Linux文件系统与日志分析
5、日志文件
6、日志分析
1、文件:文件是存储在硬盘上的,硬盘的最小存储单位叫做“扇区”(sector),每个扇区存储512字节。一个文件必须占用一个inode, 并且至少占用一个块(block)。
块: 一般连续八个扇区组成一个"块"(block),一个块是4K大小,是文件存取的最小单位,文件数据存储在“块”中。
inode:中文名叫做 ”索引节点“ 用来存储文件元信息,,inode不包含文件名。文件名是存放在目录当中的。Linux 系统中一切皆文件,因此目录也是一种文件。
当用户在Linux系统中试图访问一个文件时,系统会先根据文件名去查找它对应的inode号码;通过inode号码, 获取inode信息;根据inode信息,看该用户是否具有访问这个文件的权限; 如果有,就指向相对应的数据block,并读取数据。
查看文件inode号:
ls -i 文件名 查看文件名对应的inode号码 stat 文件名 查看文件inode信息中的inode号码
a)创建磁盘,管理磁盘,格式化一下,文件类型改为ext3
b)创建子目录用来挂载,并查看inode号
c)用for循环创建文件超出限制看能否创建,并查看挂载表
可以看出:磁盘内可用inode号使用完后,即使磁盘还剩余空间也无法再创建文件,除非删除内部文件,释放inode号。
extundelete是一个 开源的Linux数据恢复工具, 支持ext3、 ext4文件系统。 (ext4只能在centos6版 本恢复)
步骤:
编译安装extundelete软件包
安装依赖包 : e2fsprogs-libs-1. 41.12-18.el6.x86_ 64.rpm
e2fsprogs-devel-1 .41.12-18.el6.x86_ _64.rpm
配置、编译及安装: extundelete-0.2.4.tar.bz2
使用fdisk创建分区/dev/sdc1,格式化ext3文件系统 fdisk /dev/sdb partprobe /dev/sdb mkfs.ext3 /dev/ sdb1 mkdir /mnt mount /dev/sdb1 /mnt df -hT 安装依赖包 yum -y install e2fsprogs-devel e2 fsprogs-l ibs 编译安装extundelete cd /opt wget http: //nchc.dl.sourceforge.net/project/extundelete/extundelete/0.2.4/extundelete-0.2.4.tar.bz2 tar jxvf extundelete-0.2.4.tar.bz2 cd extundelete-0.2.4/ ./configure --prefix=/usr/ local/ extundelete && make && make install ln -s /usr/ local/extundelete/bin/* /usr/bin/
模拟删除并执行恢复操作:
cd /mnt echo a>a echo a>b echo a>C . echo a>d ls extundelete /dev/sdb1 --inode 2 查看文件系统/dev/sdc1下存在哪些文件,i节点是从2开始的,2代表该文件系统最开始的目录 rm-rf a b extundelete /dev/sdc1 -- inode 2 cd ~ umount /mnt extundelete /dev/sdc1 --restore-all 恢复/dev/sdc1文件系统下的所有内容 在当前目录下会出现一-个RECOVERED_ FILES/目录,里面保存了已经恢复的文件 ls RECOVERED_FILES/
CentOS 7 系统默认采用 xfs类型的文件,xfs 类型的文件可使用 xfsdump 与 xfsrestore 工具进行备份恢复。
xfsdump 命令常用的选项:
- -f:指定备份文件目录
- -L:指定标签 (session label)
- -M:指定设备标签(media label)
- -s:备份单个文件
- -s 后面不能直接跟路径
xfsdump使用限制:
- 1.只能备份已挂载的文件系统
- 2.必须使用root的权限才能操作
- 3.只能备份XFS文件系统
- 4.备份后的数据只能让xfsrestore解析
- 5.不能备份两个具有相同UUID的文件系统(可用 blkid命令查看)
步骤:
a)使用fdisk创建分区/dev/sdb1,格式化xfs文件系统
fdisk /dev/sdb partprobe /dev/sdb mkfs.xfs /dev/sdb1 mkdir /sdb1 mount /dev/sdb1 /sdb1 cd /sdb1 cp /etc/passwd ./ mkdir test touch test/a
