Linux--深入理解Linux文件系统与日志分析(软链接与硬链接、恢复误删除的文件-EXT与xfs、日志文件)

文章目录

  • 前言
  • 一、inode与block详解
    • 1.1 inode 和 block 概述
    • 1.2 inode的内容
    • 1.3 inode 的号码
    • 1.4 inode 的大小
    • 1.5 inode的特殊作用
  • 二、硬链接与软链接
    • 2.1 硬链接
    • 2.2 软链接
  • 三、恢复误删除的文件
    • 3.1 EXT 类型文件恢复
      • **实验步骤**
    • 3.2 xfs 类型文件备份和恢复
      • 实验步骤
  • 四、日志文件分析
    • 4.1 日志文件
    • 4.2 内核及系统日志
      • 日志消息的级别
      • 日志记录的一般格式
    • 4.3 用户日志分析
    • 4.4 程序日志分析
    • 4.5 日志管理策略

前言

  • 在处理 Linux 系统出现的各种故障时,故障的症状是最易发现的,而导致这一故障的原因才是最终排除故障的关键。熟悉 Linux 系统中常见的日志文件,了解一般故障的分析与解决办法,将有助于管理员快速定位故障点、“对症下药”、并及时解决各种系统问题。另外, Linux 系统中通过分区、格式化来创建文件系统,而文件系统的运行又与 block 和 inode 有关。
  • 下面来深入地了解 Linux 系统的文件系统和日志文件分析,并通过一些实例介绍常见系统故障的分析与排除过程。由于故障现象的不确定性,在进行一些模拟故障的操作之前,一定要提前做好数据备份。

一、inode与block详解

1.1 inode 和 block 概述

  • 文件是存储在硬盘上的,硬盘的最小存储单位叫做“扇区”(sector),每个扇区存储 512字节。操作系统读取硬盘的时候,不会一个个扇区地读取,这样效率太低,而是一次性连续读取多个扇区,即一次性读取一个"块"(block)。这种由多个扇区组成的"块",是文件存取的最小单位。"块"的大小,最常见的是 4KB,即连续八个 sector 组成一个 block。
  • 文件数据存储在“块”中,那么还必须找到一个地方存储文件的元信息,比如文件的创建者、文件的创建日期、文件的大小等等。这种存储文件元信息的区域就叫做 inode,中文译名为“索引节点”,也叫 i 节点。因此,一个文件必须占用一个 inode,但至少占用一个 block
    Linux--深入理解Linux文件系统与日志分析(软链接与硬链接、恢复误删除的文件-EXT与xfs、日志文件)_第1张图片

1.2 inode的内容

1、inode 包含很多的文件元信息,但不包含文件名,例如:

  • 文件的字节数
  • 文件拥有者的 UserID
  • 文件的 GroupID
  • 文件的读、写、执行权限
  • 文件的时间戳

2、使用 stat 命令即可查看某个文件的 inode 信息。

[root@localhost ~]# touch 333.txt
[root@localhost ~]# stat 333.txt
  文件:"333.txt"
  大小:0         	块:0          IO 块:4096   普通空文件
设备:802h/2050d	Inode:50331717    硬链接:1
权限:(0644/-rw-r--r--)  Uid:(    0/    root)   Gid:(    0/    root)
环境:unconfined_u:object_r:admin_home_t:s0
最近访问:2019-11-16 21:25:30.259045437 +0800
最近更改:2019-11-16 21:25:30.259045437 +0800
最近改动:2019-11-16 21:25:30.259045437 +0800
创建时间:-

3、Linux 系统文件有三个主要的时间属性,分别是ctime(change time), atime(access time), mtime(modify time)。

  • ctime(change time) 是最后一次改变文件或目录(属性)的时间,例如执行 chmod, chown 等命令;
  • atime(access time)是最后一次访问文件或目录的时间;
  • mtime(modify time)是最后一次修改文件或目录(内容)的时间。

