文件系统和日志分析
在处理 Linux 系统出现的各种故障时,故障的症状是最易发现的,而导致这一故障的原因才是最终排除故障的关键。熟悉 Linux 系统中常见的日志文件,了解一般故障的分析与解决办法,将
有助于管理员快速定位故障点、“对症下药”、并及时解决各种系统问题
。另外,Linux 系统中通过分区、格式化来创建文件系统,而文件系统的运行又与
block 和 inode
有关。
一、inode与block
1.1inode和block概述
-
文件存储在硬盘上,硬盘的最小存储单位叫做"扇区" ( sector )
每个扇区存储512字节
。 -
操作系统读取硬盘的时候,不会一个个扇区地读取,这样效率太低,而是一次性连续读取多个扇区,即一次性读取一个"块" ( block )。这种由多个扇区组成的"块",是
文件存取的**最小单位**
。"块"的大小 ,最常见的是4KB
,即连续八个扇区组成一个块
。 -
文件数据存储在"块”中
,那么还必须找到一个地方存储文件的元信息,比如文件的创建者、文件的创建日期、文件的大小等等。这种存储文件元信息的区域就叫做inode(索引节点),也叫i节点。
-
一个文件必须占用一个inode ,至少占用一个block。
每个inode都有一个号码,操作系统用inode号码来识别不同的文件。 Linux系统内部不使用文件名,而使用inode号码来识别文件。对于系统来说,文件名只是inode号码便于识别的别称,文件名和inode号码是一一对应关系,每个inode号码对应一个文件名。
所以,当用户在Linux系统中试图访问一个文件时,系统会先根据文件名去查找它对应的inode号码:通过inode号码,获取inode信息;根据inode信息,看该用户是否具有访问这个文件的权限;如果有,就指向相对应的数据block,并读取数据。
1.1.1inode和block的关系
1.2inode的内容
1.2.1inode包含文件的元信息
- 文件的字节数 就是字节占了多少空间和文件大小
- 文件拥有者的User ID Linux识别用户的时候 ,识别的是它的UID ,这个节点里边的那个元信息呢
要存放是文件拥有者的UID - 文件的Group ID
- 文件的读、写、执行权限
- 文件的时间戳,共有三个:
ctime指inode创建时间,mtime指文件内容上一次修改的时间,atime指文件最后一次访问的时间。
- 链接数,即有多少文件名指向这个inode
- 文件数据block的位置
PS:inode不包含文件名
可以用stat命令,查看某个文件的inode信息
示例:
[root@localhost ~]# stat /etc/passwd
查看文件名对应的inode 号码有两种方式:
ls -i 文件名
stat +文件名
1.2.2linux文件系统的三个时间戳
- ctime(change time):最后一次
改变
文件或目录的时间,例如执行chmod、chown - atime(access time):是最近一次
访问
文件或目录的时间 - mtime(modify time):是最后一次
修改
文件或目录(内容)的时间
实例:
创建一个a.txt
实验1 cat a.txt
实验2 echo “this is class” > a.txt
实验3 chmod 777 a.txt
最后用stat命令查看
因为vim虽然改变了内容 相当于用新文件代替了旧文件,【应用于磁盘未满的情况】,所以他的iNode会变。 但是磁盘满了之后,iNode也不会变。
而echo 给一个文件添加内容,他是在原本的文件上改,所以iNode结点不会变
1.2.3目录文件结构
inode不包含文件名。文件名是存放在目录当中的。Linux系统中一切皆文件,因此
目录也是一种文件。
- 每个inode都有一个号码,操作系统用inode号码来识别不同的文件.
- linux系统内部使用不同文件名,而使用inode来识别文件。
- 对于系统来说,文件名只是inode号码便于识别的别称,文件名和inode号码是一 一对应关系,每个inode号码对应一个文件名。
Unix/Linux系统中,目录(directory)也是一种文件。打开目录,实际上就是打开目录文件。
目录文件的结构非常简单,就是一系列目录项(dirent)的列表。每个目录项,由两部分组成: 所包含文件的文件名,该文件名对应的inode号码.
