当前位置:   article > 正文

Linux:文件系统与日志分析

Linux:文件系统与日志分析

一、block与inode

1.1、概述

文件是存储在硬盘上的,硬盘的最小存储单位叫做“扇区”(sector),每个扇区存储512字节。
一般连续八个扇区组成一个"块”(block),一个块是4K大小,是文件存取的最小单位。

文件数据包括实际数据与元信息(类似文件属性)。文件数据存储在“块"中,存储文件元信息(比如文件的创建者、创建日期、文件大小、文件权限等)的区域就叫做inode。 因此,一个文件必须占用一个inode,并且至少占用一个block。

inode不包含文件名。文件名是存放在目录当中的。Linux 系统中一切皆文件,因此目录也是一种文件。

对于系统来说,文件名只是inode号码便于识别的别称,文件名和inode号码是一一对应关系,每个inode号码对应一个文件名。

1.2、inode的运用

##查看文件名对应的inode 号码有两种方式
ls -i 文件名
stat 文件名

由于inode号码与文件名分离,导致Linux系统具备以下几种特有的现象:
1.文件名包含特殊字符,可能无法正常删除。这时直接删除inode,能够起到删除文件的作用;
2.移动文件或重命名文件,只是改变文件名,不影响inode 号码;
3.打开一个文件以后,系统就以inode 号码来识别这个文件,不再考虑文件名。
4.文件数据被修改保存后,会生成一个新的inode 号码。

##使用find命令查找inode对应的文件并删除

find ./ -inum inode号 -exec rm -i {} \;
find ./ -inum inode号 -delete

二、硬链接与软连接中inode的区别

会有一个有趣的发现软链接的inode值与源文件不同,但是硬连接却相同

这是因为软链接是指向文件的,也就是上图中,它指向源文件名,然后通过源文件的inode值去读数据

而硬链接则不同,它是直接建立一个副本文件,用于源文件的相同inode值去读数据

这就有一个有意思的现象,当我们删除源文件inode值时,源文件和硬链接会直接被删除,而软链接文件会无法找到源文件

因为inode值被删除,所以系统无法识别文件内数据,就会自动删除数据。

三、恢复误删除的文件

3.1、EXT类型文件恢复

extundelete 是一一个开源的Linux 数据恢复工具,支持ext3、 ext4文件系统。 ( ext4只能在centos6版本恢复)

  1. fdisk /dev/sdb
  2. mkfs.ext3 /dev/sdb1
  3. mkdir /test
  4. mount /dev/sdb1/test
  5. df -hT
  6. #安装依赖包
  7. yum -y install e2fsprogs-devel e2fsprogs-libs gcc gcc-c++
  8. #编译安装extundelete
  9. cd /test
  10. tar jxvf extundelete-0.2.4.tar.bz2
  11. cd extundelete-0.2.4/
  12. ./configure && make && make install
  13. ln -s /usr/local/extundelete/bin/* /usr/bin/
  14. #模拟删除并执行恢复操作
  15. cd /test
  16. echo a>a
  17. echo a>b
  18. echo a>c
  19. echo a>d
  20. ls
  21. extundelete /dev/sdb1 --inode 2 #查看文件系统/dev/sdb1下存在哪些文件,i节点是从2开始的,2代表该文件系统最开始的目录。
  22. rm -rf a b
  23. extundelete /dev/sdb1 --inode 2
  24. cd ~
  25. umount /test
  26. extundelete /dev/sdb1 --restore-all #恢复/dev/sdb1 文件系统下的所有内容
  27. #在当前目录下会出现一个RECOVERED_FILES/目录,里面保存了已经恢复的文件
  28. ls RECOVERED FILES/

 

3.2、xfs类型文件备份和恢复

CentOs 7系统默认采用xfs类型的文件,xfs类型的文件可使用xfsdump 与xfsrestore 工具进行备份恢复。

xfsdump 的备份级别有两种: 0表示完全备份; 1-9表示增量备份。xfsdump的备份级别默认为0。

xfsdump的命令格式为:
xfsdump |-f 备份存放位置要备份的路径或设备文件

xfsdump命令常用的选项:
-f: 指定备份文件目录
-L: 指定标签session label
-M: 指定设备标签media labe........ 。
-s:备份单个文件,-s后面不能直接跟路径

xfsdump使用限制:
1.只能备份已挂载的文件系统
2.必须使用root的权限才能操作
3.只能备份XFS文件系统
4.备份后的数据只能让xfsrestore解析
5.不能备份两个具有相同UUID的文件系统(可用blkid命令查看)

