深入理解Linux文件系统与日志
一、inode和block概述
文件数据包括元信息与实际数据
元信息:文件的属性信息
实际数据:文件内容
文件存储在硬盘上,硬盘最小存储单位是“扇区”,每个扇区存储512字节
block(块)
连续的8个扇区组成一个block(4k)
是文件存取的最小单位
inode(索引节点)
也叫i节点
用于存储文件元信息
1、indoe的内容
inode包含文件的元信息
(1)文件的字节数
(2)文件拥有者的User ID
(3)文件的Group ID
(4)文件的读、写、执行权限
(5)文件的执行戳
(6)。。。。。
用stat命令可以查看某个文件的inode信息
命令格式stat + 文件名
判断文件类型 file + 文件名
Linux系统文件三个主要的时间属性
ctime(change time)
最后一次改变文件或目录(属性)的时间
atime(access time)
最后一次访问文件或目录的时间
mtime(modify time)
最后一次修改文件或目录(内容)的时间
目录文件的结构
目录也是一种文件
目录文件结构
每一行称为一个目录项
每个inode都有一个号码,操作系统用inode号码来识别不同的文件
Linux系统内部不使用文件名,而使用inode号码来识别文件
对于用户来说,文件名只是inode号码便于识别的别称
inode的号码
用户通过文件名打开文件时,系统内部的过程
1、系统找到这个文件名对应的indoe号码
2、通过inode号码,获取inode信息
3、根据inode信息,找到文件数据所在的block ,读出数据
查看inode号码的方法
ls -i命令:查看文件名对应的inode号码
ls -i aa.txt
stat命令:查看文件inode信息中的inode号码
stat aa.txt
硬盘分区的结构:
访问文件的流程图:
inode的大小
inode 也会消耗硬盘空间,每个inode的大小,一般是128字节或者256字节。
格式化文件系统时确认inode的总数
使用df -i命令可以查看每个硬盘分区的inode总数和已经使用的数量
inode的特殊作用
由于inode号码与文件名分离,导致一些Unix/Linux系统具有以下的现象
(1)当文件名包含特殊字符,可能无法正常删除文件,直接删除inode,也可以删除文件
(2)移动或重命名文件时,之改变文件名,不影响inode号码
(3)打开一个文件后,系统通过inode号码来识别该文件,不再考虑文件名。
当文件包含特殊字符时可以用节点号删除
命令格式为:find ./* -inum 节点号 -delete
二、恢复XFS 类型的文件
xfs文件恢复步骤
添加一块磁盘,分区,然后格式化挂载,然后在里边创建一些文件
使用:xfsdump -f /opt/xfs_dump /dev/sdb1命令做备份
删除/data/xiade文件使用xfsrestore -f /opt/xfs_dump /data/命令恢复删除的文件
xfsdump使用限制
(1)只能备份已挂载的文件系统
(2)必须使用root的权限才能操作
(3)只能备份XFS文件系统
(4)备份后的数据只能让xfsrestore解析
(5)不能备份两个具有相同UUID的文件系统
三、日志文件
日志的功能
(1)用于记录系统、程序运行中发生的各种事件
(2)通过阅读日志、有助于诊断和解决系统故障
日志类型的分类
内核及系统日志
有系统服务syslog统一进行管理,日志格式基本相似
用户日志
记录系统用户登录及退出系统的相关信息
程序日志
由各种应运程序独立管理的日志文件,记录格式不统一
日志保存位置
默认 位于:/var/log目录下
主要日志文件介绍
(1)内核及公共消息日志:./var/log/messages
(2)计划任务日志:。/var/log/cron
(3)系统引导日志:./var/log/dmesg
(4)邮件系统日志:./var/log/mailog
(5)用户登录时日志:./var/log/lastlog、./var/log/secure、。/var/log/wtmp、。/var/run/btmp
由系统服务rsyslogd统一管理
软件包:rsyslog-7.4.7-16.el7.x86_64
主要程序:/sbin/rsyslogd
配置文件:/etc/rsyslog.conf
日志消息的级别
(1)0 EMERG(紧急):会导致主机系统不可以的情况
(2)1 ALERT(警告):必须马上采取措施解决的问题
(3)2 CRIT(严重):比较严重的情况
(4)3 ERR(错误):运行出现错误
(5)4 WARNING(提醒):可能会影响系统功能的事件
(6)5 NOTICE(注意):不会影响系统单值得注意
(7)6 INFO (信息):一般信息
(8)7 DEBUG(调试):程序或系统调试信息等
日志记录的一般格式
四、用户日志分析
保存用户登录、退出系统等相关信息
./var/log/lastlog:用户最近登录事件
./var/log/secure:与用户验证相关的安全性事件
./var/log/wtmp:用户登录、注销及系统开、关机事件
./var/run/btmp:当前用户的每个用户的详细信息
常用的分析工具
由相应的应运程序独立进行管理
web服务:/var/log/httpd/
access_log、 error_log
代理服务:/var/log/squid/
access.log、 cache.log
FTP服务:/var/log/xferlog
分析工具
(1)文本查看、grep过滤检索、Webmin管理套件中查看
(2)awk、sed等文本过滤、格式化编辑工具
(3)Webalizer、Awstats等专用日志分析工具
日志管理策略
及时做好备份和归档
延长日志保存日期
控制日志访问权限
日志可能会包含各类敏感信息,如账户、口令等
集中管理日志
(1)将服务器的日志文件发送到统一的日志文件服务器
(2)便于日志信息的统一收集、整理和分析
(3)杜绝日志信息的意外丢失、恶意篡改或删除