当前位置：首页 > news >正文

Linux：文件系统与日志分析

news 2025/9/17 5:32:06

一、block与inode

1.1、概述

文件是存储在硬盘上的，硬盘的最小存储单位叫做“扇区”(sector)，每个扇区存储512字节。
一般连续八个扇区组成一个"块”(block)，一个块是4K大小，是文件存取的最小单位。

文件数据包括实际数据与元信息(类似文件属性)。文件数据存储在“块"中，存储文件元信息(比如文件的创建者、创建日期、文件大小、文件权限等)的区域就叫做inode。因此，一个文件必须占用一个inode，并且至少占用一个block。

inode不包含文件名。文件名是存放在目录当中的。Linux 系统中一切皆文件，因此目录也是一种文件。

对于系统来说，文件名只是inode号码便于识别的别称，文件名和inode号码是一一对应关系，每个inode号码对应一个文件名。

1.2、inode的运用

##查看文件名对应的inode 号码有两种方式
ls -i 文件名
stat 文件名

由于inode号码与文件名分离，导致Linux系统具备以下几种特有的现象:
1.文件名包含特殊字符，可能无法正常删除。这时直接删除inode，能够起到删除文件的作用;
2.移动文件或重命名文件，只是改变文件名，不影响inode 号码;
3.打开一个文件以后，系统就以inode 号码来识别这个文件，不再考虑文件名。
4.文件数据被修改保存后，会生成一个新的inode 号码。

##使用find命令查找inode对应的文件并删除

find ./ -inum inode号 -exec rm -i {} \;
find ./ -inum inode号 -delete

二、硬链接与软连接中inode的区别

会有一个有趣的发现软链接的inode值与源文件不同，但是硬连接却相同

这是因为软链接是指向文件的，也就是上图中，它指向源文件名，然后通过源文件的inode值去读数据

而硬链接则不同，它是直接建立一个副本文件，用于源文件的相同inode值去读数据

这就有一个有意思的现象，当我们删除源文件inode值时，源文件和硬链接会直接被删除，而软链接文件会无法找到源文件

因为inode值被删除，所以系统无法识别文件内数据，就会自动删除数据。

三、恢复误删除的文件

3.1、EXT类型文件恢复

extundelete 是一一个开源的Linux 数据恢复工具，支持ext3、 ext4文件系统。 ( ext4只能在centos6版本恢复)

fdisk /dev/sdb
mkfs.ext3 /dev/sdb1
mkdir /test
mount /dev/sdb1/test
df -hT
#安装依赖包
yum -y install e2fsprogs-devel e2fsprogs-libs gcc gcc-c++
#编译安装extundelete
cd /test
tar jxvf extundelete-0.2.4.tar.bz2
cd extundelete-0.2.4/
./configure && make && make install
ln -s /usr/local/extundelete/bin/* /usr/bin/
#模拟删除并执行恢复操作
cd /test
echo a>a
echo a>b
echo a>c
echo a>d
ls
extundelete /dev/sdb1 --inode 2   #查看文件系统/dev/sdb1下存在哪些文件，i节点是从2开始的，2代表该文件系统最开始的目录。rm -rf a b
extundelete /dev/sdb1 --inode 2
cd ~
umount /test
extundelete /dev/sdb1 --restore-all #恢复/dev/sdb1 文件系统下的所有内容
#在当前目录下会出现一个RECOVERED_FILES/目录，里面保存了已经恢复的文件
ls RECOVERED FILES/

3.2、xfs类型文件备份和恢复

CentOs 7系统默认采用xfs类型的文件，xfs类型的文件可使用xfsdump 与xfsrestore 工具进行备份恢复。

xfsdump 的备份级别有两种: 0表示完全备份; 1-9表示增量备份。xfsdump的备份级别默认为0。

xfsdump的命令格式为:
xfsdump |-f 备份存放位置要备份的路径或设备文件

xfsdump命令常用的选项:
-f: 指定备份文件目录
-L: 指定标签session label
-M: 指定设备标签media labe........ 。
-s:备份单个文件，-s后面不能直接跟路径

xfsdump使用限制:
1.只能备份已挂载的文件系统
2.必须使用root的权限才能操作
3.只能备份XFS文件系统
4.备份后的数据只能让xfsrestore解析
5.不能备份两个具有相同UUID的文件系统(可用blkid命令查看)

