Linux文件系统与日志分析
一、inode与block概述
1、文件数据包括元信息(类似于文件属性)与实际数据
-
文件数据存储在“块”中
-
存储文件元信息( 比如文件的创建者、创建日期、文件大小、文件权限等)的区域就叫做inode
-
一个文件必须占用一个inode, 并且至少占用一个block
2、文件存储在硬盘上,硬盘最小存储单位是“扇区”(sector),每个扇区存储512字节
3、block(块)
-
一般连续的八个扇区组成一个block,一个块大小为4k
-
是文件存取的最小单位
-
操作系统读取硬盘的时候,是一次性连续读取多个扇区,即一个块一个块的读取的
4、inode(索引节点)
-
中文译名为“索引节点”,也叫 i节点
-
用于存储文件元信息
-
inode不包含文件名。文件名是存放在目录当中的
| Linux 系统中一切皆文件,因此目录也是一种文件 |
| 每个inode都有一个号码,操作系统用inode号码来识别不同的文件。Linux 系统内部不使用文件名,而使用inode号码来识别文件。对于系统来说,文件名只是inode号码便于识别的别称,文件名和inode号码是一 一对应关系, 每个inode号码对应一个文件名 |
| 当用户在Linux系统中试图访问一个文件时,系统会先根据文件名去查找它对应的inode号码;通过inode号码, 获取inode信息;根据inode信息,看该用户是否具有访问这个文件的权限; 如果有,就指向相对应的数据block,并读取数据 |
注:一个文件必须占用一个inode,但至少也占用一个block
二、inode的内容
1、inode包含文件的元信息
- 文件的字节数
- 文件拥有者的User ID
- 文件的Group ID
- 文件的读、写、执行权限
- 文件的时间戳
注:不包含文件名
3、Linux系统文件三个主要的时间属性
■ ctime(change time)
- 最后一次改变文件或目录(属性)的时间
■ atime(access time)
- 最后一次访问文件或目录的时间
■ mtime(modify time)
- 最后一次修改文件或目录(内容)的时间
4、目录文件的结构
-
目录也是一种文件
-
目录文件的结构
5、每个inode都有一个号码,操作系统用inode号码来识别不同的文件
6、Linux系统内部不使用文件名,而使用inode号码来识别文件
7、对于用户,文件名只是inode号码便于识别的别称
三、inode的号码
1、用户通过文件名打开文件时,系统内部的过程
① 系统找到这个文件名对应的inode号码
② 通过inode号码, 获取inode信息
③ 根据inode信息,找到文件数据所在的block,读出数据
硬盘分区后的结构
访问文件的简单流程
2、查看某个文件的inode号的方法
stat 文件名
[root@localhost ~]# stat abc.txt
文件:"abc.txt"
大小:14 块:8 IO 块:4096 普通文件
设备:803h/2051d Inode:68294445 硬链接:1
权限:(0644/-rw-r--r--) Uid:( 0/ root) Gid:( 0/ root)
环境:unconfined_u:object_r:admin_home_t:s0
最近访问:2021-06-29 21:51:37.581494488 +0800
最近更改:2021-06-29 21:51:31.761646298 +0800
最近改动:2021-06-29 21:51:31.762646271 +0800
atime (accesstime)(最近访问):
当使用这个文件的时候就会更新这个时间。当我们使用touch 刷新时间戳时,刷新的就是atimemtime (modification time)(最近更改):
当修改文件的内容数据的时候,就会更新这个时间,而更改权限或者属性, mtime不会改变,这就是和ctime的区别。ctime (status time)(最近改动):
当修改文件的权限或者属性的时候,就会更新这个时间, ctime并不是create time,更像是change time,只有当更新文件的属性或者权限的时候才会更新这个时间,但是更改内容的话是不会更新这个时间。ls -i 文件名 也可以快速查看文件的inode 号
四、inode的大小
1、inode也会消耗硬盘空间
-
每个inode的大小
-
一般是128字节或256字节
2、格式化文件系统时确定inode的总数
3、查看每个硬盘分区的inode总数和已经使用的数量
df -i
| inode也会消耗硬盘空间,所以格式化的时候,操作系统自动将硬盘分成两个区域。一个是数据区,存放文件数据;另一个是inode 区,存放inode 所包含的信息。每个inode 的大小,一般是128字节或256字节 |
| 通常情况下不需要关注单个inode的大小,而是需要重点关注inode 总数。inode 的总数在格式化时就给定了,执行"df-i"命令即可查看每个硬盘分区对应的的inode总数和已经使用的inode数量 |
由于inode 号码与文件名分离,导致Linux系统具备以下几种特有的现象:
1、文件名包含特殊字符,可能无法正常删除。这时直接删除inode,能够起到删除文件的作用
