Linux--深入理解Linux文件系统与日志分析(软链接与硬链接、恢复误删除的文件-EXT与xfs、日志文件)
文章目录
- 前言
- 一、inode与block详解
- 1.1 inode 和 block 概述
- 1.2 inode的内容
- 1.3 inode 的号码
- 1.4 inode 的大小
- 1.5 inode的特殊作用
- 二、硬链接与软链接
- 2.1 硬链接
- 2.2 软链接
- 三、恢复误删除的文件
- 3.1 EXT 类型文件恢复
- **实验步骤**
- 3.2 xfs 类型文件备份和恢复
- 实验步骤
- 四、日志文件分析
- 4.1 日志文件
- 4.2 内核及系统日志
- 日志消息的级别
- 日志记录的一般格式
- 4.3 用户日志分析
- 4.4 程序日志分析
- 4.5 日志管理策略
前言
- 在处理 Linux 系统出现的各种故障时,故障的症状是最易发现的,而导致这一故障的原因才是最终排除故障的关键。熟悉 Linux 系统中常见的日志文件,了解一般故障的分析与解决办法,将有助于管理员快速定位故障点、“对症下药”、并及时解决各种系统问题。另外, Linux 系统中通过分区、格式化来创建文件系统,而文件系统的运行又与 block 和 inode 有关。
- 下面来深入地了解 Linux 系统的文件系统和日志文件分析,并通过一些实例介绍常见系统故障的分析与排除过程。由于故障现象的不确定性,在进行一些模拟故障的操作之前,一定要提前做好数据备份。
一、inode与block详解
1.1 inode 和 block 概述
- 文件是存储在硬盘上的,硬盘的最小存储单位叫做“扇区”(sector),每个扇区存储 512字节。操作系统读取硬盘的时候,不会一个个扇区地读取,这样效率太低,而是一次性连续读取多个扇区,即一次性读取一个"块"(block)。这种由多个扇区组成的"块",是文件存取的最小单位。"块"的大小,最常见的是 4KB,即连续八个 sector 组成一个 block。
- 文件数据存储在“块”中,那么还必须找到一个地方存储文件的元信息,比如文件的创建者、文件的创建日期、文件的大小等等。这种存储文件元信息的区域就叫做 inode,中文译名为“索引节点”,也叫 i 节点。因此,一个文件必须占用一个 inode,但至少占用一个 block
1.2 inode的内容
1、inode 包含很多的文件元信息,但不包含文件名,例如:
- 文件的字节数
- 文件拥有者的 UserID
- 文件的 GroupID
- 文件的读、写、执行权限
- 文件的时间戳
- …
2、使用 stat 命令即可查看某个文件的 inode 信息。
[root@localhost ~]# touch 333.txt
[root@localhost ~]# stat 333.txt
文件:"333.txt"
大小:0 块:0 IO 块:4096 普通空文件
设备:802h/2050d Inode:50331717 硬链接:1
权限:(0644/-rw-r--r--) Uid:( 0/ root) Gid:( 0/ root)
环境:unconfined_u:object_r:admin_home_t:s0
最近访问:2019-11-16 21:25:30.259045437 +0800
最近更改:2019-11-16 21:25:30.259045437 +0800
最近改动:2019-11-16 21:25:30.259045437 +0800
创建时间:-
3、Linux 系统文件有三个主要的时间属性,分别是ctime(change time), atime(access time), mtime(modify time)。
- ctime(change time) 是最后一次改变文件或目录(属性)的时间,例如执行 chmod, chown 等命令;
- atime(access time)是最后一次访问文件或目录的时间;
- mtime(modify time)是最后一次修改文件或目录(内容)的时间。
4、刚才提到 inode 中并不包括文件名,其实文件名是存放在目录当中的。Linux 系统中一切皆文件,因此目录也是一种文件,目录文件的结构如图所示。
- 每个 inode 都有一个号码,操作系统用 inode 号码来识别不同的文件,Linux 系统内部不使用文件名,而使用 inode 号码来识别文件。对于用户来说,文件名只是 inode 号码便于识别的别称。
1.3 inode 的号码
用户在访问文件时,表面上是用户通过文件名来打开文件,而实际系统内部的过程分成 以下三步:
- 系统找到这个文件名对应的 inode 号码;
- 通过 inode 号码,获取 inode 信息;
