liunx文件系统，日志分析

1.inode与block

1.1 inode与block概述

• 文件数据包括元信息与实际数据
  • 文件存储在硬盘上,硬盘最小存储单位是“扇区”,每个
• 扇区存储512字节
  • block(块)
    • 连续的八个扇区组成一个 block （8x512） 元信息--------------inode
    • 是文件存取的最小单位
  • **inode(索引节点) ** 数据----------------block
    • 中文译名为“索引节点”,也叫i节点 一个文件必须占用一个inode,但至少占用一block
    • 用于存储文件元信息

1.2 inode的内容

• inode包含文件的元信息

  • 文件的字节数
  • 文件拥有者的User ID 不包含文件名
  • 文件的Group ID
  • 文件的读、写、执行权限
  • 文件的时间戳

• 用stat命令可以查看某个文件的inode信息

  • 示例:stat aa.txt

• Linux系统文件三个主要的时间属性
  • atime(access time)

最后一次访问文件或目录的时间

• ctime(change time)

最后一次改变文件或目录(属性)的时间

• mtime(modify time)

最后一次修改文件或目录(内容)的时间

输入内容后时间会变化成最近一次操作的时间

用查看会让atime变化

• 目录文件的结构
  • 目录也是一种文件
  • 目录文件的结构
• 每个inode都有一个号码,操作系统用inode号码来识别不同的文件
• Linux系统内部不使用文件名,而使用inode号码来识别文件
• 对于用户,文件名只是inode号码便于识别的别称

用户通过文件名打开文件时,系统内部的过程
1.系统找到这个文件名对应的inode号码
2.通过inode号码,获取inode信息
3.根据inode信息,找到文件数据所在的block,读出数据

查看inode号码的方法
ls-i命令:查看文件名对应的inode号码
Is -i aa.txt

stat命令:查看文件inode信息中的inode号码
stat aa.txt

1.3 文件存储

硬盘分区后的结构

访问文件的简单流程

1.4 inode的大小

• inode也会消耗硬盘空间
  • 每个inode的大小
  • 一般是128字节或256字节
• 格式化文件系统时确定inode的总数
• 使用df-i命令可以查看每个硬盘分区的inode总数和已经使用的数量

1.5 inode的特殊作用

• 由于inode号码与文件名分离，导致Linux系统具备以下几种特有的现象
  • 文件名包含特殊字符，可能无法正常删除。这时直接删除inode，能够起到删除文件的作用;
  • 移动文件或重命名文件，只是改变文件名，不影响inode 号码
  • 打开一个文件以后，系统就以inode 号码来识别这个文件，不再考虑文件名
  • 文件数据被修改保存后，会生成一个新的inode 号码

删除的两种格式
find ./ -inum inode号 -exec rm -i {} \ ;
find ./ -inum inode号 -delete

添加硬盘分30M，挂载在test1中，使用命令创建多个文件实现故障现象，查看空余空间，尝试在/opt/test下创建目录无法创建

2.硬链接与软链接

2.1链接文件分类

• 为文件或目录建立链接文件
• 链接文件分类

特性	软链接（符号链接）	硬链接
删除原始文件后	链接失效，变成一个指向不存在的文件的符号链接	仍旧可用，因为链接指向的是文件的数据块，而非文件名
使用范围	适用于文件或目录	只可用于文件
保存位置	可以与原始文件位于不同的文件系统中	必须与原始文件在同一个文件系统内（例如同一个Linux分区）
文件大小	链接本身的大小是符号链接的大小，通常很小	硬链接不增加文件大小，因为它们共享相同的数据块
创建方式	ln -s [源文件或目录] [链接名]	ln [源文件] [链接名]
文件属性	软链接有自己的权限和所有者，与原始文件无关	硬链接没有自己的权限和所有者，与原始文件相同
文件计数	查看链接数时，软链接不计入原始文件的链接数	每个硬链接都会增加原始文件的链接数（ls -l 中的 ln 值）
跨文件系统	可以创建跨文件系统的软链接	不能创建跨文件系统的硬链接，因为不同文件系统的数据块结构不同

