Linux文件系统与日志分析

Linux文件系统

一、inode 与 block

  • 文件数据包括元信息与实际信息;

  • 文件存储在硬盘上,硬盘最小存储单位是"扇区",每个扇区存储512字节。

  • 一个文件必须占用一个inode, 并且至少占用一个block

1. block:(块)的概念

  • 连续的八个扇区组成一个block(4k);

  • 是文件存取的最小单位

  • 操作系统读取硬盘的时候,是一次性连续读取多个扇区,即一个块一个块的读取

2. inode:(索引节点)的概念

  • 存储文件元信息( 比如文件的创建者、创建日期、文件大小、文件权限等)的区域就叫做inode号;

  • 中文译名为"索引节点",也叫i节点;

  • 用于存储文件元信息;

  • inode不包含文件名,文件名是存放在目录当中的。

3. 文件数据的概念

文件数据包括实际数据元信息文件数据存储在block中,文件元信息存在inode中。而文件名是存放在目录当中的

文件数据 存放位置
实际数据 block
元信息 inode
文件名 目录

二、inode表的结构

每个文件的属性信息,比如:文件的大小,时间,类型,权限等,称为文件的元数据(meta data)。

元数据是存放在inode(index node)表中。inode 表中有很多条记录组成,第一条记录对应的存放了一个文件的元数据信息。

每一个inode表记录对应保存了文件的元信息:

  • inode number 节点号

  • 文件类型

  • 文件的读、写、执行权限

  • 文件属主的UID

  • 文件属组的GID

  • 链接数(指向这个文件名路径名称个数)

  • 该文件的大小和不同的时间戳

  • 指向磁盘上文件的数据块指针

  • 有关文件的其他数据

三、inode 的大小

  • inode也会消耗硬盘空间

    • 每个inode的大小一般是128字节或256字节
  • 格式化文件系统时确定inode的总数

    • 如果磁盘还有空间,但inode号被全部占用,也无法创建新文件。

    • inode号在同一个文件系统内唯一,在不同的文件系统中可以重复

使用 "df -i" 命令可以查看每个硬盘分区的inode总数和已经使用的数量

删除文件后空间不释放的处理方法

删除文件后,如果磁盘空间没有释放,是因为文件正在被其他人打开。 其他人退出使用该文件后空间会被释放。

可以使用 w 命令或 lsof 命令查看是否有人在使用该文件。

如果确定有人打开了该文件,可以使用三种方法释放空间

  • 将被打开的文件变成空文件,依赖shell环境:echo " " > f1.txt

  • 导入空文件:cat /dev/null > f1.txt

  • 查看被删除的文件和对应PID,之后杀死该进程:

lsof | grep f1.txt

kill -9 PID

注意

删除文件前,一定要确认清除的该文件是否为有效文件。

四、访问文件的简单流程

用户通过文件名打开文件时,系统内部的过程

  1. 用户访问文件时,系统先去查找文件所属目录中的目录项,根据文件名找到对应的inode号码。

  2. 通过inode号码,获取inode信息。

  3. 根据inode信息,判断用户是否具备访问权限。

    • 如果有访问权限,则利用指针去指向实际数据所在的block,读出数据。

    • 如果没有访问权限,则返回Permission denied。根据inode信息,利用指针去指向实际数据所在的block,读出数据。

查看inode号码的方法

  • ls -i 命令:查看文件名对应的inode号码

  • stat 命令:查看文件inode信息中的inode号码

五、Linux系统文件中三个主要的时间属性

  • atime(access time):最近访问

    最后一次访问文件的时间

  • mtime(modify):最近更改

    最后一次更改文件内容的时间

  • ctime(change time):最近改动

    最后一次改变文件元信息的时间

注意

  • 不打开文件的话,atime不变。例如使用echo追加内容,atime不会变,因为文件没有被打开访问。

  • 修改文件内容的话,mtime会变,ctime也会变。

  • 如果只修改文件的权限,ctime变,mtime不变

日志分析

一、日志文件介绍

日志的功能

  • 用于记录系统、程序运行中发生的各种事件

  • 通过阅读日志,有助于诊断和解决系统故障

日志文件的分类

  • 内核及系统日志:

    这种日志数据由系统服务rsyslog统一管理,根据其主配置文件/etc/rsyslog.conf中的设置,决定将内核消息及各种系统程序消息记录到什么位置。日志格式基本相似。

