Linux文件系统与日志分析

一.inode和block

1.inode和block概述

• 文件数据包括元信息与实际数据

• 文件存储在硬盘上，硬盘最小存储单位是扇区，每个扇区存储512字节。

• block（块）

  • 连续的八个扇区组成一个block
  • 是文件存取的最小单位

• inode（索引节点）

  • 中文译名为索引节点，也叫i节点
  • 用于存储文件元信息

• inode与block的关系

  • 一个文件必须占用一个inode，但至少占用一个block
  • 

2.inode的内容

• inode包含文件的元信息

  • 文件的字节数
  • 文件拥有者的User ID
  • 文件的Group ID
  • 文件的读写执行权限
  • 文件的时间戳
  • 文件类型
  • 链接数
  • 有关文件的其他数据

• 用stat命令可以查看某个文件的inode信息

  

• Linux系统的三个时间戳

  • ctime（change time）：最后一次改变文件或目录的时间，例如执行chmod，chown
  • atime（access time）：最近一次访问文件或目录的时间
  • mtime（modify time）最后一次修改文件或目录（内容）的时间

• 目录文件结构

  文件名1	inode号码1
  文件名2	inode号码2
  文件名3	inode号码3
  …	…

  • 每个inode都有一个号码，操作系统用inode号码来识别不同的文件，linux系统内部使用不同文件名，而使用inode来识别文件。 对于系统来说，文件名只是inode号码便于识别的别称，文件名和inode号码是一 一对应关系，每个inode号码对应一个文件名。

3.inode的号码

1. 表面上用户通过文件名打开文件

2. 实际上系统内部这个过程分为三步：

   1. 系统找到这个文件名对应的inode号码
   2. 通过inode号码，获取inode信息
   3. 根据inode信息，找到文件数据所在的block

3. 读出数据使用ls -i命令，可以看到文件名对应的inode号码：ls -i opt

   

4. 使用stat命令，查看文件inode信息中的inode号码：stat opt

   

• 硬盘分区后的结构

访问文件的简单流程：
  当一个用户在Linux系统中试图访问一个文件时,系统会先根据文件名去查找它的 inode ,看该用户是否具有访问这个文件的权限
  如果有，就指向相对应的数据block
  如果没有,就返回Permission denied

4.inode的大小

• inode也会消耗硬盘空间，每个inode的大小，一般是128字节或256字节
• inode的总数，在格式化时就确定
• 查看每个硬盘分区的inode总数和已经使用的数量，可以使用命令：df -i

5.inode的特殊作用

• 由于inode 号码与文件名分离，导致Linux系统具备以下几种特有的现象:

  • 文件名包含特殊字符，可能无法正常删除。这时直接删除inode，能够起到删除文件的作用

    删除inode号的方法：
    
    方法一： find 文件位置 -inum inode号码 -exec rm -i {} \;
    
    方法二： find 文件位置 -inum inode号码 -delete
    

  • mv移动文件或重命名文件，只是改变文件名，不影响inode号

  • 打开一个文件以后，系统就以inode号码来识别这个文件，不再考虑文件名

  • 文件数据被修改保存后，会生成一个新的inode号码

  • cp命令与inode：

    • 分配一个空闲的inode号
    • 在inode表中生成新条目在目录中创建一个目录项
    • 将名称与inode编号关联拷贝数据生成新的文件

  • rm命令与inode

    • 链接数递减，从而释放的inode号可以被重用把数据块放在空闲列表中
    • 删除目录项
    • 数据实际上不会马上被删除，但当另一个文件使用数据块时将被覆盖

6.链接文件

• 创建格式：ln [-s] 源文件或目录…链接文件或目标位置 （加-s为软连接，不加是硬链接）

操作和范围	软链接	硬链接
删除原始文件 后	失效	仍然可用
使用范围	适用于文件或目录	可用于文件
保存位置	与原始文件可以位于不同的文件系统 中	必须与原始文件在同一个文件系统(如一个Linux分 区)内

