Linux文件系统与日志分析

2023-07-30 22:09:04

inode 与 block

恢复误删除的文件(EXT类型)

xfs类型文件备份和恢复

日志文件

 

 

Linux文件系统

 inode 与 block的概述

inode:(索引节点)

  • 存储文件元信息( 比如文件的创建者、创建日期、文件大小、文件权限等)的区域就叫做inode
  • 中文译名为“索引节点”,也叫i节点;
  • 用于存储文件元信息
  • inode不包含文件名。文件名是存放在目录当中

block:(块)

  • 连续的八个扇区组成一个block(4k);
  • 是文件存取的最小单位
  • 操作系统读取硬盘的时候,是一次性连续读取多个扇区,即一个块一个块的读取

文件数据包括元信息与实际信息;

文件存储在硬盘上,硬盘最小存储单位是“扇区”,每个扇区存储512字节

 一个文件必须占用一个inode, 并且至少占用一个block

inode和block的关系

  • Linux 系统中一切皆文件,因此目录也是一种文件
  • 每个inode都有一个号码,操作系统用inode号码来识别不同的文件。Linux 系统内部不使用文件名,而使用inode号码来识别文件。对于系统来说,文件名只是inode号码便于识别的别称,文件名和inode号码是一 一对应关系, 每个inode号码对应一个文件名
  • 当用户在Linux系统中试图访问一个文件时,系统会先根据文件名去查找它对应的inode号码;通过inode号码, 获取inode信息;根据inode信息,看该用户是否具有访问这个文件的权限; 如果有,就指向相对应的数据block,并读取数据

inode的内容

 inode包含文件的元信息

  • 文件的字节数
  • 文件拥有者的User ID
  • 文件的Group ID
  • 文件的读、写、执行权限
  • 文件的时间戳
  • ……

用stat命令可以查看某个文件的inode信息

 示例:stat aa.txt

Linux系统文件三个主要的时间属性

  • ctime(change time):最后一次改变文件或目录(属性)的时间
  • atime(access time):最后一次访问文件或目录的时间
  • mtime(modify time):最后一次修改文件或目录(内容)的时间

用户通过文件名打开文件时,系统内部的过程

  • 系统找到这个文件名对应的inode号码
  • 通过inode号码, 获取inode信息
  • 根据inode信息,找到文件数据所在的block,读出数据

inode的大小

  • inode也会消耗硬盘空间:每个inode的大小一般是128字节或者256字节;
  • 格式化文件系统时确定inode的总数;
  • 使用df -i命令可以查看每个硬盘分区的inode总数和已经使用的数量

 inode特点

  由于inode 号码与文件名分离,导致Linux系统具备以下几种特有的现象:

  • 文件名包含特殊字符,可能无法正常删除。这时直接删除inode,能够起到删除文件的作用;
  • 移动文件或重命名文件,只是改变文件名,不影响inode 号,但是复制的话,会生成一个新的inode号
  • 打开一个文件以后,系统就以inode号码来识别这个文件,不再考虑文件名。
  • 文件数据被修改保存后,会生成一个新的inode 号码

通过inode删除文件的方法

 find ./ -inum inode号 -exec rm -rf {} \;

 find ./ -inum inode号 -delete

 find ./ -inum inode号 | xargs rm -rf 

恢复误删除的文件(EXT类型)

extundelete是一个 开源的Linux数据恢复工具, 支持ext3、 ext4文件系统。 (ext4只能在centos6版 本恢复)

#使用fdisk创建分区/dev/sdc1,格式化ext3文件系统
fdisk /dev/sdb
partprobe /dev/sdb
mkfs.ext3 /dev/ sdb1
mkdir /data
mount /dev/sdb1 /data
df -hT

#安装依赖包
yum -y install e2fsprogs-devel e2 fsprogs-libs

#编译安装extundelete
cd /opt
wget http: //nchc.dl.sourceforge.net/project/extundelete/extundelete/0.2.4/extundelete-0.2.4.tar.bz2

tar jxvf extundelete-0.2.4.tar.bz2
cd extundelete-0.2.4/
./configure --prefix=/usr/ local/jz/ && make && make install

ln -s /usr/ local/jz/bin/* /usr/bin/

模拟删除并执行恢复操作

cd /data
echo 111 > 123.txt
echo 222 > 234.txt
echo 333 > 456.txt
ls
extundelete /dev/sdb1 --inode 2   #查看文件系统/dev/sdc1下存在哪些文件,i节点是从2开始的,2代表该文件系统最开始的目录


rm-rf 123.txt 234.txt 456.txt
extundelete /dev/sdd1 -- inode 2
cd ~
umount /data/
extundelete /dev/sdb1 --restore-all  #恢复/dev/sdc1文件系统下的所有内容


#在当前目录下会出现一-个RECOVERED_ FILES/目录,里面保存了已经恢复的文件
ls RECOVERED_FILES/</code>

 

xfs类型文件备份和恢复

  • Centos 7系统默认采用xfs类型的文件,xfs类型的文件可使用xfsdump 与xfsrestore 工具进行备份恢复。
  • xfsdump的备份级别有两种: 0表示完全备份; 1-9表示增量备份。xfsdump的备份级别默认为0。

xfsdump的命令格式

 xfsdump -f 备份存放位置 要备份的路径或设备文件

 常用选项

  • -f:指定备份文件目录
  • -L:指定标签session label
  • -M:指定设备标签media label
  • -S:备份单个文件,-s后面不能直接跟路径

xfsdump使用限制:

