做设计的几种网站,今天有什么新闻,网站开发与推广,网站建设西安哪里好文章目录 1.inode与block1.1 inode与block概述1.2 inode的内容1.3 文件存储1.4 inode的大小1.5 inode的特殊作用 2.硬链接与软链接2.1链接文件分类 3.恢复误删除的文件3.1 案例:恢复EXT类型的文件3.2 案例:恢复XFS类型的文件3.2.1 xfsdump使用限制 4.分析日志文件4.1日志文件4.… 文章目录 1.inode与block1.1 inode与block概述1.2 inode的内容1.3 文件存储1.4 inode的大小1.5 inode的特殊作用 2.硬链接与软链接2.1链接文件分类 3.恢复误删除的文件3.1 案例:恢复EXT类型的文件3.2 案例:恢复XFS类型的文件3.2.1 xfsdump使用限制 4.分析日志文件4.1日志文件4.2 内核及系统日志4.3用户日志分析4.4 程序日志分析4.4.1由相应的应用程序独立进行管理4.4.2分析工具4.4.3日志管理策略 1.inode与block
1.1 inode与block概述
文件数据包括元信息与实际数据 文件存储在硬盘上,硬盘最小存储单位是“扇区”,每个 扇区存储512字节 block(块) 连续的八个扇区组成一个 block 8x512 元信息--------------inode是文件存取的最小单位 **inode(索引节点) ** 数据----------------block 中文译名为“索引节点”,也叫i节点 一个文件必须占用一个inode,但至少占用一block用于存储文件元信息
1.2 inode的内容 inode包含文件的元信息 文件的字节数文件拥有者的User ID 不包含文件名文件的Group ID文件的读、写、执行权限文件的时间戳 用stat命令可以查看某个文件的inode信息 示例:stat aa.txt Linux系统文件三个主要的时间属性 atime(access time)
最后一次访问文件或目录的时间
ctime(change time)
最后一次改变文件或目录(属性)的时间
mtime(modify time)
最后一次修改文件或目录(内容)的时间 输入内容后时间会变化成最近一次操作的时间 用查看会让atime变化
目录文件的结构 目录也是一种文件目录文件的结构 每个inode都有一个号码,操作系统用inode号码来识别不同的文件Linux系统内部不使用文件名,而使用inode号码来识别文件对于用户,文件名只是inode号码便于识别的别称
用户通过文件名打开文件时,系统内部的过程 1.系统找到这个文件名对应的inode号码 2.通过inode号码,获取inode信息 3.根据inode信息,找到文件数据所在的block,读出数据 查看inode号码的方法 ls-i命令:查看文件名对应的inode号码 Is -i aa.txt stat命令:查看文件inode信息中的inode号码 stat aa.txt
1.3 文件存储
硬盘分区后的结构 访问文件的简单流程
1.4 inode的大小
inode也会消耗硬盘空间 每个inode的大小一般是128字节或256字节 格式化文件系统时确定inode的总数使用df-i命令可以查看每个硬盘分区的inode总数和已经使用的数量 1.5 inode的特殊作用
由于inode号码与文件名分离导致Linux系统具备以下几种特有的现象 文件名包含特殊字符可能无法正常删除。这时直接删除inode能够起到删除文件的作用;移动文件或重命名文件只是改变文件名不影响inode 号码打开一个文件以后系统就以inode 号码来识别这个文件不再考虑文件名文件数据被修改保存后会生成一个新的inode 号码
删除的两种格式 find ./ -inum inode号 -exec rm -i {} \ ; find ./ -inum inode号 -delete
添加硬盘分30M挂载在test1中使用命令创建多个文件实现故障现象查看空余空间尝试在/opt/test下创建目录无法创建 2.硬链接与软链接
2.1链接文件分类
为文件或目录建立链接文件链接文件分类
