赞
踩
文件是存储在硬盘上的,硬盘的最小存储单位叫做“扇区”(sector),每个扇区存储512字节。
一般连续八个扇区组成一个"块”(block),一个块是4K大小,是文件存取的最小单位。
文件数据包括实际数据与元信息(类似文件属性)。文件数据存储在“块"中,存储文件元信息(比如文件的创建者、创建日期、文件大小、文件权限等)的区域就叫做inode。 因此,一个文件必须占用一个inode,并且至少占用一个block。
inode不包含文件名。文件名是存放在目录当中的。Linux 系统中一切皆文件,因此目录也是一种文件。
对于系统来说,文件名只是inode号码便于识别的别称,文件名和inode号码是一一对应关系,每个inode号码对应一个文件名。
##查看文件名对应的inode 号码有两种方式
ls -i 文件名
stat 文件名
由于inode号码与文件名分离,导致Linux系统具备以下几种特有的现象:
1.文件名包含特殊字符,可能无法正常删除。这时直接删除inode,能够起到删除文件的作用;
2.移动文件或重命名文件,只是改变文件名,不影响inode 号码;
3.打开一个文件以后,系统就以inode 号码来识别这个文件,不再考虑文件名。
4.文件数据被修改保存后,会生成一个新的inode 号码。
##使用find命令查找inode对应的文件并删除
find ./ -inum inode号 -exec rm -i {} \;
find ./ -inum inode号 -delete
会有一个有趣的发现软链接的inode值与源文件不同,但是硬连接却相同
这是因为软链接是指向文件的,也就是上图中,它指向源文件名,然后通过源文件的inode值去读数据
而硬链接则不同,它是直接建立一个副本文件,用于源文件的相同inode值去读数据
这就有一个有意思的现象,当我们删除源文件inode值时,源文件和硬链接会直接被删除,而软链接文件会无法找到源文件
因为inode值被删除,所以系统无法识别文件内数据,就会自动删除数据。
extundelete 是一一个开源的Linux 数据恢复工具,支持ext3、 ext4文件系统。 ( ext4只能在centos6版本恢复)
- fdisk /dev/sdb
- mkfs.ext3 /dev/sdb1
- mkdir /test
- mount /dev/sdb1/test
- df -hT
- #安装依赖包
- yum -y install e2fsprogs-devel e2fsprogs-libs gcc gcc-c++
- #编译安装extundelete
- cd /test
- tar jxvf extundelete-0.2.4.tar.bz2
- cd extundelete-0.2.4/
- ./configure && make && make install
- ln -s /usr/local/extundelete/bin/* /usr/bin/
- #模拟删除并执行恢复操作
- cd /test
- echo a>a
- echo a>b
- echo a>c
- echo a>d
- ls
- extundelete /dev/sdb1 --inode 2 #查看文件系统/dev/sdb1下存在哪些文件,i节点是从2开始的,2代表该文件系统最开始的目录。
-
-
- rm -rf a b
- extundelete /dev/sdb1 --inode 2
- cd ~
- umount /test
- extundelete /dev/sdb1 --restore-all #恢复/dev/sdb1 文件系统下的所有内容
- #在当前目录下会出现一个RECOVERED_FILES/目录,里面保存了已经恢复的文件
- ls RECOVERED FILES/
CentOs 7系统默认采用xfs类型的文件,xfs类型的文件可使用xfsdump 与xfsrestore 工具进行备份恢复。
xfsdump 的备份级别有两种: 0表示完全备份; 1-9表示增量备份。xfsdump的备份级别默认为0。
xfsdump的命令格式为:
xfsdump |-f 备份存放位置要备份的路径或设备文件
xfsdump命令常用的选项:
-f: 指定备份文件目录
-L: 指定标签session label
-M: 指定设备标签media labe........ 。
-s:备份单个文件,-s后面不能直接跟路径
xfsdump使用限制:
1.只能备份已挂载的文件系统
2.必须使用root的权限才能操作
3.只能备份XFS文件系统
4.备份后的数据只能让xfsrestore解析
5.不能备份两个具有相同UUID的文件系统(可用blkid命令查看)
- #使用fdisk创建分区/dev/sdb1,格式化xfs文件系统
- fdisk /dev/sdb
-
- mkfs.xfs /dev/sdb1
- mkdir /data
- #挂载
- mount /dev/sdb1 /data/
- cd /data
