文章目录
一 . inode和block
1.文件和扇区
文件是存储在硬盘上的,硬盘的最小存储单位叫做“扇区”,每个扇区存储512字节
2.块(block)
一般连续八个扇区组成一个“块”(block),一个块是4k大小,是文件存取的最小单位。
操作系统读取硬盘的时候,是一次性读取多个扇区,即一个块一个块的读取的。
3.文件数据
文件数据包括实际数据与元数据(类似文件属性)。
文件数据存储在“块”中,存储文件元信息(比如文件的创建者,创建日期,文件大小,文件权限等)的区域就叫做inode
二 . inode(索引节点)
一个文件必须占用一个 inode,并且至少占用一个 block。
inode不包含文件名。文件名是存放在目录当中的。Linux 系统中一切皆文件,因此目录也是一种文件。
每个inode都有一个号码,操作系统用inode号码来识别不同的文件。Linux系统内部不使用文件名,而使用inode号码来识别文件。对于系统来说,文件名只是inode号码便于识别的别称,文件名和inode号码是一一对应关系,每个inode号码对应一个文件名。
1.inode的内容
inode包含文件的元信息
文件的字节数
文件拥有者的User ID
文件的Group ID
文件的读、写、执行权限
文件的时间戳
用stat命令可以查看某个文件的inode信息
- 示例:stat aa.txt
Linux系统文件三个主要时间属性
ctime(change time) #最后一次改变文件或目录(属性)的时间
atime(access time) #最后一次访问文件或目录的时间
mtime(modify time) #最后一次修改文件或目录(内容)的时间
■目录文件的结构
目录也是一种文件
目录文件的结构
■每个inode都有一个号码,操作系统用inode号码来识别不同的文件
■Linux系统内部不使用文件名,而使用inode号码来识别文件
■对于用户,文件名只是inode号码便于识别的别称
2. inode的号码
■用户通过文件名打开文件时,系统内部的过程
系统找到这个文件名对应的inode号码
通过inode号码,获取inode信息
根据inode信息,找到文件数据所在的block,读出数据
■查看inode号码的方法
ls -i命令:查看文件名对应的inode号码
ls -i aa.txt
stat命令:查看文件inode信息中的inode号码
stat aa.txt
3.inode的大小
■inode也会消耗硬盘空间
每个inode的大小一般是128字节或256字节
■格式化文件系统是确定了inode的总数
■使用df -i命令可以查看每个硬盘分区的inode总数和已经使用的数量
4.inode的特殊作用
由于 inode 号码与文件名分离,导致Linux 系统具备以下几种特有的现象:
文件名包含特殊字符,可能无法正常删除。这时直接删除 inode,能够起到删除文件的作用;
移动文件或重命名文件,只是改变文件名,不影响 inode 号码;打开一个文件以后,系统就以 inode 号码来识别这个文件,不再考虑文件名。
文件数据被修改保存后,会生成一个新的 inode 号码。
5.通过删除inode号删除文件
find ./ -inum 52305140 -exec rm -i {} \;
find ./ -inum 50464299 -delete
三. 恢复xfs类型的文件
centos 7系统默认采用xfs类型的文件,xfs类型的文件可使用xfsdump 与xfsrestore工具进行备份恢复。
xfsdump的备份级别分别有两种:0表示完全备份;1-9表示增量备份。xfsdump的备份级别默认为0
xfsdump的命令格式为:
xfsdump -f 备份存放位置要备份的理解或设备文件
-f:指定备份文件目录
-L:指定标签session label
-M:指定设备标签media labe
-S:备份单个文件,-s后面不能直接跟路径
xfsdump使用限制:
1.只能备份已挂载的文件系统
2.必须使用root的权限才能操作
3.只能备份xfs文件系统
4.备份后的数据只能让xfsrestore解析
5.不能备份两个具有相同UUID的文件系统(可用blkid命令查看)
xfsrestore 恢复命令
xfsrestore -f 恢复文件的位置 存放恢复后文件的位置
四 . 系统日志
1.日志文件
1.1 日志的功能
用于记录系统、程序运行中发生的各种事件
通过阅读日志,有助于诊断和解决系统故障
1.2 日志的分类
■内核及系统日志
由系统服务 rsyslog 统一进行管理,日志格式基本相似
主配置文件 /etc/rsyslog.conf
■用户日志
