Linux:文件系统与日志分析

news2024/11/24 8:51:14

一、block与inode

1.1、概述

文件是存储在硬盘上的,硬盘的最小存储单位叫做“扇区”(sector),每个扇区存储512字节。
一般连续八个扇区组成一个"块”(block),一个块是4K大小,是文件存取的最小单位。

文件数据包括实际数据与元信息(类似文件属性)。文件数据存储在“块"中,存储文件元信息(比如文件的创建者、创建日期、文件大小、文件权限等)的区域就叫做inode。 因此,一个文件必须占用一个inode,并且至少占用一个block。

inode不包含文件名。文件名是存放在目录当中的。Linux 系统中一切皆文件,因此目录也是一种文件。

对于系统来说,文件名只是inode号码便于识别的别称,文件名和inode号码是一一对应关系,每个inode号码对应一个文件名。

1.2、inode的运用

##查看文件名对应的inode 号码有两种方式
ls -i 文件名
stat 文件名

由于inode号码与文件名分离,导致Linux系统具备以下几种特有的现象:
1.文件名包含特殊字符,可能无法正常删除。这时直接删除inode,能够起到删除文件的作用;
2.移动文件或重命名文件,只是改变文件名,不影响inode 号码;
3.打开一个文件以后,系统就以inode 号码来识别这个文件,不再考虑文件名。
4.文件数据被修改保存后,会生成一个新的inode 号码。

##使用find命令查找inode对应的文件并删除

find ./ -inum inode号 -exec rm -i {} \;
find ./ -inum inode号 -delete

二、硬链接与软连接中inode的区别

会有一个有趣的发现软链接的inode值与源文件不同,但是硬连接却相同

这是因为软链接是指向文件的,也就是上图中,它指向源文件名,然后通过源文件的inode值去读数据

而硬链接则不同,它是直接建立一个副本文件,用于源文件的相同inode值去读数据

这就有一个有意思的现象,当我们删除源文件inode值时,源文件和硬链接会直接被删除,而软链接文件会无法找到源文件

因为inode值被删除,所以系统无法识别文件内数据,就会自动删除数据。

三、恢复误删除的文件

3.1、EXT类型文件恢复

extundelete 是一一个开源的Linux 数据恢复工具,支持ext3、 ext4文件系统。 ( ext4只能在centos6版本恢复)

fdisk /dev/sdb
mkfs.ext3 /dev/sdb1
mkdir /test
mount /dev/sdb1/test
df -hT
#安装依赖包
yum -y install e2fsprogs-devel e2fsprogs-libs gcc gcc-c++
#编译安装extundelete
cd /test
tar jxvf extundelete-0.2.4.tar.bz2
cd extundelete-0.2.4/
./configure && make && make install
ln -s /usr/local/extundelete/bin/* /usr/bin/
#模拟删除并执行恢复操作
cd /test
echo a>a
echo a>b
echo a>c
echo a>d
ls
extundelete /dev/sdb1 --inode 2   #查看文件系统/dev/sdb1下存在哪些文件,i节点是从2开始的,2代表该文件系统最开始的目录。


rm -rf a b
extundelete /dev/sdb1 --inode 2
cd ~
umount /test
extundelete /dev/sdb1 --restore-all #恢复/dev/sdb1 文件系统下的所有内容
#在当前目录下会出现一个RECOVERED_FILES/目录,里面保存了已经恢复的文件
ls RECOVERED FILES/

3.2、xfs类型文件备份和恢复

CentOs 7系统默认采用xfs类型的文件,xfs类型的文件可使用xfsdump 与xfsrestore 工具进行备份恢复。

xfsdump 的备份级别有两种: 0表示完全备份; 1-9表示增量备份。xfsdump的备份级别默认为0。

xfsdump的命令格式为:
xfsdump |-f 备份存放位置要备份的路径或设备文件

xfsdump命令常用的选项:
-f: 指定备份文件目录
-L: 指定标签session label
-M: 指定设备标签media labe........ 。
-s:备份单个文件,-s后面不能直接跟路径

xfsdump使用限制:
1.只能备份已挂载的文件系统
2.必须使用root的权限才能操作
3.只能备份XFS文件系统
4.备份后的数据只能让xfsrestore解析
5.不能备份两个具有相同UUID的文件系统(可用blkid命令查看)

