Linux文件系统与日志分析
5、日志文件
6、日志分析
1、文件:文件是存储在硬盘上的,硬盘的最小存储单位叫做“扇区”(sector),每个扇区存储512字节。一个文件必须占用一个inode, 并且至少占用一个块(block)。
块: 一般连续八个扇区组成一个"块"(block),一个块是4K大小,是文件存取的最小单位,文件数据存储在“块”中。
inode:中文名叫做 ”索引节点“ 用来存储文件元信息,,inode不包含文件名。文件名是存放在目录当中的。Linux 系统中一切皆文件,因此目录也是一种文件。
当用户在Linux系统中试图访问一个文件时,系统会先根据文件名去查找它对应的inode号码;通过inode号码, 获取inode信息;根据inode信息,看该用户是否具有访问这个文件的权限; 如果有,就指向相对应的数据block,并读取数据。
查看文件inode号:
| 1 2 |
ls -i 文件名 查看文件名对应的inode号码
stat 文件名 查看文件inode信息中的inode号码
|
a)创建磁盘,管理磁盘,格式化一下,文件类型改为ext3
b)创建子目录用来挂载,并查看inode号
c)用for循环创建文件超出限制看能否创建,并查看挂载表
可以看出:磁盘内可用inode号使用完后,即使磁盘还剩余空间也无法再创建文件,除非删除内部文件,释放inode号。
extundelete是一个 开源的Linux数据恢复工具, 支持ext3、 ext4文件系统。 (ext4只能在centos6版 本恢复)
步骤:
| 1 2 3 4 |
编译安装extundelete软件包
安装依赖包 : e2fsprogs-libs-1. 41.12-18.el6.x86_ 64.rpm
e2fsprogs-devel-1 .41.12-18.el6.x86_ _64.rpm
配置、编译及安装: extundelete-0.2.4.tar.bz2
|
| 1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 |
使用fdisk创建分区/dev/sdc1,格式化ext3文件系统
fdisk /dev/sdb
partprobe /dev/sdb
mkfs.ext3 /dev/ sdb1
mkdir /mnt
mount /dev/sdb1 /mnt
df -hT
安装依赖包
yum -y install e2fsprogs-devel e2 fsprogs-l ibs
编译安装extundelete
cd /opt
wget http: //nchc.dl.sourceforge.net/project/extundelete/extundelete/0.2.4/extundelete-0.2.4.tar.bz2
tar jxvf extundelete-0.2.4.tar.bz2
cd extundelete-0.2.4/
./configure --prefix=/usr/ local/ extundelete && make && make install
ln -s /usr/ local/extundelete/bin/* /usr/bin/
|
模拟删除并执行恢复操作:
| 1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 |
cd /mnt
echo a>a
echo a>b
echo a>C .
echo a>d
ls
extundelete /dev/sdb1 --inode 2
查看文件系统/dev/sdc1下存在哪些文件,i节点是从2开始的,2代表该文件系统最开始的目录
rm-rf a b
extundelete /dev/sdc1 -- inode 2
cd ~
umount /mnt
extundelete /dev/sdc1 --restore-all
恢复/dev/sdc1文件系统下的所有内容
在当前目录下会出现一-个RECOVERED_ FILES/目录,里面保存了已经恢复的文件
ls RECOVERED_FILES/
|
CentOS 7 系统默认采用 xfs类型的文件,xfs 类型的文件可使用 xfsdump 与 xfsrestore 工具进行备份恢复。
xfsdump 命令常用的选项:
- -f:指定备份文件目录
- -L:指定标签 (session label)
- -M:指定设备标签(media label)
- -s:备份单个文件
- -s 后面不能直接跟路径
xfsdump使用限制:
- 1.只能备份已挂载的文件系统
- 2.必须使用root的权限才能操作
- 3.只能备份XFS文件系统
- 4.备份后的数据只能让xfsrestore解析
- 5.不能备份两个具有相同UUID的文件系统(可用 blkid命令查看)
步骤:
a)使用fdisk创建分区/dev/sdb1,格式化xfs文件系统
| 1 2 3 4 5 6 7 8 9 |
fdisk /dev/sdb
partprobe /dev/sdb
mkfs.xfs /dev/sdb1
mkdir /sdb1
mount /dev/sdb1 /sdb1
cd /sdb1
cp /etc/passwd ./