4、刚才提到 inode 中并不包括文件名,其实文件名是存放在目录当中的。Linux 系统中一切皆文件,因此目录也是一种文件,目录文件的结构如图所示。
Linux--深入理解Linux文件系统与日志分析(软链接与硬链接、恢复误删除的文件-EXT与xfs、日志文件)_第2张图片

  • 每个 inode 都有一个号码,操作系统用 inode 号码来识别不同的文件,Linux 系统内部不使用文件名,而使用 inode 号码来识别文件。对于用户来说,文件名只是 inode 号码便于识别的别称。

1.3 inode 的号码

用户在访问文件时,表面上是用户通过文件名来打开文件,而实际系统内部的过程分成 以下三步:

  • 系统找到这个文件名对应的 inode 号码;
  • 通过 inode 号码,获取 inode 信息;
  • 根据 inode 信息,找到文件数据所在的 block,并读出数据。常见的查看 inode 号码的方式有两种:
  • ls -i 命令:直接查看文件名所对应的 inode 号码;
  • stat 命令:通过查看文件 inode 信息而查看到 inode 号码。
[root@localhost ~]# ls -i
50331717 333.txt               18560747 公共   1790202 图片  50331758 音乐
50331714 anaconda-ks.cfg        1790201 模板  34291860 文档  34291859 桌面
50331724 initial-setup-ks.cfg  18560748 视频  50331757 下载
[root@localhost ~]# ls -i 333.txt
50331717 333.txt

查看文件系统的inode数量信息(总数,已用,可用)

[root@localhost opt]# df -i
文件系统          Inode 已用(I)  可用(I) 已用(I)% 挂载点
/dev/sda2      10485760  117069 10368691       2% /
devtmpfs         229705     372   229333       1% /dev
tmpfs            233378       1   233377       1% /dev/shm
tmpfs            233378     543   232835       1% /run
tmpfs            233378      16   233362       1% /sys/fs/cgroup
/dev/sda5       5241856     141  5241715       1% /home
/dev/sda1       3145728     328  3145400       1% /boot
tmpfs            233378      16   233362       1% /run/user/0

所以,当用户在 Linux 系统中试图访问一个文件时,系统会先根据文件名去查找它对应的 inode,看该用户是否具有访问这个文件的权限。如果有,就指向相对应的数据 block, 如果没有,就返回 Permission denied。而一块硬盘分区后的结构则是如图所示。
Linux--深入理解Linux文件系统与日志分析(软链接与硬链接、恢复误删除的文件-EXT与xfs、日志文件)_第3张图片
Linux--深入理解Linux文件系统与日志分析(软链接与硬链接、恢复误删除的文件-EXT与xfs、日志文件)_第4张图片

1.4 inode 的大小

  • inode 也会消耗硬盘空间,所以格式化的时候,操作系统自动将硬盘分成两个区域。一个是数据区,存放文件数据;另一个是 inode 区,存放 inode 所包含的信息。
  • 每个 inode 的大小,一般是 128 字节或 256 字节。
  • 通常情况下不需要关注单个 inode 的大小,而是需要重点关注 inode 总数。格式化文件系统时确定inode的总数
  • 执行“df -i”命令即可查看每个硬盘分区对应的的 inode 总数和已经使用的 inode 数量。
[root@localhost opt]# df -i
文件系统          Inode 已用(I)  可用(I) 已用(I)% 挂载点
/dev/sda2      10485760  117069 10368691       2% /
devtmpfs         229705     372   229333       1% /dev
tmpfs            233378       1   233377       1% /dev/shm
tmpfs            233378     543   232835       1% /run
tmpfs            233378      16   233362       1% /sys/fs/cgroup
/dev/sda5       5241856     141  5241715       1% /home
/dev/sda1       3145728     328  3145400       1% /boot
tmpfs            233378      16   233362       1% /run/user/0

df命令

df - 报告文件系统磁盘空间的使用情况
df -a:显示所有文件系统的磁盘使用情况,包括0块(block)的文件系统。
df -h:以容易理解的格式输出文件系统大小,例如124KB、345MB、46GB。
df -i:显示i节点信息,而不是磁盘块。
df -t:显示各指定类型的文件系统的磁盘空间使用情况。
df -x:列出不是某一指定类型文件系统的磁盘空间使用情况。
df -T:显示文件系统类型。
df 以512字节为单位
df –k 以1024字节为单位

