Bootstrap

深入理解Linux文件系统与日志分析

目录

引言:

一、inode和block

1、inode和block概述

2、inode的内容

1.inode包含文件的元信息(文件属性)

2.用stat命令可以查看某个文件的inode信息

3.Linux系统文件三个主要的时间属性   

4.目录文件的结构

3、inode的号码

​5、硬盘分区后的结构

6、inode的大小

7、inode的特殊作用

 二、链接文件

三、案例:恢复EXT类型的文件

四、案例:恢复XFS类型的文件

五、日志文件

1.日志的功能

2.日志文件的分类

3.日志保存位置

1.常见的一些日志文件:

2.扩展:日志检查

3. 小结:​

4.日志消息的级别

5.用户日志分析

六、总结

引言:

inode是一个重要概念,是理解Unix/Linux文件系统和硬盘储存的基础。除此之外,还要熟悉系统中的主要日志文件和针对日志文件的分析方法。在生产上可通过浏览日志查找关键信息、对系统服务进行调试,以及判断发生故障的原因。

一、inode和block

1、inode和block概述

文件数据包括元信息与实际数据

文件存储在硬盘上,硬盘最小存储单位是“扇区”每个扇区存储512字节

block (块)4k

连续的八个扇区组成一个block

是文件存取的最小单位

inode (索引节点)

中文译名为“索引节点”,也叫i节点

用于存储文件元信息

2、inode的内容

1.inode包含文件的元信息(文件属性)

文件的字节数

文件拥有者的User ID

文件的Group ID

文件的读、写、执行权限;

文件的时间戳

一个文件会占用一个Inode(不包含文件名)至少一个block块

inode节点:(文件属性:文件大小、权限、时间戳)

block块:数据文件即编写文件内容大小

文件数据存在于块中 ;文件元信息存在于inode

2.用stat命令可以查看某个文件的inode信息

stat aa.txt    df -i      ls -i

查看文件inode值

3.Linux系统文件三个主要的时间属性   

ctime(change time)                      最后一次改变文件或目录(属性)的时间  
atime(access time )                     最后一次访问文件或目录的时间        
mtime(modify time)                     最后一次修改文件或目录(内容)的时间  

4.目录文件的结构

目录也是一种文件

目录文件的结构

每个inode都有一个号码,操作系统用inode号码来识别不同的文件
Linux系统内部不使用文件名,而使用inode号码来识别文件
对于用户,文件名只是inode号码便于识别的别称

3、inode的号码

 用户通过文件名打开文件时,系统内部的过程

系统找到这个文件名对应的inode号码,判断用户是否有权限,若有权限则通过inode值, 获取inode信息,根据inode信息,找到文件数据所在的block,读出数据;若没有权限则会给出拒绝访问回馈。


5、硬盘分区后的结构

文件名--->目录项    目录块

元信息--->inode     inode表区块

数据 ---->block     block数据区

6、inode的大小

node也会消耗硬盘空间
每个inode的大小
一般是128字节或256字节
格式化文件系统时确定inode的总数
使用df -i命令可以查看每个硬盘分区的inode总数和已经使用的数量

每个inode节点的大小,一般是128字节或256字节。inode节点的总数,在格式化时就给定了,一般是每1KB或每2KB就设置一个inode。

假定在一块1GB的硬盘中,每个inode节点大小为128字节,每1KB就设置一个inode,那么inode table的大小就会达到128MB,占整块硬盘12.8%。

案例:inode节点耗尽故障处理

1.创建一个硬盘并分出一个30M的分区

2.格式化挂载sdb1并查看此时inode节点使用情况

 3.模拟节点耗尽情况

 此时磁盘空间还有很多

4.删除无用文件减少节点占用

7、inode的特殊作用

由于inode号码与文件名分离,导致一些Unix/Linux系统具有以下的现象

当文件名包含特殊字符,可能无法正常删除文件,直接删除inode,也可以删除文件

移动或重命名文件时,只改变文件名,不影响inode号码

打开一个文件后,系统通过inode号码来识别该文件,不再考虑文件名

由于inode号码与文件名分离,导致Linux系统具备以下几种特有的现象:

1.文件名包含特殊字符,可能无法正常删除。这时直接删除inode,能够起到删除文件的作用;

2.移动文件或重命名文件,只是改变文件名,不影响inode号码;

3.打开一个文件以后,系统就以inode 号码来识别这个文件,不再考虑文件名。

4.文件数据被修改保存后,会生成--个新的inode号码。

find ./ -inum 52305140 -exec rm -i {} \;

find ./ -inum 50464299 -delete

 cp 一个文件inode 改变    mv一个文件inode不会变(若移动到不同磁盘inode仍会改变)

