文件系统与日志分析

一.inode表结构

1.indoe 表中 信息

每个文件的属性信息，比如：文件的大小，时间，类型，权限等，称为文件的元数据(meta data 元信息 )

元数据是存放在inode（index node）表中。inode 表中有很多条记录组成，第一条记录对应的存放了一个

文件的元数据信息。

每一个inode表记录对应的保存了以下信息：

• inode number 节点号
• 文件类型
• 权限
• UID
• GID
• 链接数（指向这个文件名路径名称个数）
• 该文件的大小和不同的时间戳
• 指向磁盘上文件的数据块指针
• 有关文件的其他数据

如何查看inode号？

使用 ls -i命令。如图所示：

Linux系统文件三个主要的时间属性

• atime（access time)：最近访问

  最后一次访问文件的时间

• mtime（modify）：最近更改

  最后一次更改文件内容的时间

• ctime（change time）：最近改动

  最后一次改变文件元信息的时间

注意：

• 不打开文件的话，atime不变。例如使用echo追加内容，atime不会变，因为文件没有被打开访问。

• 修改文件内容的话，mtime会变，ctime也会变。

• 如果只修改文件的权限，ctime变，mtime不变。

2.inode和block关系

1. 文件是存储在硬盘上的，硬盘的最小存储单位叫做"扇区"(sector)，每个扇区存储512字节。

2. 一般连续八个扇区组成一个"块"(block)，一个块是4K大小，是文件存取的最小单位。操作系统读取硬盘的时候，是一次性连续读取多个扇区，即一个块一个块的读取的。4k一读,8个扇区一读

3. 文件数据包括实际数据与元信息(类似文件属性)。文件数据存储在"块"中，存储文件元信息(比如文件的创建者、创建日期、文件大小、文件权限等)的区域就叫做inode表。 因此，一个文件必须占用一个inode，并且至少占用一个block。du 显示

4. inode不包含文件名。文件名是存放在目录文件夹当中的。Linux 系统中一切皆文件，因此目录也是一种文件。

5. 每个inode都有一个号码，操作系统用inode号码来识别不同的文件。Linux系统内部不使用文件名，而使用inode号码来识别文件。对于系统来说，文件名只是inode号码便于识别的别称，文件名和inode号码是一一对应关系，每个inode号码对应一个或多个文件名。

6. 所以，当用户在Linux系统中试图访问一个文件时，系统会先根据文件名去查找它对应的inode号码:通过inode号码，获取inode信息;根据inode信息，看该用户是否具有访问这个文件的权限;如果有，就指向相对应的数据block，并读取数据。

3.inode 的大小

• inode也会消耗硬盘空间

  每个inode的大小一般是128字节或256字节

• 格式化文件系统时确定inode的总数

  如果磁盘还有空间，但inode号被全部占用，也无法创建新文件。

inode号在同一个文件系统内唯一，在不同的文件系统中可以重复

4.inode的特殊作用

由于inode号码与文件名分离，导致一些Unix/Linux系统具有以下的现象：

当文件名包含特殊字符，可能无法正常删除文件，直接删除inode，也可以删除文件。

举例：

移动或重命名文件时，只改变文件名，不影响inode号码（这里好比说inode号等于人的身份证，即使你怎么改名字身份证号都不会变，将户口迁移到外地身份证号也不会变）

举例：

5.命令和inode号之间的关系

cp 命令：

• 分配一个空闲的inode号，在inode表中生成新条目
• 在目录中创建一个目录项，将名称与inode编号关联
• 拷贝数据生成新的文件

rm 命令：

• 硬链接数递减，从而释放的inode号可以被重用
• 把数据块放在空闲列表中
• 删除目录项
• 数据实际上不会马上被删除，但当另一个文件使用数据块时将被覆盖

mv命令：

• 如果mv命令的目标和源在同一设备，

  不影响inode表（除时间戳）或磁盘上的数据位置；

  系统会删除旧的目录对应关系，新建目录对应关系。

二.日志文件介绍与分析

日志的功能：

• 用于记录系统、程序运行中发生的各种事件
• 通过阅读日志，有助于诊断和解决系统故障

日志文件的分类：

• 内核及系统日志：

  这种日志数据由系统服务rsyslog统一管理，根据其主配置文件/etc/rsyslog.conf中的设置，决定将内核消息及各种系统程序消息记录到什么位置。日志格式基本相似。

