linux文件系统与日志

一.inode与block
1.inode和block概述
文件存储在硬盘上,硬盘的最小存储单位叫做"扇区" ( sector )每个扇区存储512字节。

操作系统读取硬盘的时候,不会一个个扇区地读取,这样效率太低,而是一次性连续读取多个扇区,即一次性读取一个"块" ( block )。这种由多个扇区组成的"块",是文件存取的最小单位。"块"的大小 ,最常见的是4KB ,即连续八个扇区组成一个块。

文件数据存储在"块”中,那么还必须找到一个地方存储文件的元信息,比如文件的创建者、文件的创建日期、文件的大小等等。这种存储文件元信息的区域就叫做inode(索引节点),也叫i节点。

一个文件必须占用一个inode ,至少占用一个block。

1. inode和block的关系

元信息     inode

数据         block

 

 

2.inode的内容
1.inode包含文件的元信息
inode包含很多文件的元信息,例如:

文件的字节数

文件拥有者的User ID

文件的Group ID

文件的读、 写、执行权限

文件的时间戳

文件类型

链接数

有关文件的其他数据

PS:inode不包含文件名

可以用stat命令,查看某个文件的inode信息

示例:

[root@localhost ~]# stat /etc/passwd

 

2.linux文件系统的三个时间戳
ctime(change time):最后一次改变文件或目录的时间,例如执行chmod、chown

atime(access time):是最近一次访问文件或目录的时间

mtime(modify time):是最后一次修改文件或目录(内容)的时间

3.目录文件结构
inode不包含文件名。文件名是存放在目录当中的。Linux系统中一切皆文件,因此目录也是一种文件。

每个inode都有一个号码,操作系统用inode号码来识别不同的文件,linux系统内部使用不同文件名,而使用inode来识别文件。 对于系统来说,文件名只是inode号码便于识别的别称,文件名和inode号码是一 一对应关系,每个inode号码对应一个文件名。.

3.inode的号码
表面上,用户通过文件名,打开文件

实际上,系统内部这个过程分成三步:

系统找到这个文件名对应的inode号码

通过inode号码 ,获取inode信息

根据inode信息,找到文件数据所在的block

3.读出数据使用Is -i命令,可以看到文件名对应的inode号码: ls -i /etc/passwd

​[root@localhost ~]# ls -i /etc/passwd 69209681 /etc/passwd
4.使用stat命令,查看文件inode信息中的inode号码: stat /etc/passwd

[root@localhost ~]# stat /etc/passwd
1. 硬盘分区后的结构


访问文件的简单流程:
当一个用户在Linux系统中试图访问一个文件时,系统会先根据文件名去查找它的 inode ,看该用户是否具有访问这个文件的权限

如果有,就指向相对应的数据block

如果没有,就返回Permission denied

 

4.inode的大小
inode也会消耗硬盘空间,每个inode的大小,一般是128字节或256字节

inode的总数,在格式化时就确定

查看每个硬盘分区的inode总数和已经使用的数量,可以使用命令: df -i

[root@localhost ~]# df -i
文件系统 Inode 已用(I) 可用(I) 已用(I)% 挂载点
/dev/mapper/centos-root 26214400 145278 26069122 1% /
devtmpfs 221158 446 220712 1% /dev
tmpfs 225137 1 225136 1% /dev/shm
tmpfs 225137 646 224491 1% /run
tmpfs 225137 16 225121 1% /sys/fs/cgroup
/dev/sda1 524288 328 523960 1% /boot
/dev/mapper/centos-home 38400000 10 38399990 1% /home
tmpfs 225137 9 225128 1% /run/user/42
tmpfs 225137 1 225136 1% /run/user/0

5.inode特点
由于inode 号码与文件名分离,导致Linux系统具备以下几种特有的现象:

文件名包含特殊字符,可能无法正常删除。这时直接删除inode,能够起到删除文件的作用;

