目录
引言:
inode是一个重要概念,是理解Unix/Linux文件系统和硬盘储存的基础。除此之外,还要熟悉系统中的主要日志文件和针对日志文件的分析方法。在生产上可通过浏览日志查找关键信息、对系统服务进行调试,以及判断发生故障的原因。
一、inode和block
1、inode和block概述
文件数据包括元信息与实际数据
文件存储在硬盘上,硬盘最小存储单位是“扇区”每个扇区存储512字节
block (块)4k
连续的八个扇区组成一个block
是文件存取的最小单位
inode (索引节点)
中文译名为“索引节点”,也叫i节点
用于存储文件元信息
2、inode的内容
1.inode包含文件的元信息(文件属性)
文件的字节数
文件拥有者的User ID
文件的Group ID
文件的读、写、执行权限;
文件的时间戳
一个文件会占用一个Inode(不包含文件名)至少一个block块
inode节点:(文件属性:文件大小、权限、时间戳)
block块:数据文件即编写文件内容大小
文件数据存在于块中 ;文件元信息存在于inode
2.用stat命令可以查看某个文件的inode信息
stat aa.txt df -i ls -i
查看文件inode值
3.Linux系统文件三个主要的时间属性
ctime(change time) 最后一次改变文件或目录(属性)的时间
atime(access time ) 最后一次访问文件或目录的时间
mtime(modify time) 最后一次修改文件或目录(内容)的时间
4.目录文件的结构
目录也是一种文件
目录文件的结构
每个inode都有一个号码,操作系统用inode号码来识别不同的文件
Linux系统内部不使用文件名,而使用inode号码来识别文件
对于用户,文件名只是inode号码便于识别的别称
3、inode的号码
用户通过文件名打开文件时,系统内部的过程
系统找到这个文件名对应的inode号码,判断用户是否有权限,若有权限则通过inode值, 获取inode信息,根据inode信息,找到文件数据所在的block,读出数据;若没有权限则会给出拒绝访问回馈。
5、硬盘分区后的结构
文件名--->目录项 目录块
元信息--->inode inode表区块
数据 ---->block block数据区
6、inode的大小
node也会消耗硬盘空间
每个inode的大小
一般是128字节或256字节
格式化文件系统时确定inode的总数
使用df -i命令可以查看每个硬盘分区的inode总数和已经使用的数量
每个inode节点的大小,一般是128字节或256字节。inode节点的总数,在格式化时就给定了,一般是每1KB或每2KB就设置一个inode。
假定在一块1GB的硬盘中,每个inode节点大小为128字节,每1KB就设置一个inode,那么inode table的大小就会达到128MB,占整块硬盘12.8%。
案例:inode节点耗尽故障处理
1.创建一个硬盘并分出一个30M的分区
2.格式化挂载sdb1并查看此时inode节点使用情况
3.模拟节点耗尽情况
此时磁盘空间还有很多
4.删除无用文件减少节点占用
7、inode的特殊作用
由于inode号码与文件名分离,导致一些Unix/Linux系统具有以下的现象
当文件名包含特殊字符,可能无法正常删除文件,直接删除inode,也可以删除文件
移动或重命名文件时,只改变文件名,不影响inode号码
打开一个文件后,系统通过inode号码来识别该文件,不再考虑文件名
由于inode号码与文件名分离,导致Linux系统具备以下几种特有的现象:
1.文件名包含特殊字符,可能无法正常删除。这时直接删除inode,能够起到删除文件的作用;
2.移动文件或重命名文件,只是改变文件名,不影响inode号码;
3.打开一个文件以后,系统就以inode 号码来识别这个文件,不再考虑文件名。
4.文件数据被修改保存后,会生成--个新的inode号码。
find ./ -inum 52305140 -exec rm -i {} \;
find ./ -inum 50464299 -delete
cp 一个文件inode 改变 mv一个文件inode不会变(若移动到不同磁盘inode仍会改变)
二、链接文件
为文件或目录建立链接文件
链接文件分类
软链接 | 硬链接 | |
删除原始文件后 | 失效 | 仍旧可用 |
使用范围 | 适用于文件或目录 | 只可用于文件 |
保存位置 | 与原始文件可以位于不同的文件系统中 | 必须与原始文件在同一 个文件系统(如一个Linux分区)内 |
三、案例:恢复EXT类型的文件
EXT类型文件恢复
extundelete是一个开源的Linux 数据恢复工具,支持ext3、ext4文件系统。
(ext4只能在centos6版本恢复)
1.使用fdisk创建分区/dev/sdc1,格式化ext3文件系统