2、移动文件或重命名文件,只是改变文件名,不影响inode 号码
3、打开一个文件以后,系统就以inode. 号码来识别这个文件,不再考虑文件名
4、文件数据被修改保存后,会生成一个新的inode 号码
find ./ -inum 52305140 -exec rm -i {} \ ;
find ./ -inum 50464299 -delete
五、链接文件
1、为文件或目录建立链接文件
2、链接文件分类
| 软连接(符号链接) | 硬链接 | |
| 删除原始文件后 | 失效 | 依然可用 |
| 使用范围 | 适用于文件或目录 | 只可用于文件 |
| 保存位置 | 与原始文件可以位于不同的文件系统中 | 必须与原始文件在同一个文件系统 |
硬链接
In 源文件 目标位置软链接
In 【-s】源文件或目录…链接文件或目标位置六、inode节点耗尽故障处理
#使用fdisk创建分区/dev/sdb1,分区大小30M即可
fdisk /dev/sdb
mkfs.ext4 /dev/sdb1
mkdir /test
mount /dev/sdb1/mnt
df -i
#模拟inode节点耗尽故障
for ( (i=1; i<=7680; i++) );do touch /test/file$i;done touch {1. . 7680}.txt
df -i
df -hT
#删除文件恢复
rm -rf /test/*
df -i
df -hT
七、恢复EXT类型文件
extundelete是一个 开源的Linux数据恢复工具, 支持ext3、 ext4文件系统。 (ext4只能centos6版本恢复)
1、编译安装extundelete软件包
#使用fdisk创建分区/dev/sdc1,格式化ext3文件系统
fdisk /dev/sdb
partprobe /dev/sdb
mkfs.ext3 /dev/sdb1
mkdir /mnt
mount /dev/sdb1/mnt
df -hT
#安装依赖包
yum -y install e2fsprogs-devel e2 fsprogs-l ibs
#编译安装extundelete
cd /opt
wget http: //nchc.dl.sourceforge.net/project/extundelete/extundelete/0.2.4/extundelete-0.2.4.tar.bz2
tar jxvf extundelete-0.2.4.tar.bz2
cd extundelete-0.2.4/
./configure --prefix=/usr/ local/ extundelete && make && make install
ln -s /usr/ local/extundelete/bin/* /usr/bin/
2、模拟删除并执行恢复操作
cd /mnt
echo a>a
echo a>b
echo a>C .
echo a>d
ls
extundelete /dev/sdb1 --inode 2 #查看文件系统/dev/sdc1下存在哪些文件,i节点是从2开始的,2代表该文件系统最开始的目录。
rm-rf a b
extundelete /dev/sdc1 -- inode 2
cd ~
umount /mnt
extundelete /dev/sdc1 --restore-all #恢复/dev/sdc1文件系统下的所有内容
#在当前目录下会出现一-个RECOVERED_ FILES/目录,里面保存了已经恢复的文件
ls RECOVERED_FILES/
八、恢复xfs类型文件
Centos 7系统默认采用xfs类型的文件,xfs类型的文件可使用xfsdump 与xfsrestore 工具进行备份恢复
1、xfsdump命令格式
xfsdump -f 备份存放位置要备份的路径或设备文件
2、xfsdump备份级别(默认为0)
- 0:完全备份
- 1-9:增量备份
3、xfsdump常用选项
-f、 L、-M、 -S
4、xfsrestore命令格式
xfsrestore -f 恢复文件的位置存放恢复后文件的位置
5、模拟删除并执行恢复操作
详情:
-
xfsdump 的备份级别默认为0
-
xfsdump命令常用的选项:
-f: 指定备份文件目录
-L: 指定标签session label
-M: 指定设备标签media label
*-s: 备份单个文件,-s后面不能直接跟路径
- xf sdump使用限制:
① 只能备份已挂载的文件系统
② 必须使用root的权限才能操作
③ 只能备份XFS文件系统
④ 备份后的数据只能让xfsrestore解析
⑤ 不能备份两个具有相同UUID的文件系统(可用blkid命令查看)
#使用fdisk创建分区/dev/sdb1,格式化xfs文件系统
fdisk /dev/sdb
partprobe /dev/sdb
mkfs.xfs [-f] /dev/sdb1
mkdir /data
mount /dev/sdb1 /data/
cd /data
cp /etc/passwd ./
mkdi rtest
touch test/a
#使用xfsdump 命令备份整个分区
rpm -qa| grep xfsdump
