Linux操作基础(文件系统和日志分析)
文章目录
- 一、inode与block
-
- 1.1inode和block概述
- 1.2 inode包含文件的元信息
- 1.3 linux文件系统的三个时间戳
- 1.4 inode的号码
- 1.5 inode的大小
- 1.6 inode号的特点
- 1.7软连接与硬链接
- 二 、文件恢复
-
- 2.1 xfsdump恢复
- 2.2 opic恢复方式
- 三 、日志文件
-
- 3.1 日志文件的分类
- 3.2 日志的格式
- 3.3 常见日志文件
- 3.4 日志文件分析
- 3.5 用户日志分析
- 3.6日志管理
一、inode与block
1.1inode和block概述
文件存储在硬盘上,硬盘的最小存储单位叫做"扇区" ( sector )每个扇区存储512字节。
-
操作系统读取硬盘的时候,不会一个个扇区地读取,这样效率太低,而是一次性连续读取多个扇区,即一次性读取一个"块" ( block )。这种由多个扇区组成的"块",是文件存取的最小单位。"块"的大小 ,最常见的是4KB ,即连续八个扇区组成一个块。
-
文件数据存储在"块”中,那么还必须找到一个地方存储文件的元信息,比如文件的创建者、文件的创建日期、文件的大小等等。这种存储文件元信息的区域就叫做inode(索引节点),也叫i节点。
一个文件必须占用一个inode ,至少占用一个block。
1.2 inode包含文件的元信息
inode包含很多文件的元信息,例如:
- 文件的字节数
- 文件拥有者的User ID
- 文件的Group ID
- 文件的读、 写、执行权限
- 文件的时间戳文件类型
- 链接数
- 有关文件的其他数据
stat命令
可以通过stat命令来获取文件的inode号的相关信息
查询inode号的方式还可以使用ls -l来查询
1.3 linux文件系统的三个时间戳
- ctime(change time):最后一次改变文件或目录的时间,例如执行chmod、chown
- atime(access time):是最近一次访问文件或目录的时间
- mtime(modify time):是最后一次修改文件或目录(内容)的时间
inode不包含文件名。文件名是存放在目录当中的。Linux系统中一切皆文件,因此目录也是一种文件。
每个inode都有一个号码,操作系统用inode号码来识别不同的文件,linux系统内部使用不同文件名,而使用inode来识别文件。 对于系统来说,文件名只是inode号码便于识别的别称,文件名和inode号码是一一对应关系,每个inode号码对应一个文件名。
1.4 inode的号码
表面上,用户通过文件名,打开文件而实际上,系统内部这个过程分成三步:
1.系统找到这个文件名对应的inode号码
2.通过inode号码 ,获取inode信息
3.根据inode信息,找到文件数据所在的block
硬盘分区后的结构
访问文件的简单流程
用户访问文件,系统会查找对应的inode号,而后判断用户是否有访问的权限,如果有就会发送对应的block数据,如果没有访问的权限,则拒绝访问
1.5 inode的大小
inode也会消耗硬盘的空间,每个inode的大小,一般是128字节或256字节。
node的总数,在格式化时就确定,查看每个硬盘分区的inode总数和已经使用的数量,可以使用命令: df -i
1.6 inode号的特点
由于inode 号码与文件名分离,导致Linux系统具备以下几种特有的现象:
1、文件名包含特殊字符,可能无法正常删除。这时直接删除inode,能够起到删除文件的作用,可以使用find来查找文件,而后通过inode号来完成删除.
