0
点赞
收藏
分享

微信扫一扫

深入理解Linux文件系统和日志分析

思考的鸿毛 2022-04-15 阅读 80
linux

目录

一、block与inode

        1.1block和inode的概述

        1.2inode和block之间的关系

        1.3.indo的内容

       1.inode包含文件的元信息

       2.用stat命令可以查看某个文件的inode信息

       3.Linux系统文件三个主要的时间属性

       4.目录文件结构

        1.4.inode的号码

       1.用户通过文件名打开文件时,系统内部的过程

       2.硬盘分区后的结构

1.5.inode的大小

1.6 inode的特殊作用

二.硬链接和软链接

     1.链接文件类型

三.恢复误删除的文件

    1.恢复EXT类型的文件

四.恢复XFS类型文件

       1.xfsdump命令格式

       2.xfsdump备份级别(默认为0)

       3.xfsdump常用选项:

      4.xfsrestore命令格式

      5.xfsdump使用限制      

       6.模拟删除并执行恢复操作

 五.Linux日志文件

           1.日志的功能

                    2.日志文件的分类

                      1. 内核以及系统日志

                      2.用户日志

                      3.程序日志

                    3.日志保存位置

                    3.常见的一些日志文件

    1. 内核及公共消息日志:/var/log/messages      

    2.计划任务日志:/var/log/cron

    3.系统引导日志:/var/log/dmesg

    4.邮件系统日志:/var/log/maillo

 5.   用户登录日志:

        3.Linux系统内核日志消息的优先级别

        4.日志记录的一般格式

           5.用户日志分析

       1.保存了用户登录、退出系统等相关信息

        2.分析工具

 ​ 6.程序日志分析

    2.分析工具

7.日志管理策略

八.总结


一、block与inode

     1.1block和inode的概述

           1.文件数据包括元信息与实际数据。

           2.文件存储在硬盘上,硬盘最小存储单位是“扇区”,每个扇区存储512字节。

           3.block(块)(ps:相当于数据)

                     1.连续的八个扇区组成一个block。

                     2.是文件存取的最小单位。

                     3.最常见的是4KB ,即连续八个扇区组成一个块

           4.inode(索引节点)

                     1.中文译名为“索引节点”,也叫i节点

                     2.用于存储文件元信息。

(ps:一个文件必须占用一个inode ,至少占用一个block)每个inode都有一个号码,操作系统用inode号码来识别不同的文件。 Linux系统内部不使用文件名,而使用inode号码来识别文件。对于系统来说,文件名只是inode号码便于识别的别称,文件名和inode号码是一一对应关系,每个inode号码对应一个文件名。
所以,当用户在Linux系统中试图访问一个文件时,系统会先根据文件名去查找它对应的inode号码:通过inode号码,获取inode信息;根据inode信息,看该用户是否具有访问这个文件的权限;如果有,就指向相对应的数据block,并读取数据。
 

1.2inode和block之间的关系

inode节点

元信息:(文件属性:文件大小,权限,时间戳)

block块的大小

数据文件:编写文件的内容

(文件数据存放在块中,文件元信息 存在inode中)

1.3.indo的内容

        1.inode包含文件的元信息

             1.文件的字节数

             2.文件拥有者的User ID

             3.文件的Group ID

             4.文件的读、写、执行权限

             5.文件的时间戳,一共有3个(ps: ctime指inode创建时间,mtime指文件内容上一次修改的时间,atime指文件最后一次访问的时间

             6.链接数,即有多少文件名指向这个inode

             7.文件数据block的位置

      2.用stat命令可以查看某个文件的inode信息

格式:1.stat 【文件名】.txt
     2.df -i
     3.ls -i

方法一:ls -i 【文件名】:查看文件名对应的inode号码
方法二:stat 【文件名】:查看文件inode信息中的inode号码
方法三:df -i 【文件名】:查看整个磁盘中inode的值

     3.Linux系统文件三个主要的时间属性

1.ctime(change time):最后一次改变文件或目录的时间,例如执行chmod、chown。

2.atime(access time):是最近一次访问文件或目录的时间。

3.mtime(modify time):是最后一次修改文件或目录(内容)的时间。

   4.目录文件结构

inode不包含文件名。文件名是存放在目录当中的。Linux系统中一切皆文件,因此目录也是一种文件。
文件名1indoe号码1
文件名2indoe号码2
文件名3indoe号码3
.。。。。。。。。
1.每个inode都有一个号码,操作系统用inode号码来识别不同的文件,

2.linux系统内部使用不同文件名,而使用inode来识别文件。

3.对于用户来说,文件名只是inode号码便于识别的别称,
文件名和inode号码是一 一对应关系,每个inode号码对应一个文件名。.