1.5 inode的特殊作用

由于 inode 号码与文件名分离,导致一些 Unix/Linux 系统具备以下几种特有的现象。

  • 文件名包含特殊字符,可能无法正常删除。这时直接删除 inode,能够起到删除文件的作用;
  • 移动文件或重命名文件,只是改变文件名,不影响 inode 号码;
  • 打开一个文件以后,系统就以 inode 号码来识别这个文件,不再考虑文件名。

这种情况使得软件更新变得简单,可以在不关闭软件的情况下进行更新,不需要重启。 因为系统通过 inode 号码,识别运行中的文件,不通过文件名。更新的时候,新版文件以同样的文件名,生成一个新的 inode,不会影响到运行中的文件。等到下一次运行这个软件的时候,文件名就自动指向新版文件,旧版文件的 inode 则被回收。

二、硬链接与软链接

在 Linux 系统下的链接文件有两种,

  • 一种类似于 Windows 的快捷方式功能的文件,可以快速连接到目标文件或目录,称之为软链接;
  • 另一种则是通过文件系统的 inode 链接来产生的新文件名,而不是产生新文件,称之为硬链接。

2.1 硬链接

一般情况下,文件名和 inode 号码是一一对应关系,每个 inode 号码对应一个文件名。
但是 Linux 系统允许多个文件名指向同一个 inode 号码。这意味着,可以用不同的文件名访问同样的内容。

ln 源文件 目标

  • 运行该命令以后,源文件与目标文件的 inode 号码相同,都指向同一个 inode。inode
    信息中的“链接数”这时就会增加 1 。

  • 当一个文件拥有多个硬链接时,对文件内容修改,会影响到所有文件名;但是删除一个文件名,不影响另一个文件名的访问。删除一个文件名,只会使得 inode 中的"链接数"减 1。需要注意的是不能对目录做硬链接。

2.2 软链接

  • 软链接就是再创建一个独立的文件,而这个文件会让数据的读取指向它连接的那个文件的文件名

  • 例如:文件A和文件B的inode号码虽然不一样,但是文件A的内容是文件B的路径。
    读取文件A时,系统会自动将访问者导向文件B
    此时,文件A就称为文件B的“软链接(soft link)”或者“符号链接(symbolic link)”

  • 这表示,文件A依赖于文件B而存在,如果删除了文件B ,打开文件A就会报错

  • 这是软链接与硬链接的最大不同:文件A指向文件B的文件名,而不是文件B的inode号码,文件B的inode“链接数”不会因此产生变化。

ln -s 源文件或目录 目标文件或目录

总结
1、链接文件是为文件或目录建立链接文件
2、软链接与硬链接对比

软链接(符号链接) 硬链接
删除原始文件后 失效 仍旧可用
使用范围 适用于文件或目录 只可用于文件
保存位置 与原始文件可以位于不同的文件系统中 必须与原始文件在同一个文件系统(如一个Linux分区)内
  • 删除原始文件后,软链接无法找到原始文件的文件名,所以会报错。硬链接与原始文件inode相同,所以不影响访问,仍旧可用。

  • 删除一个文件,实际上并不清除inode节点和block的数据,只是在这个文件的父目录里面的block中,删除这个文件的名字

  • Linux是通过link的数量来控制文件的删除的,只有当一个文件不存在任何link的时候,这个文件才会被删除

三、恢复误删除的文件

3.1 EXT 类型文件恢复

说明
删除一个文件,实际上并不清除 inode 节点和 block 的数据,只是在这个文件的父目录里面的 block 中,删除这个文件的名字。Linux 是通过 Link 的数量来控制文件删除的,只有当一个文件不存在任何 Link 的时候,这个文件才会被删除。

