学习深入理解Linux文件系统与日志分析
目录
inode和block概述
inode的内容
cp和inode
文件存储小结
inode的大小
inode的特殊作用
链接文件
恢复与备份XFS类型的文件
■xfsdump命令格式
■xfsrestore命令格式
日志文件
■日志的功能
■日志文件的分类
■日志保存位置
■主要日志文件介绍
常见的一些日志文件
日志文件的格式
内核及系统日志
日志消息的级别
程序日志分析
日志管理策略
总结
inode和block概述
■文件数据包括元信息与实际数据
■文件存储在硬盘上,硬盘最小存储单位是“扇区”,每个扇区存储512字节
■block (块)
●连续的八个扇区组成一个block
●是文件存取的最小单位
元信息-inode
数据-block
一个文件必须占用 一个inode,但至少占用一个block
■inode (索引节点)
●中文译名为“索引节点”,也叫i节点
●用于存储文件元信息
三种时间戳
当新创建一个文件时, 这个文件的最后访问时间、最后内容修改时间、最后状态更新时间都是一致的。
修改一个文件的权限状态信息,只会更新这个文件的最后状态修改时间.
对比事例2,这里最后状态时间、最后内容改变时间都被更新了。当修改- 一个文件时, 文件的Modify.
Change会被更新
当查看文件时,文件的Access time会更新。
当需要了解这个文件有没有被修改过- Modify Time
当需要了解这个文件最后被查看的时间- Access Time
当需要了解这个文件权限最后变动的时间- Change Time
inode的内容
■inode包含文件的元信息
不包含文件名
●文件的字节数
●文件拥有者的User ID
●文件的Group ID
●文件的读、写、执行权限
●文件的时间戳 ●......
■用stat命令可以查看某个文件的inode信息
●示例: stat aa.txt
■Linux系统文件三个主要的时间属性
●ctime(change time)
◆最后一次改变文件或目录(属性)的时间
●atime(access time)
◆最后一次访问文件或目录的时间
●mtime(modify time)
◆最后一-次修改文件或目录权限(内容)的时间
■目录文件的结构
●目录也是一种文件
●目录文件的结构
| 文件名1 | inode号码1 |
| 文件名2 | inode号码1 |
| ........ | ............ |
每一行称为一个目录项
■每个inode都有一个号码,操作系统用inode号码来识别不同的文件
■Linux系统内部不使用文件名,而使用inode号码来识别文件
■对于用户,文件名只是inode号码便于识别的别称
cp和inode
cp命令:
●分配一个空闲的inode号, 在inode表中生成新条目
●在目录中创建一个目录项,将名称与inode编号关联
●拷贝数据生成新的文件
rm命令:
●链接数递减,从而释放的inode号可以被重用
●把数据块放在空闲列表中
●删除目录项
●数据实际上不会马上被删除,但当另一个文件使用数据块时将被覆盖
mv和inode
●如果mv命令的目标和源在同- -设备,
不影响inode表(除时间戳)或磁盘上的数据位置:没有数据被移动!
删除旧的目录对应关系新建目录对应关系
文件存储小结
inode的大小
■inode也会消耗硬盘空间
●每个inode的大小
●一般是128字节或256字节
■格式化文件系统时确定inode的总数
■使用df -i命令可以查看每个硬盘分区的inode总数和已经使用的数量
inode的特殊作用
■由于inode号码与文件名分离,导致-些Unix/Linux系统具有以下的现象
●当文件名包含特殊字符,可能无法正常删除文件,直接删除inode,也可以删除文件
●移动或重命名文件时,只改变文件名,不影响inode号码打开一 个文件后,系统通过inode号码来识别该文件,不再考虑文件名
链接文件
■为文件或目录建立链接文件
■链接文件分类
| 软链接(又称符号链接) | 硬链接 | |
| 删除原始文件后 | 失效 | 仍旧可用 |
| 使用范围 | 适用于文件或目录 | 只可用于文件 |
| 保存位置 | 与原始文件可以位于不同的文件系统中 | 必须与原始文件在同一 个文件系统(如一个Linux分区)内 |
恢复与备份XFS类型的文件
■xfsdump命令格式
xfsdump -f备份存放位置 要备份的路径或设备文件
■xfsdump备份级别(默认为0)
●0:完全备份
●1-9:增量备份
■xfsdump常用选项: -f、-L、-M、-S
常用的备份参数包括以下几种:
●-f:指定备份文件目录.
●-L:指定标签session label
●-M:指定设备标签media label
●-S:备份单个文件,-S后面不能直接跟路径
■xfsrestore命令格式
xfsrestore -f 恢复文件的位置 存放恢复后文件的位置
■模拟删除并执行恢复操作
使用xfsdump时,需要注意以下的几个限制:
●不支持没有挂载的文件系统备份,所以只能备份已挂载的
●必须使用root的权限才能操作;
●只能备份XFS文件系统;
●备份下来的数据只能让xfsrestore解析;
●不能备份两个具有相同UUID的文件系统(可使用blkid查看) 。
具体过程
日志文件
■日志的功能
●用于记录系统、程序运行中发生的各种事件
●通过阅读日志,有助于诊断和解决系统故障
■日志文件的分类
●内核及系统日志
◆由系统服务rsyslog统一进行管理, 日志格式基本相似
●用户日志
◆记录系统用户登录及退出系统的相关信息
●程序日志
◆由各种应用程序独立管理的日志文件,记录格式不统一
■日志保存位置
默认位于: /var/log目录下
■主要日志文件介绍
内核及公共消息日志 . /var/log/messages
计划任务日志 ./var/log/cron
系统引导日志 ./var/log/dmesg
邮件系统日志 ./varllog/maillog
用户登录日志
./var/log/lastlog
./var/log/secure
./var/log/wtmp
./var/run/btmp
常见的一些日志文件
日志文件的格式
日志文件的格式包含以下4列:
●事件产生的时间。
●产生事件的服务器的主机名。
●产生事件的服务名或程序名。
●事件的具体信息。
内核及系统日志
■由系统服务rsyslog统一管理
●软件包:rsyslog-7 .4.7-16.el7.x86_ 64
●主要程序: /sbin/rsyslogd
●配置文件: /etc/rsyslog.conf
日志消息的级别
程序日志分析
■由相应的应用程序独立进行管理
●Web服务: /var/log/httpd/
◆access_ log、 error_ log
●代理服务: /var/log/squid/
◆access.log、cache.log、
●FTP服务: /var/log/xferlog
■分析工具
●文本查看、grep过滤检索、Webmin管理套件中查看
●awk、sed等文本过滤、格式化编辑工具
●Webalizer、Awstats等专用 日志分析工具
日志管理策略
■及时作好备份和归档
■延长日志保存期限
■控制日志访问权限
●日志中可能会包含各类敏感信息,如账户、口令等
■集中管理日志
●将服务器的日志文件发到统一-的日志文件服务器
●便于日志信息的统一-收集、整理和分析
●杜绝日志信息的意外丢失、恶意篡改或删除
总结
主要学习深入理解Linux文件系统与日志分析,需要理解Linux文件系统与日志分析的命令