CentOS 7 Linux基本命令（11）深刻理解Linux文件系統與日誌

深刻理解Linux文件系統與日誌

1、inode和block概述

文件數據包括元信息與實際數據

元信息：文件的屬性信息
實際數據：文件內容

文件存儲在硬盤上，硬盤最小存儲單位是「扇區」，每一個扇區存儲512字節

block（塊）

連續的8個扇區組成一個block（4k）
是文件存取的最小單位

inode（索引節點）

也叫i節點
用於存儲文件元信息

一、indoe的內容

inode包含文件的元信息

（1）文件的字節數
（2）文件擁有者的User ID
（3）文件的Group ID
（4）文件的讀、寫、執行權限
（5）文件的執行戳
（6）。。。。。

用stat命令能夠查看某個文件的inode信息

命令格式stat + 文件名
判斷文件類型 file + 文件名

Linux系統文件三個主要的時間屬性

ctime（change time）
最後一次改變文件或目錄（屬性）的時間
atime（access time）
最後一次訪問文件或目錄的時間
mtime（modify time）
最後一次修改文件或目錄（內容）的時間

目錄文件的結構

目錄也是一種文件
目錄文件結構

每一行稱爲一個目錄項

每一個inode都有一個號碼，操做系統用inode號碼來識別不一樣的文件
Linux系統內部不使用文件名，而使用inode號碼來識別文件
對於用戶來講，文件名只是inode號碼便於識別的別稱

inode的號碼

用戶經過文件名打開文件時，系統內部的過程

一、系統找到這個文件名對應的indoe號碼
二、經過inode號碼，獲取inode信息
三、根據inode信息，找到文件數據所在的block ，讀出數據

查看inode號碼的方法

ls -i命令：查看文件名對應的inode號碼
ls -i aa.txt
stat命令：查看文件inode信息中的inode號碼
stat aa.txt

硬盤分區的結構：

訪問文件的流程圖：

inode的大小

inode 也會消耗硬盤空間，每一個inode的大小，通常是128字節或者256字節。

格式化文件系統時確認inode的總數

使用df -i命令能夠查看每一個硬盤分區的inode總數和已經使用的數量

inode的特殊做用

因爲inode號碼與文件名分離，致使一些Unix/Linux系統具備如下的現象

（1）當文件名包含特殊字符，可能沒法正常刪除文件，直接刪除inode，也能夠刪除文件
（2）移動或重命名文件時，之改變文件名，不影響inode號碼
（3）打開一個文件後，系統經過inode號碼來識別該文件，再也不考慮文件名。

當文件包含特殊字符時能夠用節點號刪除

命令格式爲：find ./* -inum 節點號 -delete

2、恢復XFS 類型的文件

xfs文件恢復步驟
添加一塊磁盤，分區，而後格式化掛載，而後在裏邊建立一些文件

使用：xfsdump -f /opt/xfs_dump /dev/sdb1命令作備份


刪除/data/xiade文件使用xfsrestore -f /opt/xfs_dump /data/命令恢復刪除的文件

xfsdump使用限制

（1）只能備份已掛載的文件系統
（2）必須使用root的權限才能操做
（3）只能備份XFS文件系統
（4）備份後的數據只能讓xfsrestore解析
（5）不能備份兩個具備相同UUID的文件系統

3、日誌文件

日誌的功能

（1）用於記錄系統、程序運行中發生的各類事件
（2）經過閱讀日誌、有助於診斷和解決系統故障

日誌類型的分類

內核及系統日誌

有系統服務syslog統一進行管理，日誌格式基本類似

用戶日誌

記錄系統用戶登陸及退出系統的相關信息

程序日誌

由各類應運程序獨立管理的日誌文件，記錄格式不統一

日誌保存位置

默認 位於：/var/log目錄下

主要日誌文件介紹

（1）內核及公共消息日誌：./var/log/messages
（2）計劃任務日誌：。/var/log/cron
（3）系統引導日誌：./var/log/dmesg
（4）郵件系統日誌：./var/log/mailog
（5）用戶登陸時日誌：./var/log/lastlog、./var/log/secure、。/var/log/wtmp、。/var/run/btmp

由系統服務rsyslogd統一管理

軟件包：rsyslog-7.4.7-16.el7.x86_64
主要程序：/sbin/rsyslogd
配置文件：/etc/rsyslog.conf

日誌消息的級別

（1）0 EMERG（緊急）：會致使主機系統不能夠的狀況
（2）1 ALERT（警告）：必須立刻採起措施解決的問題
（3）2 CRIT（嚴重）：比較嚴重的狀況
（4）3 ERR（錯誤）：運行出現錯誤
（5）4 WARNING（提醒）：可能會影響系統功能的事件
（6）5 NOTICE（注意）：不會影響系統單值得注意
（7）6 INFO （信息）：通常信息
（8）7 DEBUG（調試）：程序或系統調試信息等

日誌記錄的通常格式

4、用戶日誌分析

保存用戶登陸、退出系統等相關信息

./var/log/lastlog：用戶最近登陸事件
./var/log/secure：與用戶驗證相關的安全性事件
./var/log/wtmp：用戶登陸、註銷及系統開、關機事件
./var/run/btmp：當前用戶的每一個用戶的詳細信息

經常使用的分析工具

users、 who、 w、 last、lastb

由相應的應運程序獨立進行管理

web服務：/var/log/httpd/

access_log、 error_log

代理服務：/var/log/squid/

access.log、 cache.log

FTP服務：/var/log/xferlog

分析工具

（1）文本查看、grep過濾檢索、Webmin管理套件中查看
（2）awk、sed等文本過濾、格式化編輯工具
（3）Webalizer、Awstats等專用日誌分析工具

日誌管理策略

及時作好備份和歸檔

延長日誌保存日期

控制日誌訪問權限

日誌可能會包含各種敏感信息，如帳戶、口令等

集中管理日誌

（1）將服務器的日誌文件發送到統一的日誌文件服務器
（2）便於日誌信息的統一收集、整理和分析
（3）杜絕日誌信息的意外丟失、惡意篡改或刪除

查看日誌位置