Linux文件系统与日志分析
一、inode和block概述
1.文件和扇区
- 文件是存储在硬盘上的,硬盘的最小存储单位叫做“扇区”(sector),每个扇区存储512字节。
2.块(block)
- 一般连续八个扇区组成一个“块”(block),一个块是4K大小,是文件存取的最小单位。
- 操作系统读取硬盘的时候,是一次性读取多个扇区,即一个块一个块的读取的。
3.文件数据
- 文件数据包括实际数据与元数据(类似文件属性)。
- 文件数据存储在“块”中,存储文件元信息(比如文件的创建者、创建日期、文件大小、文件权限等)的区域就叫做inode。
二、inode(索引节点)
- 一个文件必须占用一个 inode,并且至少占用一个 block。
- inode不包含文件名。文件名是存放在目录当中的。Linux 系统中一切皆文件,因此目录也是一种文件。
- 每个inode都有一个号码,操作系统用inode号码来识别不同的文件。Linux系统内部不使用文件名,而使用inode号码来识别文件。对于系统来说,文件名只是inode号码便于识别的别称,文件名和inode号码是一一对应关系,每个inode号码对应一个文件名。
1.inode的内容
■inode包含文件的元信息
- 文件的字节数
- 文件拥有者的User ID
- 文件的Group ID
- 文件的读、写、执行权限
- 文件的时间戳
- …
■用stat命令可以查看某个文件的inode信息
- 示例:stat aa.txt
■ Linux系统文件三个主要时间属性
- ctime(change time) #最后一次改变文件或目录(属性)的时间
- atime(access time) #最后一次访问文件或目录的时间
- mtime(modify time) #最后一次修改文件或目录(内容)的时间
■目录文件的结构
- 目录也是一种文件
- 目录文件的结构
■每个inode都有一个号码,操作系统用inode号码来识别不同的文件
■Linux系统内部不使用文件名,而使用inode号码来识别文件
■对于用户,文件名只是inode号码便于识别的别称
2.inode的号码
■用户通过文件名打开文件时,系统内部的过程
- 系统找到这个文件名对应的inode号码
- 通过inode号码,获取inode信息
- 根据inode信息,找到文件数据所在的block,读出数据
■查看inode号码的方法
- ls -i命令:查看文件名对应的inode号码
ls -i aa.txt
- stat命令:查看文件inode信息中的inode号码
stat aa.txt
3.inode的大小
■inode也会消耗硬盘空间
- 每个inode的大小一般是128字节或256字节
■格式化文件系统是确定了inode的总数
■使用df -i命令可以查看每个硬盘分区的inode总数和已经使用的数量
3.inode的特殊作用
由于 inode 号码与文件名分离,导致Linux 系统具备以下几种特有的现象:
- 文件名包含特殊字符,可能无法正常删除。这时直接删除 inode,能够起到删除文件的作用;
- 移动文件或重命名文件,只是改变文件名,不影响 inode 号码;
- 打开一个文件以后,系统就以 inode 号码来识别这个文件,不再考虑文件名。
- 文件数据被修改保存后,会生成一个新的 inode 号码。
4.通过删除inode号删除文件
find ./ -inum 52305140 -exec rm -i {
} \;
find ./ -inum 50464299 -delete
演示:
命令二同理不演示了
三、模拟inode节点耗尽故障处理
步骤总汇
1、使用fdisk创建分区/dev/sdb1,分区大小30M即可
fdisk /dev/sdb
mkfs.ext4 /dev/sdb1 #这边我们用ext4类型的文件系统进行模拟
mkdir /test
mount /dev/sdb1 /mnt
df -i
2、模拟inode节点耗尽故障
for ((i=1; i<=7680; i++));do touch /test/file$i;done
或者 touch {
1..7680}.txt
df -i
df -hT
3、删除文件恢复
rm -rf /test/*
df -i
df -hT
演示
1.使用fdisk创建分区/dev/sdb1,格式化并挂载
2.模拟inode节点耗尽故障
3.删除恢复文件
四、EXT类型文件恢复