1.3inode的号码
1.表面上,用户通过文件名,打开文件
2. 实际上,系统内部这个过程分成三步:
1.系统找到这个文件名对应的inode号码
2.通过inode号码 ,获取inode信息
3.根据inode信息,找到文件数据所在的block
3.读出数据使用Is -i命令,可以看到文件名对应的inode号码: ls -i /etc/passwd
[root@localhost ~]# ls -i /etc/passwd 69209681 /etc/passwd
4.使用stat命令,查看文件inode信息中的inode号码: stat /etc/passwd
[root@localhost ~]# stat /etc/passwd
1.3.1 硬盘分区后的结构
-
访问文件的简单流程:
-
当一个用户在Linux系统中试图访问一个文件时,系统会先根据文件名去查找它的 inode ,看该用户是否具有访问这个文件的权限
-
如果有,就指向相对应的数据block
-
如果没有,就返回Permission denied
由于inode号码与文件名分离,导致Linux系统具备以下几种特有的现象:
1.文件名包含特殊字符,可能无法正常删除。这时直接删除inode,能够起到删除文件的作用;
-
删除inode号的方法:
法一: find 文件位置 -inum inode号码 -exec rm -i {
} \;
法二: find 文件位置 -inum inode号码 -delete
[root@localhost test]# ls -i /test/a.txt
67 /test/a.txt
[root@localhost test]# find /test/ -inum 67 -delete 法一
[root@localhost test]# ls /test/
[root@localhost test]#
[root@localhost test]# touch 2.txt
[root@localhost test]# ls -i 2.txt
68 2.txt
[root@localhost test]# find /test/ -inum 68 -exec rm -i {
} \; 法二
rm:是否删除普通空文件 "/test/2.txt"?y
2.移动文件或重命名文件,只是改变文件名,不影响inode 号码
;
3.打开一一个文件以后,系统就以inode 号码来识别这个文件,不再考虑文件名。
4.文件数据被修改保存后,会生成-一个新的inode 号码。
inode 耗尽导致磁盘故障实际问题
在一台配置较低的Linux服务器(内存、硬盘比较小)的/data分区内创建文件时,系统提示磁盘空间不足,用df -h命令查看了一下磁盘使用情况
,发现/data分区只使用了66%,还有12G的剩余空间,按理说不会出现这种问题。 后来用df -i查看了一下/data分区的索引节点(inode),发现已经用满(IUsed=100%),导致系统无法创建新目录和文件。
1.3.1.1模拟故障
创建32M磁盘目录模拟实验
for n in $(seq 1 8192)
do
touch a_$n
done
touch {
1..40000}.txt|xargs -n1
查找原因:
/data/cache目录中存在数量非常多的小字节缓存文件,占用的Block不多,但是占用了大量的inode。
解决方案:
1、删除/data/cache目录中的部分文件,释放出/data分区的一部分inode。
2、用软连接将空闲分区/opt中的newcache目录连接到/data/cache,使用/opt分区的inode来缓解/data分区inode不足的问题:
ln -s /opt/newcache /data/cache
用删除inode的方式删除文件
find . -inum 391866 -exec rm {
} \;
xfs明明 已经 用完了还是能赋予两三百个节点号
1.4inode的大小
-
inode也会消耗硬盘空间,每个inode的大小,一般是128字节或256字节
-
inode的总数,在格式化时就确定
-
查看每个硬盘分区的inode总数和已经使用的数量,可以使用命令: df -i
-
查看每个inode节点的大小,可以用如下命令:
sudo dumpe2fs -h /dev/hda | grep “Inode size” -
由于每个文件都必须有一个inode,因此有可能发生inode已经用光,但是硬盘还未存满的情况。这时,就无法在硬盘上创建新文件
[root@localhost ~]# df -i
文件系统 Inode 已用(I) 可用(I) 已用(I)% 挂载点