在 Linux 系统运维工作中,经常会遇到因操作不慎、操作错误等导致文件数据丢失的情况,尤其对于客户企业中一些新手。当然,这里所指的是彻底删除,即已经不能通过“回收站”找回的情况,比如使用“rm -rf”来删除数据。针对 Linux 下的 EXT 文件系统,可用的恢复工具有 debugfs、ext3grep、extundelete 等。 其中 extundelete 是一个开源的 Linux 数据恢复工具,支持 ext3、ext4 文件系统。

在数据被误删除后,第一时间要做的就是卸载被删除数据所在的分区,如果是根分区的数据遭到误删,就需要将系统进入单用户模式,并且将根分区以只读模式挂载。这样做的原因很简单,因为将文件删除后,仅仅是将文件的 inode 节点中的扇区指针清零,实际文件还存储在磁盘上,如果磁盘继续以读写模式挂载,这些已删除的文件的数据块就可能被操作系统重新分配出去,在这些数据库被新的数据覆盖后,这些数据就真的丢失了,恢复工具也回天无力。所以以只读模式挂载磁盘可以尽量降低数据库中数据被覆盖的风险,以提高恢复数据成功的比例。

实验步骤

1.编译安装 extundelete

  • 在编译安装extundelete 之前需要先安装两个依赖包e2fsprogs-libs 和e2fsprogs-devel, 这两个包在系统安装光盘的/Package 目录下就有,使用 rpm 或 yum 命令将其安装。e2fsprogs-devel 安装依赖于 libcom_err-devel 包。
  • 安装完依赖包之后,即可将提前上传的 extundelete 软件包解压、配置、编译、安装。
[root@localhost ~]# yum -y install e2fsprogs-devel e2fsprogs-libs
[root@localhost	~]#	wget http://nchc.dl.sourceforge.net/project/extundelete/extundelete/0.2.4/extundelete-0.2.4.tar. bz2
[root@localhost ~]# tar -xf extundelete-0.2.4.tar.bz2
[root@localhost ~]# cd extundelete-0.2.4
[root@localhost extundelete-0.2.4]# ./configure --prefix=/usr/local/extundelete&& make && make install
Configuring extundelete 0.2.4 
Writing generated files to disk 
make -s all-recursive
Making all in src
extundelete.cc: In function ‘ext2_ino_t find_inode(ext2_filsys, ext2_filsys, ext2_inode*, std::string, int)’:
extundelete.cc:1272:29: warning: narrowing conversion of ‘search_flags’ from ‘int’ to ‘ext2_ino_t
{aka unsigned int}’ inside { } [-Wnarrowing] buf, match_name2, priv, 0};                                       
Making install in src
/usr/bin/install -c extundelete '/usr/local/extundelete/bin'
[root@localhost extundelete-0.2.4]# ln -s /usr/local/extundelete/bin/* /usr/bin/

2、模拟删除并执行恢复操作
(1)使用 fdisk 命令创建新分区,将其挂载到/tmp 目录下,往该目录下新建一些文件或目录

[root@localhost ~]# fdisk -l
......	//省略部分内容
Disk /dev/sdb: 21.5 GB, 21474836480 bytes, 41943040 sectors 
Units = sectors of 1 * 512 = 512 bytes
Sector size (logical/physical): 512 bytes / 512 bytes 
I/O size (minimum/optimal): 512 bytes / 512 bytes
......	//省略部分内容
[root@localhost ~]# fdisk /dev/sdb
......	//省略部分内容
Command (m for help): n 
Partition type:
  p	primary (0 primary, 0 extended, 4 free) 
  e	extended
Select (default p): p
Partition number (1-4, default 1):
First sector (2048-41943039, default 2048):
Using default value 2048
Last sector, +sectors or +size{K,M,G} (2048-41943039, default 41943039): 
Using default value 41943039
Partition 1 of type Linux and of size 20 GiB is set 
Command (m for help): p
Disk /dev/sdb: 21.5 GB, 21474836480 bytes, 41943040 sectors 
Units = sectors of 1 * 512 = 512 bytes
Sector size (logical/physical): 512 bytes / 512 bytes 
I/O size (minimum/optimal): 512 bytes / 512 bytes 
Disk label type: dos
Disk identifier: 0x30e29e0f

