统会自动将硬盘分成两个区。一个是数据区，存放文件数据；另一个是inode区，存放inode所包含的信息
4. df -i（可以查看每个硬盘分区的inode总数和已经使用的数量）
5. 创建文件时，内存不够无法创建，查询磁盘空间df -h有剩余，这时就需要查询inode的空间大小，使用
   

1.5 inode的特殊作用

• 由于inode号码与文件名分离，导致一些Unix/Linux系统具有以下的现象
  • 1.当文件名包含特殊字符，可能无法正常删除文件，这时直接删除inode，能够起到删除文件的作用
  • 2.移动或重命名文件时，只改变文件名，不影响inode号码
  • 3.打开一个文件后，系统通过inode号码来识别该文件，不再考虑文件名
  • 4.文件数据被修改后，会生成一个新的inode号码
• 使用find命令可以删除inode号

find ./ -inum 52201242 -exec rm -i {} ;
find ./ - inum 55156844 -delete

1.6 inode节点耗尽故障处理

1. 使用fdisk创建分区/dev/sdb1，因为实验用，所以分区大小30M即可 fdisk /dev/sdb

2. mkfs.ext4 /dev/sdb1
   格式化(使用ext4文件类型，因为更准确)

3. mkdir /test 创建目录

4. mount /dev/sdb1 /mnt 挂载

5. df -i 查看

6. for ((i=1; i<=7680; i++));do touch /test/file$i;done 使用for命令通过循环的方式创建目录

7. touch {1…7680}.txt ///或者使用touch命令创建目录

8. df -i 或 df -hT //查看还有多少空间

9. rm -rf /test/* //删除该文件后即可恢复

10. df -i 或df -hT //查看

1.7 用户访问过程如图

文件数据都储存在"块"中，那么很显然，我们还必须找到一个地方储存文件的元信息，比如文件的创建者、文件的创建日期、文件的大小等等。这种储存文件元信息的区域就叫做inode，中文译名为"索引节点"。一个文件必须占一个inode号，但至少占一个block。

1.8 查看该系统的inode节点的大小

xfs_info 文件系统名：查看xfs文件系统的inode节点的大小

**isize**表示为inode大小；agcount为存储区群组(allocation group)的个数。
**sectsz**指逻辑扇区(sector)的容量大小。
**bsize**指block容量大小。
**sunit**与swidth与stripe相关。
**internal**指登录区(log p)在文件系统内部，而不在外部。
**bsize**指占用区块大小，blocks为数量。

stat -f ：查看指定文件所在的文件系统inode的空闲情况用

二 硬链接和软连接

2.1硬软链接的定义

1. 硬链接：由于linux下的文件是通过索引节点（Inode）来识别文件，硬链接可以认为是一个指针， 指向文件索引节点的指针，系统并不为它重新分配inode。每添加一个一个硬链接，文件的链接数就加1。
2. 软链接克服了硬链接的不足，没有任何文件系统的限制，任何用户可以创建指向目录的符号链接

2.2 链接文件分类

• 硬链接
  • ln 源文件 目标位置
• 软链接
  • ln [-s] 源文件或目录… 链接文件或目标位置

三 恢复误删除的文件

3.1 EXT 类型文件恢复

extundelete 是一个开源的 Linux 数据恢复工具，支持ext3、ext4（只能在CentOS6版本中恢复）文件系统。

3.1.1 操作步骤

1. 使用fdisk创建分区/dev/sdc1 fdisk /dev/sdc

2. 格式化 : mkfs.ext3 /dev/sdc1

3. 创建：mkdir /test

4. 挂载：mount /dev/sdc1 /test

5. 查看：df -hT

6. 通过yum安装依赖包：yum -y install e2fsprogs-devel e2fsprogs-libs

7. 编译安装：extundelete

8. cd /test
   wget 使用wget通过该网站下载进行安装链接

9. 解压：tar jxvf extundelete-0.2.4.tar.bz2

cd extundelete-0.2.4/
./configure - -prefix=usr/local/extundelete && make && install  //使用源码编译进行安装

ln -s /usr/local/extundelete/bin* /usr/bin/

模拟删除并恢复操作

cd /test

echo a>a
echo a>b
echo a>c
echo a>d

ls

10. extundelete /dev/sdc1 - -inode2
    查看文件系统/dev/sdc1下存在哪些文件，i节点是从2开始的，2代表该文件系统最开始的目录

rm -rf a b
extundelete /dev/sdc1 - -inode 2

cd~

11. 解挂：umount /test

12. 恢复/dev/sdc1 文件系统下的所有内容。然后会在当前目录下出现一个RECOVERED_FILES/目录，里面包含了已经恢复的文件

extundelete /dev/sdc1 - -restore-all

ls RECOVERED_FILES/ 查看

3.2 备份dump

1. CentOS7 系统默认采用xfs类型的文件，xfs类型的文件可使用xfsdump与xfsrestore工具进行备份恢复
2. xfsdump的备份级别有两种
   0表示完全备份
   1-9表示增量备份
   xfsdump的备份默认级别为0

xfsdump的命令格式

命令	说明
-f	指定备份文件目录
-L	指定标签session label
-M	指定设备标签 media label
-s	备份单个文件，-s后面不能直接跟路径

• xfsdump使用限制
  • 1.只能备份已挂载的文件系统
  • 2.必须使用root的权限才能操作
  • 3.只能备份XFS文件系统
  • 4.备份后的数据只能让xfsrestore解析
  • 5.不能备份两个具有相同UUID的文件系统（可用blkid命令进行查看）