#使用fdisk创建分区/dev/sdb1,格式化xfs文件系统
fdisk /dev/sdb 

mkfs.xfs /dev/sdb1                                    
mkdir /data
#挂载
mount /dev/sdb1 /data/
cd /data
cp /etc/passwd ./
mkdir test
touch test/a


#使用xfsdump命令备份整个分区
rpm -qa | grep xfsdump
yum install -y xfsdump
xfsdump -f /opt/dump_sdb1 /dev/sdb1 -L dump_sdb1 -M sdb1
#模拟数据丢失并使用xfsrestore 命令恢复文件
cd /data/
rm -rf ./*
ls
xfsrestore -f /opt/dump_sdb1 /data/

xfsdump  按照 inode 顺序备份一个     xfs文件系统     备份有两种:   0表示完全备份(默认);1-9.表示增量备份
第二次备份(增量备份)
xfsrestore -l 1 -f /opt/dump_sdb1_level_1 /dev/sdb1 -L dump_sdb1_level_1 -M sdb1

四、日志

内核及系统日志由系统服务rsyslog 统一管理,主配置文件为/etc/rsyslog.conf
Linux操作系统本身和大部分服务器程序的日志文件都默认放在目录/var/1og/下。

4.1、Linux主要包含的日志文件

#内核及公共消息日志:
/var/log/messages: 记录Linux内核消息及各种应用程序的公共日志信息,包括启动、IO错误、网络错误、程序故障等。
对于未使用独立日志文件的应用程序或服务,一般都可以从该日志文件中获得相关的事件记录信息。
#计划任务日志:
/var/1og/cron: 记录crond计划任务产生的事件信息。
#系统引导日志:
/var/log/dmesg: 记录Linux系统在引导过程中的各种事件信息。
#邮件系统日志:
/var/log/maillog: 记录进入或发出系统的电子邮件活动。

#用户登录日志:
/var/log/secure: 记录用户认证相关的安全事件信息。
/var/log/lastlog: 记录每个用户最近的登录事件。二进制格式
/var/1og/wtmp: 记录每个用户登录、注销及系统启动和停机事件。二进制格式
/var/run/btmp: 记录失败的、错误的登录尝试及验证事件。二进制格式

4.2、Linux系统的日志消息级别

Linux系统内核日志消息的优先级别(数字等级越小,优先级越高,消息越重要) :
0  EMERG(紧急):会导致主机系统不可用的情况。
1  ALERT(警告):必须马上采取措施解决的问题。
2  CRIT(严重):比较严重的情况。
3  ERR (错误) :运行出现错误。
4  WARNING(提醒):可能影响系统功能,需要提醒用户的重要事件。
5  NOTICE (注意) :不会影响正常功能,但是需要注意的事件。
6  INFO(信息):一般信息。
7  DEBUG(调试):程序或系统调试信息等。

###一般来说服务越重要给的等级反而不会太高,因为当它出错时就不会只是简单的紧急报错就过去,我们需要看到细致的报错信息,并且去修复错误。

4.3、Linux系统中用户日志的查询命令

users命令只是简单地输出当前登录的用户名称,每个显示的用户名对应一个登录会话。如果一个用户有不止一个登录会话,那他的用户名将显示与其相同的次数。
who命令用于报告当前登录到系统中的每个用户的信息。使用该命令,系统管理员可以查看当前系统存在哪些不合法用户,从而对其进行审计和处理。who 的默认输出包括用户名、终端类型、登录日期及远程主机。
w命令用于显示当前系统中的每个用户及其所运行的进程信息。
last命令用于查询成功登录到系统的用户记录,最近的登录情况将显示在最前面。通过last 命令可以及时掌握 Linux 主机的登录情况,若发现未经授权的用户登录过,则表示当前主机可能已被入侵。
lastb命令用于查询登录失败的用户记录,如登录的用户名错误、密码不正确等情况都将记录在案。登录失败的情况属于安全事件,因为这表示可能有人在尝试猜解你的密码。除了使用 lastb 命令查看以外,也可以直接从安全日志文件/var/log/secure 中获得相关信息。