fdisk /dev/sdc
partprobe /dev/sdc
mkfs.ext3 /dev/sdc1
mount /dev/sdc1 /mnt
df -hT
2.安装依赖包
yum -y install e2fsprogs-devel e2fsprogs- libs gcc gcc-c++ make
3.编译安装extundelete
cd /mnt
wget http://nchc.d1.sourceforge.net/project/extundelete/extundelete/0.2.4/extundelete-0.2.4.tar.bz2
tar jxvf extundelete-0.2.4.tar.bz2
cd extundelete-0.2.4/
./configure --prefix=/usr/1ocal/extundelete && make && make install
或./configure && make && make install
ln -s /usr/local/extundelete/bin/* /usr/bin/
4.模拟删除并执行恢复操作
cd /mnt
echo a>a
echo a>b
echo a>c
echo a>d
ls
extundelete /dev/sdc1 -- inode 2
查看文件系统/dev/sdc1下存在哪些文件,i节点是从2开始的,2代表该文件系统最开始的目录。
6.验证
rm -rf a b
extundelete /dev/sdc1 --inode 2
cd ~
umount /mnt
extundelete /dev/sdc1 --restore-all #恢复/dev/sdc1 文件系统下的所有内容
在当前目录下会出现一个RECOVERED_FILES/目录, 里面保存了已经恢复的文件
四、案例:恢复XFS类型的文件
xfsdump命令格式
xfsdump -f 备份存放位置 要备份的路径或设备文件
xfsdump备份级别(默认为0)
0:完全备份
1-9:增量备份
xfsdump常用选项: -f、-L、-M、-S
xfsrestore命令格式
xfsrestore -f 恢复文件的位置 存放恢复后文件的位置
模拟删除并执行恢复操作
恢复误删除的文件XFS
xfs类型文件备份和恢复
Centos 7系统默认采用xfs类型的文件,xfs类型的文件可使用xfsdump 与xfsrestore 工具进行备份恢复。
xfsdump的备份级别有两种: 0表示完全备份; 1-9表示增量备份。xfsdump的备份级别默认为0.
xfsdump的命令格式为:
xfsdump |-f 备份存放位置要备份的路径或设备文件
xfsdump命令常用的选项:
-f: 指定备份文件目录
-L: 指定标签session label
-M: 指定设备标签media labe........
-s: 备份单个文件,-s后面不能直接跟路径
xfsdump使用限制:
1.只能备份已挂载的文件系统
2.必须使用root的权限才能操作
3.只能备份XFS文件系统
4.备份后的数据只能让xfsrestore解析
5.不能备份两个具有相同UUID的文件系统(可用blkid命令查看)
使用fdisk创建分区/dev/sdb1,格式化xfs文件系统
fdisk /dev/sdb
partprobe /dev/sdb
mkfs.xfs /dev/ sdb1 # mkfs.xfs [-f] /dev/sdbl
mount /dev/sdb1 /mnt
cd /data
cp /etc/passwd ./
mkdir ky19
touch ky19/yizu 创建文件夹
使用xfsdump命令备份整个分区
rpm -qa | grep xfsdump
yum install -y xfsdump
xfsdump -f /opt/dump_sdb1 /dev/sdb1 [-L dump_sdb1 -M sdb1]
xfsdump -f /opt/dump_sdb /dev/sdb1 -L dump_sdb -M sdb1
cd /mnt
rm -rf ./*
ls
xfsrestore -f /opt/dump_sdb1 /mnt
案例一:
1.使用fdisk创建分区/dev/sdb3,格式化xfs文件系统并挂载
2.创建测试使用的文件、目录,并在文件中写入数据
3. 使用xfsdump命令备份整个分区
交互式:
无交互式:
4.模拟数据丢失并使用xfsrestore 命令恢复文件 标签
案例二:增量备份
备份可做成周期性计划任务
五、日志文件
1.日志的功能
用于记录系统、程序运行中发生的各种事件
通过阅读日志,有助于诊断和解决系统故障
2.日志文件的分类
内核及系统日志
由系统服务rsyslog统一进行管理,日志格式基本相似
用户日志
记录系统用户登录及退出系统的相关信息
程序日志.