• 硬链接
• In 源文件 目标位置

• 软链接
• In -s 源文件或目录 … 链接文件或目标位置

3.恢复误删除的文件

3.1 案例:恢复EXT类型的文件

extundelete 是一一个开源的Linux 数据恢复工具，支持ext3、 ext4文件系统。 ( ext4只能在centos6版本恢复)

• 编译安装extundelete软件包
  • 安装依赖包
    • +e2fsprogs-libs-1.41.12-18.el6.x86_64.rpm
    • +e2fsprogs-devel-1.41.12-18.el6.x86_64.rpm
  • 配置、编译及安装
    • extundelete-0.2.4.tar.bz2
• 模拟删除并执行恢复操作

模拟过程
1.使用fdisk创建分区/dev/sdc1， 格式化ext3文件系统
fdisk /dev/sdc
partprobe /dev/sdc
mkfs.ext3 /dev/sdc1
mkdir /test
mount /dev/sdc1/test
df -hT
2.安装依赖包
yum -y install e2fsprogs-devel e2fsprogs-libs gcc gcc-c++
3.编译安装extundelete
cd /test
wget http://nchc.dl.sourceforge.net/project/extundelete/extundelete/0.2.4/extundelete-0.2.4.tar.bz2
tar jxvf extundelete-0.2.4.tar.bz2
cd extundelete-0.2.4/
./configure --prefix=/usr/1ocal/extundelete && make && make install 或
./configure && make && make install
ln -s /usr/local/extundelete/bin/* /usr/bin/
4.模拟删除并执行恢复操作
cd /test
echo a>a
echo a>b
echo a>c
echo a>d
ls
extundelete /dev/sdc1 --inode 2 #查看文件系统/dev/sdc1下存在哪些文件，i节点是从2开始的，2代表该文件系统最开始的目录
rm -rf a b
extundelete /dev/sdc1 --inode 2
cd ~
umount /test
extundelete /dev/sdc1 --restore-all #恢复/dev/sdc1 文件系统下的所有内容
在当前目录下会出现一个RECOVERED_FILES/目录，里面保存了已经恢复的文件
ls RECOVERED FILES/

添加一块硬盘并分512M


格式化文件系统

创建一个目录把/dev/sdb1挂载在上面，yum下载e2fsprogs-devel e2fsproges-libs

把extundelete-0.2.1.tar.bz2上传到linux并解压

将extundelete-0.2.1.tar.bz2移动到新建目录下./configure安装，make制作

在hj目录下创建四个文件并输入内容，使用extundelete保存inode号2以后的

删除两个测试文件

使用extundelete查看


解除挂载/de/sdb1并查看

使用extundelete恢复数据

切换到extundelete保存的目录下查看删除的文件

接着将文件拷贝到源目录下

3.2 案例:恢复XFS类型的文件

• xfsdump命令格式

xfsdump-f +备份存放位置 +要备份的路径或设备文件

• xfsdump备份级别(默认为0)
  • 0:完全备份
  • 1-9:增量备份
• **xfsdump常用选项 **
  • • f 指定备份文件目录
  • -L 指定标签session label
  • -M指定设备标签media labe
  • -S 备份单个文件，-s后面不能直接跟路径
• xfsrestore命令格式

xfsrestore -f 恢复文件的位置 存放恢复后文件的位置

• 模拟删除并执行恢复操作

模拟过程
1.使用fdisk创建分区/dev/sdb1，格式化xfs文件系统
fdisk /dev/sdb 或 partprobe /dev/sdb
mkfs.xfs /dev/sdb1 或者 mkfs.xfs [-f] /dev/sdb1
mkdir /data
mount /dev/sdb1 /data/
cd /data
cp /etc/passwd ./
mkdir test
touch test/a
2.使用xfsdump命令备份整个分区
rpm -qa | grep xfsdump
yum install -y xfsdump
xfsdump -f /opt/dump_sdb1 /dev/sdb1 [-L dump_sdb1 -M sdb1]
xfsdump -f /opt/dump_sdb /dev/sdb1 -L dump_sdb -M sdb1
3.模拟数据丢失并使用xfsrestore 命令恢复文件
cd /data/
rm -rf ./*
ls
xfsrestore -f /opt/dump_sdb1 /data/