 二、链接文件

为文件或目录建立链接文件

链接文件分类

软链接硬链接
删除原始文件后失效仍旧可用
使用范围适用于文件或目录只可用于文件
保存位置与原始文件可以位于不同的文件系统中必须与原始文件在同一 个文件系统(如一个Linux分区)内

三、案例:恢复EXT类型的文件

EXT类型文件恢复

extundelete是一个开源的Linux 数据恢复工具,支持ext3、ext4文件系统。

(ext4只能在centos6版本恢复)

1.使用fdisk创建分区/dev/sdc1,格式化ext3文件系统

fdisk /dev/sdc
partprobe /dev/sdc
mkfs.ext3 /dev/sdc1
mount /dev/sdc1 /mnt
df -hT

2.安装依赖包

yum -y install e2fsprogs-devel e2fsprogs- libs gcc gcc-c++ make

3.编译安装extundelete

cd /mnt
wget http://nchc.d1.sourceforge.net/project/extundelete/extundelete/0.2.4/extundelete-0.2.4.tar.bz2
tar jxvf extundelete-0.2.4.tar.bz2  
cd extundelete-0.2.4/
./configure --prefix=/usr/1ocal/extundelete && make && make install  
或./configure && make && make install
ln -s /usr/local/extundelete/bin/* /usr/bin/

4.模拟删除并执行恢复操作        

cd /mnt
echo a>a
echo a>b
echo a>c
echo a>d
ls
extundelete /dev/sdc1 -- inode 2

查看文件系统/dev/sdc1下存在哪些文件,i节点是从2开始的,2代表该文件系统最开始的目录。

6.验证

rm -rf a b
extundelete /dev/sdc1 --inode 2
cd ~
umount /mnt
extundelete /dev/sdc1 --restore-all #恢复/dev/sdc1 文件系统下的所有内容

在当前目录下会出现一个RECOVERED_FILES/目录, 里面保存了已经恢复的文件

四、案例:恢复XFS类型的文件

xfsdump命令格式

xfsdump -f 备份存放位置 要备份的路径或设备文件

xfsdump备份级别(默认为0)

0:完全备份

1-9:增量备份

xfsdump常用选项: -f、-L、-M、-S

xfsrestore命令格式

xfsrestore -f 恢复文件的位置  存放恢复后文件的位置

模拟删除并执行恢复操作

恢复误删除的文件XFS

xfs类型文件备份和恢复

Centos 7系统默认采用xfs类型的文件,xfs类型的文件可使用xfsdump 与xfsrestore 工具进行备份恢复。

xfsdump的备份级别有两种: 0表示完全备份; 1-9表示增量备份。xfsdump的备份级别默认为0.

xfsdump的命令格式为:

xfsdump |-f 备份存放位置要备份的路径或设备文件

xfsdump命令常用的选项:

-f: 指定备份文件目录

-L: 指定标签session label

-M: 指定设备标签media labe........

-s: 备份单个文件,-s后面不能直接跟路径

xfsdump使用限制:

1.只能备份已挂载的文件系统

2.必须使用root的权限才能操作

3.只能备份XFS文件系统

4.备份后的数据只能让xfsrestore解析

5.不能备份两个具有相同UUID的文件系统(可用blkid命令查看)

使用fdisk创建分区/dev/sdb1,格式化xfs文件系统

fdisk /dev/sdb
partprobe /dev/sdb
mkfs.xfs /dev/ sdb1              #  mkfs.xfs [-f] /dev/sdbl
mount /dev/sdb1 /mnt
cd /data
cp /etc/passwd ./
mkdir ky19
touch ky19/yizu   创建文件夹

使用xfsdump命令备份整个分区

rpm -qa | grep xfsdump
yum install -y xfsdump
xfsdump -f /opt/dump_sdb1 /dev/sdb1 [-L dump_sdb1 -M sdb1]
xfsdump -f /opt/dump_sdb /dev/sdb1 -L dump_sdb -M sdb1

        

cd /mnt
rm -rf ./*
ls
xfsrestore -f /opt/dump_sdb1 /mnt

案例一:

1.使用fdisk创建分区/dev/sdb3,格式化xfs文件系统并挂载

 

2.创建测试使用的文件、目录,并在文件中写入数据 

3. 使用xfsdump命令备份整个分区

交互式:

无交互式:

 4.模拟数据丢失并使用xfsrestore 命令恢复文件 标签

 

 案例二:增量备份

备份可做成周期性计划任务

五、日志文件

1.日志的功能

用于记录系统、程序运行中发生的各种事件

通过阅读日志,有助于诊断和解决系统故障

2.日志文件的分类

内核及系统日志

由系统服务rsyslog统一进行管理,日志格式基本相似

用户日志

记录系统用户登录及退出系统的相关信息

程序日志.