记录系统用户登录及退出系统的相关信息
主配置文件/var/log/secure
■程序日志
由各种应用程序独立管理的日志文件,记录格式不统一
1.3 系统日志文件默认保存配置
系统日志文件都默认放在目录/var/log/下
1.4 常见的一些日志文件
内核及公共消息日志:
/var/log/messages:记录Linux内核消息及各种应用程序的公共日志信息,包括启动、To错误、网络错误、程序故障等。
对于未使用独立日志文件的应用程序或服务,一般都可以从该日志文件中获得相关的事件记录信息。
#计划任务日志:
/ var/ log / cron:记录crond计划任务产生的事件信息。
#系统引导日志:
/var/log/dmesg:记录Linux系统在引导过程中的各种事件信息。
#邮件系统日志:
/var/ log/maillog:记录进入或发出系统的电子邮件活动。
#用户登录日志:
/var/log/security:记录用户认证相关的安全事件信息。
/var/log/lastlog:记录每个用户最近的登录事件。二进制格式
/var/log/wtmp:记录每个用户登录、注销及系统启动和停机事件。二进制格式
/var/run/btmp:记录失败的、错误的登录尝试及验证事件。二进制格式
2.内核及系统日志
■由系统服务 rsyslog 统一进行管理
软件包:rsyslog-7.4.7-16.el7.x86_64、
主要程序:/sbin/rsyslogd
配置文件:/etc/rsyslog.cont
2.1 查看rsyslog.com
vim /etc/rsyslog.conf #查看rsyslog.conf配置文件
*.info;mail.none;authpriv.none;cron.none /var/log/messages
*.info #表示info等级及以上的所有等级的信息都写到对应的日志文件里
mail.none #表示某事件的信息不写到日志文件里(这里比如是邮件)
2.2日志消息的级别
级号 | 优先级级别 | 说明 |
---|---|---|
0 | EMERG(紧急) | 会导致主机系统不可用的情况。 |
1 | ALERT(警告) | 必须马上采取措施解决的问题。 |
2 | CRIT(严重) | 比较严重的情况。 |
3 | ERR(错误) | 运行出现错误。 |
4 | WARNING(提醒) | 可能影响系统功能,需要提醒用户的重要事件。 |
5 | NOTICE(注意) | 不会影响正常功能,但是需要注意的事件。 |
6 | INFO(信息) | 一般信息。 |
DEBUG(调试) | 程序或系统调试信息等。 |
2.3 日志记录的一般格式
3.用户日志分析
■保存了用户登录、退出系统的相关信息
/var/log/lastlog:最近的用户登录事件
/var/log/wtmp:用户登录、注销及系统开、关机事件
/var/run/utmp:当前登录的每个用户的详细信息
/var/log/secure:与用户验证相关的安全性事件
■分析工具
users、 who、w 、last、lastb
last命令用于查询成功登录到系统的用户记录
lastb命令用于查询登录失败的用户记录
4.程序日志分析
■由相应的应用程序独立进行管理
■Web服务:Nar/log/httpd/
access_log //记录客户访问事件error_log //记录错误事件
■代理服务:/var/log/squid/
access.log、cache.log
■分析工具
文本查看、grep过滤检索、Webmin管理套件中查看awk、sed等文本过滤、格式化编辑工具Webalizer、Awstats等专用日志分析工具
5. 日志管理策略
及时作好备份和归档
■延长日志保存期限
■控制日志访问权限
日志中可能会包含各类敏感信息,如账户、口令等
■集中管理日志
将服务器的日志文件发到统一的日志文件服务器
便于日志信息的统一收集、整理和分析
:Nar/log/httpd/
access_log //记录客户访问事件error_log //记录错误事件
■代理服务:/var/log/squid/
access.log、cache.log
■分析工具
文本查看、grep过滤检索、Webmin管理套件中查看awk、sed等文本过滤、格式化编辑工具Webalizer、Awstats等专用日志分析工具
### 5. 日志管理策略
及时作好备份和归档
■延长日志保存期限
■控制日志访问权限
日志中可能会包含各类敏感信息,如账户、口令等
■集中管理日志
将服务器的日志文件发到统一的日志文件服务器
便于日志信息的统一收集、整理和分析
杜绝日志信息的意外丢失、恶意篡改或删除