#使用fdisk创建分区/dev/sdb1，格式化xfs文件系统
fdisk /dev/sdb mkfs.xfs /dev/sdb1                                    
mkdir /data
#挂载
mount /dev/sdb1 /data/
cd /data
cp /etc/passwd ./
mkdir test
touch test/a#使用xfsdump命令备份整个分区
rpm -qa | grep xfsdump
yum install -y xfsdump
xfsdump -f /opt/dump_sdb1 /dev/sdb1 -L dump_sdb1 -M sdb1
#模拟数据丢失并使用xfsrestore 命令恢复文件
cd /data/
rm -rf ./*
ls
xfsrestore -f /opt/dump_sdb1 /data/xfsdump  按照 inode 顺序备份一个     xfs文件系统     备份有两种:   0表示完全备份(默认);1-9.表示增量备份
第二次备份（增量备份)
xfsrestore -l 1 -f /opt/dump_sdb1_level_1 /dev/sdb1 -L dump_sdb1_level_1 -M sdb1

四、日志

内核及系统日志由系统服务rsyslog 统一管理，主配置文件为/etc/rsyslog.conf
Linux操作系统本身和大部分服务器程序的日志文件都默认放在目录/var/1og/下。

4.1、Linux主要包含的日志文件

#内核及公共消息日志:
/var/log/messages: 记录Linux内核消息及各种应用程序的公共日志信息，包括启动、IO错误、网络错误、程序故障等。
对于未使用独立日志文件的应用程序或服务，一般都可以从该日志文件中获得相关的事件记录信息。
#计划任务日志:
/var/1og/cron: 记录crond计划任务产生的事件信息。
#系统引导日志:
/var/log/dmesg: 记录Linux系统在引导过程中的各种事件信息。
#邮件系统日志:
/var/log/maillog: 记录进入或发出系统的电子邮件活动。

#用户登录日志:
/var/log/secure: 记录用户认证相关的安全事件信息。
/var/log/lastlog: 记录每个用户最近的登录事件。二进制格式
/var/1og/wtmp: 记录每个用户登录、注销及系统启动和停机事件。二进制格式
/var/run/btmp: 记录失败的、错误的登录尝试及验证事件。二进制格式

4.2、Linux系统的日志消息级别

Linux系统内核日志消息的优先级别(数字等级越小，优先级越高，消息越重要) :
0 EMERG(紧急):会导致主机系统不可用的情况。
1 ALERT(警告):必须马上采取措施解决的问题。
2 CRIT(严重):比较严重的情况。
3 ERR (错误) :运行出现错误。
4 WARNING(提醒):可能影响系统功能，需要提醒用户的重要事件。
5 NOTICE (注意) :不会影响正常功能，但是需要注意的事件。
6 INFO(信息):一般信息。
7 DEBUG(调试):程序或系统调试信息等。

###一般来说服务越重要给的等级反而不会太高，因为当它出错时就不会只是简单的紧急报错就过去，我们需要看到细致的报错信息，并且去修复错误。

4.3、Linux系统中用户日志的查询命令

users	命令只是简单地输出当前登录的用户名称，每个显示的用户名对应一个登录会话。如果一个用户有不止一个登录会话，那他的用户名将显示与其相同的次数。
who	命令用于报告当前登录到系统中的每个用户的信息。使用该命令，系统管理员可以查看当前系统存在哪些不合法用户，从而对其进行审计和处理。who 的默认输出包括用户名、终端类型、登录日期及远程主机。
w	命令用于显示当前系统中的每个用户及其所运行的进程信息。
last	命令用于查询成功登录到系统的用户记录，最近的登录情况将显示在最前面。通过last 命令可以及时掌握 Linux 主机的登录情况，若发现未经授权的用户登录过，则表示当前主机可能已被入侵。
lastb	命令用于查询登录失败的用户记录，如登录的用户名错误、密码不正确等情况都将记录在案。登录失败的情况属于安全事件，因为这表示可能有人在尝试猜解你的密码。除了使用 lastb 命令查看以外，也可以直接从安全日志文件/var/log/secure 中获得相关信息。

