深入理解Linux文件系统与日志分析

一、inode和bolck概述

二、链接文件

三、inode节点耗尽故障处理

四、EXT类型文件恢复

五、xfs文件备份和恢复

六、日志文件

一、inode和bolck概述

1、定义

文件数据

文件数据包括元信息与实际数据

文件存储在硬盘上，硬盘最小的存储单位是“扇区”，每个扇区存储512字节

一个文件必须占有一个inode，但至少占用一个block

block（块）

连续的八个扇区组成一个block（4k）

是文件存取的最小单位

操作系统读取硬盘的时候，是一次性连续读取多个扇区，即一个块一个快读取的

inode（索引节点）

中文译名“索引节点”，也叫i节点

用于存储文件元信息

inode不包含文件名，每一个inode都有一个号码，操作系统用inode号码来识别不同的文件。Linux系统内部不使用文件名，而使用inode号码来识别文件，对于系统来说，文件名只是inode号码便于识别的别称，文件名和inode号码是一一对应关系，每个inode号码对应一个文件名，所以，当用户在Linux系统中试图访问一个文件时，系统会先根据文件名去查找它对应的inode号码，通过inode号码，获取inode信息，根据inode信息，看该用户是否具有访问这个文件的权限，如果有，就指向相对应的数据block，并读取数据

inode包含文件的元信息

（1）、文件的字节数

（2）、文件拥有者的User ID

（3）、文件的Group ID

（4）、文件的读、写、执行权限

（5）、文件的时间戳

2、Linux系统文件三个主要的时间属性

atime（accesstime）

当使用这个文件的时候就会更新这个时间。

mtime（modifcation time）

当修改文件内容数据的时候，就会更新这个时间，而更改权限或者属性，mtime不会改变，这就是和ctime的区别。

ctime（status time）

当修改文件的权限或者属性的时候，就会更新这个时间，ctime并不是create time，更像是change time。只有当更新文件的属性或者权限的时候才会更新这个时间，但是更改内容的话是不会更新这个时间。

3、inode的号码

用户通过文件名打开文件时，系统内部的过程

（1）、系统找到这个文件名对应的inode号码

（2）、根据inode号码，获取inode信息

（3）、根据inode信息，找到文件数据所在的block，读出数据

查看inode号码的方法

（1）、ls -i命令：查看文件名对应的inode号码

（2）、stat命令：查看文件inode信息中的inode号码

4、inode的大小

inode也会消耗硬盘空间，所以格式化的时候，操作系统自动将硬盘分为两个区域。一个是数据区，存放文件数据，另一个是inode区，存放inode所包含的信息。每个inode的大小一般是128字节或256字节。通常情况下不需要关注单个inode的大小，而是需要重点关注inode总数。inode的总数在格式化时就给定了，执行 df -i 命令即可查看每个硬盘分区对应的inode总数和已经使用的inode数量。

5、inode的特殊作用

由于inode号码与文件名分离，导致Linux系统具备以下几种特有现象：

（1）、文件名包含特殊字符，可能无法正常删除，这时直接删除inode，能够起到删除文件的作用。

（2）、移动文件或重命名文件，只是改变文件名，不影响inode号码。

（3）、打开一个文件以后，系统就以inode号码来识别这个文件，不再考虑文件名。

（4）、文件数据被修改保存后，会生成一个新的inode号码。

通过删除inode，起到删除文件的作用有以下三种方法

 二、链接文件

为文件或目录建立链接文件

链接文件分类

硬链接： ln 源文件  目标位置

软链接： ln 【-s】源文件或目录...链接文件或目录位置

	软连接	硬链接
删除原始文件后	失效	仍旧可用
使用范围	适用于文件或目录	只可用于文件
保存位置	与原始文件可以位于不同的文件系统中	必须与原始文件在同一个文件系统 （如一个Linux分区）内

三、inode节点耗尽故障处理

#使用fdisk创建分区/dev/sdb1，分区大小30M即可
fdisk /dev/sdb
mkfs -t ext4 /dev/sdb1
mkdir /data
mount /dev/sdb1 /data
df -i
#模拟inode节点耗尽故障
for （(i=1； i<=7680; i++)）;do touch /data /file$i;done
df -i
df -hT
#删除文件恢复
rm -rf /data/*
df -i
df -hT