- 根据 inode 信息,找到文件数据所在的 block,并读出数据。常见的查看 inode 号码的方式有两种:
- ls -i 命令:直接查看文件名所对应的 inode 号码;
- stat 命令:通过查看文件 inode 信息而查看到 inode 号码。
[root@localhost ~]# ls -i
50331717 333.txt 18560747 公共 1790202 图片 50331758 音乐
50331714 anaconda-ks.cfg 1790201 模板 34291860 文档 34291859 桌面
50331724 initial-setup-ks.cfg 18560748 视频 50331757 下载
[root@localhost ~]# ls -i 333.txt
50331717 333.txt
查看文件系统的inode数量信息(总数,已用,可用)
[root@localhost opt]# df -i
文件系统 Inode 已用(I) 可用(I) 已用(I)% 挂载点
/dev/sda2 10485760 117069 10368691 2% /
devtmpfs 229705 372 229333 1% /dev
tmpfs 233378 1 233377 1% /dev/shm
tmpfs 233378 543 232835 1% /run
tmpfs 233378 16 233362 1% /sys/fs/cgroup
/dev/sda5 5241856 141 5241715 1% /home
/dev/sda1 3145728 328 3145400 1% /boot
tmpfs 233378 16 233362 1% /run/user/0
所以,当用户在 Linux 系统中试图访问一个文件时,系统会先根据文件名去查找它对应的 inode,看该用户是否具有访问这个文件的权限。如果有,就指向相对应的数据 block, 如果没有,就返回 Permission denied。而一块硬盘分区后的结构则是如图所示。
1.4 inode 的大小
- inode 也会消耗硬盘空间,所以格式化的时候,操作系统自动将硬盘分成两个区域。一个是数据区,存放文件数据;另一个是 inode 区,存放 inode 所包含的信息。
- 每个 inode 的大小,一般是 128 字节或 256 字节。
- 通常情况下不需要关注单个 inode 的大小,而是需要重点关注 inode 总数。格式化文件系统时确定inode的总数
- 执行“df -i”命令即可查看每个硬盘分区对应的的 inode 总数和已经使用的 inode 数量。
[root@localhost opt]# df -i
文件系统 Inode 已用(I) 可用(I) 已用(I)% 挂载点
/dev/sda2 10485760 117069 10368691 2% /
devtmpfs 229705 372 229333 1% /dev
tmpfs 233378 1 233377 1% /dev/shm
tmpfs 233378 543 232835 1% /run
tmpfs 233378 16 233362 1% /sys/fs/cgroup
/dev/sda5 5241856 141 5241715 1% /home
/dev/sda1 3145728 328 3145400 1% /boot
tmpfs 233378 16 233362 1% /run/user/0
df命令
df - 报告文件系统磁盘空间的使用情况
df -a:显示所有文件系统的磁盘使用情况,包括0块(block)的文件系统。
df -h:以容易理解的格式输出文件系统大小,例如124KB、345MB、46GB。
df -i:显示i节点信息,而不是磁盘块。
df -t:显示各指定类型的文件系统的磁盘空间使用情况。
df -x:列出不是某一指定类型文件系统的磁盘空间使用情况。
df -T:显示文件系统类型。
df 以512字节为单位
df –k 以1024字节为单位
1.5 inode的特殊作用
由于 inode 号码与文件名分离,导致一些 Unix/Linux 系统具备以下几种特有的现象。
- 文件名包含特殊字符,可能无法正常删除。这时直接删除 inode,能够起到删除文件的作用;
- 移动文件或重命名文件,只是改变文件名,不影响 inode 号码;
- 打开一个文件以后,系统就以 inode 号码来识别这个文件,不再考虑文件名。
这种情况使得软件更新变得简单,可以在不关闭软件的情况下进行更新,不需要重启。 因为系统通过 inode 号码,识别运行中的文件,不通过文件名。更新的时候,新版文件以同样的文件名,生成一个新的 inode,不会影响到运行中的文件。等到下一次运行这个软件的时候,文件名就自动指向新版文件,旧版文件的 inode 则被回收。