由各种应用程序独立管理的日志文件,记录格式不统一
3.日志保存位置
默认位于: /var/log目录下
主要日志文件介绍
内核及公共消息日志 | /var/log/messages |
计划任务日志 | /var/log/cron |
系统引导日志 | /var/log/dmesg |
邮件系统日志 | /var/log/maillog |
用户登录日志 | /var/log/lastlog |
/var/log/secure | |
/var/log/wtmp | |
/var/log/btmp |
内核及系统日志由系统服务rsys1og统一管理,主配置文件为/etc/rsyslog.conf
Linux操作系统本身和大部分服务器程序的日志文件都默认放在目录/var/1og/下。
1.常见的一些日志文件:
#内核及公共消息日志:
/var/1og/messages:记录Linux内核消息及各种应用程序的公共日志信息,包括启动、IO错误、网络错误、程序故障等。对于未使用独立日志文件的应用程序或服务,一般都可以从该日志文件中获得相关的事件记录信息。
#计划任务日志:
/var/1og/cron:记录crond计划任务产生的事件信息。
#系统引导日志:
/var/1og/dmesg:记录Linux系统在引导过程中的各种事件信息。
#邮件系统日志:
/var/1og/maillog:记录进入或发出系统的电子邮件活动。
#用户登录日志:
/var/log/secure:记录用户认证相关的安全事件信息。
/var/1og/lastlog:记录每个用户最近的登录事件。二进制格式
/var/1og/wtmp: 记录每个用户登录、注销及系统启动和停机事件。二进制格式
/var/run/btmp: 记录失败的、错误的登录尝试及验证事件。二进制格式
vim /etc/rsyslog.conf
*.info #表示info等级及以上的所有等级的信息都写到对应的日志文件里
mail.none 表示某事件的信息不写到日志文件里(这里比如是邮件)
2.扩展:日志检查
服务端 vim /etc/rsyslog.conf 将19、20行取消注释 (udp注释15、16行)
systemctl restart rsyslog.service 重启rsyslog服务
netstat -antp | grep 514 查看tcp 514端口
客户端 vim /etc/rsyslog.conf 在90行下面添加*.* @@ip地址:514( *.*所有的日志信息)
重启服务
进行所有操作都可以看到 (不同的操作在不同的日志文件)
3. 小结:
1.服务端---->配置文件:1.接受那种协议(TCP或UDP)2.接收哪些日志类型
2.客户端:监听自己的rsyslog服务,一旦配置完成重启服务后,就会运行配置文件中的协议类型
(tcp或udp)并且发送给服务端
3.rsyslog相关信息:
由系统服务rsyslog统一管理
软件包: rsyslog-7.4.7-16.el7.x86_64
主要程序: /sbin/rsyslogd
配置文件: /etc/rsyslog.conf
4.日志消息的级别
Linux系统内核日志消息的优先级别(数字等级越小,优先级越高,消息越重要)
级号 | 消息 | 级别 | 说明 |
0 | EMERG | 紧急 | 会导致主机系统不可用的情况 |
1 | ALERT | 警告 | 必须马上采取措施解决的问题 |
2 | CRIT | 严重 | 比较严重的情况 |
3 | ERR | 错误 | 运行出现错误 |
4 | WARNING | 提醒 | 可能会影响系统功能的事件 |
5 | NOTICE | 注意 | 不会影响系统但值得注意 |
6 | INFO | 信息 | 一般信息 |
7 | DEBUG | 调试 | 程序或系统调试信息等 |
公共日志/var/1og/messages文件的记录格式
时间标签:消息发出的日期和时间。
主机名:生成消息的计算机的名称。
子系统名称:发出消息的应用程序的名称。
消息字段:消息的具体内容。
程序自已维护日志记录,httpd 网站服务程序使用两个日志文件:
access_log #记录客户访问事件
error_log #记录错误事件。
5.用户日志分析
保存了用户登录、退出系统等相关信息
/var/log/lastlog:最近的用户登录事件
/var/log/wtmp:用户登录、注销及系统开、关机事件
/var/run/utmp:当前登录的每个用户的详细信息
/var/log/secure:与用户验证相关的安全性事件
分析工具
users、who、 W、last、 lastb、lastlog
程序日志分析
Web服务: /var/log/httpd/
access_log、 error_log
代理服务: /var/log/squid/
access.log、cache.log、
FTP服务: /var/log/xferlog
分析工具
文本查看、grep过滤检索、Webmin管理套件中查看
awk、sed等文本过滤、格式化编辑工具
Webalizer、Awstats等专用日志分析工具
日志管理策略
1.及时作好备份和归档
2.延长日志保存期限
3.控制日志访问权限
日志中可能会包含各类敏感信息,如账户、口令等
4.集中管理日志
将服务器的日志文件发到统一的日志文件服务器
便于日志信息的统一收集、整理和分析
杜绝日志信息的意外丢失、恶意篡改或删除
六、总结
1.block与inode
2.硬链接与软链接
3.恢复误删除的文件(ext3、ext4、xfs可做成周期性计划任务节省时间)
4.Linux主要包含的日志文件
5.Linux系统的日志消息级别(0-7)
6.Linux系统中用户日志的查询命令
7.who、W、users、 last、 lastb