  1. #使用fdisk创建分区/dev/sdb1,格式化xfs文件系统
  2. fdisk /dev/sdb
  3. mkfs.xfs /dev/sdb1
  4. mkdir /data
  5. #挂载
  6. mount /dev/sdb1 /data/
  7. cd /data
  8. cp /etc/passwd ./
  9. mkdir test
  10. touch test/a
  11. #使用xfsdump命令备份整个分区
  12. rpm -qa | grep xfsdump
  13. yum install -y xfsdump
  14. xfsdump -f /opt/dump_sdb1 /dev/sdb1 -L dump_sdb1 -M sdb1
  15. #模拟数据丢失并使用xfsrestore 命令恢复文件
  16. cd /data/
  17. rm -rf ./*
  18. ls
  19. xfsrestore -f /opt/dump_sdb1 /data/
  20. xfsdump 按照 inode 顺序备份一个 xfs文件系统 备份有两种: 0表示完全备份(默认);1-9.表示增量备份
  21. 第二次备份(增量备份)
  22. xfsrestore -l 1 -f /opt/dump_sdb1_level_1 /dev/sdb1 -L dump_sdb1_level_1 -M sdb1

四、日志

内核及系统日志由系统服务rsyslog 统一管理,主配置文件为/etc/rsyslog.conf
Linux操作系统本身和大部分服务器程序的日志文件都默认放在目录/var/1og/下。

4.1、Linux主要包含的日志文件

#内核及公共消息日志:
/var/log/messages: 记录Linux内核消息及各种应用程序的公共日志信息,包括启动、IO错误、网络错误、程序故障等。
对于未使用独立日志文件的应用程序或服务,一般都可以从该日志文件中获得相关的事件记录信息。
#计划任务日志:
/var/1og/cron: 记录crond计划任务产生的事件信息。
#系统引导日志:
/var/log/dmesg: 记录Linux系统在引导过程中的各种事件信息。
#邮件系统日志:
/var/log/maillog: 记录进入或发出系统的电子邮件活动。

#用户登录日志:
/var/log/secure: 记录用户认证相关的安全事件信息。
/var/log/lastlog: 记录每个用户最近的登录事件。二进制格式
/var/1og/wtmp: 记录每个用户登录、注销及系统启动和停机事件。二进制格式
/var/run/btmp: 记录失败的、错误的登录尝试及验证事件。二进制格式

4.2、Linux系统的日志消息级别

Linux系统内核日志消息的优先级别(数字等级越小,优先级越高,消息越重要) :
0  EMERG(紧急):会导致主机系统不可用的情况。
1  ALERT(警告):必须马上采取措施解决的问题。
2  CRIT(严重):比较严重的情况。
3  ERR (错误) :运行出现错误。
4  WARNING(提醒):可能影响系统功能,需要提醒用户的重要事件。
5  NOTICE (注意) :不会影响正常功能,但是需要注意的事件。
6  INFO(信息):一般信息。
7  DEBUG(调试):程序或系统调试信息等。

###一般来说服务越重要给的等级反而不会太高,因为当它出错时就不会只是简单的紧急报错就过去,我们需要看到细致的报错信息,并且去修复错误。

4.3、Linux系统中用户日志的查询命令

users命令只是简单地输出当前登录的用户名称,每个显示的用户名对应一个登录会话。如果一个用户有不止一个登录会话,那他的用户名将显示与其相同的次数。
who命令用于报告当前登录到系统中的每个用户的信息。使用该命令,系统管理员可以查看当前系统存在哪些不合法用户,从而对其进行审计和处理。who 的默认输出包括用户名、终端类型、登录日期及远程主机。
w命令用于显示当前系统中的每个用户及其所运行的进程信息。
last命令用于查询成功登录到系统的用户记录,最近的登录情况将显示在最前面。通过last 命令可以及时掌握 Linux 主机的登录情况,若发现未经授权的用户登录过,则表示当前主机可能已被入侵。
lastb命令用于查询登录失败的用户记录,如登录的用户名错误、密码不正确等情况都将记录在案。登录失败的情况属于安全事件,因为这表示可能有人在尝试猜解你的密码。除了使用 lastb 命令查看以外,也可以直接从安全日志文件/var/log/secure 中获得相关信息。

4.4、journalctl 工具

可以使用journalctl查看所有日志(内核日志和应用日志)