二、硬链接与软链接
在 Linux 系统下的链接文件有两种,
- 一种类似于 Windows 的快捷方式功能的文件,可以快速连接到目标文件或目录,称之为软链接;
- 另一种则是通过文件系统的 inode 链接来产生的新文件名,而不是产生新文件,称之为硬链接。
2.1 硬链接
一般情况下,文件名和 inode 号码是一一对应关系,每个 inode 号码对应一个文件名。
但是 Linux 系统允许多个文件名指向同一个 inode 号码。这意味着,可以用不同的文件名访问同样的内容。
ln 源文件 目标
-
运行该命令以后,源文件与目标文件的 inode 号码相同,都指向同一个 inode。inode
信息中的“链接数”这时就会增加 1 。 -
当一个文件拥有多个硬链接时,对文件内容修改,会影响到所有文件名;但是删除一个文件名,不影响另一个文件名的访问。删除一个文件名,只会使得 inode 中的"链接数"减 1。需要注意的是不能对目录做硬链接。
2.2 软链接
-
软链接就是再创建一个独立的文件,而这个文件会让数据的读取指向它连接的那个文件的文件名
-
例如:文件A和文件B的inode号码虽然不一样,但是文件A的内容是文件B的路径。
读取文件A时,系统会自动将访问者导向文件B
此时,文件A就称为文件B的“软链接(soft link)”或者“符号链接(symbolic link)” -
这表示,文件A依赖于文件B而存在,如果删除了文件B ,打开文件A就会报错
-
这是软链接与硬链接的最大不同:文件A指向文件B的文件名,而不是文件B的inode号码,文件B的inode“链接数”不会因此产生变化。
ln -s 源文件或目录 目标文件或目录
总结
1、链接文件是为文件或目录建立链接文件
2、软链接与硬链接对比
| 软链接(符号链接) | 硬链接 | |
|---|---|---|
| 删除原始文件后 | 失效 | 仍旧可用 |
| 使用范围 | 适用于文件或目录 | 只可用于文件 |
| 保存位置 | 与原始文件可以位于不同的文件系统中 | 必须与原始文件在同一个文件系统(如一个Linux分区)内 |
-
删除原始文件后,软链接无法找到原始文件的文件名,所以会报错。硬链接与原始文件inode相同,所以不影响访问,仍旧可用。
-
删除一个文件,实际上并不清除inode节点和block的数据,只是在这个文件的父目录里面的block中,删除这个文件的名字
-
Linux是通过link的数量来控制文件的删除的,只有当一个文件不存在任何link的时候,这个文件才会被删除
三、恢复误删除的文件
3.1 EXT 类型文件恢复
说明
删除一个文件,实际上并不清除 inode 节点和 block 的数据,只是在这个文件的父目录里面的 block 中,删除这个文件的名字。Linux 是通过 Link 的数量来控制文件删除的,只有当一个文件不存在任何 Link 的时候,这个文件才会被删除。
在 Linux 系统运维工作中,经常会遇到因操作不慎、操作错误等导致文件数据丢失的情况,尤其对于客户企业中一些新手。当然,这里所指的是彻底删除,即已经不能通过“回收站”找回的情况,比如使用“rm -rf”来删除数据。针对 Linux 下的 EXT 文件系统,可用的恢复工具有 debugfs、ext3grep、extundelete 等。 其中 extundelete 是一个开源的 Linux 数据恢复工具,支持 ext3、ext4 文件系统。
在数据被误删除后,第一时间要做的就是卸载被删除数据所在的分区,如果是根分区的数据遭到误删,就需要将系统进入单用户模式,并且将根分区以只读模式挂载。这样做的原因很简单,因为将文件删除后,仅仅是将文件的 inode 节点中的扇区指针清零,实际文件还存储在磁盘上,如果磁盘继续以读写模式挂载,这些已删除的文件的数据块就可能被操作系统重新分配出去,在这些数据库被新的数据覆盖后,这些数据就真的丢失了,恢复工具也回天无力。所以以只读模式挂载磁盘可以尽量降低数据库中数据被覆盖的风险,以提高恢复数据成功的比例。
实验步骤
1.编译安装 extundelete
- 在编译安装extundelete 之前需要先安装两个依赖包e2fsprogs-libs 和e2fsprogs-devel, 这两个包在系统安装光盘的/Package 目录下就有,使用 rpm 或 yum 命令将其安装。e2fsprogs-devel 安装依赖于 libcom_err-devel 包。
- 安装完依赖包之后,即可将提前上传的 extundelete 软件包解压、配置、编译、安装。
[root@localhost ~]# yum -y install e2fsprogs-devel e2fsprogs-libs
