目录
一、inode与block
1、inode和block概述
- 文件数据包括元信息与实际数据
- 文件存储在硬盘上,硬盘最小存储单位是“扇区”,每个扇区存储512字节
- block(块):连续的八个扇区组成一个block; 是文件索取的最小单位
- inode(索引节点):中文译名为"索引节点",也叫i节点;用于存储文件元信息
元信息:文件属性
一个文件必须占用一个inode,但至少占用一个block。
2.inode的内容
inode包含文件的元信息
- 文件的字节数
- 文件拥有者的User ID
- 文件的Group ID
- 文件的读、写、执行权限;
- 文件的时间戳
- 文件类型
- 链接数
- 有关文件的其他数据
用stat命令可以查看某个文件的inode信息
比如[root@localhost ~]# stat 1.txt
Linux系统文件三个主要的时间属性
ctime(change time)最后一次改变文件或目录(属性)的时间
atime(access time)最后一次访问文件或目录的时间
mtime(modify time)最后一次修改文件或目录(内容)的时间
目录文件的结构
- 目录文件也是一种文件
-
每个inode都有一个号码,操作系统用inode号码来识别不同的文件
-
Linux系统内部不使用文件名,而使用inode号码来识别文件
-
对于用户,文件名只是inode号码便于识别的别称
| 文件名1 | indeo号码1 |
| 文件名2 | indeo号码1 |
| ...... | ...... |
注:每一行称为一个目录项
3.inode的号码
用户通过文件名打开文件时,系统内部的过程
- 系统找到这个文件名对应的inode号码
- 通过inode号码,获取inode信息
- 根据inode信息,找到文件数据所在的block,读出数据
查看inode号码的方法
ls -i命令:查看文件名对应的inode号码
stat命令:查看文件inode信息中的inode号码
4.文件存储小结
硬盘分区后的结构
访问文件的简单流程 
5.inode的大小
- inode也会消耗硬盘空间
- 每个inode的大小
- 一般是128字节或256字节
- 格式化文件系统时确定inode的总数
- 使用df -i命令可以查看每个硬盘分区的inode总数和已经使用的数量
6.inode的特殊作用
由于inode号码与文件名分离,导致一些Unix/Linux系统具有以下的现象
- 当文件名包含特殊字符,可能无法正常删除文件,直接删除inode,也可以删除文件。
- 移动或重命名文件时,只改变文件名,不影响inode号码
- 打开一个文件后,系统通过inode号码来识别该文件,不再考虑文件名
二、链接文件
为文件或目录建立链接文件
链接文件分类
| 软链接 | 硬链接 | |
| 删除原始文件后 | 失效 | 仍然可用 |
| 使用范围 | 适用于文件或目录 | 只可用于文件 |
| 保存位置 | 与原始文件可用位于不同的文件系统中 | 必须与原始文件在同一个文件系统(如一个Linux分区)内 |
硬链接
ln 源文件 目标位置软链接
ln -s 源文件或目录... 链接文件或目标位置三、案例:恢复EXT类型的文件
extundelete 是一个开源的Linux数据恢复工具,支持ext3、ext4文件系统。(ext4只能在centos6版本恢复)
安装依赖包
编译安装 extundelete-0.2.4.tar.bz2
模拟删除并执行恢复操作 
查看文件系统/dev/sdb1下存在哪些文件,i节点是从2开始的,2代表该文件系统最开始的目录。
测试删除
恢复/dev/sdb1文件系统下的所有内容
此时恢复的文件被存储在 RECOVERED_FILES/目录下
四、恢复XFS类型的文件
1.xfsdump
命令格式
xfsdump -f 备份存放位置,要备份路径或设备文件
xfsdump备份级别
- 默认为0
- 0:完全备份
- 1-9:增量备份
xfsdump常用选项
| 选项 | 功能 |
| -f | 指定备份的文件夹 |
| -L | 指定标签session label |
| -M | 指定设备标签media label |
| -s | 备份单个文件,-s后面不能直接跟路径 |
xfsdump使用限制
- 只能备份已挂载的文件系统