  • 用户日志:

    记录用户登录及退出系统的相关信息,包括用户名、登录的终端、登录时间、来源主机、正在使用的进程操作等。

  • 程序日志:

    有些应用程序会选择由自己独立管理一份日志文件(而不是交给rsyslog服务管理),用于记录本程序运行过程中的各种事件信息。记录格式不统一。

日志保存位置:

  • 默认位于:/var/log 目录下

主要日志文件介绍

日志 位置 描述
内核及公共消息日志 /var/log/messages 它是核心系统日志文件,其中包含了系统启动时的引导信息,以及系统运行时的其他状态消息。I/O 错误、网络错误和其他系统错误都会记录到此文件中。其他信息,比如某个人的身份切换为 root,以及用户自定义安装软件的日志,也会在这里列出。
计划任务日志 /var/log/cron 记录与系统定时任务相关的曰志
系统引导日志 /var/log/dmesg 记录了系统在开机时内核自检的信息,也可以使用dmesg命令直接查看内核自检信息。
邮件系统日志 /var/log/maillog 记录邮件信息的曰志
用户登录日志: /var/log/lastlog 记录系统中所有用户最后一次的登录时间的曰志。这个文件是二进制文件.不能直接用 vi 查看,而要使用 lastlog 命令查看。
/var/log/secure 记录验证和授权方面的倍息,只要涉及账户和密码的程序都会记录。比如系统的登录、ssh的登录、su切换用户,sudo授权,甚至添加用户和修改用户密码都会记录在这个日志文件中。
/var/log/wtmp 永久记录所有用户的登录、注销信息,同时记录系统的启动、重启、关机事件。同样,这个文件也是二进制文件,不能直接用 vi 查看,而要使用 last 命令查看。
/var/tun/ulmp 记录当前已经登录的用户的信息。这个文件会随着用户的登录和注销而不断变化,只记录当前登录用户的信息。同样,这个文件不能直接用 vi 查看,而要使用w、who、users等命令查看。

二、内核及系统日志

由系统服务 rsyslog 统一管理,根据其主配置文件 /etc/rsyslog.conf。

  • 软件包:rsyslog-8.24.0-12.el7.x86_64 (可使用 "rpm -q" 命令查看)

  • 主要程序:/sbin/rsyslogd

  • 配置文件:/etc/rsyslog.conf (可使用 "rpm -qc" 命令查看)

日志消息的级别

级号 消息 级别 说明
0 EMERG 紧急 会导致主机系统不可用的情况
1 ALERT 警告 必须马上采取措施解决的问题
2 CRIT 严重 比较严重的情况
3 ERR 错误 运行出现错误
4 WARNING 提醒 可能会影响系统功能的事件
5 NOTICE 注意 不会影响系统但值得注意
6 INFO 信息 一般信息
7 DEBUG 调试 程序或系统调试信息等

日志记录的一般格式

  • 事件产生的时间。
  • 产生事件的服务器的主机名。
  • 产生事件的服务名或程序名。
  • 事件的具体信息。

三、用户日志分析

保存了用户登录、退出系统等相关信息

  • /var/log/lastlog:最近都用户登录事件。二进制文件,使用 lastlog 命令查看。
  • /var/log/secure:与用户验证有关的安全性事件。
  • /var/log/wtmp:用户登录、注销,及系统开、关机事件。二进制文件,使用 last 命令查看。
  • /var/run/utmp:当前登录的每个用户的详细信息。二进制文件,使用w、who、users等命令查看。

示例

  1. users:查询最近三次登录的用户信息。
  1. who:查看当前登录的用户、终端、登录时间、IP地址。
  1. w:查看当前登录的用户、终端、IP地址、登录时间、占用CPU的情况、进程等。
  1. last: 读取 /var/log/wtmp 文件,显示登录系统的用户信息。
  1. lastb:读取 /var/log/btmp 文件,显示登入系统失败的用户信息。

