Linux文件系统与日志分析

原创 已于 2022-10-22 20:25:26 修改 · 225 阅读 · 1 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
文章标签:

#linux #运维 #服务器

于 2022-10-22 19:07:15 首次发布
本文详细探讨了Linux文件系统,包括inode的概念、结构、大小和特殊作用,以及软硬链接的原理。此外,还介绍了日志服务管理,如sysklogd和rsyslog服务,ELK日志收集平台,以及日志管理策略和工具journalctl。最后,简要概述了FTP服务的工作机制和状态码。

摘要生成于 C知道 ,由 DeepSeek-R1 满血版支持, 前往体验 >

目录

一、文件系统

1、inode和block概述

 2、inode表结构

1.1、包含文件的元信息

1.2、查看inode

​编辑 1.3、 Linux系统文件三个主要的时间属性

1.5、用户访问文件的过程

3、inode的大小

4、inode的特殊作用

5、软链接与硬链接

​编辑 6、、恢复误删除的xfs文件

二、日志服务管理

1.日志的功能

2、日志文件的分类 

3、日志服务

1.1、sysklogd系统日志服务

1.2、rsyslog系统日志服务

​编辑 4、ELK

 5、rsyslog管理

1.1、rsyslog管理

 1.2、服务名称

1.3、rsyslog 相关文件

库文件: /lib64/rsyslog/*.so 1.4、rsyslog配置文件

 1.5、日志文件的格式:

1.6、将ssh服务的日志单独设置

 1.7、网络日志(远程日志功能)

6、常见的一些日志文件

 1.1、用户日志分析

7、日志管理策略

8、日志管理工具 journalctl

 三、网路共享文件服务

1、FTP服务

1.1、FTP服务状态码

 1.2、将服务端的文件拷贝到本地、

1.3、将客户端的文件上传到服务端

一、文件系统

1、inode和block概述

元信息:每个文件的属性信息,比如:文件的大小,时间,类型,权限等,也称为文件的元数据(meta data)
元数据是存放在inode(index node)表中。inode 表中有很多条记录组成,第一条记录对应的存放了一个文件的元数据信息。
文件数据包括元信息与实际数据。

文件存储在硬盘上,硬盘最小存储单位是“扇区”,每个扇区存储512字节。

block(块)

连续的八个扇区组成一个block,4k
是文件存取的最小单位
inode(索引节点)

中文译名为“索引节点”,也叫 i 节点
用于存储文件元信息
一个文件必须占用一个inode ,至少占用一个block

 2、inode表结构

1.1、包含文件的元信息

  • 文件的字节数(字节占用多少空间,也称文件大小)
  • 文件拥有者的 User ID
  • 文件的 Group ID
  • 文件的读、写、执行权限
  • 文件的时间戳(ctime、atime、mtime)
  • 文件类型
  • 链接数
  • 有关文件的其他数据

1.2、查看inode

  • ls -i 命令:查看文件名对应的inode号码
  • stat 命令:查看文件的inode信息

 1.3、 Linux系统文件三个主要的时间属性

最近访问atime(access time)最后一次访问文件的时间。使用echo追加内容不会变,因为没有打开文件
最近更改mtime(modify):最后一次更改文件内容的时间。更改完内容之后,ctime也会改变
最近改动ctime(change time):最后一次改变文件元信息(文件或目录属性)的时间。改变后,mtime不变
 1.4、目录文件结构

目录是个特殊文件,目录文件的内容保存了此目录中文件的列表及inode number对应关系

inode不包含文件名,文件名是存放在目录文件夹当中的。Linux 系统中一切皆文件,因此目录也是一种文件
是通过文件名来引用一个文件
每个目录项由两部分组成:所包含文件的文件名,以及该文件名对应的inode号码。目录是目录下的文件名和文件inode号之间的映射
每个inode都有一个号码,操作系统用inode号码来识别不同的文件
Linux系统内部不使用文件名,而使用inode号码来识别文件
对于系统来说,文件名只是inode号码便于识别的别称

