CentOS 7文件系统与日志分析详解
生活随笔
收集整理的這篇文章主要介紹了
CentOS 7文件系统与日志分析详解
小編覺得挺不錯(cuò)的,現(xiàn)在分享給大家,幫大家做個(gè)參考.
Linux 文件系統(tǒng)
在處理 Linux 系統(tǒng)出現(xiàn)的各種故障時(shí),故障的癥狀是最易發(fā)現(xiàn)的,而導(dǎo)致這一故障的原因才是最終排除故障的關(guān)鍵。熟悉 Linux 系統(tǒng)中常見的日志文件,了解一般故障的分析與解決辦法,將有助于管理員快速定位故障點(diǎn)、“對(duì)癥下藥”、并及時(shí)解決各種系統(tǒng)問題。
inode 與 block 詳解
-
文件存儲(chǔ)再硬盤上,硬盤最小存儲(chǔ)單位是“扇區(qū)”,每個(gè)扇區(qū)存儲(chǔ)512字節(jié)
-
文件數(shù)據(jù)包括元信息與實(shí)際數(shù)據(jù)
-
元信息包含文件屬性信息,文件打開來輸入的內(nèi)容為實(shí)際數(shù)據(jù)
-
block(塊)
- 連續(xù)的八個(gè)扇區(qū)組成一個(gè)block (4k)
- 是文件存取的最小單位
- inode(索引節(jié)點(diǎn))
- 中文譯名為“索引節(jié)點(diǎn)”,也就i節(jié)點(diǎn)
- 用于存儲(chǔ)文件元信息
inode的內(nèi)容
inode包含文件的元信息
- 文件的字節(jié)數(shù)
- 文件擁有著的User ID
- 文件的Group ID
- 文件的讀、寫、執(zhí)行權(quán)限
- 文件的時(shí)間戳
- ……
使用stat命令查看inode信息
[root@localhost mnt]# stat abc.txt //查看abc文件inode信息文件:"abc.txt"大小:12 塊:8 IO 塊:4096 普通文件 設(shè)備:802h/2050d Inode:18123362 硬鏈接:1 權(quán)限:(0644/-rw-r--r--) Uid:( 0/ root) Gid:( 0/ root) 環(huán)境:unconfined_u:object_r:mnt_t:s0 最近訪問:2019-09-02 04:12:18.210370997 +0800 最近更改:2019-09-02 04:12:18.210370997 +0800 最近改動(dòng):2019-09-02 04:12:18.210370997 +0800 創(chuàng)建時(shí)間:-Linux系統(tǒng)文件三個(gè)主要的時(shí)間屬性
- ctime(change time):最后一次改變文件或目錄(屬性)的時(shí)間
- atime(access time):最后一次訪問文件或目錄的時(shí)間
- mtime(modify time):最后一次修改文件或目錄(內(nèi)容)的時(shí)間
目錄文件的結(jié)構(gòu)
- 目錄也是文件
- 目錄文件的結(jié)構(gòu)
- 每個(gè)inode都有一個(gè)號(hào)碼,操作系統(tǒng)用inode號(hào)碼來識(shí)別不同的文件
- Linux系統(tǒng)內(nèi)部不使用文件名,而使用inode號(hào)命來識(shí)別文件
- 對(duì)于用戶來說,文件名只是inode號(hào)碼便于識(shí)別的別稱
inode的號(hào)碼
-
用戶通過文件名打開文件時(shí),系統(tǒng)內(nèi)部的過程
- 系統(tǒng)找到這個(gè)文件名對(duì)應(yīng)的inode號(hào)碼
- 通過inode號(hào)碼,獲取inode信息
- 根據(jù)inode信息,找到文件數(shù)據(jù)所在的block,讀出數(shù)據(jù)
- 查看inode號(hào)碼的方法
- ls -i命令:查看文件名對(duì)應(yīng)的inde號(hào)碼
inode的大小
-
inode也會(huì)消耗硬盤空間,每個(gè)inode的大小,一般時(shí)128字節(jié)或256字節(jié)
-
格式化文件系統(tǒng)時(shí)確定inode的總數(shù)
- 使用df -i命令可以查看每個(gè)硬盤分區(qū)的inode總數(shù)和已經(jīng)使用的數(shù)量
inode的特殊作用
- 由于inode號(hào)碼與文件名分離,導(dǎo)致一些Linux系統(tǒng)具有以下的現(xiàn)象
- 當(dāng)文件名包換特殊字符,可能無法正常刪除文件,直接刪除inode,也可以刪除文件
- 按節(jié)點(diǎn)號(hào)刪除文件命令:find ./* -inum [節(jié)點(diǎn)號(hào)] -delete
- 移動(dòng)或重命名文件時(shí),只改變文件名,不影響inode號(hào)碼
- 打開一個(gè)文件后,系統(tǒng)通過inode號(hào)碼來識(shí)別該文件,不再考慮文件名
訪問文件的簡(jiǎn)單流程
xfs 類型文件備份和恢復(fù)
xfs文件的恢復(fù)需要我們先把文件備份到另一塊磁盤,當(dāng)文件損壞時(shí)可以通過備份的文件進(jìn)行恢復(fù)(這里面的備份文件是通過對(duì)文件做固定格式的壓縮來進(jìn)行備份)。