• 用户日志：

  记录用户登录及退出系统的相关信息，包括用户名、登录的终端、登录时间、来源主机、正在使用的进程操作等。

• 程序日志：

  有些应用程序会选择由自己独立管理一份日志文件（而不是交给rsyslog服务管理），用于记录本程序运行过程中的各种事件信息。记录格式不统一。

日志保存位置：

• 默认位于：/var/log 目录下

常见的一些日志文件：

三.内核及系统日志

3.1.由系统服务 rsyslog 统一管理，根据其主配置文件 /etc/rsyslog.conf。

• 软件包：rsyslog-8.24.0-12.el7.x86_64 （可使用 "rpm -q" 命令查看）

• 主要程序：/sbin/rsyslogd

• 配置文件：/etc/rsyslog.conf （可使用 "rpm -qc" 命令查看）

日志记录的一般格式：

• 事件产生的时间。
• 产生事件的服务器的主机名。
• 产生事件的服务名或程序名。
• 事件的具体信息。

3.2内核和公共消息日志存储位置

内核及大多数系统消息被记录到公共日志文件/var/log/messages 中，而其他一些程序

消息被记录到各自独立的日志文件中，此外日志消息还能够记录到特定的存储设备中，或者

直接发送给指定用户。

对于 rsyslog 服务统一管理的大部分日志文件，使用的日志记录格式基本上是相同的。

以公共日志/var/log/messages 文件的记录格式为例，其中每一行表示一条日志消息，每

一条消息均包括以下四个字段。

• 时间标签：消息发出的日期和时间。
• 主机名：生成消息的计算机的名称。
• 子系统名称：发出消息的应用程序的名称。
• 消息：消息的具体内容。

3.3用户日志分析

在 wtmp、btmp、

lastlog 等日志文件中，保存了系统用户登录、退出等相关的事件消息。

但是这些文件都是二进制的数据文件，不能直接使用 tail、less 等文本查看工具进行浏览，

需要使用 who、w、users、last 和 lastb 等用户查询命令来获取日志信息.

保存了用户登录、退出系统等相关信息：

• /var/log/lastlog：最近都用户登录事件。二进制文件，使用 lastlog 命令查看。
• /var/log/secure：与用户验证有关的安全性事件。
• /var/log/wtmp：用户登录、注销，及系统开、关机事件。二进制文件，使用 last 命令查看。
• /var/run/utmp：当前登录的每个用户的详细信息。二进制文件，使用w、who、users等命令查看。

3.4查询当前登录的用户情况

• users：查询最近三次登录的用户信息。

users 命令只是简单地输出当前登录的用户名称，每个显示的用户名对应一个登录会话。 如果一个用户有不止一个登录会话，那他的用户名将显示与其相同的次数。

• who：查看当前登录的用户、终端、登录时间、IP地址。

who命令用于报告当前登录到系统中的每个用户的信息。使用该命令，系统管理员可

以查看当前系统存在哪些不合法用户，从而对其进行审计和处理。who 的默认输出包括用

户名、终端类型、登录日期及远程主机。

w：查看当前登录的用户、终端、IP地址、登录时间、占用CPU的情况、进程等。

w 命令用于显示当前系统中的每个用户及其所运行的进程信息，比 users、who 命令的 输出内容要丰富一些。

• last： 读取 /var/log/wtmp 文件，显示登录系统的用户信息。

last 命令用于查询成功登录到系统的用户记录，最近的登录情况将显示在最前面。通过 last 命令可以及时掌握 Linux 主机的登录情况，若发现未经授权的用户登录过，则表示当前 主机可能已被入侵。

• lastb：读取 /var/log/btmp 文件，显示登入系统失败的用户信息。

lastb 命令用于查询登录失败的用户记录，如登录的用户名错误、密码不正确等情况都将记录在案。登录失败的情况属于安全事件，因为这表示可能有人在尝试猜解你的密码。除 了使用 lastb 命令查看以外，也可以直接从安全日志文件/var/log/secure 中获得相关信息。

