Linux文件系统和日志分析
一、inode表结构
? 1. inode表
? ? inode号在同一个设备上是唯一的。
? ? inode号是有限资源,它的大小和磁盘大小有关。
? ? 访问文件的基本流程
? ? ??根据文件夹的文件名和inode号的关系找到对应的inode表,再根据inode表(属主 属组)当中的指针找到磁盘上的真实数据。
二、日志
??内核及系统日志由系统服务 rsyslog 统一管理,根据其主配置文件 /etc/rsyslog.conf。
??Linux 操作系统本身和大部分服务器程序的日志文件都默认放在目录/var/log/下
? 2.1 常见的一些日志文件
日志文件位置 | 日志文件说明 |
---|---|
/var/log/messages(内核和公共日志) | 它是核心系统日志文件,其中包含了系统启动时的引导信息,以及系统运行时的其他状态消息 |
/var/log/cron(计划任务日志) | 记录与系统定时任务相关的曰志 |
/var/log/dmesg(系统引导日志) | 记录了系统在开机时内核自检的信息,也可以使用dmesg命令直接查看内核自检信息 |
/var/log/maillog(邮件日志) | 记录邮件信息的日志 |
用户日志 | |
/var/log/lastlog | 记录用户最后一次登陆的信息可以使用lastlog命令查看 |
/var/log/secure | 记录验证和授权方面的信息,只要涉及账户和密码的程序都会记录 |
/var/log/wtmp | 永久记录所有用户的登陆、注销信息,同时记录系统的启动、重启、关机事件可以使用lastlog命令查看 |
/var/log/ulmp | 记录当前已经登陆的用户信息 |
? ? 日志文件的格式:
? ? ? 事件产生的时间
? ? ? 产生时间的服务器的主机名
? ? ??产生时间的服务器或程序名
? ? ? 时间的具体信息
? 2.2 内核和公共文件
? ? 日志的基本配置文件在/etc/rsyslog.conf
? ? 信息的重要程度
? ? ? ?在 Linux 内核中,根据日志消息的重要程度不同,将其分为不同 的优先级别(数字等级越小,优先级越高,消息越重要)。
信号 | 日志消息 | 说明 |
---|---|---|
0 | EMERG(紧急) | 会导致主机系统不可用的情况 |
1 | ALERT(警告) | 必须马上采取措施解决的问题 |
2 | CRIT(严重) | 比较严重的情况 |
3 | ERR(错误) | 运行出现错误 |
4 | WARNING(提醒) | 可能影响系统功能,需要提醒用户的重要事件 |
5 | NOTICE(注意) | 不会影响正常功能,但是需要注意的事件 |
6 | INFO(信息) | 一般信息 |
7 | DEBUG(调试) | 程序或系统调试信息等 |
? 2.3 用户日志
? ? 在 wtmp、btmp、lastlog 等日志文件中,保存了系统用户登录、退出等相关的事件消息。但是这些文件都是二进制的数据文件,需要使用 who、w、users、last 和 lastb 等用户查询命令来获取日志信息。
? 2.3.1 查看当前登录的用户情况
? ? users
? ? ??users 命令只是简单地输出当前登录的用户名称,每个显示的用户名对应一个登录会话。
? ? who
? ? ? who命令用于报告当前登录到系统中的每个用户的信息。
??
? ? w
? ? ? ?w 命令用于显示当前系统中的每个用户及其所运行的进程信息
? 2.3.2 查看用户登录的历史纪录
? ? last
? ? ? last 命令用于查询成功登录到系统的用户记录
? lastb
? ? ?lastb 命令用于查询登录失败的用户记录
?
三、实验
??将日志文件全部放在日志文件服务器上
四、系统日志管理
? ?4.1 rsyslog管理
? ? 自定义日志文件的位置
? ? ? 该软件要支持rsyslog
? 日志等级
五、实验
? 将ssh服务的日志单独设置
六、实验
? 网络日志(远程日志功能)?
七、日志文件
? /var/log/secure:系统安全日志(用户登录),文本格式,应周期性分析
? /var/log/btmp:当前系统上,用户的失败尝试登录相关的日志信息,二进制格式,lastb命令进行查看
? /var/log/wtmp:当前系统上,用户正常登录系统的相关日志信息,二进制格式,last命令可以查看
? /var/log/lastlog:每一个用户最近一次的登录信息,二进制格式,lastlog命令可以查看
? /var/log/dmesg:CentOS7 之前版本系统引导过程中的日志信息,文本格式,开机后的硬件变化不再记录专用命令dmesg查看,可持续记录硬件变化的情况
? /var/log/boot.log:系统服务启动的相关信息,文本格式
? /var/log/messages:系统中大部分的信息
? /var/log/anaconda:anaconda的日志操作系统安装时安装的软件信息
? 7.1 日志管理工具journalctl
? ? 日志的配置文件:/etc/systemd/journald.conf
? ? journalctl的格式:journalctl [选项...] [匹配项...]
本文来自互联网用户投稿,该文观点仅代表作者本人,不代表本站立场。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。 如若内容造成侵权/违法违规/事实不符,请联系我的编程经验分享网邮箱:veading@qq.com进行投诉反馈,一经查实,立即删除!