- xfs 類型的文件可使用 xfsdump 與 xfsrestore 工具進(jìn)行備份恢復(fù)。若系統(tǒng)中未安裝xfsdump 與 xfsrestore 工具,可以通過yum來安裝工具。
-
命令格式
xfsdump -f 備份存放位置 要備份的路徑或設(shè)備文件
-
xfsdump 的備份級(jí)別有兩種
- 0:表示完全備份(默認(rèn)為0)
- 1~9:表示增量備份
- 常用的備份參數(shù)
- -f:指定備份文件目錄
- -L:指定標(biāo)簽 session label
- -M:指定設(shè)備標(biāo)簽 media label
- -s:備份單個(gè)文件,-s 后面不能直接跟路徑。
- xfsdump使用的限制
- 只能備份已掛載的文件系統(tǒng)
- 必須使用root的權(quán)限才能操作
- 只能備份XFS文件系統(tǒng)
- 備份后的數(shù)據(jù)只能讓xfsrestore解析
- 不能備份兩個(gè)具有相同UUID的文件系統(tǒng)
日志文件
日志的功能
- 用于記錄系統(tǒng)、程序運(yùn)行中發(fā)生的各種事件
- 通過閱讀日志,有助于診斷和解決系統(tǒng)故障
日志文件的分類
-
內(nèi)核及系統(tǒng)日志
- 由系統(tǒng)服務(wù)syslog統(tǒng)一進(jìn)行管理,日志格式基本相似
-
用戶日志
- 記錄系統(tǒng)用戶登錄及退出系統(tǒng)的相關(guān)信息
- 程序日志
- 由各種應(yīng)用程序獨(dú)立管理的日志文件,記錄格式不統(tǒng)一
日志保存位置
- 默認(rèn)位于/var/log目錄下
主要日志文件介紹
-
內(nèi)核及公共消息日志:/var/log/messages
-
計(jì)劃任務(wù)日志:/var/log/cron
-
系統(tǒng)引導(dǎo)日志:/var/log/dmesg
-
郵件系統(tǒng)日志:/var/log/maillog
- 用戶登錄日志:/var/log/lastlog、 /var/log/secure、 /var/log/wtmp、 /var/run/btmp
日志的管理
- 由系統(tǒng)服務(wù)rsyslogd統(tǒng)一管理
- 軟件包:reyelog-7.4.7-16.el7.x86_64
- 主要程序:/sbin/rsyslogd
- 配置文件:/etc/rsyslog.conf
-
查看系統(tǒng)日志文件
[root@localhost log]# vim messages //查看系統(tǒng)日志文件Aug 10 03:53:40 localhost journal: Runtime journal is using 8.0M (max allowed 91.1M, trying to leave 136.7M free of 903.6M available → current limit 91.1M). Aug 10 03:53:40 localhost kernel: Initializing cgroup subsys cpuset Aug 10 03:53:40 localhost kernel: Initializing cgroup subsys cpu Aug 10 03:53:40 localhost kernel: Initializing cgroup subsys cpuacct Aug 10 03:53:40 localhost kernel: Linux version 3.10.0-693.el7.x86_64 (builder@kbuilder.dev.centos.org) (gcc version 4.8.5 20150623 (Red Hat 4.8.5-16) (GCC) ) #1 SMP Tue Aug 22 21:09:27 UTC 2017 Aug 10 03:53:40 localhost kernel: Command line: BOOT_IMAGE=/vmlinuz-3.10.0-693.el7.x86_64 root=UUID=729c9a26-dfdc-40f9-ae91-1ade55be51bb ro crashkernel=auto rhgb quiet LANG=zh_CN.UTF-8 Aug 10 03:53:40 localhost kernel: Disabled fast string operations Aug 10 03:53:40 localhost kernel: e820: BIOS-provided physical RAM map: Aug 10 03:53:40 localhost kernel: BIOS-e820: [mem 0x0000000000000000-0x000000000009ebff] usable Aug 10 03:53:40 localhost kernel: BIOS-e820: [mem 0x000000000009ec00-0x000000000009ffff] reserved Aug 10 03:53:40 localhost kernel: BIOS-e820: [mem 0x00000000000dc000-0x00000000000fffff] reserved ...//省略部分內(nèi)容... - last命令查看用戶登錄日志
- lastb查看用戶登錄次數(shù)日志
-
查看程序日志文件