extundelete 是一个开源的 Linux 数据恢复工具,支持 ext3、ext4文件系统。(ext4只能在centos6版本恢复)
1、使用fdisk创建分区/dev/sdb1,格式化ext3文件系统
fdisk /dev/sdb
mkfs.ext3 /dev/sdb1
mkdir /test
mount /dev/sdb1 /test
df -hT
2、安装依赖包
yum -y install e2fsprogs-devel e2fsprogs-libs
3、编译安装 extundelete
cd /test 切换到test目录中
wget http://nchc.dl.sourceforge.net/project/extundelete/extundelete/0.2.4/extundelete-0.2.4.tar.bz2 #官网下载源
tar jxvf extundelete-0.2.4.tar.bz2 #解压tar包
cd extundelete-0.2.4/ #切换到解压出来的目录中
./configure --prefix=/usr/local/extundelete && make && make install #指定安装目录,开始安装
ln -s /usr/local/extundelete/bin/* /usr/bin/ #创建软连接,让系统识别命令
4、模拟删除并执行恢复操作
cd /test
echo a>a
echo a>b
echo a>c
echo a>d
ls
extundelete /dev/sdb1 --inode 2 #查看文件系统/dev/sdb1下存在哪些文件,i 节点是从 2 开始的,2 代表该文件系统最开始的目录。
rm -rf a b
extundelete /dev/sdb1 --inode 2
cd ~
umount /test
extundelete /dev/sdb1 --restore-all #恢复/dev/sdb1 文件系统下的所有内容
#在当前目录下会出现一个RECOVERED_FILES/目录,里面保存了已经恢复的文件
ls RECOVERED_FILES/
演示:
1.用fdisk创建分区/dev/sdb1,格式化ext3文件类型并挂载
2.安装依赖包
3.编译安装 extundelete
4.模拟删除并恢复文件
五、xfs 类型文件备份和恢复
- CentOS 7 系统默认采用 xfs类型的文件,xfs 类型的文件可使用 xfsdump 与 xfsrestore 工具进行备份恢复。
- xfsdump 的备份级别有两种:0 表示完全备份;1-9 表示增量备份。xfsdump 的备份级别默认为 0。
xfsdump 的命令格式为:
xfsdump -f 备份存放位置 要备份的路径或设备文件
xfsdump使用限制:
1.只能备份已挂载的文件系统
2.必须使用root的权限才能操作
3.只能备份XFS文件系统
4.备份后的数据只能让xfsrestore解析
5.不能备份两个具有相同UUID的文件系统(可用 blkid命令查看)
xfsdump命令常用的选项:
-f 指定备份文件目录
-L 指定标签 session label
-M 指定设备标签 media label
-s 备份单个文件,-s 后面不能直接跟路径
步骤如下:
1、使用fdisk创建分区/dev/sdb1,格式化xfs文件系统
fdisk /dev/sdb
partprobe /dev/sdb
mkfs.xfs [-f] /dev/sdb1
mkdir /data
mount /dev/sdb1 /data/
cd /data
cp /etc/passwd ./
mkdir test
touch test/a
2、使用 xfsdump 命令备份整个分区
rpm -qa | grep xfsdump
yum install -y xfsdump
xfsdump -f /opt/dump_sdb1 /dev/sdb1 [-L dump_sdb1 -M sdb1]
3、模拟数据丢失并使用 xfsrestore 命令恢复文件
cd /data/
rm -rf ./*
ls
xfsrestore -f /opt/dump_sdb1 /data/
演示:
1.使用fdisk创建分区/dev/sdb1,格式化xfs文件系统并挂载
2.使用 xfsdump 命令备份整个分区
六、系统日志
1.日志文件
1.1 日志的功能
