Linux文件系统和日志分析

2024-01-08 17:46:55

一、inode表结构

? 1. inode表

? ? inode号在同一个设备上是唯一的。

? ? inode号是有限资源,它的大小和磁盘大小有关。

? ? 访问文件的基本流程

? ? ??根据文件夹的文件名和inode号的关系找到对应的inode表,再根据inode表(属主 属组)当中的指针找到磁盘上的真实数据。

二、日志

??内核及系统日志由系统服务 rsyslog 统一管理,根据其主配置文件 /etc/rsyslog.conf

??Linux 操作系统本身和大部分服务器程序的日志文件都默认放在目录/var/log/

? 2.1 常见的一些日志文件

日志文件位置日志文件说明
/var/log/messages(内核和公共日志)它是核心系统日志文件,其中包含了系统启动时的引导信息,以及系统运行时的其他状态消息
/var/log/cron(计划任务日志)记录与系统定时任务相关的曰志
/var/log/dmesg(系统引导日志)记录了系统在开机时内核自检的信息,也可以使用dmesg命令直接查看内核自检信息
/var/log/maillog(邮件日志)记录邮件信息的日志
用户日志
/var/log/lastlog记录用户最后一次登陆的信息可以使用lastlog命令查看
/var/log/secure记录验证和授权方面的信息,只要涉及账户和密码的程序都会记录
/var/log/wtmp永久记录所有用户的登陆、注销信息,同时记录系统的启动、重启、关机事件可以使用lastlog命令查看
/var/log/ulmp记录当前已经登陆的用户信息

? ? 日志文件的格式:

? ? ? 事件产生的时间

? ? ? 产生时间的服务器的主机名

? ? ??产生时间的服务器或程序名

? ? ? 时间的具体信息

? 2.2 内核和公共文件

? ? 日志的基本配置文件在/etc/rsyslog.conf

? ? 信息的重要程度

? ? ? ?在 Linux 内核中,根据日志消息的重要程度不同,将其分为不同 的优先级别(数字等级越小,优先级越高,消息越重要)。

信号日志消息说明
0EMERG(紧急)会导致主机系统不可用的情况
1ALERT(警告)必须马上采取措施解决的问题
2CRIT(严重)比较严重的情况
3ERR(错误)运行出现错误
4WARNING(提醒)可能影响系统功能,需要提醒用户的重要事件
5NOTICE(注意)不会影响正常功能,但是需要注意的事件
6INFO(信息)一般信息
7DEBUG(调试)程序或系统调试信息等

? 2.3 用户日志

? ? 在 wtmp、btmp、lastlog 等日志文件中,保存了系统用户登录、退出等相关的事件消息。但是这些文件都是二进制的数据文件,需要使用 who、w、users、last 和 lastb 等用户查询命令来获取日志信息。

? 2.3.1 查看当前登录的用户情况

? ? users

? ? ??users 命令只是简单地输出当前登录的用户名称,每个显示的用户名对应一个登录会话。

? ? who

? ? ? who命令用于报告当前登录到系统中的每个用户的信息。

??

? ? w

? ? ? ?w 命令用于显示当前系统中的每个用户及其所运行的进程信息

? 2.3.2 查看用户登录的历史纪录

? ? last

? ? ? last 命令用于查询成功登录到系统的用户记录

? lastb

? ? ?lastb 命令用于查询登录失败的用户记录

?

三、实验

??将日志文件全部放在日志文件服务器上

四、系统日志管理

? ?4.1 rsyslog管理

? ? 自定义日志文件的位置

? ? ? 该软件要支持rsyslog

? 日志等级

五、实验

? 将ssh服务的日志单独设置

六、实验

? 网络日志(远程日志功能)?

七、日志文件

? /var/log/secure:系统安全日志(用户登录),文本格式,应周期性分析

? /var/log/btmp:当前系统上,用户的失败尝试登录相关的日志信息,二进制格式,lastb命令进行查看

? /var/log/wtmp:当前系统上,用户正常登录系统的相关日志信息,二进制格式,last命令可以查看

? /var/log/lastlog:每一个用户最近一次的登录信息,二进制格式,lastlog命令可以查看

? /var/log/dmesg:CentOS7 之前版本系统引导过程中的日志信息,文本格式,开机后的硬件变化不再记录专用命令dmesg查看,可持续记录硬件变化的情况

? /var/log/boot.log:系统服务启动的相关信息,文本格式

? /var/log/messages:系统中大部分的信息

? /var/log/anaconda:anaconda的日志操作系统安装时安装的软件信息

? 7.1 日志管理工具journalctl

? ? 日志的配置文件:/etc/systemd/journald.conf

? ? journalctl的格式:journalctl [选项...] [匹配项...]

文章来源:https://blog.csdn.net/sea_bunch/article/details/135455766
本文来自互联网用户投稿,该文观点仅代表作者本人,不代表本站立场。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。