深入理解Linux文件系统与日志分析

深入理解Linux文件系统与日志分析

一 inode与block

1.1 inode与block 概述

1.2 inode内容

1.3 inode号码

1.4 文件存储小结

1.5 inode 的大小

1.6 inode 的特殊作用

二 硬链接与软链接

三 恢复误删除的文件

3.1 EXT类型文件恢复

3.2 xfs类型文件备份和诙复

四 分析日志文件

4.1 Linux主要包含的日志文件

4.2 Linux 系统的日志消息级别

4.3 Linux 系统中用户日志的查询命令

一 inode与block

1.1 inode与block 概述

1.2 inode内容

1.3 inode号码

1.4 文件存储小结

1.5 inode 的大小

每删除一个文件或目录会释放原来使用的inode值

每个inode节点的大小，一般是128字节或256字节。inode节点的总数，在格式化时就给定了，一般是每1RKB或每2欧B就设置一个inode。假定在一块1GB的硬盘中，每个inode节点关小为128字节，每1KB就设置一个inode,那么inodetable的大小就会达到128MB,占整块硬盘12.8%。

扩展

inode节点耗尽故障处理

#使用fdisk创建分区/dev / sdb1，分区大小30M即可

fdisk / dev / sdb

mkfs.ext3 / dev / sdb1

mkdir /test

mount /dev / sdb1 /test

df -i

#模拟inode节点托尽故障

for ( (i=1; i<=5680; i++) ) ;do touch /test/file $i;done

或i=i+1或i+=1

touch { 1..5680 }.txt

df -i

df -hT

删除文件恢复

rm -rf /test/*

df -i

df -hT

1.6 inode 的特殊作用

由于inode号码与文件名分离，导致Linux系统具备以下几种特有的现象:

1. 文件名包含特殊字符，可能无法正常删除。这时直接删除inode，能够起到删除文件的作用;

2.移动文件或重命名文件，只是改变文件名，不影响inode号码;

3.打开一一个文件以后，系统就以inode 号码来识别这个文件，不再考虑文件名。

4.文件数据被修改保存后，会生成一个新的inode号码。

删除特殊字符的文件或目录命令

find ./ -inum 52305140 -exec rm -i {} \;

find ./ -inum 50464299 -delete

二 硬链接与软链接

三 恢复误删除的文件

3.1 EXT类型文件恢复

实验：

extundelete是一个开源的Linux数据恢复工具，支持ext3、ext4文件系统。（ext4只能在centos6版本恢复)

#使用fdisk创建分区/dev/sdc1，格式化ext3文件系统

fdisk / dev / sdb

mkfs.ext3 / dev/ sdb1    格式化

mkdir /test

mount /dev / sdc1/test   挂载

df -hT

安装依赖包

yum -y install e2fsprogs-devel e2fsprogs-libs 安装e2fsprogs-devel 和e2fsprogs-libs

编译安装extundelete

cd /test

wget​​configure      运行

make && make install   翻译

ln -s /usr/local/bin/extundelete /usr/bin/  建立extundelete 命令的软链接

模拟删除并执行恢复操作

cd /test

echo a>a

echo a>b

echo a>c

echo a>d

ls

extundelete / dev /sdc1 --inode 2

#查看文件系统/dev/sdc1下存在哪些文件，i节点是从2开始的，2代表该文件系统最开始的目录。

rm -rf a b   删除a和b

extundelete / dev / sdc1 --inode 2  再查看

cd ~

umount /test   解除挂载

extundelete /dev/sdc1 --restore-all

#恢复/dev/sdc1文件系统下的所有内容在当前目录~下会出现一个RECOVERED_FILES/目录，里面保存了已经恢复的文件

3.2 xfs类型文件备份和诙复

xfs类型文件备份和诙复

Centos 7系统默认采用xfs类型的文件，xfs类型的文件可使用xfsdump 与xfsrestore 工具进行备份恢复。xfsdump_的备份级别有两种:0表示完全备份;1-9表示增量备份。xfsdump的备份级别默认为0。

xfsdump的命令格式为:

xfsdump -f备份存放位置 要备份的路径或设备文件

xfsdump命令常用的选项:

-f:指定备份文件目录

-L:指定标签session label

-M:指定设备标签medid labe.--:....