3.2.1 操作步骤

1. 使用fdisk创建分区： fdisk /dev/sdv

2. 刷新： partprobe /dev/sdb

3. 使用-f进行强制格式化 ：mkfs.xfs -f /dev/sdb1

mkdir /data

mount /dev/sdb1 /data/

cd /data

cp /etc/passwd ./

mkdir test

touch test/a

4. 使用xfsdump命令备份整个分区

rpm -qa | grep xfsdump
yum install -y xfsdump
xfsdump -f /opt/dump_sdb1 /dev/sdb1 [-L dump_sdb1 -M sdb1]

5. 模拟数据丢失并使用xfsrestore命令恢复文件

cd /data/
rm -re ./*
ls

xfsrestore -f /opt/dump_sdb1 /data/

四 日志文件

4.1 日志文件概述

• 日志功能

  • 用于记录系统（安全性、邮件）、程序运行中发生的各种事件
  • 通过阅读日志，有助于诊断和解决系统故障。

• 日志分类

  • 内核及系统日志
    由系统范围reyslog统一进行管理，日志格式进步相似
  • 用户日志。
    记录系统用户登录及退出系统的相关信息
  • 程序日志
    由各种应用程序独立管理的日志文件，记录格式不统一

1. 系统日志默认保存在：/var/log目录下

2. 系统日志主要程序：/sbin/rsyslogd

3. 系统日志配置文件：/etc/rsyslog.conf

4. 系统日志软件包：rsyslog-7.4.7-16.el7.x86_64

4.2 Linux主要包含的日志文件

1. 内核及公共消息日志
   /var/log/messages:记录Linux内核消息及各种应用程序的公共日志信息，包括启动、IO错误、网络错误、程序故障等。对于未使用独立日志文件的应用程序或服务，一般都可以从该日志文件中获得相关的事件记录信息。

2. 计划任务日志
   /var/log/cron:记录crond计划任务产生的事件信息。

3. 系统引导日志
   /var/log/dmesg: 记录Linux系统在引导过程中的各种事件信息。

4. 邮件系统日志
   /var/log/maillog:记录进入或发出系统的电子邮件活动。

5. 用户登录日志

   • ① /var/log/secure:记录用户认证相关的安全事件信息(用户登录、注销及系统开关机)。
   2. ② /var/log/lastlog:记录每个用户最近的登录事件。二进制格式
   • ③ /var/log/wtmp:记录每个用户登录、注销及系统启动和停机事件。二进制格式
   • ④ /var/run/btmp:记录失败的、错误的登录尝试及验证事件。二进制格式(与用户验证相关的安全性事件 )

    用户登录日志
    /var/log/lastlog
    最近用户登录时间，是二进制的，无法查看，可以直接查看lastlog。
    lastlog：记录所有账号的登录信息（排序默认时间从近到远）。
    last：最近登录的信息。
    lastb：记录错误登录的信息；比如密码输入错误，正确登录进来之后，错误密码信息记录在lastb内。

vim /etc/rsyslog.conf
查看reyslog.conf配置文件
例如：

4.21 实例

1. 记录用户认证相关的安全事件信息

cd /var/log
tail secure

2. tail lastlog ：是二进制的，无法查看，可以直接查看lastlog

3. lastlog：记录所有账号的登录信息（排序默认时间从近到远）

4. last：最近登录的信息

5. lastb：记录错误登录的信息
   
   /var/log/wtmp:用户登录、注销及系统开关机
   
   /var/run/utmp:当前登录的每个用户的详细信息
   

4.2、日志消息的级别

Linux系统内核日志消息的优先级别（数字等级越小，优先级越高，消息越重要）

4.4 Linux系统中用户日志的查询命令及日志记录格式

• users、who、w、last、lastb
• last命令用于查询成功登陆到系统的用于记录
• lastb命令用于查询登陆失败的用户记录

日志记录的一般格式

时间标签；主机；进程；消息
/var/log/tailf messages 等同于tail -f：时时查看日志文件。

4.5 程序日志分析

1. Web服务：/var/log/httpd/
   ① access_log 记录客户访问事件
   ② error_log 记录错误事件
2. 代理服务：/var/log/squid/
   ① access.log 记录客户访问事件
   ② cache.log 记录缓存事件
3. 分析工具
   ① 文本查看、grep过滤检索、Webmin管理套件中查看
   awk、sed等文本过滤、格式化编辑工具
   ② Webalizer、Awstats等专用日志分析工具
   ③ 一般通过Windows和Linux挂载的方法，从Linux系统中导出日志查看，或者在Windows中使用WinSCP查看

4.6 日志管理策略

1. 及时做好备份和归档
2. 延长日志保存期限
3. 控制日志访问权限，因为日志中可能会包含各类敏感信息，如账号、口令等
4. chmod 640 （主成员能读、能写，自己组成员能读，其他用户没有任何权限）
5. 集中管理日志
   将服务器的日志文件发到同一的日志文件服务器
   便于日志信息的同一收集、整理和分析
   杜绝日志信息的意外丢失、恶意篡改或删除

4.7 系统服务rsyslog

软件包：rayalog-7.4.7-16.el17.x86_64
主要程序：/sbin/rayalogd
配置文件：/rtc/rsysylog.conf

centos7系统-journal；q：退出编辑

jouralct选项	用法
-k	查看系统内核
-u 文件名	查看服务文件
-e	从尾部往前看（最新的）
-b	系统启动日志
-xe	提供网址信息；网络无法启动时