Linux文件系统与日志分析

目录

一、Linux文件系统

1、inode与block

2、查看inode号码的命令

3、inode包含文件的元信息

4、Linux系统文件的三个主要时间属性

5、用户通过文件名打开文件时系统内部过程

6、inode的大小

7、inode的特点

二、日志

1、日志的功能

2、日志文件的分类

3、系统日志介绍

3、ELK

4、rsyslog管理

5、rsyslog配置文件

6、用户登录日志

7、last和lastb:查询用户登录的历史记录

8、journalctl日志管理工具

9、查询当前登录的用户情况

10、日志的管理策略

三、实操:将ssh服务日志单独存放

1、进入rsyslog配置文件,添加自己的文件位置

2、进入ssh配置文件,将ssh配置成使用local6

3、重启服务

4、验证,并查看本机日志记录(tail -f /var/log/secure)

四、实操:通过网络将本地的日志远程备份到另外一台机器

1、两台机器都关闭防火墙工具与selinux

2、打开配置文件,进行修改配置

3、重启服务

4、查看514端口是否启动

5、测试使用logger写入一条测试日志

6、接收方开启TCP和端口514

7、重启日志服务

8、查看接收方是否能收到日志记录


一、Linux文件系统

1、inode与block

文件数据包括元信息与实际信息,文件存储在硬盘上,硬盘最小的存储单位是扇区,每个扇区存储512个字节。

①block:块。连续的八个扇区组成一个block,大小为4k。(是文件存储的最小的单位)

②inode:索引节点,用于存储元信息,在同一个硬件设备上是唯一的,是可以被用完的,用完后无法创建任何文件。

③block和inode的关系:一个文件必须占用一个inode号,但是至少占用一个block。

2、查看inode号码的命令

1.	查看文件名对应的inode号码ls -i 文件名
2. 	查看文件inode信息中的inode号码stat 文件名

3、inode包含文件的元信息

  • 文件的字节数(字节占用多少空间,也称文件大小)
  • 文件拥有者的 User ID
  • 文件的 Group ID
  • 文件的读、写、执行权限
  • 文件的时间戳(ctime、atime、mtime)
  • 文件类型
  • 链接数
  • 有关文件的其他数据
  • 不包含文件名,文件名在目录结构中

4、Linux系统文件的三个主要时间属性

①ctime:最后一次改变问价或目录的时间

②atime:最后依次访问文件或目录的时间

③mtime:最后一次修改文件或目录(内容)

5、用户通过文件名打开文件时系统内部过程

①系统找到与这个文件名对应的inode号码

②通过inode号码,获取inode信息

③根据inode信息,找到文件数据所在的block,读出数据

例题:磁盘有剩余,但无法继续建立文件?

inode用完了,lvm扩容,普通分区删除无用文件。

6、inode的大小

①inode号也会消耗硬盘空间,每个inode的大小一般是128字节或256字节

②inode在同一个文件系统里唯一,在不同的文件系统中可以重复

查看每个硬盘分区的inode总数和已经使用的数量,可以用命令df -i

7、inode的特点

①删除inode的方法:

删除inode号的方法:方法一: find 文件位置 -inum inode号码 -exec rm -rf {} \;方法二: find 文件位置 -inum inode号码 -delete

二、日志

日志默认保存在/var/log目录下

1、日志的功能

①用于记录系统,程序运行中发生的各种事件

②通过阅读日志,有助于诊断和解决系统故障

2、日志文件的分类

①由系统服务rsyslog统一进行管理,日志格式基本相似

②主配置文件/etc/rsyslog.conf

③记录系统用户登录及退出系统的相关信息

④由各种应用程序独立管理的日志文件,记录格式不统一

3、系统日志介绍

①sysklogd系统日志服务

②rsyslog系统日志服务

rpm -qi rsyslog
#查看rsyslog的详细信息
rpm -ql rsyslog
#查看rsyslog的文件列表

3、ELK

由Elasticsearch, Logstash, Kibana三个软件组成

4、rsyslog管理

4.1日志消息的级别

Linux系统内核日志消息的优先级别(数字等级越小,优先级越高,消息越重要):

级别    消息           级别    具体描述
0    EMERG          紧急    会导致主机系统不可用的情况
1    ALERT            警告    必须马上采取措施解决的问题
2    CRIT               严重    比较严重的情况
3    ERR               错误     运行出现错误
4    WARNING     提醒     可能影响系统功能,需要提醒用户的重要事件
5    NOTICE         注意     不会影响正常功能,但是需要注意的事件
6    INFO              信息     一般信息
7    DEBUG          调试     程序或系统调试信息等
是yum或rpm安装配置文件一般放在etc下

在改配置文件一定要先备份,查看软件的配置文件位置,用rpm -qc软件名,去查看,一般以.conf

结尾的是配置文件。

5、rsyslog配置文件

配置文件格式:/etc/rsyslog.conf

①modules:相关模块配置

②global diretives:全局配置

③rules:日志记录相关的规则配置

6、用户登录日志

/var/log/secure: 记录用户认证相关的安全事件信息。
/var/log/lastlog: 记录每个用户最近的登录事件。二进制格式
/var/log/wtmp: 记录每个用户登录、注销及系统启动和停机事件。二进制格式
/var/ run/btmp: 记录失败的、错误的登录尝试及验证事件。二进制格式


7、last和lastb:查询用户登录的历史记录

①last命令用于查询成功登录到系统的用户记录

②lastb命令用于查询登陆失败的用户记录

用户名登录错误,密码输入错误都会被记录在里面,登录失败也属于安全时间,表示可能有人在尝试破解密码。除了使用lastb命令以外,还可以直接从安全日志/var/log/secure中获取相关信息。