Device Boot	Start	End	Blocks	Id System
/dev/sdb1	2048	41943039	20970496	83 Linux
Command (m for help): w
The partition table has been altered! 
Calling ioctl() to re-read partition table. 
Syncing disks.
[root@localhost ~]# partprobe /dev/sdb 
[root@localhost ~]# mkfs.ext3 /dev/sdb1 mke2fs 1.42.9 (28-Dec-2013)
Filesystem label= 
OS type: Linux
Block size=4096 (log=2)
......	//省略部分内容
Allocating group tables: done 
Writing inode tables: done
Creating journal (32768 blocks): done
Writing superblocks and filesystem accounting information: done 
[root@localhost ~]# mkdir /test/
[root@localhost ~]# mount /dev/sdb1 /test/ 
[root@localhost ~]# cd /test/ 
[root@localhost test]# echo a>a 
[root@localhost test]# echo a>b 
[root@localhost test]# echo a>c 
[root@localhost test]# echo a>d 
[root@localhost test]# ls
a    b    c    d  lost+found

执行完命令‘extundelete /dev/sdb1”后输入”y“即可查看该文件系统的使用情况。

也可以使用“extundelete /dev/sdb1 --inode 2”查看文件系统/dev/sdb1 下存在哪些文件, 具体的使用情况。其中–inode 2 代表从 i 节点为 2 的文件开始查看,一般文件系统格式化挂载之后,i 节点是从 2 开始的,2 代表该文件系统最开始的目录。

(2)模拟误操作并恢复

使用"rm -rf a b"命令删除/tmp/下的 a 文件和 b 文件,当出现误操作时,立刻卸载该文件系统,然后使用“extundelete /dev/sdb1 --restore-all"恢复/dev/sdb1 文件系统下的所有内容。

[root@localhost test]# rm -rf a b
[root@localhost test]# ls 
c d lost+found 
[root@localhost test]# cd
[root@localhost ~]# umount /test/
[root@localhost ~]# extundelete /dev/sdb1 --restore-all
NOTICE: Extended attributes are not restored. 
Loading filesystem metadata ... 160 groups loaded. 
Loading journal descriptors ... 26 descriptors loaded. 
Searching for recoverable inodes in directory / ...
2 recoverable inodes found.
Looking through the directory structure for deleted files ...
0 recoverable inodes still lost.

执行完恢复的命令后,在当前目录下会出现一个/RECOVERED_FILES/目录,里面保 存了已经恢复的文件。

[root@localhost ~]# ls
anaconda-ks.cfg extundelete-0.2.4 extundelete-0.2.4.tar.bz2 RECOVERED_FILES 
[root@localhost ~]# cd RECOVERED_FILES/
[root@localhost RECOVERED_FILES]# ls
a b

当然 extundelete 的用法还有很多,可以通过 help 查看详细用法。

3.2 xfs 类型文件备份和恢复

extundelete 工具仅可以恢复 EXT 类型的文件,无法恢复 CentOS 7 系统默认采用 xfs 类型的文件。针对 xfs 文件系统目前也没有比较成熟的文件恢复工具,所以建议提前做好数据备份,以避免数据丢失。

xfs 类型的文件可使用 xfsdump 与 xfsrestore 工具进行备份恢复。若系统中未安装xfsdump 与xfsrestore 工具,可以通过yum install -y xfsdump 命令安装。xfsdump 按照inode 顺序备份一个 xfs 文件系统。xfsdump 的备份级别有两种:0 表示完全备份;1-9 表示增量备份。xfsdump 的备份级别默认为 0。xfsdump 的命令格式为:xfsdump -f 备份存放位置要备份路径或设备文件。常用的备份参数包括以下几种:

  • -f:指定备份文件目录;

  • -L:指定标签 session label;

  • -M:指定设备标签 media label;