删除inode号的方法:

法一: find 文件位置 -inum inode号码 -exec rm -i {} \;

法二: find 文件位置 -inum inode号码 -delete

[root@localhost test]# ls -i /test/a.txt
67 /test/a.txt
[root@localhost test]# find /test/ -inum 67 -delete 法一
[root@localhost test]# ls /test/
[root@localhost test]#
[root@localhost test]# touch 2.txt
[root@localhost test]# ls -i 2.txt
68 2.txt
[root@localhost test]# find /test/ -inum 68 -exec rm -i {} \; 法二
rm:是否删除普通空文件 "/test/2.txt"?y
[root@localhost test]#

二、硬链接与软链接

作用:为文件或目录建立链接文件

2.1.链接文件分类以及区别

2.2.基本命令

硬链接:

ln 源文件 目标位置


软链接:

ln -s 源文件或目录 链接文件或目标位置


三、恢复误删除的文件

3.1.恢复EXT类型的文件

编译安装extundelete软件包

①安装依赖包

e2fsprogs-libs-1.41.12-18.el6.x86_64.rpm

e2fsprogs-devel-1.41.12-18.el6.x86_64.rpm

②配置、编译及安装

extundeleye-0.2.4.tar.bz2

模拟删除并执行恢复操作

(1)案列

EXT类型文件恢复
extundelete是一个开源的Linux数据恢复工具,支持ext3、ext4文件系统。(ext4只能在centos6版本恢复)。


①使用fdisk创建分区/dev/sdc1,格式化ext3文件系统。
fdisk /dev/sdc

mkfs.ext3 /dev/sdc1

mkdir /test

mount /dev/sdc1/ test

df -hT


②安装依赖包
yum -y install e2fsprogs-devel e2fsprogs-libs gcc gcc-c++

③编译安装extundelete
cd /test

wget http://nchc.dl.sourceforge.net/project/extundelete/extundelete/0.2.4/extundelete-0.2.4.tar.bz2

tar jxvf extundelete-0.2.4.tar.bz2

cd extundelete-0.2.4/

./configure --prefix=/usr/local/extundelete && make && make install
或者 ./configure && make && make install

ln -s /usr/local/bin/extundelete/ /usr/bin/


③模拟删除并执行恢复操作

cd /test

echo a>a
echo a>b
echo a>c
echo a>d

ls

extundelete /dev/sdc1 --inode 2
###查看文件系统/dev/sdc1下存在哪些文件,i节点是从2开始的,2代表该文件系统最开始的目录。

rm -rf a b
extundelete /dev/sdc1 --inode 2

⑤开始恢复数据
umount /test

extundelete /dev/sdc1 --restore-all
###恢复/dev/sdc1文件系统下所有内容


⑥在当前目录下会出现一个RECOVERED_FILES/目录,里面保存了已经恢复的文件

ls RECOVERED_FILES/

3.2.恢复XFS类型文件
(1)xfsdump命令格式

xfsdump -f 备份存放位置 要备份的路径或设备文件
(2)xfsdump备份级别(默认为0)

①0:完全备份

②1-9:增量备份

(3)xfsdump常用选项:

-f:指定备份文件目录

-L:指定标签session label

-M:指定设备标签media labe . . .

-s:备份单个文件,-s后面不能直接跟路径
(4)xfsrestore命令格式

xfsrestore -f 恢复文件的位置 存放恢复后文件的位置
(5)模拟删除并执行恢复操作

案列:

