文章目录
前言
在处理出现的各种故障的最好方法就是查看日志文件,熟悉Linux系统中常见的日志文件,知道怎样去分析和解决故障,会有利于工作的完成。
一、inode与block概述
概述:
文件数据包括元信息(类似文件属性)与实际数据
- 文件数据存储在“块”中
- 存储文件元信息( 比如文件的创建者、创建日期、文件大小、文件权限等)的区域就叫做inode
- 一个文件必须占用一个inode, 并且至少占用一个block
(Linux 系统中一切皆文件,因此目录也是一种文件。) - 文件是存储在硬盘上的,硬盘的最小存储单位叫做“扇区”(sector),每个扇区存储512字节。
1.block (块)
- 一般连续八个扇区组成一个"块”(block),一个块是4K大小,是文件存取的最小单位。
- 操作系统读取硬盘的时候,是一次性连续读取多个扇区,即一个块一个块的读取的。
2.inode(索引节点)
-
用于储存文件元信息
-
每个inode都有一个号码,操作系统用inode号码来识别不同的文件。Linux系统内部不使用文件名,而使用inode号码来识别文件。对于系统来说,文件名只是inode号码便于识别的别称,文件名和inode号码是一一对应关系,每个inode号码对应一个文件名。
-
所以,当用户在Linux系统中试图访问一个文件时,系统会先根据文件名去查找它对应的inode号码:通过inode号码,获取inode信息;根据inode信息,看该用户是否具有访问这个文件的权限;如果有,就指向相对应的数据block,并读取数据。
二.inode的内容
1.inode包含文件的元信息
- 文件的字节数
- 文件拥有者的User ID
- 文件的Group ID
- 文件的读、写、执行权限
- 文件的时间戳
查看某个文件的inode信息
stat + 文件名或ls -i +文件名
2.Linux系统文件三个主要的时间属性
- ctime(change time)
最后一次改变文件或目录(属性)的时间 - atime(access time)
最后一次访问文件或目录的时间 - mtime(modify time)
最后一次修改文件或目录(内容)的时间
2.访问文件的简单流程
3.inode特殊作用
由于inode号码与文件名分离,导致Linux系统具备以下几种特有的现象:
1.文件名包含特殊字符,可能无法正常删除。这时直接删除inode,能够起到删除文件的作用;
2.移动文件或重命名文件,只是改变文件名,不影响inode 号码;
3.打开一个文件以后,系统就以inode 号码来识别这个文件,不再考虑文件名。
4.文件数据被修改保存后,会生成-一个新的inode 号码。
find ./ -inum 52305140 -exec rm -i {} ;
find ./ -inum 50464299 -delete
4.inode节点耗尽的故障处理
#使用fdisk创建分区/dev/sdb1, 分区大小30M即可
fdisk /dev/sdb
mkfs.ext3 /dev/sdb1
mkdir /test
mount /dev/sdb1 /test
df -i
#模拟inode节点耗尽故障
for ((i=1; i<=7680; i++)) ;do touch /test/file$i;done 或 i=i+1 或i+=1
touch {1..5680}.txt
df -i
df -hT
#删除文件恢复
rm -rf /test/*
df -i
df -hT
三、恢复EXT类型文件
- extundelete是一个 开源的Linux数据恢复工具, 支持ext3、 ext4文件系统。 (ext4只能在centos6版 本恢复)
#使用fdisk创建分区/dev/sdc1, 格式化ext3文件系统
fdisk /dev/sdc
partprobe /dev/sdc
mkfs.ext3 /dev/sdc1
mkdir /test
mount /dev/sdc1/test
df -hT
#安装依赖包
yum -y install e2fsprogs-devel e2fsprogs-libs gcc gcc-c++
#编译安装extundelete
cd /test
wget http://nchc.dl.sourceforge.net/project/extundelete/extundelete/0.2.4/extundelete-0.2.4.tar.bz2
tar jxvf extundelete-0.2.4.tar.bz2
cd extundelete-0.2.4/
./configure --prefix=/usr/1ocal/extundelete && make && make install
ln -s /usr/local/extundelete/bin/* /usr/bin/
#模拟删除并执行恢复操作
cd /test
echo a>a
echo a>b
echo a>c
echo a>d
ls
extundelete /dev/sdc1 --inode 2 #查看文件系统/dev/sdc1下存在哪些文件,i节点是从2开始的,2代表该文件系统最开始的目录。
rm -rf a b
extundelete /dev/sdc1 --inode 2
cd ~
umount /test
extundelete /dev/sdc1 --restore-all #恢复/dev/sdc1 文件系统下的所有内容
#在当前目录下会出现一个RECOVERED_FILES/目录,里面保存了已经恢复的文件
ls RECOVERED FILES/
四、恢复误删除的文件
Centos 7系统默认采用xfs类型的文件,xfs类型的文件可使用xfsdump 与xfsrestore 工具进行备份恢复
1.xfsdump命令格式:
xfsdump -f +【备份存放位置】+【要备份的路径或设备文件】
2.xfsdump备份级别(默认为0)
0:完全备份
1-9:增量备份
3.xfsdump常用选项
-f、 L、-M、 -S
-f: 指定备份文件目录
-L: 指定标签session label
-M: 指定设备标签media label
-s: 备份单个文件,-s后面不能直接跟路径
4.xfsdump使用限制:
1.只能备份已挂载的文件系统
