linux 文件系统与日志分析
目录
- 一、文件系统
-
- 一、inode和block概述
- 二、inode
-
- 文件
- 目录
- 三、Linux系统文件三个主要时间属性
- 四、查看inode号
- 五、访问文件的简单流程
- 六、inode的特殊作用
- 七、连接文件
- 八、文件备份及还原
-
- 实验
- 九、xfsdump使用限制
- 二、日志分析
-
- 一、日志的功能:
- 二、日志文件的分类:
- 三、日志保存位置:
- 四、日志消息的级别
- 五、用户日志分析
- 六、系统服务rsyslog
- 七、journalctl
一、文件系统
一、inode和block概述
1、文件数据包含原信息和实际数据
2、磁盘最小存储单位是扇区,每个扇区大小为512字节
文件系统最小存储单元是block(块),大小为4K
3、block(块)
八个连续的扇区再逻辑上组成一个block
4、inode(索引节点)
用于存储文件元信息
二、inode
文件
元信息:每个文件都会有一个inode号(一般大小为128字节或256字节),存放着文件的源信息(属主,属组,创建时间,软链接等,但不包含文件名)。数据存放在系统的哪个block里。多个inode形成inode table(inode表)
目录
1、目录也是一种文件
2、每个inode都有一个号码,每个文件都有不同的inode号(硬链接除外,硬链接属于备份,文件属性和源文件一样)
3、Linux内部不适用文件名,使用inode号来识别文件
4、对于用户来说,文件名只是inode号便于识别的别称
三、Linux系统文件三个主要时间属性
ctime:最后一次改变文件或目录(属性)的时间
atime:最后一次访问文件或目录的时间
mtime:最后一次修改文件或目录(内容)的时间
如果修改文件内容,mtime和ctime同时更改,如果修改源信息则更改ctime
四、查看inode号
stat 文件名#查看文件中inode信息
ls -i 文件名#查看文件inode号
df -i#查看每个磁盘分区的inode总数和已经使用的数量
查看系统文件xfs的inpde节点大小
查看文件系统ext4的inode节点大小
通过删除inode号删除文件
五、访问文件的简单流程
六、inode的特殊作用
由于inode号码与文件名分离,导致- -些Unix/Linux系统具有以下的现象:
1、当文件名包含特殊字符,可能无法正常删除文件,直接删除inode,也可以删除文件
2、移动或重命名文件时,只改变文件名,不影响inode号码
3、打开个文件后,系统通过inode号码来识别该文件,不再考虑文件名
七、连接文件
| 软连接 | 硬链接 | |
|---|---|---|
| 删除原始文件后 | 失效 | 依旧可用 |
| 使用范围 | 适用于文件或目录 | 只可用于文件 |
| 保存位置 | 与原始文件可以位于不同的文件系统 | 必须与原始文件在同一文件系统中 |
八、文件备份及还原
xfsdump基于备份的基础上还原(先备份再还原)
-f:指定文件名
-M:卷标
-L:媒体标志
-l:指定级别
备份级别(默认为0):
0完全备份:全部备份
1-9增量备份:只备份增加的内容
实验
创建目录及文件
创建新的分区
格式化
挂载
备份文件
查看备份之后的具体信息
删除文件
还原备份
删除的文件已从备份文件中还原出来
九、xfsdump使用限制
1、只能备份已挂载的文件系统
2、必须使用root的权限才能操作
3、只能备份XFS文件系统
4、备份后的数据只能让xfsrestore解析
5、不能备份两个具有相同UUID的文件系统
6、-f后面必须是文件
二、日志分析
一、日志的功能:
用于记录系统、程序运行中发生的各种事件
通过阅读日志,有助于诊断和解决系统故障
二、日志文件的分类:
1.内核及系统日志
由系统服务rsyslog统-进行管理,日志格式基本相似
2.用户日志
记录系统用户登录及退出系统的相关信息
3.程序日志.
由各种应用程序独立管理的日志文件,记录格式不统一
三、日志保存位置:
默认位于: war/log目录下
内核及公共消息日志:/var/log/message
计划任务日志:/var/log/cron
系统引导日志:/var/log/ dmesg
邮件系统日志:/var/log/maillog
用户登陆日志:/var/log/lastlog
/var/log/secure
/var/log/wtmp
/var/log/btmp
四、日志消息的级别
| 级别 | 消息 | 级别 | 说明 |
|---|---|---|---|
| 0 | KERN_EMERG | 紧急 | 紧急消息。系统崩溃之前提示,表示系统已不可用 |
| 1 | KERN_ALERT | 警告 | 报告消息。表示必须立即采取措施 |
| 2 | KERN_CRIT | 严重 | 临界消息。通常涉及严重的硬件或软件操作失败 |
| 3 | KERN_ERR | 错误 | 错误消息。串口日志的默认级别。驱动程序常用 KERN_ERR 来报告硬件的错误 |
| 4 | KERN_WARNING | 提醒 | 警告消息。对可能出现问题的情况进行警告 |
| 5 | KERN_NOTICE | 注意 | 正常但又重要的消息。用于提醒,常用于与安全相关的消息 |
| 6 | KERN_INFO | 信息 | 提示消息。如驱动程序启动时,打印硬件消息 |
| 7 | KERN_DEBUG | 调试 | 调试消息。设置此级别会打印所有日志消息 |
编号越小越紧急
日志记录的一般格式:
五、用户日志分析
保存了用户登录、退出系统等相关信息:
1、/varlog/lastlog:最近的用户登录事件
2、/var/log/wtmp:用户登录、注销及系统开、关机事件
3、/var/run/utmp:当前登录的每个用户的详细信息
4、/var/og/secure:与用户验证相关的安全性事件
除了secure,其他为了安全,皆为二进制内容
记录所有账户的最近登陆信息(lastlog)
最近正确登陆的信息(wtmp)
查看最近的错误登陆信息(btmp)
六、系统服务rsyslog
软件包:rayalog-7.4.7-16.el17.x86_64
主要程序:/sbin/rayalogd
配置文件:/rtc/rsysylog.conf
由相应的应用程序独立进行管理
●Web服务: Ivar/log/httpd/
◆access_ log、error_ log
代理服务: /var/log/squid/
◆access.log、cache.log.
●FTP服务: /var/log/xferlog
分析工具
●文本查看、grep过滤检索、Webmin管理套件中查看
●awk、sed等文本过滤、格式化编辑工具
●Webalizer、Awstats等专用日志分析工具
七、journalctl
查看系统日志(提供网址信息,提供支持)(Centos 7才有,)按q退出
-b查看系统启动的日志
-u查看服务的日志信息(加服务名称,指定服务)
-k看内核
-e从尾部开始看
-x提供网址