1.5、用户访问文件的过程

当用户在Linux系统中试图访问一个文件时,系统会先根据文件名去查找它对应的inode号码;通过

inode号码,获取inode信息;根据inode信息,看该用户是否具有访问这个文件的权限;如果有,就

指向相对应的数据block,并读取数据。

 硬盘分区后结构

3、inode的大小

inode也会消耗硬盘空间,每个inode的大小一般是128字节或256字节
inode的总数,在格式化时就确定
如果磁盘还有空间,但inode号被全部占用,无法创建新文件。
inode号在同一个文件系统内唯一,在不同的文件系统中可以重复。
查看每个硬盘分区的inode总数和已经使用的数量,可以使用命令: df -i

4、inode的特殊作用

由于inode号码与文件名分离,导致一些Unix/Linux系统具有以下的现象

  • 当文件名包含特殊字符,可能无法正常删除文件,直接删除inode,也可以删除文件

删除inode号的方法:

法一: find 文件位置 -inum inode号码 -exec rm -rf {} \;

法二: find 文件位置 -inum inode号码 -delete

  • 在同一个文件系统中移动或重命名文件时,只改变文件名,不影响inode号码

  • 打开一个文件后,系统通过inode号码来识别该文件,不再考虑文件名
  • 文件数据被修改保存后,会生成一个新的inode 号码

 

  • cp命令与inode:

    • 分配一个空闲的inode号

    • 在inode表中生成新条目在目录中创建一个目录项

    • 将名称与inode编号关联拷贝数据生成新的文件

rm命令与inode

  • 链接数递减,从而释放的inode号可以被重用把数据块放在空闲列表中

  • 删除目录项

  • 数据实际上不会马上被删除,但当另一个文件使用数据块时将被覆盖

5、软链接与硬链接

  • 硬连接 同一个文件取不同的名或者叫多个名字,不支持文件夹,创建一个链接数加一,多路径访问。不占用内存
  • 软连接 类似于windows里快捷方式,软连接,符号连接,使用绝对路径 

格式:软链接 :ln [-s] 源文件或目录… 链接文件或目标位置

    硬链接: ln [ ] 源文件或目录… 链接文件或目标位置

对比项 硬连接 软连接
本质 本质是同一个文件 本质不是同一个文件
inode 相同 不同
连接数 创建新的硬链接,链接数会增加,删除硬链接,链接数减少 删除新建不会改变
文件夹 不支持 支持
删除源文件 只是链接数减一,但链接文件的访问不受影响 无法访问连接文件
文件类型 和源文件相同 链接文件,和源文件无关
文件大小 和源文件相同 源文件的路径的长度
  •  硬链接