2.必须使用root的权限才能操作
3.只能备份XFS文件系统
4.备份后的数据只能让xfsrestore解析
5.不能备份两个具有相同UUID的文件系统(可用blkid命令查看)
#使用fdisk创建分区/dev/sdb1,格式化xfs文件系统
fdisk /dev/sdb
partprobe /dev/sdb
mkfs.xfs /dev/sdb1 # mkfs.xfs [-f] /dev/sdb1
mkdir /data
mount /dev/sdb1 /data/
cd /data
cp /etc/passwd ./
mkdir test
touch test/a
#使用xfsdump命令备份整个分区
rpm -qa | grep xfsdump
yum install -y xfsdump
xfsdump -f /opt/dump_sdb1 /dev/sdb1 [-L dump_sdb1 -M sdb1]
xfsdump -f /opt/dump_sdb /dev/sdb1 -L dump_sdb -M sdb1
#模拟数据丢失并使用xfsrestore 命令恢复文件
cd /data/
rm -rf ./*
ls
xfsrestore -f /opt/dump_sdb1 /data/
五、分析日志文件
- 内核及系统日志由系统服务rsyslog 统一管理,主配置文件为/etc/rsyslog.conf
- Linux操作系统本身和大部分服务器程序的日志文件都默认放在目录/var/1og/下
1.常用的一些日志分类
-
内核及公共消息日志:
/var/log/messages: 记录Linux内核消息及各种应用程序的公共日志信息,包括启动、IO错误、网络错误、程序故障等。
(对于未使用独立日志文件的应用程序或服务,一般都可以从该日志文件中获得相关的事件记录信息。) -
计划任务日志:
/var/1og/cron: 记录crond计划任务产生的事件信息。 -
系统引导日志:
/var/log/dmesg: 记录Linux系统在引导过程中的各种事件信息。 -
邮件系统日志:
/var/log/maillog: 记录进入或发出系统的电子邮件活动。 -
用户登录日志:
/var/log/secure: 记录用户认证相关的安全事件信息。
/var/log/lastlog: 记录每个用户最近的登录事件。二进制格式
/var/1og/wtmp: 记录每个用户登录、注销及系统启动和停机事件。二进制格式
/var/run/btmp: 记录失败的、错误的登录尝试及验证事件。二进制格式
输入“vim /etc/rsyslog.conf”可以进入查看配置文件
"*.info"表示info等级及以上的所有等级的信息都写到对应的日志文件里
“mail.none”表示某件事的信息不写到日志文件里
2.日志消息优先级
Linux系统内核日志消息的优先级别(数字等级越小,优先级越高,消息越重要) :
| 数字 | 含义 | 说明 |
|---|---|---|
| 0 | EMERG(紧急) | 会导致主机系统不可用的情况。 |
| 1 | ALERT(警告) | 必须马上采取措施解决的问题。 |
| 2 | CRIT(严重) | 比较严重的情况。 |
| 3 | ERR (错误) | 运行出现错误。 |
| 4 | WARNING(提醒) | 可能影响系统功能,需要提醒用户的重要事件。 |
| 5 | NOTICE (注意) | 不会影响正常功能,但是需要注意的事件。 |
| 6 | INFO(信息) | 一般信息。 |
| 7 | DEBUG(调试) | 程序或系统调试信息等。 |
4.日志分析命令
保存了用户登录、退出系统等相关信息
/varl/log/lastlog:最近的用户登录事件
/var/log/wtmp:用户登录、注销及系统开、关机事件
/var/run/utmp:当前登录的每个用户的详细信息
/var/log/secure:与用户验证相关的安全性事件
这些文件都是二进制的数据文件,不能直接使用tail、less等文本查看工具进行浏览,需要使用users、who、w、last、lastb等用户查询命令来获取日志信息
-
user命令指示简单的输出当前登录的用户名称,每个显示的用户名对应一个登录会话;如果一个用户有不止一个登录会话,那么他的用户名将显示与其相同的次数
-
who命令用于报告当前登录到系统中的每个用户的信息;使用该命令,系统管理员可以查看当前系统存在哪些不合法用户,从而对其进行审计和处理(who的默认输出包括用户名、终端类型、登录日期及远程主机)
-
w命令用于显示当前系统中的每个用户与其所运行的进程信息,输出内容会更加丰富一点
-
last命令用于查询成功登录到系统的用户记录,最近的登录情况将显示在最前面;若发现未经授权的用户登陆过即可知道被入侵了
-
lastb命令用于查询登录失败的用户记录,可以注意是否有人在暴力破解你的密码;也可以在安全日志/var/log/secure中获得相关信息(tail /var/log/secure)
一些些系统常见日志
/var/log/messages //系统主日志文件
[root@localhost ~]# cat /var/log/messages | wc -l
3784
tail -f或者tailf或tail -100查看
时间,主机名,服务,具体信息
/var/log/dmesg //开机后的内核自检信息,dmesg命令看的是一样的
/var/log/secure //涉及到登陆,验证之类的都会记录比如su
用户日志采用二进制格式,但可以用命令查看,避免认为修改内容,保证日志的有效性
/var/log/wtmp(last)
/var/log/btmp(lastb)
/var/log/lastlog(lastlog)所有账号的登录信息
还有一些服务的日志比如
/var/log/yum.log
/var/log/cron
也并不是所有安装的程序的日志都会在/var/log下,只有rpm包安装的才会,源码装的在自己指定的目录中
例如httpd,源码安装的日志目录在/usr/local/httpd/logs/
总结
在上述文章中,重要的是inode和日志的类型与优先级,特别是日志这方面一定要了解清楚,以后排查故障就是要在日志中寻找,这是非常重要的。