mkdir test
touch test/a
|
b)使用 xfsdump 命令备份整个分区
| 1 2 |
yum install -y xfsdump
xfsdump -f /opt/dump_sdb1 /dev/sdb1 -L dump_sdb1 -M sdb1
|
c)模拟数据丢失并使用 xfsrestore 命令恢复文件
| 1 2 3 4 |
cd /data/
rm -rf ./* ls
xfsrestore -f /opt/dump_ sdb1 /data/
|
实验图看着了解一下:
功能:用于记录系统、程序运行中发生的各种事件
通过阅读日志,有助于诊断和解决系统故障
分类:
| 1 2 3 4 5 6 7 |
内核及系统日志:
由系统服务rsyslog统一进行管理 ,日志格式基本相似
主配置文件/etc/rsyslog.conf
用户日志:
记录系统用户登录及退出系统的相关信息
程序日志:
由各种应用程序独立管理的日志文件,记录格式不统一
|
保存位置:
| 1 |
默认位置在: /var/log目录下
|
常见的日志文件:
| 1 2 3 4 5 6 7 8 9 |
内核及公共消息日志 /var/log/messages 记录Linux内核消息及各种应用程序的公共日志信息,包括启动、Io错误、网络错误、程序故障等
对于未使用独立日志文件的应用程序或服务,一般都可以从该日志文件中获得相关的事件记录信息
计划任务日志 /var/log/cron 记录crond计划任务产生的事件信息
系统引导日志 /var/log/dmesg 记录Linux系统在引导过程中的各种事件信息
邮件系统日志 /var/log/maillog 记录进入或发出系统的电子邮件活动
用户登录日志 /var/log/secure 记录用户认证相关的安全事件信息
/var /log/lastlog 记录每个用户最近的登录事件,二进制格式
/var/log/wtmp 记录每个用户登录、注销及系统启动和停机事件,二进制格式
/var/run/btmp 记录失败的、错误的登录尝试及验证事件,二进制格式
|
| 1 2 3 4 |
vim /etc/rsyslog.conf 查看rsyslog.conf配置文件
*.info;mail.none; authpriv.none; cron.none /var/ log/messages
*.info 表示info等级及以上的所有等级的信息都写到对应的日志文件里
mail.none 表示某事件的信息不写到日志文件里(这里比如是邮件)
|
内核及系统日志 :
内核及系统日志由系统服务rsyslog 统一管理,主配置文件为/etc/rsyslog.conf
Linux操作系统本身和大部分服务器程序的日志文件都默认放在目录/var/log/下
日志级别:
数字等级越小,优先级越高,消息越重要,日志等级一般级别定义到ERR 级别。
| 级别 | 消息 | 级别 | 说明 |
| 0 | EMERG | 紧急 | 会导致主机系统不可用 |
| 1 | ALERT | 警告 | 必须马上采取措施解决问题 |
| 2 | CRIT | 严重 | 比较严重的情况 |
| 3 | ERR | 错误 | 运行出现错误 |
| 4 | WARNING | 提醒 | 可能会影响系统功能的情况 |
| 5 | NOTICE | 注意 | 不会影响系统但值得关注 |
| 6 | INFO | 信息 | 一般信息 |
| 7 | DEBUG | 调试 | 程序或系统调试信息等 |
日志记录的一般格式:
时间标签 :消息发出的日期和时间
主机名: 生成消息的计算机的名称
子系统名 :发出消息的应用程序的名称
消息字段:消息的具体内容
| 1 2 3 4 5 6 7 8 9 10 11 |
用户日志分析 <br>
a) 保存了用户登录、退出系统等相关信息
/varlog/lastlog:最近的用户登录事件
/var/log/wtmp:用户登录、注销及系统开、关机事件
/var/run/utmp:当前登录的每个用户的详细信息
/var/log/secure:与用户验证相关的安全性事件
b)分析工具
users、who、W、last、 lastb
last命令用于查询成功登录到系统的用户记录
lastb命令用于查询登录失败的用户记录
|
| 1 2 3 4 5 6 7 8 9 10 11 12 |
程序日志分析 :
由相应的应用程序独立进行管理
Web服务: /var/log/httpd/
access_ log //记录客户访问事件
error_ log //记录错误事件
代理服务: Ivar/log/squid/
access.log、cache.log
分析工具:
文本查看、grep过滤检索、Webmin管理套件中查看
awk、sed等文本过滤、格式化编辑工具
Webalizer、Awstats等专用日志分析工具
|
| 1 2 3 4 5 6 7 8 9 10 |
日志管理:
及时作好备份和归档
延长日志保存期限
控制日志访问权限
日志中可能会包含各类敏感信息,如账户、口令等
集中管理日志
将服务器的日志文件发到统一的日志文件服务器
便于日志信息的统- -收集、整理和分析
杜绝日志信息的意外丢失、恶意篡改或删除
|