特性软链接符号链接硬链接删除原始文件后链接失效变成一个指向不存在的文件的符号链接仍旧可用因为链接指向的是文件的数据块而非文件名使用范围适用于文件或目录只可用于文件保存位置可以与原始文件位于不同的文件系统中必须与原始文件在同一个文件系统内例如同一个Linux分区文件大小链接本身的大小是符号链接的大小通常很小硬链接不增加文件大小因为它们共享相同的数据块创建方式ln -s [源文件或目录] [链接名]ln [源文件] [链接名]文件属性软链接有自己的权限和所有者与原始文件无关硬链接没有自己的权限和所有者与原始文件相同文件计数查看链接数时软链接不计入原始文件的链接数每个硬链接都会增加原始文件的链接数ls -l 中的 ln 值跨文件系统可以创建跨文件系统的软链接不能创建跨文件系统的硬链接因为不同文件系统的数据块结构不同
硬链接In 源文件 目标位置 软链接In -s 源文件或目录 … 链接文件或目标位置 3.恢复误删除的文件
3.1 案例:恢复EXT类型的文件
extundelete 是一一个开源的Linux 数据恢复工具支持ext3、 ext4文件系统。 ( ext4只能在centos6版本恢复)
编译安装extundelete软件包 安装依赖包 e2fsprogs-libs-1.41.12-18.el6.x86_64.rpme2fsprogs-devel-1.41.12-18.el6.x86_64.rpm 配置、编译及安装 extundelete-0.2.4.tar.bz2 模拟删除并执行恢复操作
模拟过程 1.使用fdisk创建分区/dev/sdc1 格式化ext3文件系统 fdisk /dev/sdc partprobe /dev/sdc mkfs.ext3 /dev/sdc1 mkdir /test mount /dev/sdc1/test df -hT 2.安装依赖包 yum -y install e2fsprogs-devel e2fsprogs-libs gcc gcc-c 3.编译安装extundelete cd /test wget http://nchc.dl.sourceforge.net/project/extundelete/extundelete/0.2.4/extundelete-0.2.4.tar.bz2 tar jxvf extundelete-0.2.4.tar.bz2 cd extundelete-0.2.4/ ./configure --prefix/usr/1ocal/extundelete make make install 或 ./configure make make install ln -s /usr/local/extundelete/bin/* /usr/bin/ 4.模拟删除并执行恢复操作 cd /test echo aa echo ab echo ac echo ad ls extundelete /dev/sdc1 --inode 2 #查看文件系统/dev/sdc1下存在哪些文件i节点是从2开始的2代表该文件系统最开始的目录 rm -rf a b extundelete /dev/sdc1 --inode 2 cd ~ umount /test extundelete /dev/sdc1 --restore-all #恢复/dev/sdc1 文件系统下的所有内容 在当前目录下会出现一个RECOVERED_FILES/目录里面保存了已经恢复的文件 ls RECOVERED FILES/
添加一块硬盘并分512M 格式化文件系统 创建一个目录把/dev/sdb1挂载在上面yum下载e2fsprogs-devel e2fsproges-libs 把extundelete-0.2.1.tar.bz2上传到linux并解压 将extundelete-0.2.1.tar.bz2移动到新建目录下./configure安装make制作 在hj目录下创建四个文件并输入内容使用extundelete保存inode号2以后的 删除两个测试文件 使用extundelete查看 解除挂载/de/sdb1并查看 使用extundelete恢复数据 切换到extundelete保存的目录下查看删除的文件 接着将文件拷贝到源目录下
3.2 案例:恢复XFS类型的文件
xfsdump命令格式
xfsdump-f 备份存放位置 要备份的路径或设备文件
xfsdump备份级别(默认为0) 0:完全备份1-9:增量备份 **xfsdump常用选项 ** f 指定备份文件目录 -L 指定标签session label-M指定设备标签media labe-S 备份单个文件-s后面不能直接跟路径 xfsrestore命令格式
xfsrestore -f 恢复文件的位置 存放恢复后文件的位置