四、程序日志分析

由相应的应用程序独立进行管理

  • Web服务:/var/log/httpd/

    • access_log、error_log
  • 代理服务:/var/log/squid

    • access.log、cache.log
  • FTP服务:/var/log/xferlog

分析工具

  • 文本查看、grep过滤检索、Webmin管理套件中查看

  • awk、sed等文本过滤、格式化编辑工具

  • Webalizer、Awstats等专用日志分析工具

五、系统日志

1. sysklogd 系统日志服务

CentOS 5 之前版本采用的日志管理系统服务

  • syslogd: system application 记录应用日志

  • klogd: linux kernel 记录内核日志

事件记录格式

  • 日期时间 主机 进程[pid]: 事件内容

C/S架构

  • 通过TCP或UDP协议的服务完成日志记录传送,将分布在不同主机的日志实现集中管理

2.rsyslog 系统日志

rsyslog是CentOS 6以后版本的系统管理服务:它提供了高性能,出色的安全性和模块化设计。尽管rsyslog最初是常规的syslogd,但发展成为一种瑞士军刀式的记录工具,能够接受来自各种来源的输入,并将其转换,然后输出到不同的目的地。

当应用有限的处理时,RSYSLOG每秒可以将超过一百万的消息传递到本地目的地。即使在远程的目的地和更精细的处理中,性能通常也被认为是惊人的"。

官网www.rsyslog.com/

rsyslog 特性

  • 多线程
  • UDP, TCP, SSL, TLS, RELP
  • MySQL, PGSQL, Oracle实现日志存储
  • 强大的过滤器,可实现过滤记录日志信息中任意部分
  • 自定义输出格式
  • 适用于企业级中继

查看 rsyslog 工具的详细信息:

3. ELK

ELK:由Elasticsearch、Logstash、Kibana三个软件组成。

  • 非关系型分布式数据库基于apache软件基金会jakarta项目组的项目lucene;

  • Elasticsearch是个开源分布式搜索引擎,可以处理大规模日志数据,比如:Nginx、Tomcat、系统日志等功能;

  • Logstash对日志进行收集、分析,过滤,并将其存储供以后使用;

  • Kibana 可以提供的日志分析友好的 Web 界面。

六、rsyslog管理

1 系统日志术语

  • facility:设施,从功能或程序上对日志进行归类

内置分类:auth(验证), authpriv, cron(定时任务), daemon,ftp,kern, lpr, mail, news, security(auth), user, uucp, syslog

自定义的分类

local0-local7

  • Priority 优先级别,从低到高排序

  • 参看帮助: man 3 syslog,man logger

日志等级

级号 消息 级别 说明
0 EMERG 紧急 会导致主机系统不可用的情况
1 ALERT 警告 必须马上采取措施解决的问题
2 CRIT 严重 比较严重的情况
3 ERR 错误 运行出现错误
4 WARNING 提醒 可能会影响系统功能的事件
5 NOTICE 注意 不会影响系统但值得注意
6 INFO 信息 一般信息
7 DEBUG 调试 程序或系统调试信息等

服务名称(即什么服务产生的日志)

服务名称 说 明
auth(LOG AUTH) 安全和认证相关消息 (不推荐使用authpriv替代)
authpriv(LOG_AUTHPRIV) 安全和认证相关消息(私有的)
cron (LOG_CRON) 系统定时任务cront和at产生的日志
daemon (LOG_DAEMON) 与各个守护进程相关的曰志
ftp (LOG_FTP) ftp守护进程产生的曰志
kern(LOG_KERN) 内核产生的曰志(不是用户进程产生的)
Iocal0 ~ local7 (LOG_LOCAL0-7) 为本地使用预留的服务
lpr (LOG_LPR) 打印产生的日志
mail (LOG_MAIL) 邮件收发信息
news (LOG_NEWS) 与新闻服务器相关的日志
syslog (LOG_SYSLOG) 存syslogd服务产生的曰志信息(虽然服务名称己经改为reyslogd,但是很多配罝依然沿用了 syslogd服务的,所以这里并没有修改服务名称)
user (LOG_USER) 用户等级类别的日志信息
uucp (LOG_UUCP> uucp子系统的日志信息,uucp是早期Linux系统进行数据传递的协议,后来 也常用在新闻组服务中

2. rsyslog 相关文件

  • 程序包:rsyslog

  • 主程序:/usr/sbin/rsyslogd

  • CentOS 6:/etc/rc.d/init.d/rsyslog {start|stop|restart|status}

  • CentOS 7,8:/usr/lib/systemd/system/rsyslog.service

  • 配置文件:/etc/rsyslog.conf,/etc/rsyslog.d/*.conf

  • 库文件: /lib64/rsyslog/*.so

3. rsyslog 配置文件

/etc/rsyslog.conf 配置文件格式(由三部分组成)

