深入理解linux文件系统与日志文件及恢复误删除文件

目录

一、深入理解Linux文件系统

inode 和block 概述

1.1.2、inode 的内容

用户打开文件时,系统内部的过程

inode 的大小

inode 的特殊作用

inode删除命令

二、硬链接与软链接

硬链接

软链接

三、恢复ext类型文件

实验环境:CentOS7

四、xfs类型文件修复

实验环境:CentOS7

五、日志文件

日志文件的作用

日志文件的分类

常见的日志文件及查看方式

日志消息的级别

 查看日志的方式

总结


一、深入理解Linux文件系统


崭新的操作系统的文件数据除了实际内容外,通常含有非常多的属性,例如Linux操作系统的文件权限与文件属性。文件系统通常会将这两部分分别放在inode和block中。


inode 和block 概述


文件数据包括元信息与实际数据

文件存储在硬盘上,硬盘的最小存储单位是“扇区”,每个扇区存储512字节

文件是存储在硬盘上的,硬盘的最小存储单位叫做“扇区”(sector),每个扇区存储 512字节。操作系统读取硬盘的时候,不会一个个扇区地读取,这样效率太低,而是一次性连续读取多个扇区,即一次性读取一个"块"(block)。这种由多个扇区组成的"块",是文件存取的最小单位。"块"的大小,最常见的是 4KB,即连续八个 sector 组成一个 block。

文件数据存储在“块”中,那么还必须找到一个地方存储文件的元信息,比如文件的创建者、文件的创建日期、文件的大小等等。这种存储文件元信息的区域就叫做 inode,中文译名为“索引节点”,也叫 i 节点。因此,一个文件必须占用一个 inode,但至少占用一个 block。

1.1.2、inode 的内容


inode 包含很多的文件元信息,但不包含文件名,例如:
文件的字节数

文件拥有者的 UserID

文件的 GroupID

文件的读、写、执行权限

文件的时间戳

使用 stat 命令即可查看某个文件的 inode 信息
 

[root@ky17 home]# stat 1.txt
  文件:"1.txt"
  大小:0         	块:0          IO 块:4096   普通空文件
设备:803h/2051d	Inode:67166935    硬链接:1
权限:(0644/-rw-r--r--)  Uid:(    0/    root)   Gid:(    0/    root)
最近访问:2022-01-04 18:43:35.979015581 +0800
最近更改:2022-01-04 18:43:35.979015581 +0800
最近改动:2022-01-04 18:43:35.979015581 +0800
创建时间:-

Linux 系统文件有三个主要的时间属性,分别是ctime(change time), atime(access time), mtime(modify time)。
ctime(change time) 是最后一次改变文件或目录(属性)的时间,例如执行 chmod, chown 等命令;

atime(access time)是最后一次访问文件或目录的时间;

mtime(modify time)是最后一次修改文件或目录(内容)的时间。
 

用户打开文件时,系统内部的过程

用户在访问文件时,表面上是用户通过文件名来打开文件,而实际系统内部的过程分成 以下三步:
系统找到文件名对应的 inode 号码;

通过 inode 号码,获取 inode 信息;

根据 inode 信息,找到文件数据所在的 block,并读出数据。

常见的查看 inode 号码的方式有两种:
ls -i 命令:直接查看当前目录文件名所对应的 inode 号码;

ls -ai 命令:直接查看当前目录文件及隐藏文件所对应的 inode 号码;

stat 命令:通过查看文件 inode 信息而查看到 inode 号码。
 

inode 的大小


inode 也会消耗硬盘空间,所以格式化的时候,操作系统自动将硬盘分成两个区域。一个是数据区,存放文件数据;另一个是 inode 区,存放 inode 所包含的信息。每个 inode 的大小,一般是 128 字节或 256 字节。通常情况下不需要关注单个 inode 的大小,而是需要重点关注 inode 总数。inode 的总数在格式化时就给定了,执行“df -i”命令即可查看每个硬盘分区对应的的 inode 总数和已经使用的 inode 数量。
 

inode 的特殊作用


由于 inode 号码与文件名分离,导致一些 Unix/Linux 系统具备以下几种特有的现象。
文件名包含特殊字符,可能无法正常删除。这时直接删除 inode,能够起到删除文件的作用;