由各种应用程序独立管理的日志文件,记录格式不统一

3.日志保存位置

默认位于: /var/log目录下

主要日志文件介绍

内核及公共消息日志/var/log/messages
计划任务日志/var/log/cron
系统引导日志/var/log/dmesg
邮件系统日志/var/log/maillog
用户登录日志/var/log/lastlog
/var/log/secure
/var/log/wtmp
/var/log/btmp

内核及系统日志由系统服务rsys1og统一管理,主配置文件为/etc/rsyslog.conf

Linux操作系统本身和大部分服务器程序的日志文件都默认放在目录/var/1og/下。

1.常见的一些日志文件:

#内核及公共消息日志:

/var/1og/messages:记录Linux内核消息及各种应用程序的公共日志信息,包括启动、IO错误、网络错误、程序故障等。对于未使用独立日志文件的应用程序或服务,一般都可以从该日志文件中获得相关的事件记录信息。

#计划任务日志:

/var/1og/cron:记录crond计划任务产生的事件信息。

#系统引导日志:

/var/1og/dmesg:记录Linux系统在引导过程中的各种事件信息。

#邮件系统日志:

/var/1og/maillog:记录进入或发出系统的电子邮件活动。

#用户登录日志:

/var/log/secure:记录用户认证相关的安全事件信息。

/var/1og/lastlog:记录每个用户最近的登录事件。二进制格式

/var/1og/wtmp: 记录每个用户登录、注销及系统启动和停机事件。二进制格式

/var/run/btmp: 记录失败的、错误的登录尝试及验证事件。二进制格式

vim /etc/rsyslog.conf

*.info            #表示info等级及以上的所有等级的信息都写到对应的日志文件里

mail.none          表示某事件的信息不写到日志文件里(这里比如是邮件)

2.扩展:日志检查

服务端  vim /etc/rsyslog.conf    将19、20行取消注释 (udp注释15、16行)

systemctl restart rsyslog.service    重启rsyslog服务
netstat -antp | grep 514             查看tcp 514端口

  客户端 vim /etc/rsyslog.conf  在90行下面添加*.* @@ip地址:514 *.*所有的日志信息

重启服务

进行所有操作都可以看到 (不同的操作在不同的日志文件)

3. 小结:

1.服务端---->配置文件:1.接受那种协议(TCP或UDP)2.接收哪些日志类型

2.客户端:监听自己的rsyslog服务,一旦配置完成重启服务后,就会运行配置文件中的协议类型

(tcp或udp)并且发送给服务端

3.rsyslog相关信息:

由系统服务rsyslog统一管理

软件包: rsyslog-7.4.7-16.el7.x86_64

主要程序: /sbin/rsyslogd

配置文件: /etc/rsyslog.conf

4.日志消息的级别

Linux系统内核日志消息的优先级别(数字等级越小,优先级越高,消息越重要)

级号消息级别说明
0EMERG紧急会导致主机系统不可用的情况
1ALERT警告必须马上采取措施解决的问题
2CRIT严重比较严重的情况
3ERR错误运行出现错误
4WARNING提醒可能会影响系统功能的事件
5NOTICE注意不会影响系统但值得注意
6INFO信息一般信息
7DEBUG调试程序或系统调试信息等

公共日志/var/1og/messages文件的记录格式

时间标签:消息发出的日期和时间。

主机名:生成消息的计算机的名称。

子系统名称:发出消息的应用程序的名称。

消息字段:消息的具体内容。

程序自已维护日志记录,httpd 网站服务程序使用两个日志文件:

access_log   #记录客户访问事件

error_log    #记录错误事件。

5.用户日志分析

保存了用户登录、退出系统等相关信息

/var/log/lastlog:最近的用户登录事件

/var/log/wtmp:用户登录、注销及系统开、关机事件

/var/run/utmp:当前登录的每个用户的详细信息

/var/log/secure:与用户验证相关的安全性事件

分析工具

users、who、 W、last、 lastb、lastlog

程序日志分析

Web服务: /var/log/httpd/

access_log、 error_log

代理服务: /var/log/squid/

access.log、cache.log、

FTP服务: /var/log/xferlog

分析工具

文本查看、grep过滤检索、Webmin管理套件中查看

awk、sed等文本过滤、格式化编辑工具

Webalizer、Awstats等专用日志分析工具

日志管理策略

1.及时作好备份和归档

2.延长日志保存期限

3.控制日志访问权限

     日志中可能会包含各类敏感信息,如账户、口令等

4.集中管理日志

     将服务器的日志文件发到统一的日志文件服务器

     便于日志信息的统一收集、整理和分析

     杜绝日志信息的意外丢失、恶意篡改或删除

六、总结

1.block与inode

2.硬链接与软链接

3.恢复误删除的文件(ext3、ext4、xfs可做成周期性计划任务节省时间)

4.Linux主要包含的日志文件

5.Linux系统的日志消息级别(0-7)

6.Linux系统中用户日志的查询命令

7.who、W、users、 last、 lastb

;