[root@localhost ~]# wget http://nchc.dl.sourceforge.net/project/extundelete/extundelete/0.2.4/extundelete-0.2.4.tar. bz2
[root@localhost ~]# tar -xf extundelete-0.2.4.tar.bz2
[root@localhost ~]# cd extundelete-0.2.4
[root@localhost extundelete-0.2.4]# ./configure --prefix=/usr/local/extundelete&& make && make install
Configuring extundelete 0.2.4
Writing generated files to disk
make -s all-recursive
Making all in src
extundelete.cc: In function ‘ext2_ino_t find_inode(ext2_filsys, ext2_filsys, ext2_inode*, std::string, int)’:
extundelete.cc:1272:29: warning: narrowing conversion of ‘search_flags’ from ‘int’ to ‘ext2_ino_t
{aka unsigned int}’ inside { } [-Wnarrowing] buf, match_name2, priv, 0};
Making install in src
/usr/bin/install -c extundelete '/usr/local/extundelete/bin'
[root@localhost extundelete-0.2.4]# ln -s /usr/local/extundelete/bin/* /usr/bin/
2、模拟删除并执行恢复操作
(1)使用 fdisk 命令创建新分区,将其挂载到/tmp 目录下,往该目录下新建一些文件或目录
[root@localhost ~]# fdisk -l
...... //省略部分内容
Disk /dev/sdb: 21.5 GB, 21474836480 bytes, 41943040 sectors
Units = sectors of 1 * 512 = 512 bytes
Sector size (logical/physical): 512 bytes / 512 bytes
I/O size (minimum/optimal): 512 bytes / 512 bytes
...... //省略部分内容
[root@localhost ~]# fdisk /dev/sdb
...... //省略部分内容
Command (m for help): n
Partition type:
p primary (0 primary, 0 extended, 4 free)
e extended
Select (default p): p
Partition number (1-4, default 1):
First sector (2048-41943039, default 2048):
Using default value 2048
Last sector, +sectors or +size{K,M,G} (2048-41943039, default 41943039):
Using default value 41943039
Partition 1 of type Linux and of size 20 GiB is set
Command (m for help): p
Disk /dev/sdb: 21.5 GB, 21474836480 bytes, 41943040 sectors
Units = sectors of 1 * 512 = 512 bytes
Sector size (logical/physical): 512 bytes / 512 bytes
I/O size (minimum/optimal): 512 bytes / 512 bytes
Disk label type: dos
Disk identifier: 0x30e29e0f
Device Boot Start End Blocks Id System
/dev/sdb1 2048 41943039 20970496 83 Linux
Command (m for help): w
The partition table has been altered!
Calling ioctl() to re-read partition table.
Syncing disks.
