深入了解Linux文件系统和日志分析
文章目录
1、inode与block
1.1 Inode和block概述
文件是存储在硬盘上的,硬盘最小存储叫做扇区,每个扇区512字节
操作系统读取硬盘信息,不会一个一个扇区读取。实际情况一下连续读取多个扇区,一次性读取多个扇区,叫做块(Block),这种多个扇区组成的“块”是文件存取的最小单位,最常见的4K,就是8个扇区组成的一个Block块,512字节*8=4096字节。
文件数据分为:元数据和实际数据。
1.2 inode内容
inode包含很多的文件元信息,但不包含文件名
1、文件的字节数
2、文件拥有者UserID
3、文件的GroupID
4、文件的rwx权限(读、写、执行)
5、文件时间戳
1.3 使用stat查看文件inode信息
1.4 inode的号码
用户在访问问件时候,表面上是用户通过文件名打开的,而实际系统内部的过程分成三步完成的
1、系统找到文件名的inode号码
2、通过inode号码,获取inode信息
3、根据inode信息,找到文件所在的block,并读取数据
文件名-----对应的inode号码-----inode信息-----找到文件所在的block,读取数据
1.5 常见查看inode号码有这么几种方式
li -i命令:直接查看当前目录文件名的所对应的inode信息
ls-ai命令:直接查看当面目录的文件及隐藏文件的所对应的inode信息
stat命令:通过查看文件inode信息而查看到inode号码
2、硬连接与软连接
3、分析日志文件
###日志文件分析####
分析日志文 件的目的在于通过浏览日志查找关键信息、对系统服务进行调试,以及判断发生故障的原因 等。
本小节主要介绍三类日志文件的基本格式和分析方法。
对于大多数文本格式的日志文件(如内核及系统日志、大多数的程序日志),只要使用 tail、more、less、cat
等文本处理工具就可以查看日志内容。而对于一些二进制格式的日志 文件(如用户日志),则需要使用特定的查询命令
1.内核及系统日志
内核及系统日志功能主要由默认安装的 rsyslog-7.4.7-16.el7.x86_64.rpm 软件包提供。
rsyslog 服务所使用的配置文件为/etc/rsyslog.conf。通过查看/etc/rsyslog.conf 文件中的内 容,
可以了解到系统默认的日志设置,具体操作如下:
[root@localhost ~]# grep -v “^$” /etc/rsyslog.conf ####过滤掉空行
从配置文件/etc/rsyslog.conf 中可以看到,受 rsyslogd 服务管理的日志文件都是 Linux 操作系统中主要的日志文件,
它们记录了 Linux 操作系统中内核、用户认证、电子邮件、计 划任务等基本的系统消息。在 Linux 内核中,
根据日志消息的重要程度不同,将其分为不同 的优先级别(数字等级越小,优先级越高,消息越重要)
0 EMERG(紧急):会导致主机系统不可用的情况。
1 ALERT(警告):必须马上采取措施解决的问题。
2 CRIT(严重):比较严重的情况。
3 ERR(错误):运行出现错误
4 WARNING(提醒):可能影响系统功能,需要提醒用户的重要事件
5 NOTICE(注意):不会影响正常功能,但是需要注意的事件。
6 INFO(信息):一般信息。
7 DEBUG(调试):程序或系统调试信息等。
内核及大多数系统消息被记录到公共日志文件/var/log/messages 中,而其他一些程序 消息被记录到各自独立的日志文件中,
此外日志消息还能够记录到特定的存储设备中,或者 直接发送给指定用户。查看/var/log/messages 文件的内容如下
more /var/log/messages
对于 rsyslog 服务统一管理的大部分日志文件,使用的日志记录格式基本上是相同的。
以公共日志/var/log/messages 文件的记录格式为例,其中每一行表示一条日志消息,每 一条消息均包括以下四个字段。
时间标签:消息发出的日期和时间。
主机名:生成消息的计算机的名称。
子系统名称:发出消息的应用程序的名称。
消息:消息的具体内容。