  • -s:备份单个文件,-s 后面不能直接跟路径。

xfsdump命令格式
xfsdump -f 备份存放位置 要备份的路径或者设备文件

xfsdump使用限制

  • 只能备份已挂载的文件系统
  • 必须使用root的权限才能操作
  • 只能备份xfs文件系统
  • 备份后的数据只能用xfsrestore解析
  • 不能备份两个具有相同UUID的文件系统

xfsrestore命令格式
xfsrestore -f 恢复文件的位置 存放恢复后文件的位置

实验步骤

下面通过一个案例来备份恢复 xfs 类型的文件。首先添加一款新硬盘并格式化为 xfs 类型的文件系统,然后挂在到/date 目录下。
1、创建一块磁盘并挂载

[root@localhost ~]# df -hT		'创建一块磁盘,并挂载,此操作不赘述,如有疑问,可查看我的博客“Linux磁盘与文件系统管理--理论与命令配置(https://blog.csdn.net/CN_TangZheng/article/details/102866952)”'
文件系统       类型      容量  已用  可用 已用% 挂载点
/dev/sda2      xfs        20G  3.1G   17G   16% /
devtmpfs       devtmpfs  898M     0  898M    0% /dev
tmpfs          tmpfs     912M     0  912M    0% /dev/shm
tmpfs          tmpfs     912M  9.0M  903M    1% /run
tmpfs          tmpfs     912M     0  912M    0% /sys/fs/cgroup
/dev/sda1      xfs       6.0G  174M  5.9G    3% /boot
/dev/sda5      xfs        10G   37M   10G    1% /home
tmpfs          tmpfs     183M   12K  183M    1% /run/user/42
tmpfs          tmpfs     183M     0  183M    0% /run/user/0
/dev/sdb1      xfs        20G   33M   20G    1% /111

2、在挂载点中创建文件

[root@localhost ~]# cp /etc/passwd /111		'将/etc/passwd 复制到/111目录下'
[root@localhost ~]# mkdir /111/222		'在/111目录下创建/222目录'
[root@localhost ~]# echo "this is test" > /111/222/test.txt		'创建带有“this is test”内容的文件test.txt,放到/111/222目录下'
[root@localhost ~]#yum install tree -y		'安装tree工具'
    ...此处省略内容
[root@localhost ~]# tree /111		'查看/111结构'
/111
├── 222
│   └── test.txt
└── passwd

1 directory, 2 files

3、备份文件

[root@localhost ~]# ls /opt		'查看/opt目录下内容'
rh
[root@localhost ~]# xfsdump -f /opt/xfs_dump /dev/sdb1		'将/dev/sdb1中的文件备份到/opt/xfs_dump中'
xfsdump: using file dump (drive_simple) strategy
xfsdump: version 3.1.4 (dump format 3.0) - type ^C for status and control

 ============================= dump label dialog ==============================

please enter label for this dump session (timeout in 300 sec)
 -> xfs_dump		'请输入此转储会话的标签xfs_dump,即将文件备份到xfs_dump中'
session label entered: "xfs_dump"
    ...此处省略内容
 ============================= media label dialog =============================

please enter label for media in drive 0 (timeout in 300 sec)
 -> /dev/sdb1		'请输入驱动器0中的媒体标签/dev/sdb1,即备份/dev/sdb1中的文件'
media label entered: "/dev/sdb1"
...此处省略内容
[root@localhost ~]# ls /opt		'查看/opt下是否有备份文件'
rh  xfs_dump

4、删除文件并尝试恢复

[root@localhost ~]# rm -rf /111/*		'将/111下的文件都删除掉'
[root@localhost ~]# ls /111		'查看是否删除成功'
[root@localhost ~]# xfsrestore -f /opt/xfs_dump /111		'将/opt/xfs_dump恢复到/111中'
...此处省略内容
xfsrestore: Restore Summary:
xfsrestore:   stream 0 /opt/xfs_dump OK (success)
xfsrestore: Restore Status: SUCCESS
[root@localhost ~]# ls /111		'查看/111中内容是否恢复'
222  passwd
[root@localhost ~]# tree /111		'查看/111中内容是否恢复'
/111
├── 222
│   └── test.txt
└── passwd