yum install -y xfsdump
xfsdump -f /opt/dump_sdb1 /dev/sdb1 [-L dump sdb1 -M sdb1 ]
#模拟数据丢失并使用 x fsrestore 命令恢复文件
cd /data/
rm -rf ./*
ls
xfsrestore -f /opt/dump_ sdb1/data/
九、日志文件
1、日志的功能
- 用于记录系统、程序运行中发生的各种事件
- 通过阅读日志,有助于诊断和解决系统故障
2、日志文件的分类
■ 内核及系统日志
- 由系统服务rsyslog统一进行管理 ,日志格式基本相似
- 主配置文件/etc/rsyslog.conf
■ 用户日志
- 记录系统用户登录及退出系统的相关信息
■ 程序日志
- 由各种应用程序独立管理的日志文件,记录格式不统一
(由开发人员定义)
3、日志保存位置
默认位于: /var/log目录下
4、主要日志文件介绍
内核及公共消息日志
■ /var/log/messages
记录Linux内核消息及各种应用程序的公共日志信息,包括启动、Io错误、网络错误、程序故障等
对于未使用独立日志文件的应用程序或服务,一般都可以从该日志文件中获得相关的事件记录信息
计划任务日志
■ /var/log/cron
记录crond计划任务产生的事件信息
系统引导日志
■ /var/log/dmesg
记录Linux系统在引导过程中的各种事件信息
邮件系统日志
■ /var/log/maillog
记录进入或发出系统的电子邮件活动
用户登录日志
■ /var /log/lastlog
记录每个用户最近的登录事件,二进制格式
■ /var/log/secure
记录用户认证相关的安全事件信息
■ /var/log/wtmp
记录每个用户登录、注销及系统启动和停机事件,二进制格式
■ /var/run/btmp
记录失败的、错误的登录尝试及验证事件,二进制格式
vim /etc/rsyslog.conf
#查看rsyslog.conf配置文件
*.info;mail.none; authpriv.none; cron.none /var/ log/messages
*.info #表示info等级及以上的所有等级的信息都写到对应的日志文件里
mail.none #表示某事件的信息不写到日志文件里(这里比如是邮件)
十、内核及系统日志
■ 由系统服务rsyslog统一管理
-
软件包:rsylog-7.4.7-16.el7.x86_64
-
主要程序:/sbin/rsyslogd
-
配置文件:/etc/rsyslog.conf
1、日志级别
| 级号 | 消息 | 级别 | 说明 |
| 0 | EMERG | 紧急 | 会导致主机系统不可用的情况 |
| 1 | ALERT | 警告 | 必须马上采取措施解决问题 |
| 2 | CRIT | 严重 | 比较严重的情况 |
| 3 | ERR | 错误 | 运行出现错误 |
| 4 | WARNNG | 提醒 | 可能会影响系统功能的事件 |
| 5 | NOTICE | 注意 | 不会影响系统但值得注意 |
| 6 | INFO | 信息 | 一般信息 |
| 7 | DEBUG | 调试 | 程序或系统调试信息等 |
注:数字等级越小,优先级越高,消息越重要
2、日志记录的一般格式
时间标签: 消息发出的日期和时间
主机名: 生成消息的计算机的名称
子系统名称: 发出消息的应用程序的名称
消息: 消息的具体内容
十一、用户日志分析
1、保存了用户登录、退出系统等相关信息
- /varlog/lastlog:最近的用户登录事件
- /var/log/wtmp:用户登录、注销及系统开、关机事件
- /var/run/utmp:当前登录的每个用户的详细信息
- /var/log/secure:与用户验证相关的安全性事件
2、分析工具
- users、who、W、last、 lastb
- last命令用于查询成功登录到系统的用户记录
- lastb命令用于查询登录失败的用户记录
十二、程序日志分析
由相应的应用程序独立进行管理
■ Web服务: /var/log/httpd/
-
access_ log //记录客户访问事件
-
error_ log //记录错误事件
■ 代理服务: Ivar/log/squid/
- access.log、cache.log
■ 分析工具
■ 文本查看、grep过滤检索、Webmin管理套件中查看
■ awk、sed等文本过滤、格式化编辑工具
■ Webalizer、Awstats等专用日志分析工具
十三、日志管理策略
1、及时作好备份和归档
2、延长日志保存期限
3、控制日志访问权限
- 日志中可能会包含各类敏感信息,如账户、口令等
4、集中管理日志
-
将服务器的日志文件发到统一的日志文件服务器
-
便于日志信息的统- -收集、整理和分析
-
杜绝日志信息的意外丢失、恶意篡改或删除
总结
■ block与inode
■ 硬链接与软链接
■ 恢复误删除的文件
■ Linux主要包含的日志文件
■ Linux系统的日志消息级别
■ Linux系统中用户日志的查询命令
- who、W、users、 last、 lastb
浙公网安备 33010602011771号