[root@localhost ~]# partprobe /dev/sdb
[root@localhost ~]# mkfs.ext3 /dev/sdb1 mke2fs 1.42.9 (28-Dec-2013)
Filesystem label=
OS type: Linux
Block size=4096 (log=2)
...... //省略部分内容
Allocating group tables: done
Writing inode tables: done
Creating journal (32768 blocks): done
Writing superblocks and filesystem accounting information: done
[root@localhost ~]# mkdir /test/
[root@localhost ~]# mount /dev/sdb1 /test/
[root@localhost ~]# cd /test/
[root@localhost test]# echo a>a
[root@localhost test]# echo a>b
[root@localhost test]# echo a>c
[root@localhost test]# echo a>d
[root@localhost test]# ls
a b c d lost+found
执行完命令‘extundelete /dev/sdb1”后输入”y“即可查看该文件系统的使用情况。
也可以使用“extundelete /dev/sdb1 --inode 2”查看文件系统/dev/sdb1 下存在哪些文件, 具体的使用情况。其中–inode 2 代表从 i 节点为 2 的文件开始查看,一般文件系统格式化挂载之后,i 节点是从 2 开始的,2 代表该文件系统最开始的目录。
(2)模拟误操作并恢复
使用"rm -rf a b"命令删除/tmp/下的 a 文件和 b 文件,当出现误操作时,立刻卸载该文件系统,然后使用“extundelete /dev/sdb1 --restore-all"恢复/dev/sdb1 文件系统下的所有内容。
[root@localhost test]# rm -rf a b
[root@localhost test]# ls
c d lost+found
[root@localhost test]# cd
[root@localhost ~]# umount /test/
[root@localhost ~]# extundelete /dev/sdb1 --restore-all
NOTICE: Extended attributes are not restored.
Loading filesystem metadata ... 160 groups loaded.
Loading journal descriptors ... 26 descriptors loaded.
Searching for recoverable inodes in directory / ...
2 recoverable inodes found.
Looking through the directory structure for deleted files ...
0 recoverable inodes still lost.
执行完恢复的命令后,在当前目录下会出现一个/RECOVERED_FILES/目录,里面保 存了已经恢复的文件。
[root@localhost ~]# ls
anaconda-ks.cfg extundelete-0.2.4 extundelete-0.2.4.tar.bz2 RECOVERED_FILES
[root@localhost ~]# cd RECOVERED_FILES/
[root@localhost RECOVERED_FILES]# ls
a b
当然 extundelete 的用法还有很多,可以通过 help 查看详细用法。
3.2 xfs 类型文件备份和恢复
extundelete 工具仅可以恢复 EXT 类型的文件,无法恢复 CentOS 7 系统默认采用 xfs 类型的文件。针对 xfs 文件系统目前也没有比较成熟的文件恢复工具,所以建议提前做好数据备份,以避免数据丢失。
xfs 类型的文件可使用 xfsdump 与 xfsrestore 工具进行备份恢复。若系统中未安装xfsdump 与xfsrestore 工具,可以通过yum install -y xfsdump 命令安装。xfsdump 按照inode 顺序备份一个 xfs 文件系统。xfsdump 的备份级别有两种:0 表示完全备份;1-9 表示增量备份。xfsdump 的备份级别默认为 0。xfsdump 的命令格式为:xfsdump -f 备份存放位置要备份路径或设备文件。常用的备份参数包括以下几种:
