目錄
- 一、inode與block
- 1.1 inode和block概述
- 1.2 inode的內容 1-1
- 1.3 inode的內容 1-2
- 1.4 inode的內容 1-3
- 1.5 inode的號碼
- 1.6 檔案存盤小結
- 1.7 inode的大小
- 1.8 inode的特殊作用
- 二、硬鏈接與軟鏈接
- 2.1 鏈接檔案 1-1
- 2.2 鏈接檔案 1-2
- 三、恢復誤洗掉的檔案
- 3.1 恢復EXT型別的檔案
- 3.2 恢復XFS型別的檔案
- 3.3 xfsdump使用限制
- 四、分析日志檔案
- 4.1 日志檔案 4-1
- 4.2 日志檔案 4-2
- 4.3 內核及系統日志 4-3
- 4.4 內核及系統日志 4-4
- 4.5 內核及系統日志 4-5
- 4.6 用戶日志分析
- 4.7 程式日志分析
- 4.8 日志管理策略
一、inode與block
1.1 inode和block概述
■ 檔案資料包括原資訊與實際資料
■ 檔案存盤在硬碟上,硬碟最小存盤單位是“扇區”,每個扇區存盤512位元組
■ block(塊)
- 連續的八個扇區組成一個block
- 是檔案存取的最小單位
■ inode(索引節點)
- 中文譯名為“索引節點”,也叫i節點
- 用于存盤檔案元資訊
1.2 inode的內容 1-1
■ inode包含檔案的元資訊
- 檔案的位元組數
- 檔案擁有者的User ID(不包含檔案名)
- 檔案的Group ID
- 檔案的讀、寫、執行權限
- 檔案的時間戳
- …
■ 用stata命令可以查看某個檔案的inode資訊
- 示例:stat aa.txt‘’
1.3 inode的內容 1-2
■ Linux系統檔案三個主要的時間屬性
- ctime(change time)
- 最后一次改變檔案或目錄(屬性)的時間
- atime(access time)
- 最后一次訪問檔案或目錄的時間
- mtime(modif time)
- 最后一次修改檔案或目錄(內容)的時間
1.4 inode的內容 1-3
■ 目錄檔案的結構
- 目錄也是一種檔案
- 目錄檔案的結構
| 檔案名1 | inode號碼1 |
|---|---|
| 檔案名2 | inode號碼1 |
| … | … |
每一行稱為一個目錄項
■ 每個inode都有一個號碼,作業系統用inode號碼來識別不同的檔案
■ Linux系統內部不使用檔案名,而使用inode號碼來識別檔案
■ 對于用戶,檔案名只是inode號碼便于識別的別稱
1.5 inode的號碼
■ 用戶通過檔案名打開檔案時,系統內部的程序
- 系統找到這個檔案名對應的inode號碼
- 用過inode號碼,獲取inode資訊
- 根據inode資訊,找到檔案數資料所在的block1,讀出資料
■ 查看iodine號碼的方法
- ls -i命令:查看檔案名對應的inode號碼
ls -i aa.txt - stat命令:查看檔案inode資訊中的inode號碼
stata aa.txt
1.6 檔案存盤小結
■ 硬碟磁區后的結構
■ 訪問檔案的簡單流程
1.7 inode的大小
■ inode也會消耗硬碟空間
- 每個inode的大小
- 一般是128位元組或
■ 格式化檔案系統時確定inode的總數
■ 使用df -i命令可以查看每個硬碟磁區的inode總數和已使用的數量
1.8 inode的特殊作用
■ 由于inode號碼與檔案名分離,導致一些Unix/Linux系統具有以下的現象
- 當檔案包含特殊字符,可能無法正常洗掉檔案,直接洗掉inode,也可以洗掉檔案
- 移動或重命名檔案時,只改變檔案名,不影響inode號碼
- 打開一個檔案后,系統通過inode號碼來識別該檔案,不在考慮檔案名
二、硬鏈接與軟鏈接
2.1 鏈接檔案 1-1
■ 為檔案或目錄建立連接檔案
■ 鏈接檔案分類
| 軟鏈接 | 硬鏈接 | |
|---|---|---|
| 使用范圍 | 失效 | 仍舊可用 |
| 保存范圍 | 與原始檔案可以位于不同的檔案系統中 | 必須與原始檔案在同一個檔案系統(如一個Linux磁區)內 |
2.2 鏈接檔案 1-2
■ 為檔案或目標建立鏈接檔案
■ 鏈接檔案分類
- 硬鏈接