1 directory, 2 files

实验成功,恢复完成

四、日志文件分析

  • 分析日志文件的目的在于通过浏览日志查找关键信息,对系统服务进行调试,以及判断发生故障的原因等

  • 对于大多数文本格式的日志文件(如内核及系统日志,大多数的程序日志),只要使用tail,more,less,cat等文本处理工具就可以查看日志内容

  • 对于一些二进制格式的日志文件(如用户日志),需要使用特定的查询命令

4.1 日志文件

日志的功能

  • 用于记录系统、程序运行中发生的各种时间

  • 通过阅读日志,有助于诊断和解决系统故障

日志文件的分类

  • 内核及系统日志

    • 由系统服务rsyslog统一进行管理,日志格式基本相似
  • 用户日志

    • 记录系统用户登录及退出系统的相关信息
  • 程序日志

    • 由各种应用程序独立管理的日志文件,记录格式不统一
  • 日志保存位置

    • 默认位于:/var/log目录下

主要日志文件介绍

日志类别 存放目录
内核及公共消息日志 /var/log/messages
计划任务日志 /var/log/cron
系统引导日志 /var/log/dmesg
邮件系统日志 /var/log/maillog
用户登录日志 /var/log/lastlog,/var/log/secure,/var/log/wtmp,/var/log/btmp
  • /var/log/messages:记录Linux内核消息和各种应用程序的公共日志信息,包括启动,I/O错误,网络错误,程序故障等
    对于未使用独立日志文件的应用程序或服务,一般都可以从该日志文件中获得相关的时间记录信息

  • /var/log/cron:记录crond计划任务产生的事件信息

  • /var/log/dmesg:记录Linux系统在引导过程中的各种事件信息

  • /var/log/maillog:记录进入或发出系统的电子邮件活动

  • /var/log/lastlog:记录每个用户最近的登录时间

  • /var/log/secure:记录用户认证相关的安全事件信息

  • /var/log/wtmp:记录每个用户登录,注销及系统启动和停机事件

  • /var/log/btmp:记录失败的,错误的登录尝试及验证事件

  • yum安装的都存放在/var/log
    手工编译安装的都是自己指定的目录

4.2 内核及系统日志

由系统服务rsyslogd统一管理

  • 软件包:rsyslog-7.4.7-16.el7.x86_64

  • 主要程序:/sbin/rsyslogd

  • 配置文件:/etc/rsyslog.conf

日志消息的级别

数字等级越小,优先级越高,消息越重要

级号 消息 级别 说明
0 EMERG 紧急 会导致主机系统不可用的情况
1 ALERT 警告 必须马上采取措施解决的问题
2 CRIT 严重 比较严重的情况
3 ERR 错误 运行出现错误
4 WARNING 提醒 可能会影响系统功能的事件
5 NOTICE 注意 不会影响系统但值得注意
6 INFO 信息 一般信息
7 DEBUG 调试 程序或系统调试信息等(做维护的时候可能会用到)

日志记录的一般格式

[root@localhost log]# more messages
Oct 23 14:13:17 localhost journal: Runtime journal is using 8.0M (max allowed 91.1M, trying
 to leave 136.7M free of 903.6M available → current limit 91.1M).
Oct 23 14:13:17 localhost kernel: Initializing cgroup subsys cpuset
Oct 23 14:13:17 localhost kernel: Initializing cgroup subsys cpu
Oct 23 14:13:17 localhost kernel: Initializing cgroup subsys cpuacct
...省略内容

以这段消息举例:
Oct 23 14:13:17 localhost kernel: Initializing cgroup subsys

  • 时间标签:Oct 23 14:13:17:消息发出的日期和时间
  • 主机名:localhost:生成消息的计算机的名称
  • 子系统名称:kernel:发出消息的应用程序的名称
  • 消息字段:Initializing cgroup subsys :消息的具体内容