4.4、journalctl 工具

可以使用journalctl查看所有日志(内核日志和应用日志)

日志的配置文件/etc/systemd/journald.conf

journalctl -b    //查看本次启动的日志

journalctl -k     //查看内核日志
journalctl -xe  经常用来查看最近报错的日志
-e:从结尾开始看
-x:提供问题相关的网址

扩展:日志切割(logrorate)

logrotate 程序是一个日志文件管理工具。用来把旧的日志文件删除,并创建新的日志文件,称为日志转储或滚动。可以根据日志文件的大小,也可以根据其天数来转储,这个过程一般通过 cron 程序来执行。

logrotate (轮转,日志切割)
1.如果没有日志轮转,日文件会越来越大
2.将丢弃系统中最旧的日志文件,以节省空间
3.logrotate本身不是系统守护进程,它是通过计划任务crond每天执行计划任务

案列-1: nginx

[root@wangming ~]# rpm -q logrotate
logrotate-3.8.6-15.el7.x86_64
[root@wangming ~]# yum install -y logrotate
[root@wangming ~]#vim /etc/logrotate.conf 

# see "man logrotate" for details
# rotate log files weekly
weekly 
#一周生成一个新的日志文件

# keep 4 weeks worth of backlogs
rotate 4
#只保留最近的4个文件


# use date as a suffix of the rotated file
dateext
# 添加一个日期后缀


# RPM packages drop log rotation information into this directory
include /etc/logrotate.d
#RPM包将日志旋转信息放入此目录


[root@wangming ~]# vim /etc/logrotate.d/nginx
/var/log/nginx/*.log {
   daily         #一天转储一个
   rotate 5      #保留5个
   missingok     #日志文件不存在不报错
   compress      #压缩转储后的日志
   delaycompress #延迟压缩, 下次再压缩
   notifempty    #如果空文件不转储
   create 644 ngnix nginx   #指定权限和属主属组
   postrotate    #转储前需要执行的命令 
      if [ -f /app/nginx/logs/nginx.pid ]; then
          kill -USR1 `cat /app/nginx/logs/nginx.pid`
      fi
   endscript      #结束位
}


 案例-2:  建立日志文件

针对日志文件建立转储的配置文件

[root@wangming ~]# dd if=/dev/zero of=/var/log/test1.log bs=2M count=1
记录了1+0 的读入
记录了1+0 的写出
2097152字节(2.1 MB)已复制,0.344125 秒,6.1 MB/秒
[root@wangming ~]# dd if=/dev/zero of=/var/log/test2.log bs=2M count=1
记录了1+0 的读入
记录了1+0 的写出
2097152字节(2.1 MB)已复制,0.00143096 秒,1.5 GB/秒


[root@wangming ~]# vim /etc/logrotate.d/test1
/var/log/test1.log {
        daily
        rotate 5
        compress
        delaycompress
        missingok
        size 1M
        notifempty
        create 640 bin nobody
        postrotate
        echo `date +%F_%T` >> /data/test1.log
        endscript
}

针对test2建立转储日志

[root@wangming ~]# vim /etc/logrotate.d/test2
/var/log/test2.log {
        daily
        rotate 5
        compress
        delaycompress
        missingok
        size 1M
        notifempty
        create 640 root  root
        postrotate
        echo `date +%F_%T` >> /data/test1.log
        endscript
}

手动触发 日志转储 

[root@wangming ~]# cd /var/log
[root@wangming log]# ll test*
-rw-r--r-- 1 root root 2097152 7月   2 16:42 test1.log
-rw-r--r-- 1 root root 2097152 7月   2 16:42 test2.log
[root@wangming log]# logrotate /etc/logrotate.d/test1
[root@wangming log]# ll test*
-rw-r----- 1 bin  nobody       0 7月   2 16:47 test1.log
-rw-r--r-- 1 root root   2097152 7月   2 16:42 test1.log.1
-rw-r--r-- 1 root root   2097152 7月   2 16:42 test2.log

本文来自互联网用户投稿,该文观点仅代表作者本人,不代表本站立场。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如若转载,请注明出处:http://www.coloradmin.cn/o/1888653.html

如若内容造成侵权/违法违规/事实不符,请联系多彩编程网进行投诉反馈,一经查实,立即删除!