法一: find 文件位置 -inum inode号码 -exec rm -i {} ;
法二: find 文件位置 -inum inode号码 -delete
2、 mv移动文件或重命名文件,只是改变文件名,不影响inode 号(这里指的是非挂载磁盘)
3、 文件数据被修改保存后,会生成一个新的inode 号码
4、cp命令与inode:
- 分配一个空闲的inode号
- 在inode表中生成新条目在目录中创建一个目录项
- 将名称与inode编号关联拷贝数据生成新的文件
5、rm命令与inode
- 链接数递减,从而释放的inode号可以被重用把数据块放在空闲列表中
- 删除目录项
- 数据实际上不会马上被删除,但当另一个文件使用数据块时将被覆盖
1.7软连接与硬链接
创建格式:
ln [-s] 源文件或目录…链接文件或目标位置(加-s为软连接,不加为硬链接)
| 操作和范围 | 软链接 | 硬链接 |
|---|---|---|
| 删除原始文件 后 | 失效 | 仍然可用 |
| 使用范围 | 适用于文件或目录 | 可用于文件 |
| 保存位置 | 与原始文件可以位于不同的文件系统 中 | 必须与原始文件在同一个文件系统(如一个Linux分 区)内 |
二 、文件恢复
2.1 xfsdump恢复
xfs格式的恢复
- xfsdump
xfsdump -f + 备份存放的位置 + 要备份的文件或者路径 - xfsdump的备份等级
xfsdump 0 表示完全备份 1-9 表示增量备份 备份级别默认为0
| 命令 | 含义 |
|---|---|
| -L | 指定标签 session lable |
| -M | 标签media |
| -s | 备份单个文件,不能直接跟路径 |
xfsrestore
xfsrestore -f 恢复文件的位置 存放恢复后文件的位置
xfsdump使用限制
- 只能备份已挂载的文件系统
- 必须使用root的权限才能操作
- 只能备份XFS文件系统
- 备份后的数据只能让xfsrestore解析
- 不能备份两个具有相同UUID的文件系统
模拟删除恢复的操作
1、新建一个磁盘,完成格式化和挂载
2、安装xfsdump,指定备份目录和需要备份的磁盘
先安装xfsdump
备份
3、 删除文件、做恢复测试
2.2 opic恢复方式
使用 cpio 命令备份或恢复数据,需注意以下几点:
- 使用 cpio 备份数据时如果使用的是绝对路径,那么还原数据时会自动恢复到绝对路径下;同理,如果备份数据使用的是相对路径,那么数据会还原到相对路径下。
- cpio 命令无法自行指定备份(或还原)的文件,需要目标文件(或目录)的完整路径才能成功读取,因此此命令常与 find 命令配合使用。
- cpio 命令恢复数据时不会自动覆盖同名文件,也不会创建目录(直接解压到当前文件夹)。
1、“-o” 模式:指的是 copy-out 模式,就是把数据备份到文件库中,命令格式如下:
[root@localhost ~]# cpio -o[vcB] > [文件丨设备]
各选项含义如下:
-o:copy-out模式,备份;
-v:显示备份过程;
-c:使用较新的portable format存储方式;
-B:设定输入/输出块为 5120Bytes,而不是模式的 512Bytes;
2、“-i” 模式:指的是 copy-in 模式,就是把数据从文件库中恢复,命令格式如下:
[root@localhost ~]# cpio -i[vcdu] < [文件|设备]
各选项的含义为:
-i:copy-in 模式,还原;
-v:显示还原过程;
-c:较新的 portable format 存储方式;
-d:还原时自动新建目录;
-u:自动使用较新的文件覆盖较旧的文件;
模拟操作:
1、进行备份文件
2、恢复数据
三 、日志文件
日志保存位置默认位于:/var/log目录下
日志的功能:
- 用于记录系统、程序运行中发生的各种事件
- 通过阅读日志,有助于诊断和解决系统故障
3.1 日志文件的分类
- **内核及系统日志:**这种日志数据由系统服务rsyslog统一管理,根据其主配置文件/etc/rsyslog.conf中的设置决定将内核消息及各种系统程序消息记录到什么位置
- **用户日志:**这种日志数据用于记录Linux系统用户登录及退出系统的相关信息,包括用户名、登 录的终端、登录时间、来源主机、正在使用的进程操作等
- **程序日志:**有些应用程序会选择由自己独立管理一份日志文件(而不是交给rsyslog服务管理),用于记录本程序运行过程中的各种事件信息
