Linux文件系统与日志分析

目录

引言：inode 是 linux/unix 文件系统的基础,我们这篇主要写了Linux文件系统以及日志文件，我们要做好日志的管理策略，控制日志的访问权限，以及集中管理日志，及时备份和归档。

1、inode与block概述

文件数据包括元信息与实际数据

文件存储在硬盘上，硬盘最小存储单位是“扇区”，每个扇区存储512字节

实际数据：文件编写的内容

block(块)

连续的八个扇区组成一个block

是文件存取的最小单位

inode(索引节点)

中文译名为“索引节点”，也叫i节点

用于存储文件元信息

2、inode的内容 inode包含文件的元信息

文件的字节数

文件拥有者的User ID

文件的Group ID

文件的读、写、执行权限

文件的时间戳

总结：文件数据存在块中 ，文件元信息存在inode

用stat命令可以查看某个文件的inode信息

查看文件名对应的inode 号有两种方式：

ls -i 文件名

stat 文件名

df -i 查看inode节点

2.1、系统文件三个主要的时间属性

ctime (change time)

最后一次改变文件或目录（属性）的时间，当文件的状态被修改时，更新这个时间

atime (access time)

最后一次访问文件或目录的时间，当文件内容被访问时，更新这个时间

mtime (modify time)

最后一次修稿文件或目录（内容）的时间，当文件的数据内容被修改时，更新这个时间

2.2、目录文件的结构

目录也是一种文件

目录文件的结构

每个inode 都有一个号码，操作系统用inode号码来识别不同的文件

Linux系统内部不使用文件名，而使用inode号码来识别文件

对于用户，文件名只是inode号码便于识别的别称

inode号码

用户通过文件名打开文件时，系统内部的过程

1、系统找到这个文件名对应的inode号码

2、通过inode号码，获取inode信息

3、根据inode信息，找到文件数据所在的block,读出数据

查看inode号码的方法

ls -i 命令：查看文件名对应的inode号码

stat命令 ：查看文件inode信息中的inode号码

2.3、硬盘分区后的结构

3、inode的大小

inode也会消耗硬盘空间

每个inode的大小

一般时128字节或256字节

格式化文件系统时确定inode的总数

使用df -i 命令可以查看每个硬盘分区的inode总数和已经使用的数量

例：需求：inode节点消耗故障处理

创建一个硬盘并分一个30M的分区

格式化硬盘并进行挂载

查看inode节点使用情况

删除无用的文件减少inode节点占用

4、inode的特殊作用

由于inode号码与文件名分离，导致一些Unix/Linux系统具有以下现象

当文件名包含特殊字符，可能无法正常删除文件，直接删除inode也可以删除文件

移动或重命名文件时，只改变文件名，不影响inode号码

打开一个文件后，系统通过inode号码来识别该文件，不再考虑文件名

例：删除文件的inode号也可以正常删除文件

第二种删除inode号方法

例：cp一个文件inode号会改变，mv一个文件时inode号不会改变（若移动到不同磁盘会改变）

inode会改变

inode不会改变

移动到磁盘上inode会改变

扩展：echo一个1.txt inode号也不会改变

扩展：在vim里编辑文件，inode值会改变

5、链接文件

为文件或目录建立链接文件

链接文件分类

软链接

硬链接

删除原始文件后

失效

仍旧可用

使用范围

适用于文件或目录

只可用于文件

保存位置

与原始文件可以位于不同的文件系统中

必须与原始文件在同一文件系统（如一个Linux分区内）

硬链接

ln 源文件 目标位置

软连接

ln -s 源文件或目录 链接文件或目录位置

6、恢复EXT类型的文件

编译安装extundelete软件包

extundelete是一个开源的Linux 数据恢复工具，支持ext3、ext4文件系统

(ext4只能在centos6版本恢复)

实验：需求模拟删除并执行恢复操作

安装依赖包

上传压缩包并解压

使用源码目录中configure脚本，并设置安装路径，编译安装

创建软链接

模拟删除并执行恢复操作

查看文件系统/dev/sdb1下存在哪些文件，i节点是从2开始的，2代表该文件系统最开始的目录

extundelete /dev/sdb1 --restore-all #恢复/dev/sdb1 文件系统下的所有内容

在当前目录下会出现一个RECOVERED_FILES/目录， 里面保存了已经恢复的文件

7、恢复XFS类型的文件

xfsdump 命令格式

xfsdump -f 备份存放位置 要备份的路径或设备文件

xfsdump备份级别 （默认为0）

0 ：完全备份

1-9 ：增量备份

xfsdump 常用选项 -f 、-L、-M、-s

xfsrestore 命令格式

xfsrestore -f 恢复文件的位置 存放恢复后文件的位置

xfs类型文件备份和恢复

Centos 7系统默认采用xfs类型的文件，xfs类型的文件可使用xfsdump 与xfsrestore 工具进行备份恢复。

xfsdump的备份级别有两种: 0表示完全备份; 1-9表示增量备份。xfsdump的备份级别默认为0.