相关文章

如何在 Odoo 16 中通过函数创建和管理自定义字段

Odoo 几乎为每种功能提供了每种类型的字段。通常,我们为字段定义一个类定义并将其包含在模型中。但是,在某些业务实例中,我们可能需要通过添加新字段从用户界面本身修改模型。在本博客中,让我们研究如何定义自定义字段在视图中的位…

智能数字人系统的主要功能

智能数字人系统或虚拟数字人系统,是指利用人工智能技术构建的虚拟人物形象,能够与人进行自然交互的系统。数字人系统的主要功能包括以下几个方面。北京木奇移动技术有限公司,专业的软件外包开发公司,欢迎交流合作。 1. 语言理解与…

从游戏到营销:抽卡机小程序的多维度应用探索

在数字化时代,小程序作为一种轻量级、即用即走的应用形态,正逐步渗透到人们生活的方方面面。其中,抽卡机小程序以其独特的趣味性和互动性,不仅在游戏领域大放异彩,更在营销领域展现出广阔的应用前景。本文将从游戏起源…

RocketMQ实战:一键在docker中搭建rocketmq和doshboard环境

在本篇博客中,我们将详细介绍如何在 Docker 环境中一键部署 RocketMQ 和其 Dashboard。这个过程基于一个预配置的 Docker Compose 文件,使得部署变得简单高效。 项目介绍 该项目提供了一套 Docker Compose 配置,用于快速部署 RocketMQ 及其…

【面向就业的Linux基础】从入门到熟练,探索Linux的秘密(七)-shell语法(5)

shell语法的一些知识和练习,可以当作笔记收藏一下!! 文章目录 前言 一、shell 二、shell语法 1.文件重定向 2.引入外部脚本 3.作业 总结 前言 shell语法的一些知识和练习,可以当作笔记收藏一下!! 提示&…

01:Linux的基本命令

Linux的基本命令 1、常识1.1、Linux的隐藏文件1.2、绝对路径与相对路径 2、基本命令2.1、ls2.2、cd2.3、pwd / mkdir / mv / touch / cp / rm / cat / rmdir2.4、ln2.5、man2.6、apt-get 本教程是使用的是Ubuntu14.04版本。 1、常识 1.1、Linux的隐藏文件 在Linux中&#xf…

全网首发-RocketMQ 4.0实现完美灰度发布方案

一、背景 为了控制发版带来的影响面等问题,我们公司基建团队自研灰度发布流程,目前几乎所有服务发版都会严格先走灰度发布验证再上线。当前已支持http、gRPC等接口调用方式进行灰度流量转发,使用消息队列进行业务实现的场景的暂不支持。 ps:…

优思学院|亚马逊如何因六西格玛而取得成功?

前言 上星期三,亚马逊(Amazon)市值首次超过2万亿美元,成为世界第五大巿值最高的企业,它是全球最大的互联网线上零售商之一。然而,或者你并不知道,亚马逊也是众多因六西格玛而取得成功的公司之一…

企业自身数据保护技巧你知道多少?用堡垒机可以实现吗?