模拟删除并执行恢复操作
模拟过程 1.使用fdisk创建分区/dev/sdb1格式化xfs文件系统 fdisk /dev/sdb 或 partprobe /dev/sdb mkfs.xfs /dev/sdb1 或者 mkfs.xfs [-f] /dev/sdb1 mkdir /data mount /dev/sdb1 /data/ cd /data cp /etc/passwd ./ mkdir test touch test/a 2.使用xfsdump命令备份整个分区 rpm -qa | grep xfsdump yum install -y xfsdump xfsdump -f /opt/dump_sdb1 /dev/sdb1 [-L dump_sdb1 -M sdb1] xfsdump -f /opt/dump_sdb /dev/sdb1 -L dump_sdb -M sdb1 3.模拟数据丢失并使用xfsrestore 命令恢复文件 cd /data/ rm -rf ./* ls xfsrestore -f /opt/dump_sdb1 /data/
备份有两种·0·表示完全备份(默认)1-9·表示增量备份呢 xfsdump.按照·inode·顺序备份·一个·xfs·文件系统 第二次备份也就是增量备份 xfsdump .- 1.1 .- f/opt/dump_sdb1_level_1/dev/sdb2 .- L.dump_sdb2_level 1-M.sdb2
使用fdisk创建分区/dev/sdb2格式化xfs文件系统挂载在创建的hk目录 创建文件在hk目录下 用rpm查看xfsdump是否安装 使用xfsdump命令备份hk目录并保存在opt下 保存的文件位置 磁盘位置 磁盘 备份成功提示 备份文件位置 删除文件 查看hk目录确认已删除 恢复备份 成功提示 查看恢复的文件
3.2.1 xfsdump使用限制
只能备份已挂载的文件系统必须使用root的权限才能操作只能备份XFS文件系统备份后的数据只能让xfsrestore解析不能备份两个具有相同UUID的文件系统
4.分析日志文件
4.1日志文件
4.1.1日志的功能
用于记录系统、程序运行中发生的各种事件通过阅读日志,有助于诊断和解决系统故障
4.1.2日志文件的分类
内核及系统日志 由系统服务rsyslog统一进行管理,日志格式基本相似 用户日志 记录系统用户登录及退出系统的相关信息 程序日志 由各种应用程序独立管理的日志文件,记录格式不统一
4.1.3日志保存位置
默认位于:/var/lcg目录下
4.1.4主要日志文件介绍 内核及公共消息日志 · /var/log/messages 记录Linux内核消息及各种应用程序的公共日志信息包括启动、IO错误、网络错误、程序故障等对于未使用独立日志文件的应用程序或服务一般都可以从该日志文件中获得相关的事件记录信息
计划任务日志 · /var/log/cron 记录crond计划任务产生的事件信息
系统引导日志 · /var/log/dmesg 记录Linux系统在引导过程中的各种事件信息
邮件系统日志 · /var/log/maillog 记录进入或发出系统的电子邮件活动
用户登录日志 · /var/log/lastlog 记录每个用户最近的登录事件是二进制格式 可以用lastlog查看 · /var/log/secure记录用户认证相关的安全事件信息 · /var/log/wtmp记录每个用户登录、注销及系统启动和停机事件是二进制格式可以用lastlog查看,存放在./var/log/secure· /var/run/btmp记录失败的、错误的登录尝试及验证事件是二进制格式可以用lastlog查看,存放在./var/log/secure4.2 内核及系统日志
4.2.1 由系统服务 rsyslog 统一管理
软件包:rsyslog-7.4.7-16.el7.x86 64主要程序:/sbin/rsyslogd(服务)配置文件:/etc/rsyslog.conf
4.2.1.1rsyslog服务常用命令 ps -ef | grep rsyslogd 查看服务是否开启 grep -v “^$” /etc/rsyslog.conf 过滤掉空行
4.2.1.2自定义日志 用编辑器配置vim /etc/rsyslog.conf 加入一行内容*.info /var/log/info.log