  • 只能备份已挂载的文件系统
  • 必须使用root的权限才能操作
  • 只能备份XFS文件系统
  • 备份后的数据只能让xfsrestore解析
  • 不能备份两个具有相同UUID的文件系统(可用blkid命令查看)

操作步骤

#使用fdisk创建分区/dev/sdb1,格式化xfs文件系统
fdisk /dev/ sdb
partprobe /dev/ sdb
mkfs.xfs [-f] /dev/ sdb1
mkdir /data
mount /dev/ sdb1 /data/
cd /data
cp /etc/passwd ./
mkdir test
touch test/a

#使用xfsdump 命令备份整个分区
rpm -qa| grep xfsdump
yum install -y xfsdump
xfsdump -f /opt/dump_sdb1 /dev/sdb1 [-L dump sdb1 -M sdb1 ]

#模拟数据丢失并使用 x fsrestore 命令恢复文件
cd /data/
rm -rf ./*
ls

xfsrestore -f /opt/dump_ sdb1 /data/

 

日志文件

日志的功能

• 用于记录系统、程序运行中发生的各种事件
• 通过阅读日志,有助于诊断和解决系统故障

内核及系统日志

  • 由系统服务rsyslog统一进行管理 ,日志格式基本相似
  • 主配置文件/etc/rsyslog.conf

 用户日志.

  • 记录系统用户登录及退出系统的相关信息

 程序日志

  • 由各种应用程序独立管理的日志文件,记录格式不统一

日志保存位置

  •  内核及系统日志由系统服务rsyslog 统一管理,主配置文件为/etc/rsyslog.conf
  •  LINUX操作系统本身和大部分服务器程序的日志文件都默认放在目录/var/log/下

  主要日志文件介绍

  • 内核及公共消息日志:/var/log/messages

    记录Linux内核消息及各种应用程序的公共日志信息,包括启动、Io错误、网络错误、程序故障等

    对于未使用独立日志文件的应用程序或服务,一般都可以从该日志文件中获得相关的事件记录信息

  •  计划任务日志:/var/log/cron
    记录crond计划任务产生的事件信息
  •  系统引导日志:/var/log/dmesg
    记录Linux系统在引导过程中的各种事件信息
  •  邮件系统日志:/var/log/maillog
    记录进入或发出系统的电子邮件活动

  • 用户登录日志:
    /var /log/lastlog 记录每个用户最近的登录事件,二进制格式

    /var/log/secure  记录用户认证相关的安全事件信息

    /var/log/wtmp 记录每个用户登录、注销及系统启动和停机事件,二进制格式

    /var/run/btmp 记录失败的、错误的登录尝试及验证事件,二进制格式

 

  

日志配置文件

vim /etc/rsyslog.conf                                 #查看rsyslog.conf配置文件
* . info;mail.none;authpriv.none;cron.none /var/log/messages

*.info #表示info等级及以上的所有等级的信息都写到对应的日志文件里
mail.none #表示某事件的信息不写到日志文件里(这里比如是邮件)

Linux文件系统与日志分析

 

 

 

Linux系统内核日志消息的优先级别(数字等级越小,优先级越高,消息越重要)

级别 消息  级别  具体描述
0 EMERG  紧急 会导致主机系统不可用的情况
1 ALERT 警告 必须马上采取措施解决的问题
2 CRIT 严重  比较严重的情况
3 ERR  错误  运行出现错误
4 WARNING  提醒  可能影响系统功能,需要提醒用户的重要事件
5 NOTICE  注意 不会影响正常功能,但是需要注意的事件
6 INFO 信息 一般信息
7 DEBUG 调试 程序或系统调试信息等

 

 

 

 

 

 

 

 

 

 

日志记录的一般格式

Linux文件系统与日志分析

 

 

 

分析工具

  • users、who、 W、last、 lastb

  • last命令用于查询成功登录到系统的用户记录

  •  lastb命令用于查询登录失败的用户记录

程序日志分析:由相应的应用程序独立进行管理

Web服务:/var/log/httpd/

  • access_log ——记录客户访问事件
  • error_log ——记录错误事件

代理服务:/var/log/squid/

  • access.log、cache.log

分析工具

  • 文本查看、grep过来检索、Webmin管理套件中查看
  • awk、sed等文本过滤、格式化编辑工具
  • Webalizer、Awstats等专用日志分析工具

日志管理策略

及时做好备份和归档

延长日志保存期限

控制日志访问权限

  • 日志中可能会包含各类敏感信息,如账户和口令等

集中管理日志

  • 将服务器的日志文件发到统一-的日志文件服务器
  • 便于日志信息的统- -收集、 整理和分析
  • 杜绝日志信息的意外丢失、恶意篡改或删除

 

上一篇:Linux文件系统与日志分析


下一篇:深入了解Linux文件系统与日志分析