ln 源檔案 目標位置 - 軟鏈接
ln -s 源檔案或目錄...鏈接檔案或目標位置
三、恢復誤洗掉的檔案
3.1 恢復EXT型別的檔案
■ 編譯安裝extundelete軟體包
- 安裝依賴包
- e2fsprogs-libs-1.41.12-18.el6.x86_64.rpm
- e2fsprogs-devel-1.41.12-18.el6.x86_64.rpm
■ 模擬洗掉并執行恢復操作
3.2 恢復XFS型別的檔案
■ xfsdumo命令格式
xfsdump -f 備份存放位置 要備份的路徑或設備檔案
■ xfsdump 備份級別(默認為0)
- 0:安全備份
- 1-9:增量備份
■ xfsdump 常用選項:-f 、-L、-M、-s
■ xfsdump 命令格式
xfsdump -f 恢復檔案的位置 存放恢復后檔案的位置
■ 模擬洗掉并執行恢復操作
3.3 xfsdump使用限制
■ 只能備份已掛載的檔案系統
■ 必須使用root的權限才能操作
■ 只能備份CFS檔案系統
■ 備份后的資料只能讓xfsrestore決議
■ 不能備份兩個具有相同UUID的檔案系統
四、分析日志檔案
4.1 日志檔案 4-1
■ 日志的功能
- 用于記錄系統、程式運行中發生的各種事情
- 通過閱讀日志,有助于診斷和解決系統故障
■ 日志問價你的分類
-
內核及系統日志
- 由系統服務rsyslog 統一進行管理,日志格式基本相似
-
用戶日志
- 記錄系統用戶登錄及退出系統的相關資訊
-
程式日志
- 由各種應用程式獨立管理的日志檔案,記錄格式不統一
4.2 日志檔案 4-2
■ 日志保存位置
- 默認位于:/var/log 目錄下
■ 主要日志檔案介紹
4.3 內核及系統日志 4-3
■ 由系統服務rsyslog 統一管理
- 軟體包:rsyslog-7.4.7-16.el7.x86_64
- 主要程式:/sbin/rsyslogd
- 組態檔:/etc/rsyslog.conf
4.4 內核及系統日志 4-4
■ 日志訊息的級別
| 級別 | 訊息 | 級別 | 說明 |
|---|---|---|---|
| 0 | EMERG | 緊急 | 會導致主機系統不可用的情況 |
| 1 | ALERT | 警告 | 必須馬上采取措施解決的問題 |
| 2 | CRIT | 嚴重 | 比較嚴重的情況 |
| 3 | ERR | 錯誤 | 運行出現錯誤 |
| 4 | WARNING | 提醒 | 可能會影響系統功能的事件 |
| 5 | NOTICE | 注意 | 不會影響系統但值得注意 |
| 6 | INFO | 資訊 | 一般資訊 |
| 7 | DEBUG | 除錯 | 程式或系統除錯資訊等 |
4.5 內核及系統日志 4-5
■ 日志記錄的一般格式
4.6 用戶日志分析
■ 保存了用戶登錄、退出系統等相關資訊
- /var/log/lastlog:最近的用戶登錄事件
- /var/log/wtmp:用戶登錄,注銷及系統開,關機事件
- /var/log/utmp:當前登錄的每個用戶的詳細資訊
- /var/log/secure:與用戶驗證相關的安全性事件
■ 分析工具
- users、who、w、last、lastb
4.7 程式日志分析
■ 由相應的應用程式獨立進行管理
- Web服務:/var/log/httpd/
access_log、error_log - 代理服務:/var/log/squid/
access_log、cache_log - FTP服務:/var/log/xferlog
■ 分析工具
- 文本查看,grep過濾檢索,Webmin管理套件中查看
- awk、sed 等文本過濾、格式化編輯工具
- Webalizer、Awstats等專用日志分析工具
4.8 日志管理策略
■ 及時作好備份和歸檔
■ 延長日志保存期限
■ 控制日志訪問權限
- 日志中可能會包含各類敏感資訊,如賬戶、口令等
■ 集中管理日志
- 將服務器的日志檔案發到統一的日志檔案服務器
- 便于日志資訊的統一收集、整理和分析
- 杜絕日志資訊的意外丟失、惡意篡改或洗掉
轉載請註明出處,本文鏈接:https://www.uj5u.com/qita/187494.html
標籤:其他
上一篇:Linux:LVM邏輯卷 原理