随着企业数字化转型,越来越多的企业开始重视企业自身数据的安全,开始寻找保障数据安全的方法技巧。不少人在问,企业自身数据保护技巧有哪些?你知道吗?用堡垒机可以实现吗?今天我们来简单聊聊。 企业自身数据…

【udp报文】udp报文未自动分片,报文过长被拦截问题定位

问题现象 某局点出现一个奇怪的现象,客户端给服务端发送消息,服务端仅能收到小部分消息,大部分消息从客户端发出后,服务端都未收到。 问题定位 初步分析 根据现象初步分析,有可能是网络原因导致消息到服务端不可达&a…

湿法工艺特氟龙刻蚀清洗架 耐强酸四氟晶圆盒应用半导体行业

四氟花篮又叫四氟清洗花蓝 、 特氟龙卡匣、 特氟龙晶舟盒、特氟龙晶圆盒、特氟龙晶片清洗架、特氟龙晶圆架、特氟龙刻蚀花篮、特氟龙刻蚀清洗架、PTFE显影花篮 。四氟花篮在半导体、多晶硅、新能源、新材料、太阳能等行业广泛应用 。具备耐腐蚀性、耐高温性、不粘性、绝缘性、防…

SAR目标检测

Multi-Stage with Filter Augmentation 多阶段滤波器增强(MSFA) 对SAR合成孔径雷达目标检测性能的改善 MSFA ON SAR 传统方法: 预训练:传统方法开始于在通用数据集上预训练一个基础模型。 微调:这个预训练的模型会被微调以适应特定的SAR图像,试图缩小域间的差距 …

应急灯、车库灯毫米波雷达人体存在传感器模块,超低功耗uA级别,飞睿智能LED照明控制,抗干扰、远距离、参数可调

在智能化、自动化的浪潮中,我们的生活正在经历一场前所未有的创新。无论是智能家居、智能交通还是智能安防,科技的力量正在悄然改变着我们的生活。而在这场创新中,毫米波雷达人体存在传感器模块凭借其独特的优势,成为了智能设备中…

秋招——MySQL补充——MySQL是如何加行级锁

文章目录 引言正文什么SQL语句会加行级锁查询操作增加对应的行级锁事务的写法 update和delete修改操作也会增加行级锁 行级锁有哪些种类记录锁间隙锁Next-Key锁 MySQL是如何加行级锁?唯一索引等值查询查询记录是存在的查询记录是不存在的 唯一索引范围查找针对大于或…

一个暑假如何学习单片机

一个暑假是学习和掌握单片机基础知识的良好时机。以下是一个关于如何在暑假期间学习单片机的建议计划: 1. 了解基础知识 查阅资料:首先,了解单片机是什么,它的工作原理、常见型号和应用场景。学习编程语言:单片机通常…

【区块链+基础设施】蜀信链 | FISCO BCOS应用案例

蜀信链是在四川省经济和信息化厅指导下,在四川省区块链行业协会组织下,由全省区块链相关从业与应用机构 共同参与建设和运营的区域性区块链基础设施,通过多方协同,共同打造合作共赢的区块链产业生态。 蜀信链区块链服务生态秉承“…

移动网络捕获在数字化转型中的重要性

数字化转型重新定义了企业运营和与客户互动的方式。它为组织提供价值的方式带来了根本性的转变,使流程更易于访问、更高效、更具协作性和更安全。然而,跟上不断发展的数字环境可能是一项挑战,而未能接受数字化转型的企业则面临被淘汰的风险。…

农作物监测新利器:免费可视化工具让数据说话

从传统的“靠天吃饭”到如今的“智慧农业”,数据成为了驱动这一转变的关键力量。随着物联网、大数据、云计算等技术的深入应用,农业生产过程中的各类数据如雨后春笋般涌现。从土壤湿度、光照强度到作物生长周期、病虫害情况等,这些数据背后隐…

电路模型和电路定律

电路---为了某种需要由某些电工设备或元件按一定方式组合起来的电流的通路 实际电路的两个作用 1.电能的传输,分配和转换 2.传递和处理信号 电路中的几个基本概念 激励---电源或信号源的电压或电流,也称为输入 响应---由激励在电路各部分产生的电流…

基于ESP32 IDF的WebServer实现以及OTA固件升级实现记录(三)

经过前面两篇的前序铺垫,对webserver以及restful api架构有了大体了解后本篇描述下最终的ota实现的代码以及调试中遇到的诡异bug。 eps32的实际ota实现过程其实esp32官方都已经基本实现好了,我们要做到无非就是把要升级的固件搬运到对应ota flash分区里面…