4.4、journalctl 工具

可以使用journalctl查看所有日志（内核日志和应用日志）

日志的配置文件/etc/systemd/journald.conf

journalctl -b //查看本次启动的日志

journalctl -k //查看内核日志
journalctl -xe 经常用来查看最近报错的日志
-e：从结尾开始看
-x：提供问题相关的网址

扩展：日志切割（logrorate）

logrotate 程序是一个日志文件管理工具。用来把旧的日志文件删除，并创建新的日志文件，称为日志转储或滚动。可以根据日志文件的大小，也可以根据其天数来转储，这个过程一般通过 cron 程序来执行。

logrotate (轮转，日志切割)
1.如果没有日志轮转,日文件会越来越大
2.将丢弃系统中最旧的日志文件,以节省空间
3.logrotate本身不是系统守护进程，它是通过计划任务crond每天执行计划任务

案列-1： nginx

[root@wangming ~]# rpm -q logrotate
logrotate-3.8.6-15.el7.x86_64
[root@wangming ~]# yum install -y logrotate
[root@wangming ~]#vim /etc/logrotate.conf # see "man logrotate" for details
# rotate log files weekly
weekly 
#一周生成一个新的日志文件# keep 4 weeks worth of backlogs
rotate 4
#只保留最近的4个文件# use date as a suffix of the rotated file
dateext
# 添加一个日期后缀# RPM packages drop log rotation information into this directory
include /etc/logrotate.d
#RPM包将日志旋转信息放入此目录[root@wangming ~]# vim /etc/logrotate.d/nginx
/var/log/nginx/*.log {daily         #一天转储一个rotate 5      #保留5个missingok     #日志文件不存在不报错compress      #压缩转储后的日志delaycompress #延迟压缩， 下次再压缩notifempty    #如果空文件不转储create 644 ngnix nginx   #指定权限和属主属组postrotate    #转储前需要执行的命令 if [ -f /app/nginx/logs/nginx.pid ]; thenkill -USR1 `cat /app/nginx/logs/nginx.pid`fiendscript      #结束位
}

案例-2：建立日志文件

针对日志文件建立转储的配置文件

[root@wangming ~]# dd if=/dev/zero of=/var/log/test1.log bs=2M count=1
记录了1+0 的读入
记录了1+0 的写出
2097152字节(2.1 MB)已复制，0.344125 秒，6.1 MB/秒
[root@wangming ~]# dd if=/dev/zero of=/var/log/test2.log bs=2M count=1
记录了1+0 的读入
记录了1+0 的写出
2097152字节(2.1 MB)已复制，0.00143096 秒，1.5 GB/秒[root@wangming ~]# vim /etc/logrotate.d/test1
/var/log/test1.log {dailyrotate 5compressdelaycompressmissingoksize 1Mnotifemptycreate 640 bin nobodypostrotateecho `date +%F_%T` >> /data/test1.logendscript
}

针对test2建立转储日志

[root@wangming ~]# vim /etc/logrotate.d/test2
/var/log/test2.log {dailyrotate 5compressdelaycompressmissingoksize 1Mnotifemptycreate 640 root  rootpostrotateecho `date +%F_%T` >> /data/test1.logendscript
}

手动触发日志转储

[root@wangming ~]# cd /var/log
[root@wangming log]# ll test*
-rw-r--r-- 1 root root 2097152 7月   2 16:42 test1.log
-rw-r--r-- 1 root root 2097152 7月   2 16:42 test2.log
[root@wangming log]# logrotate /etc/logrotate.d/test1
[root@wangming log]# ll test*
-rw-r----- 1 bin  nobody       0 7月   2 16:47 test1.log
-rw-r--r-- 1 root root   2097152 7月   2 16:42 test1.log.1
-rw-r--r-- 1 root root   2097152 7月   2 16:42 test2.log