日志的配置文件/etc/systemd/journald.conf

journalctl -b    //查看本次启动的日志

journalctl -k     //查看内核日志
journalctl -xe  经常用来查看最近报错的日志
-e:从结尾开始看
-x:提供问题相关的网址

扩展:日志切割(logrorate)

logrotate 程序是一个日志文件管理工具。用来把旧的日志文件删除,并创建新的日志文件,称为日志转储或滚动。可以根据日志文件的大小,也可以根据其天数来转储,这个过程一般通过 cron 程序来执行。

logrotate (轮转,日志切割)
1.如果没有日志轮转,日文件会越来越大
2.将丢弃系统中最旧的日志文件,以节省空间
3.logrotate本身不是系统守护进程,它是通过计划任务crond每天执行计划任务

案列-1: nginx

  1. [root@wangming ~]# rpm -q logrotate
  2. logrotate-3.8.6-15.el7.x86_64
  3. [root@wangming ~]# yum install -y logrotate
  4. [root@wangming ~]#vim /etc/logrotate.conf
  5. # see "man logrotate" for details
  6. # rotate log files weekly
  7. weekly
  8. #一周生成一个新的日志文件
  9. # keep 4 weeks worth of backlogs
  10. rotate 4
  11. #只保留最近的4个文件
  12. # use date as a suffix of the rotated file
  13. dateext
  14. # 添加一个日期后缀
  15. # RPM packages drop log rotation information into this directory
  16. include /etc/logrotate.d
  17. #RPM包将日志旋转信息放入此目录
  18. [root@wangming ~]# vim /etc/logrotate.d/nginx
  19. /var/log/nginx/*.log {
  20.   daily #一天转储一个
  21.   rotate 5 #保留5
  22.   missingok #日志文件不存在不报错
  23.   compress #压缩转储后的日志
  24.   delaycompress #延迟压缩, 下次再压缩
  25.   notifempty #如果空文件不转储
  26.   create 644 ngnix nginx #指定权限和属主属组
  27.   postrotate #转储前需要执行的命令
  28.      if [ -f /app/nginx/logs/nginx.pid ]; then
  29.          kill -USR1 `cat /app/nginx/logs/nginx.pid`
  30.      fi
  31.   endscript #结束位
  32. }

 案例-2:  建立日志文件

针对日志文件建立转储的配置文件

  1. [root@wangming ~]# dd if=/dev/zero of=/var/log/test1.log bs=2M count=1
  2. 记录了1+0 的读入
  3. 记录了1+0 的写出
  4. 2097152字节(2.1 MB)已复制,0.344125 秒,6.1 MB/
  5. [root@wangming ~]# dd if=/dev/zero of=/var/log/test2.log bs=2M count=1
  6. 记录了1+0 的读入
  7. 记录了1+0 的写出
  8. 2097152字节(2.1 MB)已复制,0.00143096 秒,1.5 GB/
  9. [root@wangming ~]# vim /etc/logrotate.d/test1
  10. /var/log/test1.log {
  11. daily
  12. rotate 5
  13. compress
  14. delaycompress
  15. missingok
  16. size 1M
  17. notifempty
  18. create 640 bin nobody
  19. postrotate
  20. echo `date +%F_%T` >> /data/test1.log
  21. endscript
  22. }

针对test2建立转储日志

  1. [root@wangming ~]# vim /etc/logrotate.d/test2
  2. /var/log/test2.log {
  3. daily
  4. rotate 5
  5. compress
  6. delaycompress
  7. missingok
  8. size 1M
  9. notifempty
  10. create 640 root root
  11. postrotate
  12. echo `date +%F_%T` >> /data/test1.log
  13. endscript
  14. }

手动触发 日志转储 

  1. [root@wangming ~]# cd /var/log
  2. [root@wangming log]# ll test*
  3. -rw-r--r-- 1 root root 2097152 72 16:42 test1.log
  4. -rw-r--r-- 1 root root 2097152 72 16:42 test2.log
  5. [root@wangming log]# logrotate /etc/logrotate.d/test1
  6. [root@wangming log]# ll test*
  7. -rw-r----- 1 bin nobody 0 72 16:47 test1.log
  8. -rw-r--r-- 1 root root 2097152 72 16:42 test1.log.1
  9. -rw-r--r-- 1 root root 2097152 72 16:42 test2.log
声明:本文内容由网友自发贡献,不代表【wpsshop博客】立场,版权归原作者所有,本站不承担相应法律责任。如您发现有侵权的内容,请联系我们。转载请注明出处:https://www.wpsshop.cn/w/寸_铁/article/detail/786113
推荐阅读
相关标签
  

闽ICP备14008679号