b)使用 xfsdump 命令备份整个分区
yum install -y xfsdump xfsdump -f /opt/dump_sdb1 /dev/sdb1 -L dump_sdb1 -M sdb1
c)模拟数据丢失并使用 xfsrestore 命令恢复文件
cd /data/ rm -rf ./* ls xfsrestore -f /opt/dump_ sdb1 /data/
功能:用于记录系统、程序运行中发生的各种事件
通过阅读日志,有助于诊断和解决系统故障
分类:
内核及系统日志: 由系统服务rsyslog统一进行管理 ,日志格式基本相似 主配置文件/etc/rsyslog.conf 用户日志: 记录系统用户登录及退出系统的相关信息 程序日志: 由各种应用程序独立管理的日志文件,记录格式不统一
保存位置:
默认位置在: /var/log目录下
常见的日志文件:
内核及公共消息日志 /var/log/messages 记录Linux内核消息及各种应用程序的公共日志信息,包括启动、Io错误、网络错误、程序故障等 对于未使用独立日志文件的应用程序或服务,一般都可以从该日志文件中获得相关的事件记录信息 计划任务日志 /var/log/cron 记录crond计划任务产生的事件信息 系统引导日志 /var/log/dmesg 记录Linux系统在引导过程中的各种事件信息 邮件系统日志 /var/log/maillog 记录进入或发出系统的电子邮件活动 用户登录日志 /var/log/secure 记录用户认证相关的安全事件信息 /var /log/lastlog 记录每个用户最近的登录事件,二进制格式 /var/log/wtmp 记录每个用户登录、注销及系统启动和停机事件,二进制格式 /var/run/btmp 记录失败的、错误的登录尝试及验证事件,二进制格式
vim /etc/rsyslog.conf 查看rsyslog.conf配置文件 *.info;mail.none; authpriv.none; cron.none /var/ log/messages *.info 表示info等级及以上的所有等级的信息都写到对应的日志文件里 mail.none 表示某事件的信息不写到日志文件里(这里比如是邮件)
内核及系统日志 :
内核及系统日志由系统服务rsyslog 统一管理,主配置文件为/etc/rsyslog.conf
Linux操作系统本身和大部分服务器程序的日志文件都默认放在目录/var/log/下
日志级别:
数字等级越小,优先级越高,消息越重要,日志等级一般级别定义到ERR 级别。
| 级别 | 消息 | 级别 | 说明 |
| 0 | EMERG | 紧急 | 会导致主机系统不可用 |
| 1 | ALERT | 警告 | 必须马上采取措施解决问题 |
| 2 | CRIT | 严重 | 比较严重的情况 |
| 3 | ERR | 错误 | 运行出现错误 |
| 4 | WARNING | 提醒 | 可能会影响系统功能的情况 |
| 5 | NOTICE | 注意 | 不会影响系统但值得关注 |
| 6 | INFO | 信息 | 一般信息 |
| 7 | DEBUG | 调试 | 程序或系统调试信息等 |
日志记录的一般格式:
时间标签 :消息发出的日期和时间
主机名: 生成消息的计算机的名称
子系统名 :发出消息的应用程序的名称
消息字段:消息的具体内容
用户日志分析
a) 保存了用户登录、退出系统等相关信息 /varlog/lastlog:最近的用户登录事件 /var/log/wtmp:用户登录、注销及系统开、关机事件 /var/run/utmp:当前登录的每个用户的详细信息 /var/log/secure:与用户验证相关的安全性事件 b)分析工具 users、who、W、last、 lastb last命令用于查询成功登录到系统的用户记录 lastb命令用于查询登录失败的用户记录
程序日志分析 : 由相应的应用程序独立进行管理 Web服务: /var/log/httpd/ access_ log //记录客户访问事件 error_ log //记录错误事件 代理服务: Ivar/log/squid/ access.log、cache.log 分析工具: 文本查看、grep过滤检索、Webmin管理套件中查看 awk、sed等文本过滤、格式化编辑工具 Webalizer、Awstats等专用日志分析工具
日志管理: 及时作好备份和归档 延长日志保存期限 控制日志访问权限 日志中可能会包含各类敏感信息,如账户、口令等 集中管理日志 将服务器的日志文件发到统一的日志文件服务器 便于日志信息的统- -收集、整理和分析 杜绝日志信息的意外丢失、恶意篡改或删除