/dev/mapper/centos-root 26214400 145278 26069122 1% /
devtmpfs 221158 446 220712 1% /dev
tmpfs 225137 1 225136 1% /dev/shm
tmpfs 225137 646 224491 1% /run
tmpfs 225137 16 225121 1% /sys/fs/cgroup
/dev/sda1 524288 328 523960 1% /boot
/dev/mapper/centos-home 38400000 10 38399990 1% /home
tmpfs 225137 9 225128 1% /run/user/42
tmpfs 225137 1 225136 1% /run/user/0
inode也会消耗硬盘空间,所以硬盘格式化的时候,操作系统自动将硬盘分成两个区域。一个是数据区,存放文件数据;另一个是inode区(inode table),存放inode所包含的信息。
cp命令与inode:
分配一个空闲的inode号
在inode表中生成新条目在目录中创建一个目录项
将名称与inode编号关联拷贝数据生成新的文件
rm命令与inode
1.链接数递减,从而释放的inode号可以被重用把数据块放在空闲列表中
2.删除目录项
3.数据实际上不会马上被删除,但当另一个文件使用数据块时将被覆盖
1.6软连接与硬链接
创建格式:
ln [-s] 源文件或目录…链接文件或目标位置(加-s为软链接,不加为硬链接)
操作和范围 | 软链接 | 硬链接 |
---|---|---|
删除原始文件 后 | 失效 | 仍然可用 |
使用范围 | 适用于文件或目录 | 可用于文件 |
保存位置 | 与原始文件可以位于不同的文件系统 中 | 必须与原始文件在同一个文件系统(如一个Linux分 区)内 |
1.7恢复误删除的xfs文件
-
Centos 7系统默认采用xfs类型的文件,xfs类型的文件可使用xfsdump 与xfsrestore 工具进行备份恢复。
-
xfsdump的备份级别有两种:
-
0表示完全备份;
-
1-9表示增量备份。
-
xfsdump的备份级别
默认为0
。
-
xfsdump格式:
xfsdump -f 备份存放位置 要备份的路径或设备文件
- xfsdump常用选项
常用选项 | 功能 |
---|---|
-f | 指定备份文件目录 |
-L | 指定标签session label |
-M | 指定设备标签media label |
-S | 备份单个文件,-s后面不能直接跟路径 |
xfsdump使用限制:
1.只能备份已挂载的文件系统
2.必须使用root的权限才能操作
3.只能备份XFS文件系统
4.备份后的数据只能让xfsrestore解析
5.不能备份两个具有相同UUID的文件系统(可用blkid命令查看)
实操案列:
#使用fdisk创建分区/dev/sdb1,格式化xfs文件系统
fdisk /dev/sdb 或者 partprobe /dev/sdb 【进行分区 区别就是:fdisk是2T之内;partprobe是超过2T】
mkfs.xfs /dev/sdb1 【格式化】 # mkfs.xfs [-f] /dev/sdb1
mkdir /data 【创建想要的目录】
mount /dev/sdb1 /data/ 【挂载】
Df -h [查看挂载是否成功]
cd /data
cp /etc/passwd ./ 【拷贝相应文件到etc下】
mkdir test //在创建一个目录
touch test/a // 创建一个文件
#使用xfsdump命令备份整个分区
rpm -qa | grep xfsdump 【先查看有就不用装了】 没有就下载yum install -y xfsdump
法一:xfsdump -f /opt/dump_sdb1 /dev/sdb1 【这个是交互状态】 [-L dump_sdb1 -M sdb1]
//-L:指定标签; -f:指定备份文件目录
xfsdump的命令格式为: xfsdump -f 备份存放位置 要备份的路径或设备文件
或 法二:xfsdump -f /opt/dump_sdb /dev/sdb1 -L dump_sdb -M sdb1 【这个是无交互状态】
#模拟数据丢失并使用xfsrestore 命令恢复文件
cd /data/
rm -rf ./*
ls
xfsrestore -f /opt/dump_sdb1 /data/ //恢复文件的位置+存放恢复后文件的位置 【还原到data上】
