CentOS 7 Linux基本命令（11）深刻理解Linux文件系统与日志

深刻理解Linux文件系统与日志

1、inode和block概述

文件数据包括元信息与实际数据

元信息：文件的属性信息
实际数据：文件内容

文件存储在硬盘上，硬盘最小存储单位是“扇区”，每一个扇区存储512字节

block（块）

连续的8个扇区组成一个block（4k）
是文件存取的最小单位

inode（索引节点）

也叫i节点
用于存储文件元信息

一、indoe的内容

inode包含文件的元信息

（1）文件的字节数
（2）文件拥有者的User ID
（3）文件的Group ID
（4）文件的读、写、执行权限
（5）文件的执行戳
（6）。。。。。

用stat命令能够查看某个文件的inode信息

命令格式stat + 文件名
判断文件类型 file + 文件名

Linux系统文件三个主要的时间属性

ctime（change time）
最后一次改变文件或目录（属性）的时间
atime（access time）
最后一次访问文件或目录的时间
mtime（modify time）
最后一次修改文件或目录（内容）的时间

目录文件的结构

目录也是一种文件
目录文件结构

每一行称为一个目录项

每一个inode都有一个号码，操做系统用inode号码来识别不一样的文件
Linux系统内部不使用文件名，而使用inode号码来识别文件
对于用户来讲，文件名只是inode号码便于识别的别称

inode的号码

用户经过文件名打开文件时，系统内部的过程

一、系统找到这个文件名对应的indoe号码
二、经过inode号码，获取inode信息
三、根据inode信息，找到文件数据所在的block ，读出数据

查看inode号码的方法

ls -i命令：查看文件名对应的inode号码
ls -i aa.txt
stat命令：查看文件inode信息中的inode号码
stat aa.txt

硬盘分区的结构：

访问文件的流程图：

inode的大小

inode 也会消耗硬盘空间，每一个inode的大小，通常是128字节或者256字节。

格式化文件系统时确认inode的总数

使用df -i命令能够查看每一个硬盘分区的inode总数和已经使用的数量

inode的特殊做用

因为inode号码与文件名分离，致使一些Unix/Linux系统具备如下的现象

（1）当文件名包含特殊字符，可能没法正常删除文件，直接删除inode，也能够删除文件
（2）移动或重命名文件时，之改变文件名，不影响inode号码
（3）打开一个文件后，系统经过inode号码来识别该文件，再也不考虑文件名。

当文件包含特殊字符时能够用节点号删除

命令格式为：find ./* -inum 节点号 -delete

2、恢复XFS 类型的文件

xfs文件恢复步骤
添加一块磁盘，分区，而后格式化挂载，而后在里边建立一些文件

使用：xfsdump -f /opt/xfs_dump /dev/sdb1命令作备份


删除/data/xiade文件使用xfsrestore -f /opt/xfs_dump /data/命令恢复删除的文件

xfsdump使用限制

（1）只能备份已挂载的文件系统
（2）必须使用root的权限才能操做
（3）只能备份XFS文件系统
（4）备份后的数据只能让xfsrestore解析
（5）不能备份两个具备相同UUID的文件系统

3、日志文件

日志的功能

（1）用于记录系统、程序运行中发生的各类事件
（2）经过阅读日志、有助于诊断和解决系统故障

日志类型的分类

内核及系统日志

有系统服务syslog统一进行管理，日志格式基本类似

用户日志

记录系统用户登陆及退出系统的相关信息

程序日志

由各类应运程序独立管理的日志文件，记录格式不统一

日志保存位置

默认 位于：/var/log目录下

主要日志文件介绍

（1）内核及公共消息日志：./var/log/messages
（2）计划任务日志：。/var/log/cron
（3）系统引导日志：./var/log/dmesg
（4）邮件系统日志：./var/log/mailog
（5）用户登陆时日志：./var/log/lastlog、./var/log/secure、。/var/log/wtmp、。/var/run/btmp

由系统服务rsyslogd统一管理

软件包：rsyslog-7.4.7-16.el7.x86_64
主要程序：/sbin/rsyslogd
配置文件：/etc/rsyslog.conf

日志消息的级别

（1）0 EMERG（紧急）：会致使主机系统不能够的状况
（2）1 ALERT（警告）：必须立刻采起措施解决的问题
（3）2 CRIT（严重）：比较严重的状况
（4）3 ERR（错误）：运行出现错误
（5）4 WARNING（提醒）：可能会影响系统功能的事件
（6）5 NOTICE（注意）：不会影响系统单值得注意
（7）6 INFO （信息）：通常信息
（8）7 DEBUG（调试）：程序或系统调试信息等

日志记录的通常格式

4、用户日志分析

保存用户登陆、退出系统等相关信息

./var/log/lastlog：用户最近登陆事件
./var/log/secure：与用户验证相关的安全性事件
./var/log/wtmp：用户登陆、注销及系统开、关机事件
./var/run/btmp：当前用户的每一个用户的详细信息

经常使用的分析工具

users、 who、 w、 last、lastb

由相应的应运程序独立进行管理

web服务：/var/log/httpd/

access_log、 error_log

代理服务：/var/log/squid/

access.log、 cache.log

FTP服务：/var/log/xferlog

分析工具

（1）文本查看、grep过滤检索、Webmin管理套件中查看
（2）awk、sed等文本过滤、格式化编辑工具
（3）Webalizer、Awstats等专用日志分析工具

日志管理策略

及时作好备份和归档

延长日志保存日期

控制日志访问权限

日志可能会包含各种敏感信息，如帐户、口令等

集中管理日志

（1）将服务器的日志文件发送到统一的日志文件服务器
（2）便于日志信息的统一收集、整理和分析
（3）杜绝日志信息的意外丢失、恶意篡改或删除

查看日志位置