  •  软链接

 6、、恢复误删除的xfs

最低0.47元/天 解锁文章

200万优质内容无限畅学
菜鸟3.0
关注
日志文件分析
勤能补拙,知行合一
11-28 6061
文章目录日志的功能日志文件的分类主要日志文件介绍内核以及系统日志日志记录的一般格式程序日志分析日志管理策略配置日志服务器收集日志journalctl日志管理工具 日志文件 日志的功能 : 用于记录系统、程序运行中发生的各种事件 通过阅读日志,有助于诊断和解决系统故障 日志文件的分类 内核及系统日志==:由系统服务syslog统─进行管理,日志格式基本相似配置文件/etc/rsyslog.conf 用户日志: 记录系统用户登录及退出系统的相关信息 程序日志: 程序在允许的过程中,有什么报错,就会记录下来 日
Linux基础11
鸡汤的博客
03-20 305
inode 和 block概述 文件数据包括元信息实际数据 文件存储在硬盘上,硬盘最小存储单位是“扇区”,每个扇区存储512字节 block(块) 连续的八个扇区组成一个block 是文件存取的最小单位 inode(索引节点) 中文译名为“索引节点”,也叫 i节点 用于存储文件元信息 文件数据包括实际数据元信息(类似文件属性)。文件数据存储在"块"中,存储文件元信息(比如文件的创建者、创建日期、文件大小、文件权限等)的区域就叫做inode。因此,一个文件必须占用一个 inode,并且至少
文件系统日志分析
weixin_69343040的博客
06-15 378
文件系统日志分析文件数据包括元信息实际数据文件存储在硬盘上,硬盘最小储存单位是“扇区”,每个扇区储存512字节一个文件必须占用一个inode,但至少占用一个blockblock(块)​ 连续的八个扇区组成一个block​ 是文件存取的最小单位inode(索引节点)中文译名为“索引节点”,也叫i节点用于存储文件元信息inode包含文件的元信息文件的字节数文件拥有者的User ID文件的Group ID文件的读、写、执行权限文件的时间戳。。。用stat命令可以查看某个文件的inode
文件上传漏洞 —— 内部文件上传系统漏洞分析溯源
vergilben的学习日记
04-11 1979
文件上传漏洞 —— 内部文件上传系统漏洞分析溯源 这篇主要复现墨者学院的一个内部文件上传漏洞,内部文件上传系统漏洞分析溯源,还有另一题会写到另一篇里面。 关于文件上传漏洞,前面我的博客里面有写原理以及简单的实现,再写一下其原理。 文件上传漏洞原理:大部分的网站和应用系统都有上传功能,如用户头像上传、图片上传、文档上传等。一些文件上传功能实现代码没有严格限制用户上传的文件后缀以及文件类型,导致允许攻...
Linux学习(日志管理)
five-five
08-12 871
日志管理基本介绍系统常用的日志系统日志文件系统常用的日志日志管理器 rsyslogd原理示意图:rsyslogd基本指令rsyslog.conf配置文件说明(所在目录为/etc/rsyslog.conf)如图:日志类型分为:日志级别:日志查看实例自定义日志服务日志轮替基本介绍日志轮替文件命名logrotate配置文件参数说明:把自己的日志加入日志轮替日志轮替原理查看内存日志(journalcl命令) 基本介绍 日志文件是重要的系统信息文件,其中记录了许多重要的系统事件,包括用户的登录信息、系统的启动信息
linux文件系统日志分析
abjava1的博客
10-25 791
目录 一、文件系统 1、inode和block概述 2、 inode表结构 2.1 包含文件的元信息 2.2查看inode的方法 2.3 Linux系统文件三个主要的时间属性 2.4目录文件结构 2.5 用户通过文件名打开文件时,系统内部的过程 3、inode的大小 4、inode的特殊作用 5、软链接硬链接 5.1软链接 5.2硬链接 二、日志 1、日志的功能 2、日志文件的分类 3、系统日志介绍 3.1 sysklogd 系统日志服务 3.2 rsyslog 系统
深入理解Linux文件系统日志分析
最新发布
qq_59726553的博客
02-29 1388
深入理解Linux文件系统日志分析,包括文件索引、目录结构、不同文件类型的文件恢复日志格式和内容分析。
理论题·深入理解Linux文件系统日志分析
weixin_47153668的博客
06-23 1658
深入理解Linux文件系统日志分析 文章目录深入理解Linux文件系统日志分析inode和block概述文件数据包括元信息实际数据文件存储在硬盘上,硬盘最小存储单位是“扇区”,每个扇区存储512字节block(块)inode(索引节点)inode的内容inode包含文件的元信息---不包含文件名用stat命令可以查看某个文件inode信息每个inode都有一个号码,操作系统用inode号码来识别不同的文件Linux系统内部不使用文件名,而使用inode号码来识别文件对于用户,文件名只是inode号码便
使用Logstash导出ES中的数据(作者:zhouxy)
Jomly Kellenda的博客
01-12 4901