-
-f:指定备份文件目录;
-
-L:指定标签 session label;
-
-M:指定设备标签 media label;
-
-s:备份单个文件,-s 后面不能直接跟路径。
xfsdump命令格式
xfsdump -f 备份存放位置 要备份的路径或者设备文件
xfsdump使用限制
- 只能备份已挂载的文件系统
- 必须使用root的权限才能操作
- 只能备份xfs文件系统
- 备份后的数据只能用xfsrestore解析
- 不能备份两个具有相同UUID的文件系统
xfsrestore命令格式
xfsrestore -f 恢复文件的位置 存放恢复后文件的位置
实验步骤
下面通过一个案例来备份恢复 xfs 类型的文件。首先添加一款新硬盘并格式化为 xfs 类型的文件系统,然后挂在到/date 目录下。
1、创建一块磁盘并挂载
[root@localhost ~]# df -hT '创建一块磁盘,并挂载,此操作不赘述,如有疑问,可查看我的博客“Linux磁盘与文件系统管理--理论与命令配置(https://blog.csdn.net/CN_TangZheng/article/details/102866952)”'
文件系统 类型 容量 已用 可用 已用% 挂载点
/dev/sda2 xfs 20G 3.1G 17G 16% /
devtmpfs devtmpfs 898M 0 898M 0% /dev
tmpfs tmpfs 912M 0 912M 0% /dev/shm
tmpfs tmpfs 912M 9.0M 903M 1% /run
tmpfs tmpfs 912M 0 912M 0% /sys/fs/cgroup
/dev/sda1 xfs 6.0G 174M 5.9G 3% /boot
/dev/sda5 xfs 10G 37M 10G 1% /home
tmpfs tmpfs 183M 12K 183M 1% /run/user/42
tmpfs tmpfs 183M 0 183M 0% /run/user/0
/dev/sdb1 xfs 20G 33M 20G 1% /111
2、在挂载点中创建文件
[root@localhost ~]# cp /etc/passwd /111 '将/etc/passwd 复制到/111目录下'
[root@localhost ~]# mkdir /111/222 '在/111目录下创建/222目录'
[root@localhost ~]# echo "this is test" > /111/222/test.txt '创建带有“this is test”内容的文件test.txt,放到/111/222目录下'
[root@localhost ~]#yum install tree -y '安装tree工具'
...此处省略内容
[root@localhost ~]# tree /111 '查看/111结构'
/111
├── 222
│ └── test.txt
└── passwd
1 directory, 2 files
3、备份文件
[root@localhost ~]# ls /opt '查看/opt目录下内容'
rh
[root@localhost ~]# xfsdump -f /opt/xfs_dump /dev/sdb1 '将/dev/sdb1中的文件备份到/opt/xfs_dump中'
xfsdump: using file dump (drive_simple) strategy
xfsdump: version 3.1.4 (dump format 3.0) - type ^C for status and control
============================= dump label dialog ==============================
please enter label for this dump session (timeout in 300 sec)
-> xfs_dump '请输入此转储会话的标签xfs_dump,即将文件备份到xfs_dump中'
session label entered: "xfs_dump"
...此处省略内容
============================= media label dialog =============================
please enter label for media in drive 0 (timeout in 300 sec)
-> /dev/sdb1 '请输入驱动器0中的媒体标签/dev/sdb1,即备份/dev/sdb1中的文件'
media label entered: "/dev/sdb1"
...此处省略内容
[root@localhost ~]# ls /opt '查看/opt下是否有备份文件'
rh xfs_dump