1、安裝httpd服務(wù),搭建Apache網(wǎng)站服務(wù);然后關(guān)閉防火墻,使宿主機(jī)可以訪問
2、通過宿主機(jī)訪問搭建的網(wǎng)站后,查看系統(tǒng)程序的日志文件
[root@localhost log]# cd httpd //進(jìn)入httpd程序目錄 [root@localhost httpd]# ls access_log error_log [root@localhost httpd]# vim access_log //查看程序日志文件192.168.144.1 - - [02/Sep/2019:06:12:48 +0800] "GET /noindex/css/bootstrap.min.css HTTP/1.1" 200 19341 "http://192.168.144.133/" "Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/76.0.3809.132 Safari/537.36" 192.168.144.1 - - [02/Sep/2019:06:12:48 +0800] "GET /noindex/css/open-sans.css HTTP/1.1" 200 5081 "http://192.168.144.133/" "Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/76.0.3809.132 Safari/537.36" 192.168.144.1 - - [02/Sep/2019:06:12:48 +0800] "GET /images/apache_pb.gif HTTP/1.1" 200 2326 "http://192.168.144.133/" "Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/76.0.3809.132 Safari/537.36" 192.168.144.1 - - [02/Sep/2019:06:12:48 +0800] "GET /images/poweredby.png HTTP/1.1" 200 3956 "http://192.168.144.133/" "Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/76.0.3809.132 Safari/537.36" 192.168.144.1 - - [02/Sep/2019:06:12:48 +0800] "GET /noindex/css/fonts/Light/OpenSans-Light.woff HTTP/1.1" 404 241 "http://192.168.144.133/noindex/css/open-sans.css" "Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/76.0.3809.132 Safari/537.36" 192.168.144.1 - - [02/Sep/2019:06:12:48 +0800] "GET /noindex/css/fonts/Bold/OpenSans-Bold.woff HTTP/1.1" 404 239 "http://192.168.144.133/noindex/css/open-sans.css" "Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/76.0.3809.132 Safari/537.36" 192.168.144.1 - - [02/Sep/2019:06:12:48 +0800] "GET /noindex/css/fonts/Bold/OpenSans-Bold.ttf HTTP/1.1" 404 238 "http://192.168.144.133/noindex/css/open-sans.css" "Mozilla/5.0 (Windows NT 10.0; Win64; x64)日志消息的級(jí)別
- 0 EMERG(緊急):會(huì)導(dǎo)致主機(jī)系統(tǒng)不可用的情況
- 1 ALERT(警告):必須馬上采取措施解決問題
- 2 CRIT (嚴(yán)重):比較嚴(yán)重的情況
- 3 ERR (錯(cuò)誤):運(yùn)行出現(xiàn)錯(cuò)誤
- 4 WARNING(提醒):可能會(huì)影響系統(tǒng)功能的事件
- 5 NOTICE (注意):不會(huì)影響系統(tǒng)但值得注意
- 6 INFO(信息):一般信息
- 7 DEBUG (調(diào)試):程序員調(diào)試信息
日志管理策略
- 及時(shí)做好備份和歸檔
- 延長日志保存期限
- 控制日志訪問權(quán)限
- 日志中可能會(huì)包含各類敏感信息,如賬戶、口令等
集中管理日志
-
將服務(wù)器的日志文件發(fā)到統(tǒng)一的日志文件服務(wù)器
- 便于日志信息的同一收集、整理和分析
- 杜絕日志信息的意外丟失、惡意篡改或刪除
Linux公社的RSS地址:https://www.linuxidc.com/rssFeed.aspx
總結(jié)
以上是生活随笔為你收集整理的CentOS 7文件系统与日志分析详解的全部?jī)?nèi)容,希望文章能夠幫你解決所遇到的問題。
- 上一篇: 鞠婧祎《仙剑奇侠传4》杀青:韩菱纱太仙了
- 下一篇: 你还记得windows workflow