备份有两种·0·表示完全备份(默认)，1-9·表示增量备份呢
xfsdump.按照·inode·顺序备份·一个·xfs·文件系统
第二次备份也就是增量备份
xfsdump .- 1.1 .- f/opt/dump_sdb1_level_1/dev/sdb2 .- L.dump_sdb2_level 1-M.sdb2

使用fdisk创建分区/dev/sdb2，格式化xfs文件系统，挂载在创建的hk目录


创建文件在hk目录下

用rpm查看xfsdump是否安装

使用xfsdump命令备份hk目录，并保存在opt下

保存的文件位置 磁盘位置 磁盘
备份成功提示

备份文件位置

删除文件

查看hk目录确认已删除

恢复备份

成功提示

查看恢复的文件

3.2.1 xfsdump使用限制

• 只能备份已挂载的文件系统
• 必须使用root的权限才能操作
• 只能备份XFS文件系统
• 备份后的数据只能让xfsrestore解析
• 不能备份两个具有相同UUID的文件系统

4.分析日志文件

4.1日志文件

4.1.1日志的功能

• 用于记录系统、程序运行中发生的各种事件
• 通过阅读日志,有助于诊断和解决系统故障

4.1.2日志文件的分类

• 内核及系统日志
  • 由系统服务rsyslog统一进行管理,日志格式基本相似
• 用户日志
  • 记录系统用户登录及退出系统的相关信息
• 程序日志
  • 由各种应用程序独立管理的日志文件,记录格式不统一

4.1.3日志保存位置

• 默认位于:/var/lcg目录下

4.1.4主要日志文件介绍
内核及公共消息日志 · /var/log/messages
记录Linux内核消息及各种应用程序的公共日志信息，包括启动、IO错误、网络错误、程序故障等，对于未使用独立日志文件的应用程序或服务，一般都可以从该日志文件中获得相关的事件记录信息

计划任务日志 · /var/log/cron
记录crond计划任务产生的事件信息

系统引导日志 · /var/log/dmesg
记录Linux系统在引导过程中的各种事件信息

邮件系统日志 · /var/log/maillog
记录进入或发出系统的电子邮件活动

用户登录日志 · /var/log/lastlog
记录每个用户最近的登录事件，是二进制格式
可以用lastlog查看

                                     · /var/log/secure记录用户认证相关的安全事件信息       · /var/log/wtmp记录每个用户登录、注销及系统启动和停机事件，是二进制格式可以用lastlog查看,存放在./var/log/secure· /var/run/btmp记录失败的、错误的登录尝试及验证事件，是二进制格式可以用lastlog查看,存放在./var/log/secure

4.2 内核及系统日志

4.2.1 由系统服务 rsyslog 统一管理

• 软件包:rsyslog-7.4.7-16.el7.x86 64
• 主要程序:/sbin/rsyslogd(服务)
• 配置文件:/etc/rsyslog.conf

4.2.1.1rsyslog服务常用命令
ps -ef | grep rsyslogd 查看服务是否开启
grep -v “^$” /etc/rsyslog.conf 过滤掉空行