4、删除文件并尝试恢复
[root@localhost ~]# rm -rf /111/* '将/111下的文件都删除掉'
[root@localhost ~]# ls /111 '查看是否删除成功'
[root@localhost ~]# xfsrestore -f /opt/xfs_dump /111 '将/opt/xfs_dump恢复到/111中'
...此处省略内容
xfsrestore: Restore Summary:
xfsrestore: stream 0 /opt/xfs_dump OK (success)
xfsrestore: Restore Status: SUCCESS
[root@localhost ~]# ls /111 '查看/111中内容是否恢复'
222 passwd
[root@localhost ~]# tree /111 '查看/111中内容是否恢复'
/111
├── 222
│ └── test.txt
└── passwd
1 directory, 2 files
实验成功,恢复完成
四、日志文件分析
-
分析日志文件的目的在于通过浏览日志查找关键信息,对系统服务进行调试,以及判断发生故障的原因等
-
对于大多数文本格式的日志文件(如内核及系统日志,大多数的程序日志),只要使用tail,more,less,cat等文本处理工具就可以查看日志内容
-
对于一些二进制格式的日志文件(如用户日志),需要使用特定的查询命令
4.1 日志文件
日志的功能
-
用于记录系统、程序运行中发生的各种时间
-
通过阅读日志,有助于诊断和解决系统故障
日志文件的分类
-
内核及系统日志
- 由系统服务rsyslog统一进行管理,日志格式基本相似
-
用户日志
- 记录系统用户登录及退出系统的相关信息
-
程序日志
- 由各种应用程序独立管理的日志文件,记录格式不统一
-
日志保存位置
- 默认位于:/var/log目录下
主要日志文件介绍
| 日志类别 | 存放目录 |
|---|---|
| 内核及公共消息日志 | /var/log/messages |
| 计划任务日志 | /var/log/cron |
| 系统引导日志 | /var/log/dmesg |
| 邮件系统日志 | /var/log/maillog |
| 用户登录日志 | /var/log/lastlog,/var/log/secure,/var/log/wtmp,/var/log/btmp |
-
/var/log/messages:记录Linux内核消息和各种应用程序的公共日志信息,包括启动,I/O错误,网络错误,程序故障等
对于未使用独立日志文件的应用程序或服务,一般都可以从该日志文件中获得相关的时间记录信息 -
/var/log/cron:记录crond计划任务产生的事件信息
-
/var/log/dmesg:记录Linux系统在引导过程中的各种事件信息
-
/var/log/maillog:记录进入或发出系统的电子邮件活动
-
/var/log/lastlog:记录每个用户最近的登录时间
-
/var/log/secure:记录用户认证相关的安全事件信息
-
/var/log/wtmp:记录每个用户登录,注销及系统启动和停机事件
-
/var/log/btmp:记录失败的,错误的登录尝试及验证事件
-
yum安装的都存放在/var/log
手工编译安装的都是自己指定的目录
4.2 内核及系统日志
由系统服务rsyslogd统一管理
-
软件包:rsyslog-7.4.7-16.el7.x86_64
-
主要程序:/sbin/rsyslogd
-
配置文件:/etc/rsyslog.conf
日志消息的级别
数字等级越小,优先级越高,消息越重要
| 级号 | 消息 | 级别 | 说明 |
|---|---|---|---|
| 0 | EMERG | 紧急 | 会导致主机系统不可用的情况 |
| 1 | ALERT | 警告 | 必须马上采取措施解决的问题 |
| 2 | CRIT | 严重 | 比较严重的情况 |
| 3 | ERR | 错误 | 运行出现错误 |
| 4 | WARNING | 提醒 | 可能会影响系统功能的事件 |
| 5 | NOTICE | 注意 | 不会影响系统但值得注意 |
| 6 | INFO | 信息 | 一般信息 |
| 7 | DEBUG | 调试 | 程序或系统调试信息等(做维护的时候可能会用到) |
日志记录的一般格式
[root@localhost log]# more messages
Oct 23 14:13:17 localhost journal: Runtime journal is using 8.0M (max allowed 91.1M, trying
to leave 136.7M free of 903.6M available → current limit 91.1M).
