目录
一、inode和block概述
inode是理解Unix/Linux文件系统和硬盘储存的基础。
1.inode和block概述
- 文件数据包括元信息与实际数据
- 文件存储在硬盘上,硬盘最小存储单位是“扇区”,每个扇区存储512字节
block (块): 连续的八个扇区组成一个block(4k),是文件存取的最小单位
inode (索引节点):中文译名为“索引节点”,也叫i节点,用于存储文件元信息
2.inode的内容
2.1.inode包含的文件的元信息
文件的字节数;文件拥有者的User ID;文件的Group ID;
文件的读、写、执行权限;文件的时间戳等(时间戳; Y-M-D h-m)
用stat命令可以查看某个文件的inode信息
示例: stat 1.txt
2.2Linux系统文件三个主要的时间属性
- ctime(change time):最后一次改变文件或目录(属性)的时间
- atime(access time):最后一次访问文件或目录的时间
- emtime(modify time):最后一次修改文件或目录(内容)的时间
2.3目录文件的结构
目录也是一种文件;目录文件的结构
每个inode都有一个号码,操作系统用inode号码来识别不同的文件
Linux系统内部不使用文件名,而使用inode号码来识别文件
对于用户,文件名只是inode号码便于识别的别称
2.4inode的号码
用户通过文件名打开文件时,系统内部的过程
- 系统找到这个文件名对应的inode号码
- 通过inode号码,获取inode信息
- 根据inode信息,找到文件数据所在的block,读出数据
查看inode号码的方法
ls -i 命令:查看文件名对应的inode号码
stat 命令:查看文件inode信息中的inode号码
ls -l 1.txt
stat 1.txt
3.inode的大小
- inode也会消耗硬盘空间:每个inode的大小一般是128字节或256字节
- 格式化文件系统时确定inode的总数
- 使用df -i命令可以查看每个硬盘分区的inode总数和已经使用的数量
4.inode的特殊作用
由于inode号码与文件名分离,导致一些Unix/Linux系统具有以下的现象:
- 当文件名包含特殊字符,可能无法正常删除文件,直接删除inode,也可以删除文件
- 移动或重命名文件时,只改变文件名,不影响inode号码
- 打开一个文件后,系统通过inode号码来识别该文件,不再考虑文件名
5.文件存储小结
硬盘分区后的结构
访问文件的简单流程
二、链接文件
为文件或目录建立链接文件
链接文件分类:
| 软链接 | 硬链接 | |
|---|---|---|
| 删除原始文件后 | 失效 | 仍旧可用 |
| 使用范围 | 适合于文件或目录 | 只可用于文件 |
| 保存位置 | 与原始文件可以位于不同的文件系统中 | 必须与原始文件在同一个文件系统内 |
软连接:ln -s 源文件或目录 链接文件或目标位置
硬链接:ln 源文件 目标位置
三、案例:恢复EXT类型的文件
恢复EXT类型的文件
使用fdisk创建分区/dev/sdc1,格式化ext3文件系统
fdisk /dev/sdc
mkfs.ext3 /dev/sdc1 #格式化
mount /dev/sdc1 /abc #挂载
df -hT #查看
yum -y install e2fsprogs-devel e2fsprogs- libs gcc* #安装环境
编译安装extundelete
cd /mnt
wget http://nchc.dl.sourceforge.net/project/extundelete/extundelete/0.2.4/extundelete-0.2.4.tar.bz2
tar jxvf extundelete-0.2.4.tar.bz2
cd extundelete-0.2.4/
./configure && make && make install
ln -s /usr/local/extundelete/bin/* /usr/bin/
模拟删除并执行恢复操作
cd /mnt
echo a>a
echo a>b
echo a>c
echo a>d
ls
extundelete /dev/sdc1 -- inode 2
验证
rm -rf a b
extundelete /dev/sdc1 --inode 2
cd ~
umount /abc
extundelete /dev/sdc1 --restore-all #恢复/dev/sdc1 文件系统下的所有内容
当出现 RECOVERED_FILES 目录时,里面保存的文件已经恢复四、案例:恢复XFS类型的文件
#使用fdisk创建分区/dev/sdc1,格式化xfs文件系统
fdisk /dev/sdb
mkfs.xfs /dev/sdb1
mkdir /data
mount /dev/sdb1 /date/
cd /data
cp /etc/passwd ./
mkdir test
touch test/a
#使用 xfsdump 命令备份整个分区
rpm -qa | grep xfsdump
yum install -y xfsdump #安装环境
