linux 文件系统与日志分析

一、文件系统

一、inode和block概述

1、文件数据包含原信息和实际数据
2、磁盘最小存储单位是扇区，每个扇区大小为512字节
文件系统最小存储单元是block（块），大小为4K
3、block(块)
八个连续的扇区再逻辑上组成一个block
4、inode(索引节点)
用于存储文件元信息

二、inode

文件

元信息：每个文件都会有一个inode号（一般大小为128字节或256字节），存放着文件的源信息（属主，属组，创建时间，软链接等，但不包含文件名）。数据存放在系统的哪个block里。多个inode形成inode table(inode表)

目录

1、目录也是一种文件
2、每个inode都有一个号码，每个文件都有不同的inode号（硬链接除外，硬链接属于备份，文件属性和源文件一样）
3、Linux内部不适用文件名，使用inode号来识别文件
4、对于用户来说，文件名只是inode号便于识别的别称

三、Linux系统文件三个主要时间属性

ctime:最后一次改变文件或目录（属性）的时间
atime:最后一次访问文件或目录的时间
mtime:最后一次修改文件或目录（内容）的时间
如果修改文件内容，mtime和ctime同时更改，如果修改源信息则更改ctime

四、查看inode号

stat 文件名#查看文件中inode信息

ls -i 文件名#查看文件inode号

df -i#查看每个磁盘分区的inode总数和已经使用的数量

查看系统文件xfs的inpde节点大小

查看文件系统ext4的inode节点大小


通过删除inode号删除文件

五、访问文件的简单流程

六、inode的特殊作用

由于inode号码与文件名分离，导致- -些Unix/Linux系统具有以下的现象：
1、当文件名包含特殊字符，可能无法正常删除文件，直接删除inode,也可以删除文件
2、移动或重命名文件时，只改变文件名，不影响inode号码
3、打开个文件后，系统通过inode号码来识别该文件，不再考虑文件名

七、连接文件

	软连接	硬链接
删除原始文件后	失效	依旧可用
使用范围	适用于文件或目录	只可用于文件
保存位置	与原始文件可以位于不同的文件系统	必须与原始文件在同一文件系统中

八、文件备份及还原

xfsdump基于备份的基础上还原（先备份再还原）
-f:指定文件名
-M:卷标
-L:媒体标志
-l:指定级别
备份级别(默认为0)：
0完全备份：全部备份
1-9增量备份：只备份增加的内容

实验

创建目录及文件

创建新的分区

格式化

挂载

备份文件

查看备份之后的具体信息

删除文件

还原备份

删除的文件已从备份文件中还原出来

九、xfsdump使用限制

1、只能备份已挂载的文件系统
2、必须使用root的权限才能操作
3、只能备份XFS文件系统
4、备份后的数据只能让xfsrestore解析
5、不能备份两个具有相同UUID的文件系统
6、-f后面必须是文件

二、日志分析

一、日志的功能：

用于记录系统、程序运行中发生的各种事件
通过阅读日志，有助于诊断和解决系统故障

二、日志文件的分类：

1.内核及系统日志
由系统服务rsyslog统-进行管理，日志格式基本相似
2.用户日志
记录系统用户登录及退出系统的相关信息
3.程序日志.
由各种应用程序独立管理的日志文件，记录格式不统一

三、日志保存位置：

默认位于: war/log目录下
内核及公共消息日志：/var/log/message
计划任务日志：/var/log/cron
系统引导日志：/var/log/ dmesg
邮件系统日志：/var/log/maillog
用户登陆日志：/var/log/lastlog
/var/log/secure
/var/log/wtmp
/var/log/btmp

四、日志消息的级别

级别	消息	级别	说明
0	KERN_EMERG	紧急	紧急消息。系统崩溃之前提示，表示系统已不可用
1	KERN_ALERT	警告	报告消息。表示必须立即采取措施
2	KERN_CRIT	严重	临界消息。通常涉及严重的硬件或软件操作失败
3	KERN_ERR	错误	错误消息。串口日志的默认级别。驱动程序常用 KERN_ERR 来报告硬件的错误
4	KERN_WARNING	提醒	警告消息。对可能出现问题的情况进行警告
5	KERN_NOTICE	注意	正常但又重要的消息。用于提醒，常用于与安全相关的消息
6	KERN_INFO	信息	提示消息。如驱动程序启动时，打印硬件消息
7	KERN_DEBUG	调试	调试消息。设置此级别会打印所有日志消息

编号越小越紧急
日志记录的一般格式：

五、用户日志分析

保存了用户登录、退出系统等相关信息：
1、/varlog/lastlog:最近的用户登录事件
2、/var/log/wtmp:用户登录、注销及系统开、关机事件
3、/var/run/utmp:当前登录的每个用户的详细信息
4、/var/og/secure:与用户验证相关的安全性事件
除了secure，其他为了安全，皆为二进制内容
记录所有账户的最近登陆信息（lastlog）

最近正确登陆的信息（wtmp）

查看最近的错误登陆信息(btmp)

六、系统服务rsyslog

软件包：rayalog-7.4.7-16.el17.x86_64
主要程序：/sbin/rayalogd
配置文件：/rtc/rsysylog.conf
由相应的应用程序独立进行管理
●Web服务: Ivar/log/httpd/
◆access_ log、error_ log
代理服务: /var/log/squid/
◆access.log、cache.log.
●FTP服务: /var/log/xferlog
分析工具
●文本查看、grep过滤检索、Webmin管理套件中查看
●awk、sed等文本过滤、格式化编辑工具
●Webalizer、Awstats等专用日志分析工具

七、journalctl

查看系统日志（提供网址信息，提供支持）（Centos 7才有，）按q退出

-b查看系统启动的日志
-u查看服务的日志信息（加服务名称，指定服务）
-k看内核
-e从尾部开始看
-x提供网址