  • MODULES:相关模块配置

  • GLOBAL DIRECTIVES:全局配置

  • RULES:日志记录相关的规则配置

查看/etc/rsyslog.conf 文件中的RULES模块

七、rsyslog 应用实例

1.单独设置ssh远程登录程序的日志

实验步骤

步骤1:修改rsyslog服务的配置文件/etc/rsyslog.conf,设置LOCAL6对应的日志路径。

步骤2:修改ssh服务的配置文件/etc/ssh/sshd_config,将ssh的日志修改为记录在LOCAL6对应的路径下。

步骤3:重启 rsyslog 服务和 ssh 服务。

步骤4:打开第二台机器,添加规则信息,远程连接原服务器。输入密码,稍后查看原服务器的日志。

步骤5:查看原服务器的日志记录。在/data/ssh.log目录中成功记录了第二台机器的行为。

注意:两台服务器都需要关闭防火墙。

2.网络日志(远程日志功能)

远程日志,即通过网络,将本地的日志远程备份到另一台机器,这样,就算本机系统崩溃,我们可以查看另一台机器备份的日志,来排查故障。

实验步骤

步骤1:编辑rsyslog的配置文件 /etc/rsyslog.conf(接收方开启TCP功能和514端口)。

关闭防火墙;

编辑配置文件,开启TCP功能和514端口(去掉这两行原有的#号);

重启rsyslog 服务;

检查514端口是否开启。

步骤2:编辑配置文件 /etc/rsyslog.conf(发送方填写需要传输的日志和接收方的IP地址)。

关闭防火墙;

编辑配置文件,填写需要传输的日志和接收方地址;

注意

@IP地址表示使用UDP功能;@@IP地址表示使用TCP地址

重启rsyslog 服务;

测试日志打印。

步骤3:查看接收方能否成功接收日志记录。

八、日志管理工具:journalctl

CentOS 7 以后,利用Systemd 统一管理所有 Unit 的启动日志。带来的好处就是,可以只用journalctl一个命令,查看所有日志(内核及系统日志和应用日志)。

日志的配置文件:/etc/systemd/journald.conf

journalctl命令格式:journalctl [选项] [匹配项]

示例

1)查看所有日志。 默认情况下,只保存本次启动的日志:journalctl

2)只查看内核日志(不显示应用日志):journalctl -k

3)查看本次启动的日志:journalctl -b

查看本次启动的日志:journalctl -b -0

查看上一次启动的日志:journalctl -b -1

4)查看指定时间的日志:

journalctl --since="2022-03-05 18:10:30"

journalctl --since "20 min ago"

journalctl --since yesterday

journalctl --since "2022-03-05" --until "2022-03-10 03:00"

journalctl --since 09:00 --until "1 hour ago"

5) 显示尾部指定行数。默认10行:journalctl -n <数字>

6)实时滚动显示最新日志(显示最新10行):journalctl -f

7) 查看指定服务的日志:journalctl /usr/lib/systemd/systemd

九、日志管理策略

及时做好备份和归档

延长日志保存期限

控制日志访问权限

  • 日志中可能会包含各类敏感信息,如账户和口令等。

集中管理日志

  • 将服务器的日志文件发到统一的日志文件服务器;

  • 便于日志信息的统一收集、 整理和分析;

  • 杜绝日志信息的意外丢失、恶意篡改或删除。

相关推荐
滴水之功2 分钟前
VMware OpenWrt怎么桥接模式联网
linux·openwrt
ldinvicible21 分钟前
How to run Flutter on an Embedded Device
linux
YRr YRr1 小时前
解决Ubuntu 20.04上编译OpenCV 3.2时遇到的stdlib.h缺失错误
linux·opencv·ubuntu
认真学习的小雅兰.1 小时前
如何在Ubuntu上利用Docker和Cpolar实现Excalidraw公网访问高效绘图——“cpolar内网穿透”
linux·ubuntu·docker
zhou周大哥1 小时前
linux 安装 ffmpeg 视频转换
linux·运维·服务器
不想起昵称9292 小时前
Linux SHELL脚本中的变量与运算
linux
the丶only2 小时前
单点登录平台Casdoor搭建与使用,集成gitlab同步创建删除账号
linux·运维·服务器·docker·gitlab
枫叶红花3 小时前
【Linux系统编程】:信号(2)——信号的产生
linux·运维·服务器
_微风轻起3 小时前
linux下网络编程socket&select&epoll的底层实现原理
linux·网络