Oct 23 14:13:17 localhost kernel: Initializing cgroup subsys cpuset
Oct 23 14:13:17 localhost kernel: Initializing cgroup subsys cpu
Oct 23 14:13:17 localhost kernel: Initializing cgroup subsys cpuacct
...省略内容
以这段消息举例:
Oct 23 14:13:17 localhost kernel: Initializing cgroup subsys
- 时间标签:Oct 23 14:13:17:消息发出的日期和时间
- 主机名:localhost:生成消息的计算机的名称
- 子系统名称:kernel:发出消息的应用程序的名称
- 消息字段:Initializing cgroup subsys :消息的具体内容
4.3 用户日志分析
保存了用户登录、退出系统等相关信息
-
/var/log/lastlog:最近的用户登录事件
-
/var/log/wtmp:用户登录、注销及系统开、关机事件
-
/var/run/utmp:当前登录的每个用户的详细信息
-
/var/log/secure:与用户验证相关的安全性事件
分析工具
- users、who、w、last、lastb
查询当前登录的用户情况:users,who,w命令
- user命令只简单的输出当前登录的用户名称,每个显示的用户名对应一个登录会话。如果一个用户有不止一个登录会话,那他的用户名将显示与其相同的次数
[root@localhost ~]# users
root root root 'root用户打开三个终端'
- who命令用户报告当前登录到系统中的每个用户的信息
使用该命令,系统管理员可以查看当前系统存在哪些不合法用户,从而对其进行审计和处理
who命令的默认输出包括用户名,终端类型,登录日期及远程主机
[root@localhost ~]# who
root :0 2019-11-16 21:24 (:0)
root pts/0 2019-11-16 21:25 (192.168.197.1)
root pts/1 2019-11-16 21:27 (:0)
- w命令用于显示当前系统中的每个用户及其所运行的进程信息,比users,who命令的输出内容要更加丰富一些
[root@localhost ~]# w
00:29:58 up 3:05, 3 users, load average: 0.00, 0.01, 0.05
USER TTY FROM LOGIN@ IDLE JCPU PCPU WHAT
root :0 :0 21:24 ?xdm? 28.45s 0.08s /usr/libexec/gnome-session
root pts/0 192.168.197.1 21:25 6.00s 0.09s 0.02s w
root pts/1 :0 21:27 3:02m 0.01s 0.01s bash
查询用户登录的历史记录:last,lastb命令
- last命令用于查询成功登录到系统的用户记录,最近的登录情况将显示在最前面
通过last命令可以及时掌握Linux主机的登录情况,若发现未经授权的用户登录过,则表示当前主机可能已被入侵
[root@localhost ~]# last
root pts/1 :0 Sat Nov 16 21:27 still logged in
root pts/0 192.168.197.1 Sat Nov 16 21:25 still logged in
root pts/0 :0 Sat Nov 16 21:24 - 21:24 (00:00)
root :0 :0 Sat Nov 16 21:24 still logged in
reboot system boot 3.10.0-693.el7.x Sat Nov 16 21:24 - 00:32 (03:08)
root pts/0 :1 Sat Nov 16 21:23 - 21:23 (00:00)
root :1 :1 Wed Oct 23 14:15 - crash (24+07:08)
cn-tangz :0 :0 Wed Oct 23 14:15 - 14:15 (00:00)
reboot system boot 3.10.0-693.el7.x Wed Oct 23 14:13 - 00:32 (24+10:19)
wtmp begins Wed Oct 23 14:13:18 2019
- lastb命令用于查询登录失败的用户记录,如登录的用户名错误,密码不正确等情况都会记录在案。
登录失败的情况属于安全事件,因为这表示可能有人在尝试猜出你的密码
除了使用lastb命令查看以外,还可以直接从安全日志文件/var/log/secure中获得相关信息
[root@localhost ~]# lastb
lisi :1 :1 Sun Nov 17 00:35 - 00:35 (00:00)
lisi :1 :1 Sun Nov 17 00:35 - 00:35 (00:00)
btmp begins Sun Nov 17 00:35:42 2019
4.4 程序日志分析
由相应的应用程序独立进行管理
-
Web服务:/var/log/heepd/
- access_log\error_log
-
代理服务:/var/log/squid/
- access.log、cache.log
-
FTP服务:/var/log/xferlog
分析工具
-
文本查看、grep过滤检索、Webmin管理套件中查看
-
awk、sed等文本过滤、格式化编辑工具
-
Webalizer、Awstats等专用日志分析工具
4.5 日志管理策略
- 及时作好备份和归档
- 延长日志保存期限
- 控制日志访问权限
- 日志中可能会包含各类敏感信息,如账户、口令等
-
集中管理日志
*将服务器的日志文件发到统一的日志文件服务器-
便于日志信息的统一收集、整理和分析
-
杜绝日志信息的意外丢失、恶意篡改或删除
-