用户通过文件名打开文件的过程
①系统找到这个文件名对应的inode号码
②通过inode号码，获取inode信息
③根据inode信息，找到文件数据所在的block，读出数据
④inode也会消耗硬盘空间，在格式化的时候，操作系统自动将硬盘分成两个区域，一个数据区，存放文件数据，另一个是inode区，存放inode所包含的信息，每个inode的大小，一般是128字节或256字节。
⑤通常情况下不需要关注单个inode的大小，而是重点关注inode总数， inode总数在格式化的时候基于给定了，执行 “df -i” 命令可以查看每个硬盘分区对应的inode总数和已经使用的inode数量。
⑥ 软链接的inode与原文件不一样，硬链接的inode与原文件一样

1.3、删除inode

删除inode节点只能使用 fine 组合去删除，不能直接使用 rm 去删除，因为 rm 是以文件名去删除的，就算输入对的一个inode号，rm也会把它们当成一个文件名。

find ./ -inum 67766704? -exec rm -i {} \;

find ./ -inum 67766697? -delete

二、日志文件

1.1、日志的功能

●用于记录系统、程序运行中发生的各种事件
●通过阅读日志，有助于诊断和解决系统故障

1.2、日志文件的分类

●内核及系统日志由系统服务rsyslog统一进行管理，日志格式基本相似
●用户日志记录系统用户登录及退出系统的相关信息
●程序日志
????????◆由各种应用程序独立管理的日志文件，记录格式不统一

1.3、日志的作用：
1、辅助排障? 2、数据恢复? 3、数据分析

Linux系统内核日志消息的优先级别(数字等级越小，优先级越高，消息越重要）：
0 EMERG(紧急):会导致主机系统不可用的情况。
1 ALERT（警告):必须马上采取措施解决的问题。
2 CRIT(严重):比较严重的情况。
3 ERR(错误):运行出现错误。
4 WARNING(提醒):可能影响系统功能，需要提醒用户的重要事件。
5 NOTICE (注意):不会影响正常功能，但是需要注意的事件。
6 INFO(信息):股信息。
7 DEBUG(调试):程序或系统调试信息等。

越为重要的程序或服务，理应保存优先级越低的日志信息

2.1、日志记录的一般格式

2.2、用户日志的分析?

保存了用户登录、退出系统等相关信息
/var/log/lastlog：最近的用户登录时间
/var/log/wtmp：用户登录、注销及系统开、关机事件
/var/run/utmp：当前登录的每个用户的详细信息
/var/log/secure：与用户验证相关的安全性时间

分析工具

1、? users：命令只是简单地输出当前登录的用户名称，每个显示的用户名对应一个登录会话，如果一个用户有不止一个登录会话，那他的用户名将显示与其相同的次数

2、? who：命令用于报告当前登录到系统中的每个用户的信息。使用该命令，系统管理员可以查看当前系统存在哪些不合法用户，从而对其进行审计和处理，who的默认输出包括用户名、终端类型、登录日期及远程主机

?w ：??命令用于显示当前系统中的每个用户及其所运行的进程信息，比users、who输出的内容要丰富一些

?last?：命令用于查看成功登录到系统的用户记录，最近的登录情况将显示在最前面，通过last命令可以掌握 linux 主机的登录情况，若发现未经授权的用户登录过，则表示当前主机可能已被入侵?

journalctl

可以使用 journalctl 查看所有日志（内核日志和应用日志），日志的配置文件 /etc/systemd/journald.conf?

?journalctl -k? ?#查看内核日志?

journalctl -xe 经常用来查看最近报错的日志
-e：从结尾开始看
-x：提供问题相关的网址

3.1日志管理

及时做好备份和归档延长日志保存期限控制日志访问权限，日志中可能包含各类敏感信息，如账户、口令等集中管理日志，将服务器的日志发到统一的日志文件服务器便于日志信息的统一收集、整理和分析杜绝日志信息的意外丢失、恶意篡改或删除。

3.2日志保存位置与介绍

下面介绍常见的一些日志文件：
/var/log/messages：记录Linux内核消息及各种应用程序的公共日志信息，包括启动、、I/O错误。网络错误、程序故障等。对于未使用独立日志文件的应用程序或服务，一般都可以从该日志文件中获得相关的事件记录信息。
/var/log/cron：记录crond计划任务产生的事件信息
/var/log/dmedg：记录Linux操作系统在引导过程中的各种事件信息
/var/log/maillog：记录进入或发出系统的电子邮件活动
/var/log/lastlog：记录每个用户最近的登录事件
var/log/secure：记录用户认证相关的安全事件信息
/var/log/wtmp：记录每个用户登录。注销及系统启动和停止事件
/var/log/btmp：记录失败的、错误的登录尝试及验证事件

3.3日志消息的优先级别?

 EMERG(紧急)：会导致主机系统不可用的情况
 ALERT（警告）：必须马上采取措施解决的问题
 CRIT（严重）：比较严重的情况
 ERR（错误）：运行出现错误
 WARNING（提醒）：可能影响系统功能，需要提醒用户的重要事件
 NOTICE（注意）：不会影星正常功能，但是需要注意的事件
 INFO（信息）：一般信息
 DEBUG（调试）：程序或系统调试信息等

一般来说，越为重要的程序或服务，理应保存优先级越低的日志信息

3.4journalctl工具

journalctl工具是CentOS-7才有的工具
systemd同一管理所有Unit的启动日志。带来的好处就是，可以只用journalctl一个命令，查看所有日志（内核日志和应用日志）。日志的配置文件/etc/systemd/journald.conf

journalctl -b ? ? ? ? ? ?//查看本次启动的日志
journalctl -k ? ? ? ? ? ?//查看内核日志
journalctl | ?wc -l ? ? ?//查看系统总共的日志
journalctl -u [服务名] ? ?//查看某个服务的报错
journalctl -p [日志等级] ?//查看不同等级的日志
journalctl -xe ? ? ? ? ? //查看最近报错的日志
-x：从结尾开始看
-e：提供问题相关的网址