3.2 日志的格式
vim /var/log/messages
- 事件产生的时间。
- 产生事件的服务器的主机名。
- 产生事件的服务名或程序名。
- 事件的具体信息。
3.3 常见日志文件
- 内核及公共消息日志 : /var/log/messages: 记录Linux内核消息及各种应用程序的公共日志信息,包括启动、IO错误、网络错误、程序故障等。 对于未使用独立日志文件的应用程序或服务,一般都可以从该日志文件中获得相关的事件记录信息。
- 计划任务日志
/var/log/ cron : 记录crond计划任务产生的事件信息。
- 系统引导日志 :
/var/ log/ dmesg: 记录Linux系统在引导过程中的各种事件信息。
- 邮件系统日志 :
/var/log/maillog:记录进入或发出系统的电子邮件活动。
- 用户登录日志 :
/var/log/secure: 记录用户认证相关的安全事件信息。
/var/log/lastlog: 记录每个用户最近的登录事件。二进制格式
/var/log/wtmp: 记录每个用户登录、注销及系统启动和停机事件。二进制格式
/var/ run/btmp: 记录失败的、错误的登录尝试及验证事件。二进制格式
3.4 日志文件分析
输入cat /etc/rsyslog.conf 命令
查看/etc/rsyslog.conf配置文件
Linux系统内核日志消息的优先级别(数字等级越小,优先级越高,消息越重要)
| 级别 | 消息 | 级别 | 具体描述 |
|---|---|---|---|
| 0 | EMERG | 紧急 | 会导致主机系统不可用的情况 |
| 1 | ALERT | 警告 | 必须马上采取措施解决的问题 |
| 2 | CRIT | 严重 | 比较严重的情况 |
| 3 | ERR | 错误 | 运行出现错误 |
| 4 | WARNING | 提醒 | 可能影响系统功能,需要提醒用户的重要事件 |
| 5 | NOTICE | 注意 | 下会影响正常功能,但是需要注意的事件 |
| 6 | INFO | 信息 | 一般信息 |
| 7 | DEBUG | 调试 | 程序或系统调试信息等 |
举例:
-
mail.infovar/log/maillog :比指定级别更高的日志级别,包括指定级别自身,保存到/var/log/maillog中
-
mail.=info/var/log/maillog:明确指定日志级别为info,保存至/var/loq/maillog
-
mail.!info /var/log/maillog : 除了指定的日志级别(info) 所有日志级别信息,保存至/var/log/maillog
-
*.info /var/log/maillog : 所有faqility的info级别,保存至/var/log/maillog
-
mail.*/var/log/maillog : mail的所有日志级别信息,都保存至/var/log/maillog
-
mail.notice;news,info /var/log/maillog : mail的notice以上记得日志级别和news的info以上的级别保存至/var/log/maillog
-
mail,news.crit -/var/log/maillog : mail和news的crit以上的日志级别保存/var/log/maillog中;"-"代表异步模式
3.5 用户日志分析
查询当前登录的用户情况—users、who、w命令
查询用户登录的历史记录—last、lastb命令
last命令—用于查询成功登录到系统的用户记录而lastb则是查询登录失败的用户记录
Web服务:/var/log/httpd/
-
access_log ——记录客户访问事件
-
error_log ——记录错误事件
代理服务:/var/log/squid/
- access.log、cache.log
分析工具:
-
文本查看、grep过来检索、Webmin管理套件中查看
-
awk、sed等文本过滤、格式化编辑工具
-
Webalizer、Awstats等专用日志分析工具
3.6日志管理
-
及时做好备份和归档
-
延长日志保存期限
-
控制日志访问权限
-
日志中可能会包含各类敏感信息,如账户和口令等
-
集中管理日志
-
将服务器的日志文件发到统一-的日志文件服务器
-
便于日志信息的统- -收集、 整理和分析
-
杜绝日志信息的意外丢失、恶意篡改或删除