- 用于记录系统、程序运行中发生的各种事件
- 通过阅读日志,有助于诊断和解决系统故障
1.2 日志的分类
■内核及系统日志
- 由系统服务 rsyslog 统一进行管理,日志格式基本相似
- 主配置文件 /etc/rsyslog.conf
■用户日志
- 记录系统用户登录及退出系统的相关信息
- 主配置文件/var/log/secure
■程序日志
由各种应用程序独立管理的日志文件,记录格式不统一
1.3 系统日志默认保存位置
系统日志文件都默认放在目录/var/log/下
1.4常见的一些日志文件
内核及公共消息日志:
/var/log/messages:记录Linux内核消息及各种应用程序的公共日志信息,包括启动、To错误、网络错误、程序故障等。
对于未使用独立日志文件的应用程序或服务,一般都可以从该日志文件中获得相关的事件记录信息。
#计划任务日志:
/ var/ log / cron:记录crond计划任务产生的事件信息。
#系统引导日志:
/var/log/dmesg:记录Linux系统在引导过程中的各种事件信息。
#邮件系统日志:
/var/ log/maillog:记录进入或发出系统的电子邮件活动。
#用户登录日志:
/var/log/security:记录用户认证相关的安全事件信息。
/var/log/lastlog:记录每个用户最近的登录事件。二进制格式
/var/log/wtmp:记录每个用户登录、注销及系统启动和停机事件。二进制格式
/var/run/btmp:记录失败的、错误的登录尝试及验证事件。二进制格式
2.内核及系统日志
■由系统服务 rsyslog 统一进行管理
- 软件包:rsyslog-7.4.7-16.el7.x86_64、
- 主要程序:/sbin/rsyslogd
- 配置文件:/etc/rsyslog.cont
2.1 查看rsyslog.conf配置文件
vim /etc/rsyslog.conf #查看rsyslog.conf配置文件
*.info;mail.none;authpriv.none;cron.none /var/log/messages
*.info #表示info等级及以上的所有等级的信息都写到对应的日志文件里
mail.none #表示某事件的信息不写到日志文件里(这里比如是邮件)
2.2 日志消息的级别
| 级号 | 优先级级别 | 说明 |
|---|---|---|
| 0 | EMERG(紧急) | 会导致主机系统不可用的情况。 |
| 1 | ALERT(警告) | 必须马上采取措施解决的问题。 |
| 2 | CRIT(严重) | 比较严重的情况。 |
| 3 | ERR(错误) | 运行出现错误。 |
| 4 | WARNING(提醒) | 可能影响系统功能,需要提醒用户的重要事件。 |
| 5 | NOTICE(注意) | 不会影响正常功能,但是需要注意的事件。 |
| 6 | INFO(信息) | 一般信息。 |
| 7 | DEBUG(调试) | 程序或系统调试信息等。 |
2.3 日志记录的一般格式
3.用户日志分析
■保存了用户登录、退出系统的相关信息
- /var/log/lastlog:最近的用户登录事件
- /var/log/wtmp:用户登录、注销及系统开、关机事件
- /var/run/utmp:当前登录的每个用户的详细信息
- /var/log/secure:与用户验证相关的安全性事件
■分析工具
- users、 who、w 、last、lastb
- last命令用于查询成功登录到系统的用户记录
- lastb命令用于查询登录失败的用户记录
4.程序日志分析
■由相应的应用程序独立进行管理
■Web服务:Nar/log/httpd/
- access_log //记录客户访问事件
- error_log //记录错误事件
■代理服务:/var/log/squid/
- access.log、cache.log
■分析工具
- 文本查看、grep过滤检索、Webmin管理套件中查看
- awk、sed等文本过滤、格式化编辑工具
- Webalizer、Awstats等专用日志分析工具
5.日志管理策略
■及时作好备份和归档
■延长日志保存期限
■控制日志访问权限
- 日志中可能会包含各类敏感信息,如账户、口令等
■集中管理日志
- 将服务器的日志文件发到统一的日志文件服务器
- 便于日志信息的统一收集、整理和分析
- 杜绝日志信息的意外丢失、恶意篡改或删除