操作如下

添加一块硬盘，将硬盘分为一个10M的主分区

格式化，并挂载

查看可用inode号

用for循环模拟inode节点耗尽故障

查询inode号，并创建文件验证是否可以

 四、EXT类型文件恢复

1、创建分区

2、分区格式化，并挂载

3、在data目录中穿件文件

4安装软件到opt目录中，并解压

5、安装依赖包

6.编译安装

7、加入软链接，并查看

8、模拟删除并执行恢复操作

9、恢复

 五、xfs文件备份和恢复

CentOS 7系统默认采用xfs类型文件，xfs类型的文件可用xfsdump与xfsrestore工具进行备份恢复。xfsdump的备份级别有两种：0表示完全备份；1-9表示增量备份。xfsdump的备份级别默认为0。

xfsdump的命令格式为：xfsdump -f 备份存放位置  要备份的路径或设备文件

xfsdump命令的常用选项

-f：指定备份文件目录

-L：指定标签session label

-M：指定设备标签media label

-s：备份单个文件，-s后面不能直接跟路径

xfsdump使用限制

1、只能备份已挂载的文件系统

2、必须使用root的权限才能操作

3、只能备份XFS文件系统

4、备份后的数据只能让xfsrestore解析

5、不能备份两个具有相同UUID的文件系统（可用blkid命令查看）

实验操作如下：

1、查看是否安装xfsdump

2、进行分区，格式化，并挂载

3、复制文件，并进行备份

4、模拟数据丢失

5、数据恢复

 六、日志文件

1、日志文件的功能

用于记录系统，程序运行中发生的各种事件

通过阅读日志，有助于诊断和解决系统故障

2、日志文件的分类

（1）、内核及系统日志

由系统服务reyslog统一进行管理，日志格式基本相似

主配置文件/etc/reysiog.conf

（2）、用户日志

记录系统用户登录及退出系统的相关信息

（3）、程序日志

由各种应用程序独立管理的日志文件，记录格式不统一

3、日志文件默认位置： /var/log目录下

常见的一些日志文件

内核及公共消息日志

/var/log/messages：记录Linux内核消息及各种应用程序的公共日志信息，包括启动、IO错误、网络错误、程序故障等。对于为使用独立日志文件的应用程序过服务，一般都可以从该日志文件中获得相关的事件记录信息。

计划任务日志

/var/log/cron：记录crond计划任务产生的事件信息

系统引导日志

/var/log/dmesg：记录Linux系统在引导过程中的各种事件信息

邮件系统日志

/var/log/maillog：记录进入或发出系统的电子邮件活动

用户登录日志

/var/log/secure：记录用户认证相关的安全事件信息

/var/log/lastlog：记录每个用户最近的登录事件。二进制格式

/var/log/wtmp：记录每个用户登录、注销及系统启动和停机事件。二进制格式

/var/run/utmp：记录失败的、错误的登录尝试及验证事件。二进制格式

4、日志消息的级别

级号	消息	级别	说明
0	EMERG	紧急	会导致主机系统不可用的情况
1	ALERT	警告	必须马上采取措施解决的问题
2	CRIT	严重	比较严重的情况
3	ERR	错误	运行出现错误
4	WARNING	提醒	可能会影响系统动能的事件
5	NOTICE	注意	不会影响系统但值得注意
6	INFO	信息	一般信息
7	DEBUG	调试	程序或系统调试信息等

5、日志记录的一般格式

公共日志/var/log/messages 文件的记录格式

时间标签：信息发出的日期和时间

主机名：生成消息的计算机的名称

子系统名称：发出消息的应用程序的名称

消息：消息的具体内容

6、用户日志分析

（1）、保存了用户登录、退出系统等相关信息

/var/log/lastlog：最近的用户登录事件

/var/log/wtmp ：用户登录、注销及系统开、关机事件

/var/run/utmp ：当前登录的每个用户的详细信息

/var/log/secure ：与用户验证相关的安全性事件

（2）、分析工具

users 、who 、w 、last 、lastb

last命令用于查询成功登录到系统的用户记录

lastb命令用于查询登录失败的用户记录

（3）、由相应的应用程序独立进行管理

Web服务：/var/log/httpd/

access_log    记录客户访问事件

error_lpg       记录错误事件

代理服务：/var/log/squid/

access.log   、cache.log

分析工具

文本查看、grep过滤检索、Webmin管理套件中查看

awk、sed等文本过滤、格式化编辑工具

Webalizer、Awstats等专用日志分析工具

7、日志管理策略

（1）、及时做好备份和归档

（2）、延长日志保存期限

（3）、控制日志访问权限

日志中可能会包含各类敏感信息，如账户、口令等

（4）、集中管理日志

将服务器的日志文件发到统一的日志文件服务器

便于日志信息的统一收集、整理和分析

杜绝日志信息的意外丢失、恶意篡改或删除