四.内核及系统日志管理

4.1sysklogd 系统日志服务介绍

C/S架构：

• 通过TCP或UDP协议的服务完成日志记录传送，将分布在不同主机的日志实现集中管理

4.2 rsyslog 系统日志服务

rsyslog是CentOS 6以后版本的系统管理服务：它提供了高性能，出色的安全性和模块化设计。尽管rsyslog最初是常规的syslogd，但发展成为一种瑞士军刀式的记录工具，能够接受来自各种来源的输入，并将其转换，然后输出到不同的目的地。

当应用有限的处理时，RSYSLOG每秒可以将超过一百万的消息传递到本地目的地。即使在远程的目的地和更精细的处理中，性能通常也被认为是惊人的"。

rsyslog 特性：

• 多线程
• UDP, TCP, SSL, TLS, RELP
• MySQL, PGSQL, Oracle实现日志存储
• 强大的过滤器，可实现过滤记录日志信息中任意部分
• 自定义输出格式
• 适用于企业级中继

4.3ELK

ELK：由Elasticsearch, Logstash, Kibana三个软件组成

• 非关系型分布式数据库基于apache软件基金会jakarta项目组的项目lucene
• Elasticsearch是个开源分布式搜索引擎，可以处理大规模日志数据，比如：Nginx、Tomcat、系统日志等功能
• Logstash对日志进行收集、分析，过滤，并将其存储供以后使用
• Kibana 可以提供的日志分析友好的 Web 界面

4.4rsyslog管理

系统日志术语

• facility：设施，从功能或程序上对日志进行归类

• Priority 优先级别，从低到高排序

日志等级：

服务名称：

4.5rsyslog相关文件

• 程序包：rsyslog
• 主程序：/usr/sbin/rsyslogd
• CentOS 6：/etc/rc.d/init.d/rsyslog {start|stop|restart|status}
• CentOS 7,8：/usr/lib/systemd/system/rsyslog.service
• 配置文件：/etc/rsyslog.conf，/etc/rsyslog.d/*.conf
• 库文件： /lib64/rsyslog/*.so

4.6rsyslog配置文件

/etc/rsyslog.conf 配置文件格式：由三部分组成

• MODULES：相关模块配置
• GLOBAL DIRECTIVES：全局配置
• RULES：日志记录相关的规则配置

4.7举例修改

1：修改rsyslog服务的配置文件/etc/rsyslog.conf，设置LOCAL0对应的日志路径。

2：修改ssh服务的配置文件/etc/ssh/sshd_config，将ssh的日志修改为记录在LOCAL0对应的路径下。

3.连接错误与查看日志记录

4.7日志文件

• /var/log/secure：系统安全日志，文本格式，应周期性分析
• /var/log/btmp：当前系统上，用户的失败尝试登录相关的日志信息，二进制格式，lastb命令进行查看
• /var/log/wtmp：当前系统上，用户正常登录系统的相关日志信息，二进制格式，last命令可以查看
• /var/log/lastlog:每一个用户最近一次的登录信息，二进制格式，lastlog命令可以查看
• /var/log/dmesg：CentOS7 之前版本系统引导过程中的日志信息，文本格式，开机后的硬件变化将不再记录专用命令dmesg查看，可持续记录硬件变化的情况
• /var/log/boot.log 系统服务启动的相关信息，文本格式
• /var/log/messages ：系统中大部分的信息
• /var/log/anaconda : anaconda的日志操作系统安装时安装的软件信息

举例：

五.日志管理工具 journalctl

CentOS 7 以后，利用Systemd 统一管理所有 Unit 的启动日志。带来的好处就是，可以只用journalctl一个命令，查看所有日志（内核及系统日志和应用日志）。

日志的配置文件：

/etc/systemd/journald.conf

journalctl命令格式：

journalctl [OPTIONS...] [MATCHES...]

举例：

查看指定时间的日志

journalctl --since="2022-03-05 18:10:30"

journalctl --since "20 min ago"

journalctl --since yesterday

journalctl --since "2022-03-05" --until "2022-03-10 03:00"

journalctl --since 09:00 --until "1 hour ago"