本文深入探讨了Linux文件系统中的INODE和BLOCK概念,解释了文件访问流程和inode的特殊作用。同时,介绍了Linux日志文件的功能、分类、主要日志文件及其分析方法,强调了日志管理在系统维护中的重要性。
文章目录
一、INODE与BLOCK
1.block概述
文件是存储在硬盘上的,硬盘的最小存储单位叫做“扇区"(sectcr),每个扇区存储512字节。
一般连续八个扇区组成一个"块"(block),一个块是4K大小,是文件存取的最小单位。操作系统读取硬盘的时候,是一次性连续读取多个扇区,即 一个块一个块的读取的。
2.inode概述
文件数据包括实际数据与元信息(类似文件属性)。文件数据存储在"块"中,存储文件元信息(比如文件的创建者、创建日期、文件大小、文件权限等)的区域就叫做inode。因此,一个文件必须占用一个 inode,并且至少占用一个 block。 inode不包含文件名。文件名是存放在目录当中的。Linux 系统中一切皆文件,因此目录也是一种文件。
3.访问文件流程
每个inode都有一个号码,操作系统用inode号码来识别不同的文件。
Linux系统内部不使用文件名,而使用inode号码来识别文件。对于系统来说,文件名只是inode号码便于识别的别称,文件名和inode号码是一 一对应关系,每个inode号码对应一个文件名。所以,当用户在Linux系统中试图访问一个文件时,系统会先根据文件名去查找它对应的inode号码;通过inode号码,获取inode信息;根据inode信息,看该用户是否具有访问这个文件的权限;如果有,就指向相对应的数据block,并读取数据。
4.查看文件名对应的inode号码
查看文件名对应的 inode 号码有两种方式∶
ls -i 文件名
stat 文件名
5.inode大小
inode也会消耗硬盘空间,所以格式化的时候,操作系统自动将硬盘分成两个区域。一个是数据区,存放文件数据;另一个是inode区,存放inode所包含的信息。每个iNode的大小,一般是128或256字节。通常情况下不需要关注单个iNode的大小,而是重点关注iNode总数。执行df -i 即可查看每个硬盘分区对应的iNode总数和已经使用的iNode数量。
6.inode的特殊作用
■由于inode号码与文件名分离,导致一些Unix/Linux系统具有以下的现象
●当文件名包含特殊字符,可能无法正常删除文件,直接删除inode,也可以删除文件
●移动或重命名文件时,只改变文件名,不影响inode号码
●打开一个文件后,系统通过inode号码来识别该文件,不再考虑文件名
7.硬盘分区后的结构
8.Linux系统文件三个主要的时间属性
●ctime(change time)
最后一次改变文件或目录(属性)的时间
●atime(access time)
最后一次访问文件或目录的时间
●mtime(modify time)
最后一次修改文件或目录(内容)的时间
二、日志文件
1.日志的功能
●用于记录系统、程序运行中发生的各种事件
●通过阅读日志,有助于诊断和解决系统故障 i日志文件的分类
2.日志文件的分类
●内核及系统日志
由系统服务rsyslog统一进行管理,日志格式基本相似
主配置文件/etc/rsyslog.conf
●用户日志
记录系统用户登录及退出系统的相关信息
●程序日志
由各种应用程序独立管理的日志文件,记录格式不统一
3.主要日志文件介绍
内核及系统日志由系统服务 rsyslog 统一管理,主配置文件为 /etc/rsyslog.conf
Linux 操作系统本身和大部分服务器程序的日志文件都默认放在目录/var/log/下。
常见的一些日志文件∶
#内核及公共消息日志∶
/var/log/messages∶记录Linux内核消息及各种应用程序的公共日志信息,包括启动、io错误、网络错误、程序故障等。对于未使用独立日志文件的应用程序或服务,一般都可以从该日志文件中获得相关的事件记录信息。
#计划任务日志∶
/var/log/cron∶ 记录crond计划任务产生的事件信息。
#系统引导日志∶
/var/log/dmesg∶ 记录Linux系统在引导过程中的各种事件信息。
#邮件系统日志∶
/var/log/maillog∶记录进入或发出系统的电子邮件活动。
#用户登录日志∶
/var/log/secure∶ 记录用户认证相关的安全事件信息。
/var/log/lastlog∶ 记录每个用户最近的登录事件。二进制格式
/var/log/wtmp∶记录每个用户登录、注销及系统启动和停机事件。二进制格式
/var/run/btmp∶ 记录失败的、错误的登录尝试及验证事件。二进制格式
4.日志记录的一般格式
使用more /var/log/messages命令查看日志消息
5.日志消息的级别
| 级号 | 消息 | 级别 | 说明 |
|---|---|---|---|
| 0 | EMERG | 紧急 | 会导致主机系统不可用的情况 |
| 1 | ALERT | 警告 | 必须马上采取措施解决的问题 |
| 2 | CRIT | 严重 | 比较严重的情况 |
| 3 | ERR | 错误 | 运行出现错误 |
| 4 | WARNING | 提醒 | 可能会影响系统功能的事件 |
| 5 | NOTICE | 注意 | 不会影响系统但值得注意 |
| 6 | INFO | 信息 | 一般信息 |
| 7 | DEBUG | 调试 | 程序或系统调试信息 |
6.用户日志分析
■保存了用户登录、退出系统等相关信息
●/var/log/lastlog:最近的用户登录事件
●/var/log/wtmp:用户登录、注销及系统开、关机事件
●/var/run/utmp:当前登录的每个用户的详细信息
●/var/log/secure:与用户验证相关的安全性事件
■分析工具
●users、who、w、last、lastb
last 命令用于查询成功登录到系统的用户记录
lastb 命令用于查询登录失败的用户记录
例:
7.程序日志分析
■由相应的应用程序独立进行管理
●Web服务∶ /var/log/httpd/
access_log//记录客户访问事件参
error_log//记录错误事件
●代理服务∶ /var/log/squid/
access.log、cache.log
●分析工具
●文本查看、grep过滤检索、Webmin管理套件中查看
●awk、sed等文本过滤、格式化编辑工具
●Webalizer、Awstats等专用日志分析工具
8.日志管理策略
■及时作好备份和归档
■延长日志保存期限
■控制日志访问权限
●日志中可能会包含各类敏感信息,如账户、口令等
■集中管理日志
●将服务器的日志文件发到统一的日志文件服务器
●便于日志信息的统一收集、整理和分析
●杜绝日志信息的意外丢失、恶意篡改或删除
扫一扫
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