 1.4.inode的号码

       1.用户通过文件名打开文件时,系统内部的过程

               1.系统找到这个文件名对应的inode号码。

               2.通过inode号码,获取inode信息(数据源)。

               3.根据inode信息,找到文件数据所在的block,读出数据。

ps:系统找到这个文件名对应的inode号码,判断用户是否有权限,若有权限则通过inode值, 获取inode信息,根据inode信息,找到文件数据所在的block,读出数据;若没有权限则会给出拒绝访问回馈。

    2.硬盘分区后的结构

        

1.5.inode的大小

   1.inode也会消耗硬盘空间。(每个inode的大小②一般是128字节或256字节)

   2.格式化文件系统时确定inode的总数。

   3.使用df -i命令可以查看每个硬盘分区的inode总数和已经使用的数量。

案例:模拟inode节点耗尽故障处理

第一步:先创建一个硬盘然后分出一个30M的分区

第二步先格式化Sdb1并挂载然后查看inode节点的使用情况

 第三步:模拟节点耗尽情况

 第四步:看磁盘空间还有很多,但已经不能在创建文件,就是因为indo节点被占满了

第五步:删除无用文件减少节点占用

1.6 inode的特殊作用

由于inode号码与文件名分离,导致一些Unix/Linux系统具有以下的现象

当文件名包含特殊字符,可能无法正常删除文件,直接删除inode,也可以删除文件

移动或重命名文件时,只改变文件名,不影响inode号码

打开一个文件后,系统通过inode号码来识别该文件,不再考虑文件名

由于inode号码与文件名分离,导致Linux系统具备以下几种特有的现象:

1.文件名包含特殊字符,可能无法正常删除。这时直接删除inode,能够起到删除文件的作用;

2.移动文件或重命名文件,只是改变文件名,不影响inode号码;

3.打开一个文件以后,系统就以inode 号码来识别这个文件,不再考虑文件名。

4.文件数据被修改保存后,会生成--个新的inode号码。

​格式

普通文件 find ./ -inum 52305140 -exec rm -i {} ;

find ./ -inum 134564712 -exec rm -i {} \ 目录

find ./ -inum 134564712 -delete

​

二.硬链接和软链接

     1.链接文件类型

格式:

硬链接:
 
ln 源文件 目标位置
 
软链接:
 
ln -s 源文件或目录  链接文件或目标位置
操作和范围软链接硬链接
删除原始文件 后失效仍然可用
使用范围适用于文件或目录可用于文件
保存位置与原始文件可以位于不同的文件系统 中必须与原始文件在同一个文件系统(如一个Linux分 区)内

 

三.恢复误删除的文件

    1.恢复EXT类型的文件

extundelete是一个开源的Linux 数据恢复工具,支持ext3、ext4文件系统。

(ext4只能在centos6版本恢复)

1.使用fdisk创建分区/dev/sdb1,格式化ext3文件系统

1.fdisk /dev/sdc
2.partprobe /dev/sdb
3.mkfs.ext3 /dev/sdb1
4.mount /dev/sdb1 /mnt
5.df -hT

 

2.安装依赖包

yum -y install e2fsprogs-devel e2fsprogs- libs

 3.编译安装extundelete

 

卸载test,恢复/dev/sdb2 文件系统下的所有内容,、在当前目录下会出现一个RECOVERED_FILES/目录, 里面保存了已经恢复的文件(之前删除的a和b恢复了)。

 

 

四.恢复XFS类型文件

       1.xfsdump命令格式

xfsdump  -f  备份存放位置  要备份的路径或设备文件

       2.xfsdump备份级别(默认为0)

0:完全备份
1-9:增量备份

       3.xfsdump常用选项:

f:指定备份文件目录
 
-L:指定标签session label
 
-M:指定设备标签media labe . . .
 
-s:备份单个文件,-s后面不能直接跟路径

      4.xfsrestore命令格式

xfsrestore  -f  恢复文件的位置  存放恢复后文件的位置

      5.xfsdump使用限制      

    1.只能备份已挂载的文件系统

    2.必须使用root的权限才能操作

    3.只能备份XFS文件系统

    4.备份后的数据只能让xfsrestore解析

    5.不能备份两个具有相同UUID的文件系统

       6.模拟删除并执行恢复操作

使用fdisk创建分区/dev/sdb2,格式化xfs文件系统
fdisk /dev/sdb
partprobe /dev/sdb
mkfs.xfs [-f] /dev/sdb2
mkdir /data
mount /dev/sdb2 /data/
cd /data
cp /etc/passwd ./
mkdir test
touch test/a
 使用xfsdump命令备份整个分区
 rpm -qa | grep xfsdump
yum install -y xfsdump
xfsdump -f /opt/dump_sdbl /dev/sdb2 [-L dump_sdb2 -M sdb2]
 模拟数据丢失并使用xfsrestore命令恢复文件
cd /data/
rm -rf ./*
ls
xfsrestore -f l opt/dump_sdb2 /data/

 创建测试使用的文件、目录,并在文件中写入数据

 安装xfsdump

 有交互

 无交互

 增量备份

 