4.2.1.2自定义日志
用编辑器配置vim /etc/rsyslog.conf

加入一行内容*.info /var/log/info.log

日志中符号
mail.* 代表比*等级高的都记录，代表任何，也就是说任何日志都记录
.none 代表不记录日志
日志存放位置为：所有日志高于这个等级就会对所有在线用户广播
.=代表只记录=后面级别的日志
.!代表除了！后面级别的日志不记录其他的都记录
存放路径之前有“-”代表先放入缓存足够大之后再存放在路径

systemctl restart rsyslog 重启服务之后/var/log下面就生成info.log

用vim编辑器查看

4.2.2日志消息的级别
级号 消息 级别 说明
0 EMERG 紧急 会导致主机系统不可用的情况
1 ALERT 警告 必须马上采取措施解决的问题
2 CRIT 严重 比较严重的情况
3 ERR 错误 运行出现错误
4 WARNING 错误 可能会影响系统功能的事件
5 NOTICE 注意 不会影响系统但值得注意
6 INFO 信息 一般信息
7 DEBUG 调试 程序或系统调试信息等

4.2.3日志记录的一般格式

4.3用户日志分析

4.3.1保存了用户登录、退出系统等相关信息

• /var/log/lastlog:最近的用户登录事件
• /var/log/wtmp:用户登录、注销及系统开、关机事件
• /var/run/utmp:当前登录的每个用户的详细信息
• /var/log/secure:与用户验证相关的安全性事件

4.3.2分析工具

• users、who、w、last、lastb（查询登录失败的）

4.4 程序日志分析

4.4.1由相应的应用程序独立进行管理

• Web服务:/var/log/httpd/
  • access_log error_log

设置httpd的登录和报错日志

serverroot"/etc/httpd"

重启httpd服务查看实时的倒数access_log

查询结果

• 代理服务:/var/log/squid/
  • access.log cache.log
• FTP服务:/var/log/xferlog

编译安装不在上面的位置

4.4.2分析工具

• 文本查看、grep过滤检索、Webmin管理套件中查看
• awk、sed等文本过滤、格式化编辑工具
• Webalizer、Awstats等专用日志分析工具

journalctl工具
是CentOS-7独有的工具
Systemd 统一管理所有 Unit 的启动日志。好处就是 ，可以只用journalctl一个命令，查看所有日志（内核日志和 应用日志）
日志的配置文件/etc/systemd/journald.conf
ps -ef | grep journald
journalctl -b 查看本次启动的日志
journalctl -k 查看内核日志
journalctl | wc -l 查看系统总共的日志
journalctl -xe 经常用来查看最近报错的日志
-e：从结尾开始看
-x：提供问题相关的网址
journalctl -u httpd.service 指定服务服务报错
journalctl -p err 指定日志等级查看级别

4.4.3日志管理策略

• 及时作好备份和归档
• 延长日志保存期限
• 控制日志访问权限
  • 日志中可能会包含各类敏感信息,如账户、口令等
• 集中管理日志
  • 将服务器的日志文件发到统一的日志文件服务器
  • 便于日志信息的统一收集、整理和分析
  • 杜绝日志信息的意外丢失、恶意篡改或删除

将日志文件全部放在日志文件服务器上(集中管理)
1.rpm -ql rsyslog 查看模块有么有
2.服务端配置
[root@localhost ~]#vim /etc/rsyslog.conf

3.编辑文件取消第19 20 行注释允许服务器使用TCP 514端口接收日志 ；开启日志的远程传输功能在192.168.10.19
19 $ModLoad imtcp
20 $InputTCPServerRun 514

4.重启rsyslog日志服务
[root@localhost ~]# systemctl restart rsyslog

5.查看514端口是否开启
[root@localhost ~]#netstat -ntap |grep 514

6.客户端配置
[root@www1 ~]# vim /etc/rsyslog.conf

7.修改日志服务配置文件
90 . @@192.168.72.20:514
行数 所有 TCP 服务端IP 端口

8.把所有日志采用TCP协议发送到192.168.72.20的514端口上 ； #两个@ 代表使用 tcp 一个代表udp
[root@localhost ~]# systemctl restart rsyslog

9.客户端创建用户

10.去服务端查看