- 必须使用root的权限才能操作
- 只能备份XFS文件系统
- 备份后的数据只能让xfsrestore解析
- 不能备份两个具有相同UUID的文件系统(可用blkid命令查看)
2.xfsrestore
命令格式
xfsrestore -f 恢复文件的位置 存放恢复后文件的路径
3.xfs类型文件备份和恢复操作步骤
首先准备一个磁盘,格式化后将其挂载到指定目录下
使用xfsdump命令备份整个分区
模拟数据丢失并使用xfsrestore 命令恢复文件
五、日志文件
1、日志的功能
- 用于记录系统、程序运行中发生的各种事件
- 通过阅读日志,有助于诊断和解决系统故障
2、日志文件的分类
- 内核及系统日志:由系统服务rsyslog统一进行管理,日志格式基本相似
- 用户日志:记录系统用户登录及退出系统的相关信息
- 程序日志:由各种应用程序独立管理的日志文件,记录格式不统一
注:日志保存位置默认位于:/var/log目录下
| 内核及公共消息日志 | /var/log/messages |
| 计划任务日志 | /var/log/cron |
| 系统引导日志 | /var/log/dmesg |
| 邮件系统日志 | /var/log/maillog |
| 用户登录日志 | /var/log/lastlog /var/log/secure /var/log/wtmp /var/run/btmp |
3.内核及系统日志
由系统服务 rsyslogd 统一管理
- 软件包:rsyslog-7.4.7-16.el7.x86_64
- 主要程序:/sbin/rsyslogd
- 配置文件:/etc/rsyslog.conf
日志消息级别
| 级号 | 消息 | 级别 | 说明 |
| 0 | EMERG | 紧急 | 会导致主机系统不可用的情况 |
| 1 | ALERT | 警告 | 必须马上采取措施解决的问题 |
| 2 | CRIT | 严重 | 比较严重的情况 |
| 3 | ERR | 错误 | 运行出现错误 |
| 4 | WARNING | 提醒 | 可能会影响系统功能的事件 |
| 5 | NOTICE | 注意 | 不会影响系统但值得注意 |
| 6 | INFO | 信息 | 一般信息 |
| 7 | DEBUG | 调试 | 程序或系统调试信息等 |
用户日志分析
保存了用户登录、退出系统等相关信息
- /var/log/secure:记录用户认证相关的安全事件信息。
- /var/log/lastlog:记录每个用户最近的登录事件。二进制格式
- /var/log/wtmp:记录每个用户登录、注销及系统启动和停机事件。二进制格式
- /var/run/btmp:记录失败的、错误的登录尝试及验证事件。二进制格式
分析工具
users:命令只是简单地输出当前登录的用户名称,每个显示的用户名对应一个登录会话。如果一个用户有不止一个登录会话,那他的用户名将显示与其相同的次数
who:命令用于报告当前登录到系统中的每个用户的信息。使用该命令,系统管理员可以查看当前系统存在哪些不合法用户,从而对其进行审计和处理。who的默认输出包括用户名、终端类型、登录日期及远程主机
w:命令用于显示当前系统中的每个用户及其所运行的进程信息,比users、who命令的输出内容要丰富一些
last:命令用于查询成功登录到系统的用户记录,最近的登录情况将显示在最前面。通过last 命令可以及时掌握Linux.主机的登录情况,若发现未经授权的用户登录过,则表示当前主机可能已被入侵
lastb:命令用于查询登录失败的用户记录,如登录的用户名错误、密码不正确等情况都将记录在案。登录失败的情况属于安全事件,因为这表示可能有人在尝试猜解你的密码。除了使用 lastb命令查看以外,也可以直接从安全日志文件/var/log/secure中获得相关信息有哪些系统常见日志。
程序日志分析
由相应的应用程序独立进行管理
- Web服务:/var/log/httpd/
- access_log、error_log
- 代理服务:/var/log/squid/
- access.log、cache.log
- FTP服务:/var/log/xferlog
扫一扫
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