日志中符号 mail.* 代表比*等级高的都记录代表任何也就是说任何日志都记录 .none 代表不记录日志 日志存放位置为所有日志高于这个等级就会对所有在线用户广播 .代表只记录后面级别的日志 .!代表除了后面级别的日志不记录其他的都记录 存放路径之前有“-”代表先放入缓存足够大之后再存放在路径
systemctl restart rsyslog 重启服务之后/var/log下面就生成info.log 用vim编辑器查看
4.2.2日志消息的级别 级号 消息 级别 说明 0 EMERG 紧急 会导致主机系统不可用的情况 1 ALERT 警告 必须马上采取措施解决的问题 2 CRIT 严重 比较严重的情况 3 ERR 错误 运行出现错误 4 WARNING 错误 可能会影响系统功能的事件 5 NOTICE 注意 不会影响系统但值得注意 6 INFO 信息 一般信息 7 DEBUG 调试 程序或系统调试信息等
4.2.3日志记录的一般格式
4.3用户日志分析
4.3.1保存了用户登录、退出系统等相关信息
/var/log/lastlog:最近的用户登录事件/var/log/wtmp:用户登录、注销及系统开、关机事件/var/run/utmp:当前登录的每个用户的详细信息/var/log/secure:与用户验证相关的安全性事件
4.3.2分析工具
users、who、w、last、lastb查询登录失败的 4.4 程序日志分析
4.4.1由相应的应用程序独立进行管理
Web服务:/var/log/httpd/ access_log error_log
设置httpd的登录和报错日志 serverroot/etc/httpd 重启httpd服务查看实时的倒数access_log 查询结果
代理服务:/var/log/squid/ access.log cache.log FTP服务:/var/log/xferlog
编译安装不在上面的位置
4.4.2分析工具
文本查看、grep过滤检索、Webmin管理套件中查看awk、sed等文本过滤、格式化编辑工具Webalizer、Awstats等专用日志分析工具
journalctl工具 是CentOS-7独有的工具 Systemd 统一管理所有 Unit 的启动日志。好处就是 可以只用journalctl一个命令查看所有日志内核日志和 应用日志 日志的配置文件/etc/systemd/journald.conf ps -ef | grep journald journalctl -b 查看本次启动的日志 journalctl -k 查看内核日志 journalctl | wc -l 查看系统总共的日志 journalctl -xe 经常用来查看最近报错的日志 -e从结尾开始看 -x提供问题相关的网址 journalctl -u httpd.service 指定服务服务报错 journalctl -p err 指定日志等级查看级别
4.4.3日志管理策略
及时作好备份和归档延长日志保存期限控制日志访问权限 日志中可能会包含各类敏感信息,如账户、口令等 集中管理日志 将服务器的日志文件发到统一的日志文件服务器便于日志信息的统一收集、整理和分析杜绝日志信息的意外丢失、恶意篡改或删除
将日志文件全部放在日志文件服务器上(集中管理) 1.rpm -ql rsyslog 查看模块有么有 2.服务端配置 [rootlocalhost ~]#vim /etc/rsyslog.conf 3.编辑文件取消第19 20 行注释允许服务器使用TCP 514端口接收日志 开启日志的远程传输功能在192.168.10.19 19 $ModLoad imtcp 20 $InputTCPServerRun 514 4.重启rsyslog日志服务 [rootlocalhost ~]# systemctl restart rsyslog 5.查看514端口是否开启 [rootlocalhost ~]#netstat -ntap |grep 514 6.客户端配置 [rootwww1 ~]# vim /etc/rsyslog.conf 7.修改日志服务配置文件 90 . 192.168.72.20:514 行数 所有 TCP 服务端IP 端口 8.把所有日志采用TCP协议发送到192.168.72.20的514端口上 #两个 代表使用 tcp 一个代表udp [rootlocalhost ~]# systemctl restart rsyslog 9.客户端创建用户 10.去服务端查看