补充:增量备份 无交互状态
还原:
排错:
1.8EXT类型文件恢复误删除
一、安装依赖包:
-
e2fsprogs-libs-1.41.12- 18. el6.x86_ 64.rpm
-
e2fsprogs-devel-1 41.12-18.el6.x86_ 64.rpm
二、 配置、编译及安装
安装依赖包:
- extundelete-0.2.4.tar.bz2
三、具体步骤:
#使用fdisk创建分区/dev/sdc1, 格式化ext3文件系统
fdisk /dev/ sdb 或 partprobe /dev/sdb 【进行分区 区别就是:fdisk是2T之内;partprobe是超过2T】
mkfs.ext3 /dev/sdb1 【格式化】
mkdir /test
mount /dev/sdb1 /test 【挂载】
df -hT
#安装依赖包
yum -y install e2fsprogs-devel e2fsprogs-libs gcc gcc-c++
#编译安装extundelete
df -i
cd /test
wget http://nchc.dl.sourceforge.net/project/extundelete/extundelete/0.2.4/extundelete-0.2.4.tar.bz2
解压包:tar jxvf extundelete-0.2.4.tar.bz2
cd extundelete-0.2.4/
./configure --prefix=/usr/1ocal/extundelete && make && make install
或./configure && make && make install
ln -s /usr/local/extundelete/bin/* /usr/bin/
#模拟删除并执行恢复操作
cd /test
echo a>a
echo a>b
echo a>c
echo a>d
ls
extundelete /dev/sdb1 --inode 2 #查看文件系统/dev/sdb1下存在哪些文件,i节点是从2开始的,2代表该文件系统最开始的目录。
rm -rf a b
extundelete /dev/sdb1 --inode 2
cd ~
umount /test
extundelete /dev/sdb1 --restore-all #恢复/dev/sdb1 文件系统下的所有内容
二、分析日志文件
1.日志保存位置默认位于:/var/log目录下
2.内核及系统日志由系统服务rsyslog 统一管理,主配置文件为/etc/rsyslog.conf
日志的功能:
-
用于记录系统、程序运行中发生的各种事件
-
通过阅读日志,有助于诊断和解决系统故障
2.1日志文件的分类
-
内核及系统日志: 这种日志数据由系统服务rsyslog统一管理,根据其主配置文件/etc/rsyslog.conf中的设置决定将内核消息及各种系统程序消息记录到什么位置
-
用户日志: 这种日志数据用于记录Linux系统用户登录及退出系统的相关信息,包括用户名、登 录的终端、登录时间、来源主机、正在使用的进程操作等
-
程序日志: 有些应用程序会选择由自己独立管理一份日志文件(而不是交给rsyslog服务管理),用于记录本程序运行过程中的各种事件信息
2.2.日志文件的格式
事件产生的时间。
产生事件的服务器的主机名。
产生事件的服务名或程序名。
事件的具体信息。
2.3常见日志文件
- 内核及公共消息日志 : /var/log/messages: 记录Linux内核消息及各种应用程序的公共日志信息,包括启动、I0错误、网络错误、程序故障等。 对于未使用独立日志文件的应用程序或服务,一般都可以从该日志文件中获得相关的事件记录信息。
-
计划任务日志:/var/log/ cron : 记录crond计划任务产生的事件信息。
-
系统引导日志 :/var/ log/ dmesg: 记录Linux系统在引导过程中的各种事件信息。
-
邮件系统日志 :
- /var/log/maillog:记录进入或发出系统的电子邮件活动。
-
用户登录日志 :
-
/var/log/secure: 记录用户认证相关的安全事件信息。
-
/var/log/lastlog: 记录每个用户最近的登录事件。二进制格式
-
/var/log/wtmp: 记录每个用户登录、注销及系统启动和停机事件。二进制格式
-
/var/ run/btmp: 记录失败的、错误的登录尝试及验证事件。二进制格式
-
2.4日志文件分析
2.4.1内核及系统日志配置文件及日志消息等级
[root@localhost mnt]# cat /etc/rsyslog.conf