 五.Linux日志文件

           1.日志的功能

     1.用于记录系统、程序运行中发生的各种事件。

     2.通过阅读日志,有助于诊断和解决系统故障。

           2.日志文件的分类

                  1. 内核以及系统日志

    由系统服务rsyslog统一进行管理,日志格式基本相似。

                 2.用户日志

   记录系统用户登录及退出系统的相关信息。

                 3.程序日志

 有各种应用程序独立管理的日志文件,记录格式不一。

           3.日志保存位置

默认位于:/var/log目录下

主要日志文件介绍

首先:内核及系统日志由系统服务rsyslog 统一管理,主配置文件为/etc/rsyslog.conf,Linux操作系统本身和大部分服务器程序的日志文件都默认放在目录/var/log/下。

格式:vim /etc/rsyslog.conf
内核及公共消息日志/var/log/messages
计划任务日志/var/log/cron
系统引导日志/var/log/dmesg
邮件系统日志/var/log/maillog
用户登录日志/var/log/lastlog
/var/log/secure
/var/log/wtmp
/var/log/btmp

内核及系统日志由系统服务rsys1og统一管理,主配置文件为/etc/rsyslog.conf

Linux操作系统本身和大部分服务器程序的日志文件都默认放在目录/var/1og/下。

   3.常见的一些日志文件

    1. 内核及公共消息日志:/var/log/messages      

             记录Linux内核消息及各种应用程序的公共日志信息,包括启动、Io错误、网络错误、程序故障等。对于未使用独立日志文件的应用程序或服务,一般都可以从该日志文件中获得相关的事件记录信息。

    2.计划任务日志:/var/log/cron

            记录crond计划任务产生的事件信息。

   3.系统引导日志:/var/log/dmesg

            记录Linux系统在引导过程中的各种事件信息。

  4.邮件系统日志:/var/log/maillog

           记录进入或发出系统的电子邮件活动。

  5.   用户登录日志:

/var/log/secure: 记录用户认证相关的安全事件信息。

/var/log/lastlog:记录每个用户最近的登录事件。二进制格式

/var/log/wtmp:记录每个用户登录、注销及系统启动和停机事件。二进制格式

/var/run/btmp:记录失败的、错误的登录尝试及验证事件。二进制格式

*.info            #表示info等级及以上的所有等级的信息都写到对应的日志文件里

mail.none          表示某事件的信息不写到日志文件里(这里比如是邮件)

3.Linux系统内核日志消息的优先级别

 (ps:数字等级越小,优先级越高,消息越重要)

EMERG(紧急)会导致主机系统不可用的情况
ALERT(警告)必须马上采取措施解决的问题
 CRIT(严重)比较严重的情况
ERR(错误)运行出现错误
WARNING(提醒)可能影响系统功能,需要提醒用户的重要事件
 NOTICE(注意)不会影响正常功能,但是需要注意的事件
INFO(信息)一般信息
DEBUG(调试)程序或系统调试信息等

4.日志记录的一般格式

内核及大多数系统消息都被记录到公共日志文件/var/log/messages中,
而其他一些程序消息被记录到各自独立的日志文件中,此外日志消息还能够记录到特定的存储设备中,
或者直接发送给指定用户

  5.用户日志分析

     1.保存了用户登录、退出系统等相关信息

/var/log/lastlog:最近的用户登录事件

/var/log/wtmp:用户登录、注销及系统开、关机事件

/var/run/utmp:当前登录的每个用户的详细信息

/var/log/secure:与用户验证相关的安全性事件

     2.分析工具

users、who、w、last、lastb

 

 

 6.程序日志分析

  由相应的应用程序独立进行管理

         1.Web服务:/var/log/httpd/

1.access_log ——记录客户访问事件
2.error_log ——记录错误事件

        2.代理服务::/var/log/lsquid/

 access.log、cache.log

        3.FTP服务:/var/log/xferlog

    2.分析工具

    1.文本查看、grep过滤检索、Webmin管理套件中查看

    2.awk、sed等文本过滤、格式化编辑工具

    3.Webalizer、Awstats等专用日志分析工具

7.日志管理策略

    1.及时作好备份和归档

    2.延长日志保存期限

    3.控制日志访问权限       

 1. 日志中可能会包含各类敏感信息,如账户、口令等

    4.集中管理日志

    1.将服务器的日志文件发到统一的日志文件服务器

    2.便于日志信息的统一收集、整理和分析

    3.杜绝日志信息的意外丢失、恶意篡改或删除

八.总结

1.block与inode

2.硬链接与软链接

3.恢复误删除的文件

4.Linux主要包含的日志文件

5.Linux系统的日志消息级别

6.Linux系统中用户日志的查询命令

7.inode和block的内容和关系,以及如何恢复文件(xfs、ext)还有如何查看日志文件和管理。

举报

相关推荐

0 条评论