-f: 指定备份文件目录

-L: 指定标签session label

-M: 指定设备标签media labe........

-s: 备份单个文件， -s后面不能直接跟路径

xfsdump 使用限制

只能备份已挂载的文件系统

必须使用root 的权限才能操作

只能备份xfs文件系统

备份后的数据只能让xfsrestore解析

不能备份两个具有相同UUID的文件系统（可用blkid命令查看）

实验：需求：模拟恢复误删除的文件xfs

使用fdisk创建分区/dev/sdb2

格式化xfs文件系统并挂载到/mnt下

创建测试用的目录和文件，并在文件里写入内容

使用xfsdump命令备份整个分区

交互式

无交互式

模拟数据丢失，使用xfsrestore命令恢复文件

增量备份

备份可以做周期性计划

8、日志文件

日志的功能

用于记录系统、程序运行中发生的各种事件

通过阅读日志，有助于诊断和解决系统故障

8.1、日志文件的分类

内核及系统日志

由系统服务rsyslog统一进行管理unix结构分析，日志格式基本相似

用户日志

记录系统用户登录及退出的相关信息

程序日志

由各种应用程序独立管理的日志文件，记录格式不统一

日志保存位置

默认位置：/var/log 目录下

8.2、主要日志文件介绍

内核及公共消息日志

/var/log/messages

计划任务日志

/var/log/cron

系统引导日志

/var/log/dmesg

邮件系统日志

/var/log/maillog

用户登录日志

/var/log/lastlog

/var/log/secure

/var/log/wtmp

/var/log/btmp

内核及系统日志由系统服务rsys1og统一管理，主配置文件为/etc/rsyslog.conf

Linux操作系统本身和大部分服务器程序的日志文件都默认放在目录/var/1og/下

常见的一些日志文件

内核及公共消息日志

/var/1og/messages:记录Linux内核消息及各种应用程序的公共日志信息，包括启动、IO错误、网络错误、程序故障等。对于未使用独立日志文件的应用程序或服务，一般都可以从该日志文件中获得相关的事件记录信息

计划任务日志

/var/1og/cron:记录crond计划任务产生的事件信息

系统引导日志

/var/1og/dmesg:记录Linux系统在引导过程中的各种事件信息

邮件系统日志

/var/1og/maillog:记录进入或发出系统的电子邮件活动

用户登录日志

/var/log/secure:记录用户认证相关的安全事件信息。

/var/log/lastlog:记录每个用户最近的登录事件。二进制格式

/var/log/wtmp: 记录每个用户登录、注销及系统启动和停机事件。二进制格式

/var/run/btmp: 记录失败的、错误的登录尝试及验证事件。二进制格式

last 查看用户登录相关信息

vim /etc/rsyslog.conf #查看rsyslog.conf配置文件

*.info #表示info等级及以上的所有等级的信息都写到对应的日志文件里

mail.none #表示某事件的信息不写到日志文件里(这里比如是邮件)

authpriv :认证

内核及系统日志由系统服务rsyslog统一管理

软件包: rsyslog-7.4.7-16.el7.x86_64

主要程序: /sbin/rsyslogd

配置文件: /etc/rsyslog.conf

8.3、日志消息的级别

Linux系统内核日志消息的优先级别(数字等级越小，优先级越高，消息越重要)

级号

消息

级别

说明

0

EMERG

紧急

会导致主机系统不可用的情况

1

ALERT

警告

必须马上采取措施解决的问题

2

CRIT

严重

比较严重的情况

3

ERR

错误

运行出现错误

4

WARNING

提醒

可能会影响系统功能的事件

5

NOTICE

注意

不会影响系统但值得注意

6

INFO

信息

一般信息

7

DEBUG

调试

程序或系统调试信息等

公共日志/var/log/messages文件的记录格式

（编辑：南京站长网）

【声明】本站内容均来自网络，其相关言论仅代表作者个人观点，不代表本站立场。若无意侵犯到您的权利，请及时与联系站长删除相关内容!