--s:备份单个文件,-s后面不能直接跟路径

xfsdump使用限制:

1. 只能备份己建载的文件系统

2. 必须使用root的权限才于能操作

3. 只能备份XFS文件系统

4. 备份后的数据只能让xfsrestore解析

5. 不能备份两个具有相同UUID的文件系统(可用blkid命令查看)

实验：

使用fdisk创建分区/dev / sdb1，格式化xfs文件系统

fdisk / dev / sdb

mkfs.xfs / dev / sdb1

mkdir / data

mount / dev / sdb1 /data/

cd /data

cp /etc/passwd ./

mkdir test

touch test/ a

#使用xfsdump命令备份整个分区

rpm -qa l grep xfsdump

yum install -y xfsdump

xfsdump -f /opt/dump_sdb /dev/sdb1 -L dump_sdb -M sdb1

#模拟数据丢失并使用xfsrestore命令恢复文件

cd /data/

rm -rf ./*ls

xfsrestore -f /opt/ dump_sdb1 / data/

四 分析日志文件

4.1 Linux主要包含的日志文件

系统日志由系统服务rsyslog统一管理，主配置文件为/etc/rsyslog.conf

Linux操作系统本身和大部分服务器程序的日志文件都默认放在目录/var/log/下.

常见的一些日志文件:

内核及公共消息日志:/var/log/messages:

记录Linux内核消息及各种应用程序的公共日志信息，包括启动、Io错误、网络错误、程序故障等。对于未使用独立日志文件的应用程序或服务，一般都可以从该日志文件中获得相关的事件记录信息。

计划任务日志:/var/ log/cron:记录crond计划任务产生的事件信息。

系统引导日志:/var/log/dmesg:记录Linux系统在引导过程中的各种事件信息。

邮件系统日志:/var/log/maillog:记录进入或发出系统的电子邮件活动。

用户登录日志:

/var/log/secure:记录用户认证相关的安全事件信息。

/var/log/lastlog:记录每个用户最近的登录事件。二进制格式

/var/log/wtmp:记录每个用户登录、注销及系统启动和停机事件。二进制格式

/var/run/btmp:记录失败的、错误的登录尝试及验证事件。二进制格式

vim /etc/ rsyslog.conf#查看rsyslog.conf配置文件

* .info;mail.none; authpriv.none;cron.none         / var/ log/messages

*.info普表示info等级及以，上的所有等级的信息都写到对应的日志文件里

mail.none #表示某事件的信息不写到日志文件里(这里比如是邮件)

4.2 Linux 系统的日志消息级别

公共日志/var/ log/ messages文件的记录格式

时间标签:消息发出的日期和时间。

主机名:生成消息的计算机的名称。

子系统名称:发出消息的应用程序的名称。

消息:消息的具体内容。

4.3 Linux 系统中用户日志的查询命令

用户日志分析命令：

users:命令只是简单地输出当前登录的用户名称，每个显示的用户名对应一个登录会话。如果一个用户有不止一个登录会话，那他的用户名将显示与其相同的次数

who:命令用于报告当前登录到系统中的每个用户的信息。使用该命令，系统管理员可以查看当前系统存在哪些不合法用户，从而对其进行审计和处理。who的默认输出包括用户名、终端类型、登录日期及远程主机

w:命令用于显示当前系统中的每个用户及其所运行的进程信息，比users、who命令的输出内容要丰富一些

last:命令用于查询成功登录到系统的用户记录，最近的登录情况将显示在最前面。通过last 命令可以及时掌握Linux.主机的登录情况，若发现未经授权的用户登录过，则表示当前主机可能已被入侵

lastb:命令用于查询登录失败的用户记录，如登录的用户名错误、密码不正确等情况都将记录在案。登录失败的情况属于安全事件，因为这表示可能有人在尝试猜解你的密码。除了使用 lastb命令查看以外，也可以直接从安全日志文件/var/log/secure中获得相关信息有哪些系统常见日志

/var/log/messages/系统主日志文件

[rootelocalhost ~].cat /var/log/messages | wc -l

3784

tail -f或者tail f或tail -100查看时间，主机名,服务,具体信息

/var/log/dmesg1/开机后的内核自检信息，dmesg命令看的是一样的

/var/log/secure//涉及到登陆，验证之类的都会记录比如su用户日志采用二进制格式，但可以用命令查看，避免认为修改内容，保证日志的有效性

/var/log/wtmp(last)

/var/log/btmp(lastb)

/var/log/lastlog(lastlog)所有账号的登录信息

还有一些服务的日志比如

/var/log/ yum.log

/var/ log/lcron

也并不是所有安装的程序的日志都会在/vaz/log下，只有rpm包安装的才会，源码装的在自己指定的目录中例如网站服务程序使用两个日志文件:

access_log :  #记录客户访问事件

error_log.    记录错误事件。

总结：

版权声明：本文内容由网络用户投稿，版权归原作者所有，本站不拥有其著作权，亦不承担相应法律责任。如果您发现本站中有涉嫌抄袭或描述失实的内容，请联系我们jiasou666@gmail.com 处理，核实后本网站将在24小时内删除侵权内容。