二.分析日志文件

1.日志文件的分类

• 内核及系统日志：这种日志数据由系统服务rsyslog统一管理,根据其主配置文件/etc/rsyslog.conf中的设置决定将内核消息及各种系统程序消息记录到什么位置
• 用户日志：这种日志数据用于记录Linux系统用户登录及退出系统的相关信息,包括用户名、登 录的终端、登录时间、来源主机、正在使用的进程操作等
• 程序日志：有些应用程序会选择由自己独立管理一份日志文件(而不是交给rsyslog服务管理),用于记录本程序运行过程中的各种事件信息

2.日志文件的格式

• 事件产生的时间
• 产生事件的服务器的主机名
• 产生事件的服务名或程序名
• 事件的具体信息

3.常见的日志文件

• 内核及公共消息日志 ： /var/log/messages: 记录Linux内核消息及各种应用程序的公共日志信息，包括启动、I0错误、网络错误、程序故障等。 对于未使用独立日志文件的应用程序或服务，一般都可以从该日志文件中获得相关的事件记录信息。

  cat /var/log/messages

• 计划任务日志

  /var/log/ cron ： 记录crond计划任务产生的事件信息

• 系统引导日志

  /var/ log/ dmesg: 记录Linux系统在引导过程中的各种事件信息

• 邮件系统日志

  /var/log/maillog:记录进入或发出系统的电子邮件活动

• 用户登录日志

  /var/log/secure: 记录用户认证相关的安全事件信息。

  /var/log/lastlog: 记录每个用户最近的登录事件。二进制格式

  /var/log/wtmp: 记录每个用户登录、注销及系统启动和停机事件。二进制格式

4.日志文件分析

• 内核及系统日志配置文件及日志消息等级

  [root@localhost mnt]# cat /etc/rsyslog.conf     ##查看/etc/rsyslog.conf配置文件
  
  
  

• Linux系统内核日志消息的优先级别(数字等级越小，优先级越高，消息越重要)

级别	消息	级别	具体描述
0	EMERG	紧急	会导致主机系统不可用的情况
1	ALERT	警告	必须马上采取措施解决问题
2	CRIT	严重	比较严重的情况
3	ERR	错误	运行出现错误
4	WARNING	提醒	可能影响系统功能，需要提醒用户的重要事件
5	NOTICE	注意	不会影响正常功能，但是需要注意的事件
6	INFO	信息	一般信息
7	DEBUG	调试	出现或系统调试信息等

• 用户日志分析

在wtmp、btmp、 lastlog等日志文件中 ,保存了系统用户登录、 退出等相关的事件消息。 但是这些文件都是二进制的数据文件，不能直接使用tail、less等文本查看工具进行浏览,需要使用who、w、users、 last和lastb等用户查询命令来获取日志信息

查询当前登录用户的情况--users，who，w命令

查询用户登录的历史记录--last，lastb命令

5.程序日志分析

程序日志由相应的应用程序独立进行管理

• web服务：/var/log/httpd/
  • access_log —记录客户访问记录
  • error_log —记录错误事件
• 代理服务：/var/log/squid/
  • accesss.log
  • cache.log
• 分析工具
  • 文本查看、grep过来检索、Webmin管理套件中查看
  • awk、sed等文本过滤、格式化编辑工具
  • Webalizer、Awstats等专用日志分析工具

6.日志管理

• 及时做好备份和归档
• 延长日志保存期限
• 控制日志访问权限
  • 日志中可能会包含各类敏感信息，如账户和口令等
• 集中管理日志
  • 将服务器的日志文件发到统一-的日志文件服务器
  • 便于日志信息的统- -收集、 整理和分析
    .log
  • cache.log
• 分析工具
  • 文本查看、grep过来检索、Webmin管理套件中查看
  • awk、sed等文本过滤、格式化编辑工具
  • Webalizer、Awstats等专用日志分析工具