移动文件或重命名文件,只是改变文件名,不影响 inode 号码;

打开一个文件以后,系统就以 inode 号码来识别这个文件,不再考虑文件名。


inode删除命令

find ./ -inum  inodo号 -delete

例子

 深入理解linux文件系统与日志文件及恢复误删除文件_第1张图片

 一个文件对应一个inodo号,inodo号被删除,文件也被删除,反之一样

深入理解linux文件系统与日志文件及恢复误删除文件_第2张图片

 

二、硬链接与软链接


在 Linux 系统下的链接文件有两种,一种类似于 Windows 的快捷方式功能的文件,可以快速连接到目标文件或目录,称之为软链接;另一种则是通过文件系统的 inode 链接来产生的新文件名,而不是产生新文件,称之为硬链接。

硬链接


一般情况下,文件名和 inode 号码是一一对应关系,每个 inode 号码对应一个文件名。但是 Linux 系统允许多个文件名指向同一个 inode 号码。这意味着,可以用不同的文件名访问同样的内容。ln 命令可以创建硬链接,命令的基本格式为:ln 源文件 目标

运行该命令以后,源文件与目标文件的 inode 号码相同,都指向同一个 inode。inode
信息中的“链接数”这时就会增加 1 。

当一个文件拥有多个硬链接时,对文件内容修改,会影响到所有文件名;但是删除一个文件名,不影响另一个文件名的访问。删除一个文件名,只会使得 inode 中的"链接数"减 1。需要注意的是不能对目录做硬链接。

软链接


软链接就是再创建一个独立的文件,而这个文件会让数据的读取指向它连接的那个文件 的文件名。例如,文件 A 和文件 B 的 inode 号码虽然不一样,但是文件 A 的,内容是文件B 的路径。读取文件 A 时,系统会自动将访问者导向文件 B。这时,文件 A 就称为文件 B 的“软链接”(soft link)或者“符号链接(symbolic link)。

这意味着,文件 A 依赖于文件 B 而存在,如果删除了文件 B,打开文件 A 就会报错。这是软链接与硬链接最大的不同:文件 A 指向文件 B 的文件名,而不是文件 B 的 inode 号码,文件 B 的 inode“链接数”不会因此发生变化。

软链接的创建命令的基本格式为:
ln -s 源文件或目录 目标文件或目录
 

三、恢复ext类型文件

EXT类型文件恢复

extundelete 是一个开源的 Linux 数据恢复工具,支持 ext3、ext4文件系统。(ext4只能在centos6版本恢复)
●下载网址:extundelete-0.2.4.tar.bz2

实验环境:CentOS7


使用fdisk创建分区/dev/sdb2,格式化ext3文件系统

fdisk /dev/sdb
mkfs.ext3 /dev/sdb2              磁盘分区并挂载
mkdir /sdb2
mount /dev/sdb2 /sdb2

yum -y install e2fsprogs-devel e2fsprogs-libs             #安装依赖包

cd /sdb2
拖入压缩包
tar jxvf extundelete-0.2.4.tar.bz2                        #进行解压缩
cd extundelete-0.2.4/
./configure --prefix=/usr/local/extundelete && make && make install  安装extundelete命令

ln -s /usr/local/extundelete/bin/* /usr/bin/     建立extundelete软连接

模拟删除并执行恢复操作

cd /sdb1                      
echo a>a                     创建几个文件
echo a>b
echo a>c
echo a>d
ls      
a   b   c   d
          
rm -rf a b                   删除a 和 b            
cd ~
umount /sdb2                 解除挂载

extundelete /dev/sdb2 --restore-all		恢复/dev/sdb2文件系统下的所有内容

在当前目录下会出现一个RECOVERED_FILES/目录,里面保存了已经恢复的文件
ls RECOVERED_FILES
a   b   

四、xfs类型文件修复


●CentOS 7 系统默认采用 xfs类型的文件,xfs 类型的文件可使用 xfsdump 与 xfsrestore 工具进行备份恢复。

●xfsdump 命令常用的选项:
-f:指定备份文件目录
-L:指定标签 session label
-M:指定设备标签 media label
-s:备份单个文件,-s 后面不能直接跟路径

