【AWSL】之Linux文件系统与日志分析(inode、恢复EXT类型的文件、恢复XFS类型的文件)
序言
這里我主要介紹Linux文件系統(tǒng)與日志分析
文件系統(tǒng)與日志分析
- 序言
- 一.inode與block
- 1. 概述
- ①inode的內(nèi)容
- ②inode號碼
- ③文件存儲
- ④inode的大小
- ⑤inode的特殊作用
- 二.硬鏈接與軟鏈接
- 三.恢復(fù)誤刪除的文件
- 1.恢復(fù)EXT類型的文件
- 2.恢復(fù)XFS類型的文件
- 四.分析日志文件
- 1.日志文件
- 總結(jié)
一.inode與block
1. 概述
■文件數(shù)據(jù)包括元信息與實際數(shù)據(jù)
■文件存儲在硬盤上,硬盤最小存儲單位是“扇區(qū)”,每個扇區(qū)存儲512字節(jié)
■block(塊)
連續(xù)的八個扇區(qū)組成一個block
是文件存取的最小單位
■inode(索引節(jié)點)
用于存儲文件元信息(文件的創(chuàng)建者、創(chuàng)建日期、文件大小、文件權(quán)限等)
先調(diào)用文件名匹配inode號碼,再根據(jù)號碼調(diào)用inode信息內(nèi)的文件屬性(包括文件大小、時間等)
ls -i 文件名 #查看節(jié)點號
stat 文件名 #查看節(jié)點號
一個文件必須占用一個inode,但至少占用一個(4k)block
①inode的內(nèi)容
■inode包含文件的元信息
文件的字節(jié)數(shù)、文件擁有者User ID、文件的Group ID、文件的讀寫執(zhí)行權(quán)限、文件的時間戳
■用stat命令可以查看某個文件的inode信息
stat aa.txt
■Linux系統(tǒng)文件三個主要的時間屬性
ctime 最后一次改變文件或目錄(屬性)的時間
atime 最后一次訪問文件或目錄的時間
mtime 最后一次修改文件或目錄(內(nèi)容)的時間
■目錄文件結(jié)構(gòu)
目錄也是一種文件
目錄文件的結(jié)構(gòu),每一行稱為一個目錄項
■每一個inode都有一個號碼,操作系統(tǒng)用inode號碼來識別不同的文件
■Linux系統(tǒng)內(nèi)部不使用文件名,而使用inode號碼來識別文件
■對于用戶,文件名只是inode號碼便于識別的名稱
②inode號碼
■用戶通過文件名打開文件時,系統(tǒng)內(nèi)部的過程
系統(tǒng)找到這個文件名對應(yīng)的inode號碼
通過inode號碼,獲取inode信息
根據(jù)inode信息,找到文件數(shù)據(jù)所在的block,讀出數(shù)據(jù)
■查看inode號碼的方法
ls -i命令:查看文件名對應(yīng)的inode號碼:ls -i aa.txt
stat命令:查看文件inode信息中的inode號碼:stat aa.txt
③文件存儲
■硬盤分區(qū)后的結(jié)構(gòu)
文件名?目錄項?目錄塊
元信息?inode?inode表區(qū)塊
數(shù)據(jù)?block?block數(shù)據(jù)塊
■訪問文件的簡單流程
用戶訪問文件?系統(tǒng)查看文件對應(yīng)的inode?判斷用戶是否具備訪問權(quán)限(是?指向?qū)?yīng)的數(shù)據(jù)block,否?返回Permission denied)
④inode的大小
■inode也會消耗硬盤空間
每個inode的大小,一般是128字節(jié)或256字節(jié)
■格式化文件系統(tǒng)時確定inode的總數(shù)
■使用df -i(df -iTh)命令可以查看每個硬盤分區(qū)的inode總數(shù)和已經(jīng)使用的數(shù)量
⑤inode的特殊作用
■由于inode號碼與文件名分離,導(dǎo)致一些Unix/Linux系統(tǒng)具有以下現(xiàn)象
當(dāng)文件名包含特殊字符,可能無法正常刪除文件,直接刪除inode,也可以刪除文件
移動或重命名文件時,只改變文件名,不影響inode號碼
打開一個文件后,系統(tǒng)通過inode號碼來識別該文件,不再考慮文件名
文件數(shù)據(jù)被修改保存后,會生成一個新的inode號碼
刪除包含特殊字符文件方法:find ./ inum xxxxx(inode號) -exec rm -i {} ;
find ./ inum xxxxx(inode號) -delete
二.硬鏈接與軟鏈接
符號鏈接(軟硬鏈接)
硬鏈接:ln 源文件 目標(biāo)文件
軟鏈接:ln -s 源文件或目錄 … 鏈接文件或目錄位置
| 刪除原始文件后 | 失效 | 仍舊可用 |
| 使用范圍 | 適用于文件或目錄 | 只可用于文件 |
| 保存位置 | 與原始文件可以位于不同的文件系統(tǒng)中 | 必須與原始文件在同一個文件系統(tǒng)(如一個Linux分區(qū))內(nèi) |
三.恢復(fù)誤刪除的文件
1.恢復(fù)EXT類型的文件
■編譯安裝extundelete軟件包
安裝依賴包:
e2fsprogs-libs-1.41.12-18.el6.x86_rpm
e2fsprogs-devel-1.41.12-18.el6.x86_rpm
配置、編譯及安裝:
extundelete-0.2.4.tar.bz2
■模擬刪除并執(zhí)行恢復(fù)操作
2.恢復(fù)XFS類型的文件
■xfsdump -f 備份存放位置 要備份的路徑或設(shè)備文件
■xfsdump備份級別(默認為0)
0:完全備份
1-9:增量備份
■xfsdump常用選項:-f、-L、-M、-s
■xfsrestore命令格式
xfsrestore -f 恢復(fù)文件的位置 存放恢復(fù)后文件的位置
■模擬刪除并執(zhí)行恢復(fù)操作
四.分析日志文件
1.日志文件
■功能:
用于記錄系統(tǒng)、程序運行中發(fā)生的各種事件
通過閱讀日志,有助于診斷和解決系統(tǒng)故障
■分類:
內(nèi)核及系統(tǒng)日志(由系統(tǒng)服務(wù)rsyslog統(tǒng)一進行管理,日志格式基本相似)
用戶日志(記錄系統(tǒng)用戶登錄及退出系統(tǒng)的相關(guān)信息)
程序日志(由各種應(yīng)用程序獨立管理的日志文件,記錄格式不統(tǒng)一)
■保存
默認保存在/var/log目錄下
總結(jié)
.
總結(jié)
以上是生活随笔為你收集整理的【AWSL】之Linux文件系统与日志分析(inode、恢复EXT类型的文件、恢复XFS类型的文件)的全部內(nèi)容,希望文章能夠幫你解決所遇到的問題。
- 上一篇: 【AWSL】之Linux引导过程及服务控
- 下一篇: 【AWSL】之Linux系统安全及应用(