xfsdump -f /opt/dump_sdb1 /dev/sdb1 -L dump_sdb1 -M sdb1
#模拟数据丢失并使用 xfsrestore 命令恢复文件
cd /data/
rm -rf ./*
ls
xfsrestore -f /opt/dump_sdb1 /data/五、日志文件
1.日志功能
- 用于记录系统、程序运行中发生的各种事件
- 通过阅读日志,有助于诊断和解决系统故障
2.日志文件的分类
- 内核及系统日志:由系统服务rsyslog统一进行管理,日志格式基本相似
- 用户日志:记录系统用户登录及退出系统的相关信息
- 程序日志.:由各种应用程序独立管理的日志文件,记录格式不统一
3.主要日志文件介绍
内核及系统日志由系统服务rsys1og统一管理,主配置文件为/etc/rsyslog.conf
Linux操作系统本身和大部分服务器程序的日志文件都默认放在目录/var/1og/下。
| 日志 | 地址 |
|---|---|
| 内核及公共消息日志 | /var/log/messages |
| 计划任务日志 | /var/log/cron |
| 系统引导日志 | /var/log/dmesg |
| 邮件系统日志 | /var/log/maillog |
| 用户登录日志 | /var/log/lastlog |
| /var/log/secure | |
| /var/log/wtmp | |
| /var/log/btmp |
内核及公共消息日志:
- /var/1og/messages:记录Linux内核消息及各种应用程序的公共日志信息,包括启动、IO错误、网络错误、程序故障等。对于未使用独立日志文件的应用程序或服务,一般都可以从该日志文件中获得相关的事件记录信息。
计划任务日志:
- /var/1og/cron:记录crond计划任务产生的事件信息。
系统引导日志:
- /var/1og/dmesg:记录Linux系统在引导过程中的各种事件信息。
邮件系统日志:
- /var/1og/maillog:记录进入或发出系统的电子邮件活动。
用户登录日志:
- /var/log/secure:记录用户认证相关的安全事件信息。
- /var/1og/lastlog:记录每个用户最近的登录事件。二进制格式
- /var/1og/wtmp: 记录每个用户登录、注销及系统启动和停机事件。二进制格式
- /var/run/btmp: 记录失败的、错误的登录尝试及验证事件。二进制格式
4.日志消息级别
| 级号 | 消息 | 级别 | 解释 |
|---|---|---|---|
| 0 | EMERG | 紧急 | 会导致主机系统不可用的情况 |
| 1 | ALERT | 警告 | 必须马上采取措施解决的问题 |
| 2 | CRIT | 严重 | 比较严重的情况 |
| 3 | ERR | 错误 | 运行出现错误 |
| 4 | WARNING | 提醒 | 可能会影响系统功能的事件 |
| 5 | NOTICE | 注意 | 不会影响系统但值得注意 |
| 6 | INFO | 信息 | 一般信息 |
| 7 | DEBUG | 调试 | 程序或系统调试信息等 |
5.日志记录的一般格式
[root@tanpw ~]# more /var/log/messages
Aug 7 18:08:42 localhost journal: Runtime journal is using 8.0M (max allowed 188.5M, try
ing to leave 282.8M free of 1.8G available → current limit 188.5M).
Aug 7 18:08:42 localhost kernel: Initializing cgroup subsys cpuset
Aug 7 18:08:42 localhost kernel: Initializing cgroup subsys cpu
Aug 7 18:08:42 localhost kernel: Initializing cgroup subsys cpuacct
时间标签 主机名 系统名 消息字段- /var/log/lastlog:最近的用户登录事件
- /var/log/wtmp:用户登录、注销及系统开、关机事件
- /var/run/utmp:当前登录的每个用户的详细信息
- /var/log/secure:与用户验证相关的安全性事件
6.分析日志
- users、who、w、last、lastb
- last 命令用于查询成功登录到系统的用户记录
- lastb 命令用于查询登录失败的用户记录
7.日志管理策略
及时作好备份和归档
延长日志保存期限
控制日志访问权限:日志中可能会包含各类敏感信息,如账户、口令等
集中管理日志
- 将服务器的日志文件发到统一的日志文件服务器·
- 便于日志信息的统一收集、整理和分析
- 杜绝日志信息的意外丢失、旁恶意篡改或删除
标签:文件,log,文件系统,dev,Linux,var,日志,inode From: https://blog.csdn.net/Tpw12qaz/article/details/141168281