- cp /etc/passwd ./
- mkdir test
- touch test/a
-
-
- #使用xfsdump命令备份整个分区
- rpm -qa | grep xfsdump
- yum install -y xfsdump
- xfsdump -f /opt/dump_sdb1 /dev/sdb1 -L dump_sdb1 -M sdb1
- #模拟数据丢失并使用xfsrestore 命令恢复文件
- cd /data/
- rm -rf ./*
- ls
- xfsrestore -f /opt/dump_sdb1 /data/
-
- xfsdump 按照 inode 顺序备份一个 xfs文件系统 备份有两种: 0表示完全备份(默认);1-9.表示增量备份
- 第二次备份(增量备份)
- xfsrestore -l 1 -f /opt/dump_sdb1_level_1 /dev/sdb1 -L dump_sdb1_level_1 -M sdb1
内核及系统日志由系统服务rsyslog 统一管理,主配置文件为/etc/rsyslog.conf
Linux操作系统本身和大部分服务器程序的日志文件都默认放在目录/var/1og/下。
#内核及公共消息日志:
/var/log/messages: 记录Linux内核消息及各种应用程序的公共日志信息,包括启动、IO错误、网络错误、程序故障等。
对于未使用独立日志文件的应用程序或服务,一般都可以从该日志文件中获得相关的事件记录信息。
#计划任务日志:
/var/1og/cron: 记录crond计划任务产生的事件信息。
#系统引导日志:
/var/log/dmesg: 记录Linux系统在引导过程中的各种事件信息。
#邮件系统日志:
/var/log/maillog: 记录进入或发出系统的电子邮件活动。
#用户登录日志:
/var/log/secure: 记录用户认证相关的安全事件信息。
/var/log/lastlog: 记录每个用户最近的登录事件。二进制格式
/var/1og/wtmp: 记录每个用户登录、注销及系统启动和停机事件。二进制格式
/var/run/btmp: 记录失败的、错误的登录尝试及验证事件。二进制格式
Linux系统内核日志消息的优先级别(数字等级越小,优先级越高,消息越重要) :
0 EMERG(紧急):会导致主机系统不可用的情况。
1 ALERT(警告):必须马上采取措施解决的问题。
2 CRIT(严重):比较严重的情况。
3 ERR (错误) :运行出现错误。
4 WARNING(提醒):可能影响系统功能,需要提醒用户的重要事件。
5 NOTICE (注意) :不会影响正常功能,但是需要注意的事件。
6 INFO(信息):一般信息。
7 DEBUG(调试):程序或系统调试信息等。
###一般来说服务越重要给的等级反而不会太高,因为当它出错时就不会只是简单的紧急报错就过去,我们需要看到细致的报错信息,并且去修复错误。
users | 命令只是简单地输出当前登录的用户名称,每个显示的用户名对应一个登录会话。如果一个用户有不止一个登录会话,那他的用户名将显示与其相同的次数。 |
who | 命令用于报告当前登录到系统中的每个用户的信息。使用该命令,系统管理员可以查看当前系统存在哪些不合法用户,从而对其进行审计和处理。who 的默认输出包括用户名、终端类型、登录日期及远程主机。 |
w | 命令用于显示当前系统中的每个用户及其所运行的进程信息。 |
last | 命令用于查询成功登录到系统的用户记录,最近的登录情况将显示在最前面。通过last 命令可以及时掌握 Linux 主机的登录情况,若发现未经授权的用户登录过,则表示当前主机可能已被入侵。 |
lastb | 命令用于查询登录失败的用户记录,如登录的用户名错误、密码不正确等情况都将记录在案。登录失败的情况属于安全事件,因为这表示可能有人在尝试猜解你的密码。除了使用 lastb 命令查看以外,也可以直接从安全日志文件/var/log/secure 中获得相关信息。 |
可以使用journalctl查看所有日志(内核日志和应用日志)
日志的配置文件/etc/systemd/journald.conf
journalctl -b //查看本次启动的日志
journalctl -k //查看内核日志
journalctl -xe 经常用来查看最近报错的日志
-e:从结尾开始看
-x:提供问题相关的网址
logrotate 程序是一个日志文件管理工具。用来把旧的日志文件删除,并创建新的日志文件,称为日志转储或滚动。可以根据日志文件的大小,也可以根据其天数来转储,这个过程一般通过 cron 程序来执行。
logrotate (轮转,日志切割)
1.如果没有日志轮转,日文件会越来越大
2.将丢弃系统中最旧的日志文件,以节省空间
3.logrotate本身不是系统守护进程,它是通过计划任务crond每天执行计划任务
- [root@wangming ~]# rpm -q logrotate