在有些情况下,可以设置 rsyslog,使其在把日志信息记录到文件的同时将日志信息发 送到打印机进行打印,
这样无论网络入侵者怎样修改日志都不能清除入侵的痕迹。rsyslog 日志服务是一个常会被攻击的显著目标,
破坏了它将使管理员难以发现入侵及入侵的痕迹, 因此要特别注意监控其守护进程及配置文件
2、用户日志
在 wtmp、btmp、lastlog 等日志文件中,保存了系统用户登录、退出等相关的事件消息。
但是这些文件都是二进制的数据文件,不能直接使用 tail、less 等文本查看工具进行浏览,
需要使用 who、w、users、last 和 lastb 等用户查询命令来获取日志信息
(1)查询当前登录的用户情况——users、who、w 命令
users 命令只是简单地输出当前登录的用户名称,每个显示的用户名对应一个登录会话。
如果一个用户有不止一个登录会话,那他的用户名将显示与其相同的次数。user 命令的具 体操作如下:
[root@localhost ~]# users ###打开了一个终端
root
who 命令用于报告当前登录到系统中的每个用户的信息。使用该命令,系统管理员可 以查看当前系统存在哪些不合法用户,
从而对其进行审计和处理。who 的默认输出包括用 户名、终端类型、登录日期及远程主机。
who 命令的具体操作如下:
[root@localhost ~]# who
root pts/0 2020-06-23 00:34 (20.0.0.1)
[root@localhost ~]# w
01:16:49 up 45 min, 1 user, load average: 0.00, 0.01, 0.05
USER TTY FROM LOGIN@ IDLE JCPU PCPU WHAT
root pts/0 20.0.0.1 00:34 1.00s 0.22s 0.00s w
[root@localhost log]# w ####出现这个问题,远程终端最大化
w: 66 column window is too narrow
(2)查询用户登录的历史记录——last、lastb 命令 last 命令用于查询成功登录到系统的用户记录,
最近的登录情况将显示在最前面。通过 last 命令可以及时掌握 Linux 主机的登录情况,
若发现未经授权的用户登录过,则表示当前 主机可能已被入侵。last 命令的具体操作如下
[root@localhost ~]# last
lastb 命令用于查询登录失败的用户记录,如登录的用户名错误、密码不正确等情况都 将记录在案。
登录失败的情况属于安全事件,因为这表示可能有人在尝试猜解你的密码。除 了使用 lastb 命令查看以外,
也可以直接从安全日志文件/var/log/secure 中获得相关信息。
[root@localhost ~]# lastb
[root@localhost ~]# tail /var/log/secure
3.程序日志 在 Linux 操作系统中,还有相当一部分应用程序没有使用 rsyslog 服务来管理日志,
而 是由程序自己维护日志记录。例如,httpd 网站服务程序使用两个日志文件 access_log 和 error_log
分别记录客户访问事件和错误事件。不同应用程序的日志记录格式差别较大,且 没有严格使用统一的格式,
这里不再详细介绍。 总的来说,作为一名合格的系统管理人员,应该提高警惕,随时注意各种可疑状况,
定 期并随机检查各种系统日志文件,包括一般信息日志、网络连接日志、文件传输日志及用户
登录日志记录等。在检查这些日志时,要注意是否有不合常理的时间或操作记录。例如,出 现以下现象就应多加注意。
●用户在非常规的时间登录,或者用户登录系统的 IP 地址和以往的不一样。
●用户登录失败的日志记录,尤其是那些一再连续尝试进入失败的日志记录。
●非法使用或不正当使用超级用户权限。
●无故或者非法重新启动各项网络服务的记录。
●不正常的日志记录,如日志残缺不全,或者是诸如 wtmp 这样的日志文件无故缺少 了中间的记录文件。
另外,需要提醒管理人员注意的是,日志并不是完全可靠的,高明的黑客在入侵系统后 经常会打扫现场。
所以管理人员需要综合运用以上的系统命令,全面、综合地进行审查和检 测,切忌断章取义,
否则将可能做出错误的判断。