4.3 用户日志分析

保存了用户登录、退出系统等相关信息

  • /var/log/lastlog:最近的用户登录事件

  • /var/log/wtmp:用户登录、注销及系统开、关机事件

  • /var/run/utmp:当前登录的每个用户的详细信息

  • /var/log/secure:与用户验证相关的安全性事件

分析工具

  • users、who、w、last、lastb

查询当前登录的用户情况:users,who,w命令

  • user命令只简单的输出当前登录的用户名称,每个显示的用户名对应一个登录会话。如果一个用户有不止一个登录会话,那他的用户名将显示与其相同的次数
[root@localhost ~]# users		
root root root		'root用户打开三个终端'
  • who命令用户报告当前登录到系统中的每个用户的信息
    使用该命令,系统管理员可以查看当前系统存在哪些不合法用户,从而对其进行审计和处理
    who命令的默认输出包括用户名,终端类型,登录日期及远程主机
[root@localhost ~]# who
root     :0           2019-11-16 21:24 (:0)
root     pts/0        2019-11-16 21:25 (192.168.197.1)
root     pts/1        2019-11-16 21:27 (:0)
  • w命令用于显示当前系统中的每个用户及其所运行的进程信息,比users,who命令的输出内容要更加丰富一些
[root@localhost ~]# w
 00:29:58 up  3:05,  3 users,  load average: 0.00, 0.01, 0.05
USER     TTY      FROM             LOGIN@   IDLE   JCPU   PCPU WHAT
root     :0       :0               21:24   ?xdm?  28.45s  0.08s /usr/libexec/gnome-session
root     pts/0    192.168.197.1    21:25    6.00s  0.09s  0.02s w
root     pts/1    :0               21:27    3:02m  0.01s  0.01s bash

查询用户登录的历史记录:last,lastb命令

  • last命令用于查询成功登录到系统的用户记录,最近的登录情况将显示在最前面
    通过last命令可以及时掌握Linux主机的登录情况,若发现未经授权的用户登录过,则表示当前主机可能已被入侵
[root@localhost ~]# last
root     pts/1        :0               Sat Nov 16 21:27   still logged in   
root     pts/0        192.168.197.1    Sat Nov 16 21:25   still logged in   
root     pts/0        :0               Sat Nov 16 21:24 - 21:24  (00:00)    
root     :0           :0               Sat Nov 16 21:24   still logged in   
reboot   system boot  3.10.0-693.el7.x Sat Nov 16 21:24 - 00:32  (03:08)    
root     pts/0        :1               Sat Nov 16 21:23 - 21:23  (00:00)    
root     :1           :1               Wed Oct 23 14:15 - crash (24+07:08)  
cn-tangz :0           :0               Wed Oct 23 14:15 - 14:15  (00:00)    
reboot   system boot  3.10.0-693.el7.x Wed Oct 23 14:13 - 00:32 (24+10:19)  

wtmp begins Wed Oct 23 14:13:18 2019
  • lastb命令用于查询登录失败的用户记录,如登录的用户名错误,密码不正确等情况都会记录在案。
    登录失败的情况属于安全事件,因为这表示可能有人在尝试猜出你的密码
    除了使用lastb命令查看以外,还可以直接从安全日志文件/var/log/secure中获得相关信息
[root@localhost ~]# lastb
lisi :1           :1               Sun Nov 17 00:35 - 00:35  (00:00)    
lisi :1           :1               Sun Nov 17 00:35 - 00:35  (00:00)    

btmp begins Sun Nov 17 00:35:42 2019

4.4 程序日志分析

由相应的应用程序独立进行管理

  • Web服务:/var/log/heepd/

    • ​ access_log\error_log
  • 代理服务:/var/log/squid/

    • access.log、cache.log
  • FTP服务:/var/log/xferlog

分析工具

  • 文本查看、grep过滤检索、Webmin管理套件中查看

  • awk、sed等文本过滤、格式化编辑工具

  • Webalizer、Awstats等专用日志分析工具

4.5 日志管理策略

  • 及时作好备份和归档
  • 延长日志保存期限
  • 控制日志访问权限
  • 日志中可能会包含各类敏感信息,如账户、口令等
  • 集中管理日志
    *将服务器的日志文件发到统一的日志文件服务器

    • 便于日志信息的统一收集、整理和分析

    • 杜绝日志信息的意外丢失、恶意篡改或删除

你可能感兴趣的:(Linux系统,linux,经验分享)