- logrotate-3.8.6-15.el7.x86_64
- [root@wangming ~]# yum install -y logrotate
- [root@wangming ~]#vim /etc/logrotate.conf
-
- # see "man logrotate" for details
- # rotate log files weekly
- weekly
- #一周生成一个新的日志文件
-
- # keep 4 weeks worth of backlogs
- rotate 4
- #只保留最近的4个文件
-
-
- # use date as a suffix of the rotated file
- dateext
- # 添加一个日期后缀
-
-
- # RPM packages drop log rotation information into this directory
- include /etc/logrotate.d
- #RPM包将日志旋转信息放入此目录
-
-
- [root@wangming ~]# vim /etc/logrotate.d/nginx
- /var/log/nginx/*.log {
- daily #一天转储一个
- rotate 5 #保留5个
- missingok #日志文件不存在不报错
- compress #压缩转储后的日志
- delaycompress #延迟压缩, 下次再压缩
- notifempty #如果空文件不转储
- create 644 ngnix nginx #指定权限和属主属组
- postrotate #转储前需要执行的命令
- if [ -f /app/nginx/logs/nginx.pid ]; then
- kill -USR1 `cat /app/nginx/logs/nginx.pid`
- fi
- endscript #结束位
- }
-
-
针对日志文件建立转储的配置文件
- [root@wangming ~]# dd if=/dev/zero of=/var/log/test1.log bs=2M count=1
- 记录了1+0 的读入
- 记录了1+0 的写出
- 2097152字节(2.1 MB)已复制,0.344125 秒,6.1 MB/秒
- [root@wangming ~]# dd if=/dev/zero of=/var/log/test2.log bs=2M count=1
- 记录了1+0 的读入
- 记录了1+0 的写出
- 2097152字节(2.1 MB)已复制,0.00143096 秒,1.5 GB/秒
-
-
- [root@wangming ~]# vim /etc/logrotate.d/test1
- /var/log/test1.log {
- daily
- rotate 5
- compress
- delaycompress
- missingok
- size 1M
- notifempty
- create 640 bin nobody
- postrotate
- echo `date +%F_%T` >> /data/test1.log
- endscript
- }
针对test2建立转储日志
- [root@wangming ~]# vim /etc/logrotate.d/test2
- /var/log/test2.log {
- daily
- rotate 5
- compress
- delaycompress
- missingok
- size 1M
- notifempty
- create 640 root root
- postrotate
- echo `date +%F_%T` >> /data/test1.log
- endscript
- }
手动触发 日志转储
- [root@wangming ~]# cd /var/log
- [root@wangming log]# ll test*
- -rw-r--r-- 1 root root 2097152 7月 2 16:42 test1.log
- -rw-r--r-- 1 root root 2097152 7月 2 16:42 test2.log
- [root@wangming log]# logrotate /etc/logrotate.d/test1
- [root@wangming log]# ll test*
- -rw-r----- 1 bin nobody 0 7月 2 16:47 test1.log
- -rw-r--r-- 1 root root 2097152 7月 2 16:42 test1.log.1
- -rw-r--r-- 1 root root 2097152 7月 2 16:42 test2.log
Copyright © 2003-2013 www.wpsshop.cn 版权所有,并保留所有权利。