查看/etc/rsyslog.conf配置文件
* . info;mail.none;authpriv.none;cron.none /var/log/messages
*.info #表示info等级及以上的所有等级的信息都写到对应的日志文件里
mail.none #表示某事件的信息不写到日志文件里(这里比如是邮件)
- Linux系统内核日志消息的优先级别(数字等级越小,优先级越高,消息越重要)
级别 | 消息 | 级别 | 具体描述 |
---|---|---|---|
0 | EMERG | 紧急 | 会导致主机系统不可用的情况 |
1 | ALERT | 警告 | 必须马上采取措施解决的问题 |
2 | CRIT | 严重 | 比较严重的情况 |
3 | ERR | 错误 | 运行出现错误 |
4 | WARNING | 提醒 | 可能影响系统功能,需要提醒用户的重要事件 |
5 | NOTICE | 注意 | 下会影响正常功能,但是需要注意的事件 |
6 | INFO | 信息 | 一般信息 |
7 | DEBUG | 调试 | 程序或系统调试信息等 |
2.4.2用户日志分析
在wtmp、btmp、 lastlog等日志文件中 ,保存了系统用户登录、 退出等相关的事件消息。 但是这些文件都是二进制的数据文件,不能直接使用tail、less等文本查看工具进行浏览,需要使用who、w、users、 last和lastb等用户查询命令来获取日志信息。
2.4.2.1查询当前登录的用户情况—users、who、w命令
**users:
**命令只是简单地输出当前登录的用户名称
,每个显示的用户名对应一个登录会话。如果一个用户有不止一个登录会话,那他的用户名将显示与其相同的次数。
**who:
**命令用于报告当前登录到系统中的每个用户的信息
。使用该命令,系统管理员可以查看当前系统存在哪些不合法用户,从而对其进行审计和处理。who 的默认输出包括用户名、终端类型、登录日期及远程主机。
**w:
**命令用于显示当前系统中的每个用户及其所运行的进程信息
,比 users、who 命令的输出内容要丰富一些。
**Lastlog:
**可以查看用户的登录和未登录的信息
2.4.2.2查询用户登录的历史记录—last、lastb命令
- last命令—用于
查询成功登录到系统的用户记录,最近的登录情况将显示在最前面
。通过last 命令可以及时掌握 Linux 主机的登录情况,若发现未经授权的用户登录过,则表示当前主机可能已被入侵。
- lastb命令—用于
查询登录失败的用户记录
,如登录的用户名错误、密码不正确等情况都将记录在案。登录失败的情况属于安全事件,因为这表示可能有人在尝试猜解你的密码。除了使用 lastb 命令查看以外,也可以直接从安全日志文件/var/log/secure 中获得相关信息。
2.4.3程序日志分析
-
程序日志由相应的应用程序独立进行管理
-
Web服务:/var/log/httpd/
-
access_log ——记录客户访问事件
-
error_log ——记录错误事件
-
-
代理服务:/var/log/squid/
- access.log、cache.log
-
分析工具
-
文本查看、grep过来检索、Webmin管理套件中查看
-
awk、sed等文本过滤、格式化编辑工具
-
Webalizer、Awstats等专用日志分析工具
-
-
2.5日志管理
-
及时做好备份和归档
-
延长日志保存期限
-
控制日志访问权限
- 日志中可能会包含各类敏感信息,如账户和口令等
-
集中管理日志
-
将服务器的日志文件发到统一-的日志文件服务器
-
便于日志信息的统- -收集、 整理和分析
-
杜绝日志信息的意外丢失、恶意篡改或删除
-
小小知识扩展:
journalctl工具是CentOS-7才有的工具
Systemd 统一管理所有 Unit 的启动日志。带来的好处就是 ,可以只用journalctl一个命令,查看所有日志(内核日志和 应用日志)。日志的配置文件/etc/systemd/journald.conf
ps -ef | grep journald
journalctl -b //查看本次启动的日志
journalctl -k //查看内核日志
[root@localhost log]# journalctl | wc -l //查看系统总共的日志
journalctl -xe 经常用来查看最近报错的日志
-e:从结尾开始看
-x:提供问题相关的网址
注:小伙伴们 可研究 日志工具可研究:Webmin、 Webalizer、Awstats等专用日志分析工具