###使用fdisk创建分区/dev/sdb1,格式化xfs文件系统
fdisk /dev/sdb
mkfs.xfs /dev/sdb1

mkdir /data
mount /dev/sdb1 / data/

cd /data
cp /etc/passwd ./

mkdir test
touch test/a
###使用xfsdump命令备份整个分区
rpm -qa | grep xfsdump
yum instal1 -y xfsdump

xfsdump -f /opt/dump_sdb /dev/sdb1 -L dump_sdb -M sdb1

#模拟数据丢失并使用xfsrestore命令恢复文件
cd /data/
rm -rf ./*

ls

xfsrestore -f /opt/dump_sdb1 /data/
(6)xfsdump使用限制

①只能备份已挂载的文件系统

②必须使用root的权限才能操作

③只能备份XFS文件系统

④备份后的数据只能让xfsrestore解析

⑤不能备份两个具有相同UUID的文件系统

四、Linux日志文件

4.1.日志的功能

(1)用于记录系统、程序运行中发生的各种事件。

(2)通过阅读日志,有助于诊断和解决系统故障。

4.2.日志文件的分类

(1)内核及系统日志

由系统服务rsyslog统一进行管理,日志格式基本相似。

(2)用户日志

记录系统用户登录及退出系统的相关信息。

(3)程序日志

有各种应用程序独立管理的日志文件,记录格式不一。

4.3.日志保存位置

默认位于:/var/log目录下

4.4.主要日志文件介绍

详细讲解:

内核及系统日志由系统服务rsyslog 统一管理,主配置文件为/etc/rsyslog.conf,Linux操作系统本身和大部分服务器程序的日志文件都默认放在目录/var/1og/下。

(1)内核及公共消息日志:/var/log/messages
记录Linux内核消息及各种应用程序的公共日志信息,包括启动、Io错误、网络错误、程序故障等。对于未使用独立日志文件的应用程序或服务,一般都可以从该日志文件中获得相关的事件记录信息。

(2)计划任务日志:/var/log/cron

记录crond计划任务产生的事件信息。

(3)系统引导日志:/var/log/dmesg

记录Linux系统在引导过程中的各种事件信息。

(4)邮件系统日志:/var/log/maillog

记录进入或发出系统的电子邮件活动。

(5)用户登录日志:
/var/log/secure: 记录用户认证相关的安全事件信息。

/var/log/lastlog:记录每个用户最近的登录事件。二进制格式

/var/log/wtmp:记录每个用户登录、注销及系统启动和停机事件。二进制格式

/var/run/btmp:记录失败的、错误的登录尝试及验证事件。二进制格式

4.5.内核及系统日志分析

由系统服务rsyslog统一管理

①软件包:rsyslog-7.4.7-16.el7.x86_64

②主要程序:/sbin/rsyslogd

③配置文件:/etc/rsyslog.conf

4.6日志消息的级别

注:数字等级越小,优先级越高,消息越重要

 

4.5.2.日志记录的一般格式:


4.7.用户日志分析

4.7.1.保存了用户登录、退出系统等相关信息
/var/log/lastlog:最近的用户登录事件

 

/var/log/wtmp:用户登录、注销及系统开、关机事件

/var/run/utmp:当前登录的每个用户的详细信息

/var/log/secure:与用户验证相关的安全性事件

4.7.2.分析工具
users、who、w、last、lastb

4.8.程序日志分析

4.8.1.由相应的应用程序独立进行管理
①Web服务:/var/log/httpd/
access_log、error_log

②代理服务::/var/log/lsquid/
access.log、cache.log

③FTP服务:/var/log/xferlog

4.8.2.分析工具
①文本查看、grep过滤检索、Webmin管理套件中查看

②awk、sed等文本过滤、格式化编辑工具

③Webalizer、Awstats等专用日志分析工具

4.9.日志管理策略

(1)及时作好备份和归档

(2)延长日志保存期限

(3)控制日志访问权限
日志中可能会包含各类敏感信息,如账户、口令等

(4)集中管理日志
①将服务器的日志文件发到统一的日志文件服务器

②便于日志信息的统一收集、整理和分析

③杜绝日志信息的意外丢失、恶意篡改或删除

 



上一篇:Linux系统下root密码遗忘等系统故障的修复方法 - 运维总结


下一篇:Linux