Linux文件系统与日志分析
目录
一、Linux文件系统
1、inode与block
2、查看inode号码的命令
3、inode包含文件的元信息
4、Linux系统文件的三个主要时间属性
5、用户通过文件名打开文件时系统内部过程
6、inode的大小
7、inode的特点
二、日志
1、日志的功能
2、日志文件的分类
3、系统日志介绍
3、ELK
4、rsyslog管理
5、rsyslog配置文件
6、用户登录日志
7、last和lastb:查询用户登录的历史记录
8、journalctl日志管理工具
9、查询当前登录的用户情况
10、日志的管理策略
三、实操:将ssh服务日志单独存放
1、进入rsyslog配置文件,添加自己的文件位置
2、进入ssh配置文件,将ssh配置成使用local6
3、重启服务
4、验证,并查看本机日志记录(tail -f /var/log/secure)
四、实操:通过网络将本地的日志远程备份到另外一台机器
1、两台机器都关闭防火墙工具与selinux
2、打开配置文件,进行修改配置
3、重启服务
4、查看514端口是否启动
5、测试使用logger写入一条测试日志
6、接收方开启TCP和端口514
7、重启日志服务
8、查看接收方是否能收到日志记录
一、Linux文件系统
1、inode与block
文件数据包括元信息与实际信息,文件存储在硬盘上,硬盘最小的存储单位是扇区,每个扇区存储512个字节。
①block:块。连续的八个扇区组成一个block,大小为4k。(是文件存储的最小的单位)
②inode:索引节点,用于存储元信息,在同一个硬件设备上是唯一的,是可以被用完的,用完后无法创建任何文件。
③block和inode的关系:一个文件必须占用一个inode号,但是至少占用一个block。
2、查看inode号码的命令
1. 查看文件名对应的inode号码
ls -i 文件名
2. 查看文件inode信息中的inode号码
stat 文件名3、inode包含文件的元信息
- 文件的字节数(字节占用多少空间,也称文件大小)
- 文件拥有者的 User ID
- 文件的 Group ID
- 文件的读、写、执行权限
- 文件的时间戳(ctime、atime、mtime)
- 文件类型
- 链接数
- 有关文件的其他数据
- 不包含文件名,文件名在目录结构中
4、Linux系统文件的三个主要时间属性
①ctime:最后一次改变问价或目录的时间
②atime:最后依次访问文件或目录的时间
③mtime:最后一次修改文件或目录(内容)
5、用户通过文件名打开文件时系统内部过程
①系统找到与这个文件名对应的inode号码
②通过inode号码,获取inode信息
③根据inode信息,找到文件数据所在的block,读出数据
例题:磁盘有剩余,但无法继续建立文件?
inode用完了,lvm扩容,普通分区删除无用文件。
6、inode的大小
①inode号也会消耗硬盘空间,每个inode的大小一般是128字节或256字节
②inode在同一个文件系统里唯一,在不同的文件系统中可以重复
查看每个硬盘分区的inode总数和已经使用的数量,可以用命令df -i
7、inode的特点
①删除inode的方法:
删除inode号的方法:
方法一: find 文件位置 -inum inode号码 -exec rm -rf {} \;
方法二: find 文件位置 -inum inode号码 -delete二、日志
日志默认保存在/var/log目录下
1、日志的功能
①用于记录系统,程序运行中发生的各种事件
②通过阅读日志,有助于诊断和解决系统故障
2、日志文件的分类
①由系统服务rsyslog统一进行管理,日志格式基本相似
②主配置文件/etc/rsyslog.conf
③记录系统用户登录及退出系统的相关信息
④由各种应用程序独立管理的日志文件,记录格式不统一
3、系统日志介绍
①sysklogd系统日志服务
②rsyslog系统日志服务
rpm -qi rsyslog
#查看rsyslog的详细信息rpm -ql rsyslog
#查看rsyslog的文件列表3、ELK
由Elasticsearch, Logstash, Kibana三个软件组成
4、rsyslog管理
4.1日志消息的级别
Linux系统内核日志消息的优先级别(数字等级越小,优先级越高,消息越重要):
级别 消息 级别 具体描述
0 EMERG 紧急 会导致主机系统不可用的情况
1 ALERT 警告 必须马上采取措施解决的问题
2 CRIT 严重 比较严重的情况
3 ERR 错误 运行出现错误
4 WARNING 提醒 可能影响系统功能,需要提醒用户的重要事件
5 NOTICE 注意 不会影响正常功能,但是需要注意的事件
6 INFO 信息 一般信息
7 DEBUG 调试 程序或系统调试信息等
是yum或rpm安装配置文件一般放在etc下
在改配置文件一定要先备份,查看软件的配置文件位置,用rpm -qc软件名,去查看,一般以.conf
结尾的是配置文件。
5、rsyslog配置文件
配置文件格式:/etc/rsyslog.conf
①modules:相关模块配置
②global diretives:全局配置
③rules:日志记录相关的规则配置
6、用户登录日志
/var/log/secure: 记录用户认证相关的安全事件信息。
/var/log/lastlog: 记录每个用户最近的登录事件。二进制格式
/var/log/wtmp: 记录每个用户登录、注销及系统启动和停机事件。二进制格式
/var/ run/btmp: 记录失败的、错误的登录尝试及验证事件。二进制格式
7、last和lastb:查询用户登录的历史记录
①last命令用于查询成功登录到系统的用户记录
②lastb命令用于查询登陆失败的用户记录
用户名登录错误,密码输入错误都会被记录在里面,登录失败也属于安全时间,表示可能有人在尝试破解密码。除了使用lastb命令以外,还可以直接从安全日志/var/log/secure中获取相关信息。
8、journalctl日志管理工具
日志的配置文件:/etc/systemd/journald.conf
9、查询当前登录的用户情况
①users
②who
③w
10、日志的管理策略
- 及时做好备份和归档
- 延长日志保存期限
- 控制日志访问权限
- 日志中可能会包含各类敏感信息,如账户和口令等
- 集中管理日志
- 将服务器的日志文件发到统一-的日志文件服务器
- 便于日志信息的统- -收集、 整理和分析
- 杜绝日志信息的意外丢失、恶意篡改或删除
三、实操:将ssh服务日志单独存放
ssh远程连接协议:(1)压缩功能,传输快 (2)密文传输
1、进入rsyslog配置文件,添加自己的文件位置
vim /etc/rsyslog.conf
2、进入ssh配置文件,将ssh配置成使用local6
3、重启服务
4、验证,并查看本机日志记录(tail -f /var/log/secure)
四、实操:通过网络将本地的日志远程备份到另外一台机器
就算本机系统崩溃,我们可以查看另一台机器备份的日志,来排查故障
1、两台机器都关闭防火墙工具与selinux
2、打开配置文件,进行修改配置
3、重启服务
4、查看514端口是否启动
5、测试使用logger写入一条测试日志
6、接收方开启TCP和端口514
7、重启日志服务
systemctl restart rsyslog.service
8、查看接收方是否能收到日志记录