●xfsdump使用限制:
1.只能备份已挂载的文件系统
2.必须使用root的权限才能操作
3.只能备份XFS文件系统
4.备份后的数据只能让xfsrestore解析
5.不能备份两个具有相同UUID的文件系统(可用 blkid命令查看)
 

实验环境:CentOS7

使用fdisk创建分区/dev/test,格式化xfs文件系统

fdisk /dev/sdb           磁盘分区
mkfs.xfs  /dev/sdb1       格式化磁盘   
mkdir /date               创建目录
mount /dev/sdb1 /date      分区挂载


cd /date
cp /etc/passwd ./          拷贝passwd到当前目录
touch  a b c                在当前目录创建abc三个文件


yum install -y xfsdump      安装xfsdump软件包

xfsdump -f /opt/dump_sdb1 /dev/sdb1 -L dump_sdb1 -M sdb1     使用xfsdump工具将/dev/sdb1内的 
                                                             文件备份到opt下的dump_sdb1     
                                                            -L后面就是文件名-M后面是设备名

cd /date
rm -rf ./*                   删除当前目录所有文件
ls                           此时时空目录

xfsrestore -f /opt/dump_sdb1 /date         将opt下的dump_sdb1恢复到当前目录
ls                           查看有了abc三个文件
a b c 

深入理解linux文件系统与日志文件及恢复误删除文件_第3张图片

 

五、日志文件

日志文件的作用


日志文件用于记录linux系统的各种运行信息的文件,相当于linux主机的日记,不同的日志文件记载了不同类型的信息,如Linux内核消息、用户登录事件、程序错误等。.
日志文件对于诊断和解决问题很有帮助,因为linux运行的程序通常把系统的消息和错误写入对应的日志文件,这样系统可以有据可查, 此外,当主机遭受攻击时,日志文件还可以帮助寻找攻击者留下的痕迹。

日志文件的分类


1.内核及系统日志:
内核及系统日志:这种日志数据由系统服务rsyslog同-管理,根据其主配置文件/etc/rsyslog.conf中的设置决定将内核消息及各种系统程序消息记录到什么位置。系统中大部分的程序会把自己的日志文件交由rsyslog管理,因而这些应用程序使用的日志记录格式都很相似。

/etc/rsyslog.conf 常见配置格式为:
. 比后面等级高的(包含自己) *.info
.= 只记录该等级 .=debug
! 除了该等级都记录 ! info

有记录需要记录时,先缓存到一定大小,一次性写入
2.用户日志:
用于记录Linux系统用户登录及退出系统的相关信息,包括用户名、登录的终端、登录时间、来源主机、正在使用的进程操作等。
3.程序旧志
:有些应用程序会选择独立管理一份日志文件 ,而不是交给rsyslog服务管理,用于记录本程序运行过程中的各种事件信息。于这些程序只负责管理自己的日志文件,因此不同程序所使用的日志记录格式也会存在较大的差异。

日志文件的位置
Linux系统本身和大部分服务器程序的日志文件默认放在/var/log/下。
部分程序共用一个日志文件,一部分程序使用单个日志文件。
而有些大型服务器程序日志由于日志文件不止一个,所以会在/var/log/目录中建立相应的子绿来存放日志文件,这样既保证了日志文件目录的结构清晰,又可以快速定位日志文件。有一部分日志文件只有root用户才有权限读取,这保证了相关日志信息的安全性。

常见的日志文件及查看方式


在这里插入图片描述

 

日志消息的级别

根据日志信息的重要程度不同,分为不同的级别
数字级别越小,优先级越高,消息越重要

深入理解linux文件系统与日志文件及恢复误删除文件_第4张图片

 查看日志的方式

使用more或者cat都可以

more /var/logmessages           查看内核日志

cat /var/cron               查看周期性计划日志

总结

block与inode

硬链接与软链接

恢复误删除的文件Linux

主要包含的日志文件

Linux系统的日志消息级别

Linux系统中用户日志的查询命令

你可能感兴趣的:(linux,服务器,运维)