一、部署Logstash 1、下载安装包 下载地址:https://www.elastic.co/cn/downloads/past-releases#logstash 下载版本要Elasticsearch版本一致,我这里下载的是7.2.0版本的,下载tar.gz包,可见附件。 下载后传至主机上,并解压即完成安装。 tar -xzvflogstash-7.2.0.tar.gz 如何检查安装是否正确? cd logstash-7.2.0 bin/logstash -e 'input ..
Linux-高级篇
q2530058796的博客
12-12 1524
Linux Shell 中的变量分为,系统变量和用户自定义变量。HOMEHOME、HOMEPWD、SHELLSHELL、SHELLUSER 等等,比如: echo $HOME 等等… 3) 显示当前 shell 中所有变量:set定义变量:变量名=值 记住等号两边不能有空格unset变量readonly变量,注意:不能 unset变量名称可以由字母、数字和下划线组成,但是不能以数字开头。5A=200(×)等号两侧不能有空格。
[LINUX]linux系统日志
second60的博客
02-06 1万+
linux系统日志 second60  20180206 1简介    linux系统拥有非常强大的日志功能,保存着几乎有所有操作记录,包括内核和程序产生的各种错误信息,警告信息或其他提示信息,对这些信息管理员了解系统的运行状态和分析问题非常有用。可以从日志文件中获得自已想要的信息。   1.1 日志进程    默认日志守护进程为syslog. 位于/usr/sbin/syslog
Linux【实操篇】—— 日志管理
商务合作 | 共同学习 | 携手共进
06-09 9万+
Linux 操作系统日志管理含实操案例。
oracle各个版本rac安装通用脚本(oracle11gR2,oracle 12.2,oracle19c) RAC
kadwf123的专栏
08-09 1457
1、os.sh #!/bin/bash #mount -o loop /soft/CentOS-7-x86_64-Everything-1810.iso /mnt/ # cd /etc/yum.repos.d mkdir -p backup/ mv *.repo /etc/yum.repos.d/backup/ ##vi /etc/yum.repos.d/file.repo echo "[centos7-Server]">> /etc/yum.repos.d/file.repo echo
ssh文件被删解决办法
qq_43524794的博客
11-10 1万+
出现问题bash: openssh: 未找到命令… 我的SSH连接不上,我输入了查看ssh版本的命令, [root@localhost ~]# openssh -V #查看版本信息 结果也显示bash: openssh: 未找到命令… 立马到/etc文件夹下查看SSH配置文件夹,结果发现SSH文件夹居然没有了!没有!没有! 正常情况下应该是这样: [root@localhost ~]# cd /...
关于一起linux secure安全日志写入异常分析处理
企业实战系列集 ●●● https://ximenjianxue.blog.csdn.net
05-20 1万+
一、问题描述 检查发现2022年5月份的secure日志里混入了2021年10月份的日志信息,很是不解。 二、分析出来 日志报错: sshd[17263]: Did not receive identification string from 192.168.1.1 #表1.1ssh本地主机建立连接时,返回时出现问题,认证信息丢弃 2)查看绕行相关的日志,发现异常,日志被写入旧的脏数据 其中: The imjournal module bellow is now used as a
linux系统语言删除,解决回收linux的cache缓存,设置系统语言
weixin_35500243的博客
05-13 1101
wget 下载一个目录下的所有文件wget -r -np -nH -R index.html 跟指定目录各个参数的含义:-r : 遍历所有子目录-np : 不到上一层子目录去-nH : 不要将文件保存到主机名文件夹-R index.html : 不下载 index.html 文件vim在最前面加注释#:set nu,查看行号:1,20s/^/#set nu!yum 卸载软件包时通常连依赖都会卸载掉...
Linux查看日志命令
热门推荐
大道至简,知易行难
05-08 15万+
日志文件存储日志很大时,我们就不能用vi直接进去查看日志,需要Linux的命令去完成我们的查看任务. Log位置:/var/log/message 系统启动后的信息和错误日志,是Red Hat Linux中最常用的日志之一 /var/log/secure 安全相关的日志信息 /var/log/maillog 邮件相关的日志信息 /var/log/cron
Linux文件系统制作分析入门
Linux文件系统编程基础涵盖如何文件系统交互,包括打开、读取、写入、关闭文件,以及目录操作等。开发者需要理解inode、超级块等概念,以进行更底层的文件系统操作。 在实际应用中,根据设备和需求的不同,可能还...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值