深入linux与日志分析

inode 与block

• inode，索引节点，用于储存元信息，指向block，里面有文件的字节数，拥有者的userid，groupid，文件的读写执行权限，文件的时间戳。
• block，一个扇区是512字节，八个扇区是一个block，一个block是4k，是文件存储的最小单位
• 一个文件有一个inode，所有inode放在inode表中
  inod先找目录的inode号，然后从目录中的inode中再找文件的inode号

查看inode号

• stat 1
  

• ll -i 1
  

查看inode大小

• df -i 查看已用inode和剩余inode
  
• stat -f 1 看指定文件所在文件系统inode大小
  
  xfs_info /dev/sda1 看xfs的inode默认大小
  
  dumpe2fs查看ext4的inode大小
  

可以查找inode号删除文件

• find -type f -inum 537418464 -exec rm -rf {} ;
  

linux的系统文件三个主要时间属性

• mtime 最后一次修改内容的时间
• ctime 最后一次改变属性的时间
• atime 租后一次访问时间

软连接与硬链接

区别

硬链接相当于一个备份，不能跨文件系统，且inode号一样
ln 1 1.bak

软链接可以跨系统，相当于一个快捷方式，但是inode号不一样
ln -s 1 2

xfsdump 备份

0为完全备份，1-9为增量备份
xfsdump -f /bak /dev/sdc 完全备份

将磁盘中的备份到新建的bak文件中

将磁盘中的文件删除

然后用xfsrestore -f bak /dev/sdc 恢复备份

日志

• 用于记录系统的安全性，邮件，程序运行中发生的各种事件
• 通过阅读日志，有助于诊断和解决系统故障

日志分类

内核及系统日志
/var/log/messages
用户日志
/var/log/lastlog
/var/log/secure
/var/log/wtmp
/var/log/btmp
程序日志
/var/log/httpd
计划任务日志
/var/log/cron
邮件系统日志
/var/log/maillog
系统引导日志
/var/logdmesg

• tailf /var/log/messages 实时查看系统日志
• lastlog 查看所有的登录信息
• last 查看最近正确登录系统信息
• lastb 查看最近错误登录信息

日志级别

• DEBUG 调试
• INFO 通告
• NOTICE 注意
• WARNING 提醒
• ERR 错误
• CRIT 严重
• ALERT 警告
• EMERG 紧急
  从上到下紧急程度上升

journalctl 查看日志信息命令

• journalctl -xe 带网址查看日志信息
  

• journalctl -k 查看内核
  

• journalctl -b 查看系统启动日志
  

• journalctl -u sshd 查看sshd的日志

• journalctl -e 从最后开始看