8、journalctl日志管理工具

日志的配置文件:/etc/systemd/journald.conf

9、查询当前登录的用户情况

①users

②who

③w

10、日志的管理策略

  • 及时做好备份和归档
  • 延长日志保存期限
  • 控制日志访问权限
  • 日志中可能会包含各类敏感信息,如账户和口令等
  • 集中管理日志
  • 将服务器的日志文件发到统一-的日志文件服务器
  • 便于日志信息的统- -收集、 整理和分析
  • 杜绝日志信息的意外丢失、恶意篡改或删除

三、实操:将ssh服务日志单独存放

ssh远程连接协议:(1)压缩功能,传输快 (2)密文传输

1、进入rsyslog配置文件,添加自己的文件位置

vim /etc/rsyslog.conf

2、进入ssh配置文件,将ssh配置成使用local6

3、重启服务

4、验证,并查看本机日志记录(tail -f /var/log/secure)

四、实操:通过网络将本地的日志远程备份到另外一台机器

就算本机系统崩溃,我们可以查看另一台机器备份的日志,来排查故障

1、两台机器都关闭防火墙工具与selinux

2、打开配置文件,进行修改配置

3、重启服务

4、查看514端口是否启动

5、测试使用logger写入一条测试日志

6、接收方开启TCP和端口514

7、重启日志服务

systemctl restart rsyslog.service

8、查看接收方是否能收到日志记录

本文来自互联网用户投稿,该文观点仅代表作者本人,不代表本站立场。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如若转载,请注明出处:http://www.mzph.cn/news/607025.shtml

如若内容造成侵权/违法违规/事实不符,请联系多彩编程网进行投诉反馈email:809451989@qq.com,一经查实,立即删除!

相关文章

解锁前端新潜能:如何使用 Rust 锈化前端工具链

前言 近年来,Rust的受欢迎程度不断上升。首先,在操作系统领域,Rust 已成为 Linux 内核官方认可的开发语言之一,Windows 也宣布将使用 Rust 来重写内核,并重写部分驱动程序。此外,国内手机厂商 Vivo 也宣布…

语言栏中的半角和全角

语言栏中的半角和全角 1. 语言栏2. Halfwidth and fullwidth forms3. Monospaced fontReferences 1. 语言栏 任务栏设置 时间和语言 输入 高级键盘设置 文本服务和输入语言 2. Halfwidth and fullwidth forms 半角和全角,别名半形和全形。 In CJK (Chinese, Japa…

sentinel入门,转载的,不记得在哪复制的了

sentinel 基本概念 开发的原因,需要对吞吐量(TPS)、QPS、并发数、响应时间(RT)几个概念做下了解,查自百度百科,记录如下: 响应时间(RT)   响应时间是指系统对请求作出响应的时间。…

基于多反应堆的高并发服务器【C/C++/Reactor】(中)HttpResponse的定义和初始化 以及组织 HttpResponse 响应消息

一、HttpResponse的定义 1.定义状态码枚举 // 定义状态码枚举 enum HttpStatusCode {Unknown 0,OK 200,MovedPermanently 301,MovedTemporarily 302,BadRequest 400,NotFound 404 }; 2.HTTP 响应报文格式 这个数据块主要是分为四部分 第一部分是状态行第二部分是响应…

Hyperledger Fabric 管理链码 peer lifecycle chaincode 指令使用

链上代码(Chaincode)简称链码,包括系统链码和用户链码。系统链码(System Chaincode)指的是 Fabric Peer 中负责系统配置、查询、背书、验证等平台功能的代码逻辑,运行在 Peer 进程内,将在第 14 …

基于多反应堆的高并发服务器【C/C++/Reactor】(中)HttpRequest模块 解析http请求协议

一、HTTP响应报文格式 HTTP/1.1 200 OK Bdpagetype: 1 Bdqid: 0xf3c9743300024ee4 Cache-Control: private Connection: keep-alive Content-Encoding: gzip Content-Type: text/html;charsetutf-8 Date: Fri, 26 Feb 2021 08:44:35 GMT Expires: Fri, 26 Feb 2021 08:44:35 GM…

今日实践 — 附加数据库/重定向失败如何解决?

WMS数据库与重定向 前言正文如何建立数据库连接?第一步:打开SSMS,右击数据库,点击附加第二步:点击添加第三步:找到自己的数据库文件,点击确定按钮第四步:若有多个数据库,…

如何使用静态IP代理解决Facebook多账号注册并进行网络推广业务?

在当今的数字时代,社交媒体成为了企业进行网络推广的一个重要途径,其中,Facebook是最受欢迎的社交媒体之一,因为它可以让企业通过创建广告和页面来推广他们的产品或服务。 但是,使用Facebook进行网络推广时&#xff0…

【代码复现系列】paper:CycleGAN and pix2pix in PyTorch

或许有冗余步骤、之后再优化。 1.桌面右键-git bash-输入命令如下【git clone https://github.com/junyanz/pytorch-CycleGAN-and-pix2pix】 2.打开anaconda的prompt,cd到pytorch-CycleGAN-and-pix2pix路径 3.在prompt里输入【conda env create -f environment.y…

基于YOLOv7开发构建道路交通场景下CCTSDB2021交通标识检测识别系统

交通标志检测是交通标志识别系统中的一项重要任务。与其他国家的交通标志相比,中国的交通标志有其独特的特点。卷积神经网络(CNN)在计算机视觉任务中取得了突破性进展,在交通标志分类方面取得了巨大的成功。CCTSDB 数据集是由长沙…

OpenFeign超时控制

OpenFeign超时控制 前面简单介绍了Feign和OpenFeign的关系,言归正传,接下来我们看看OpenFeign如何设置调用超时,openFeign其实是有默认的超时时间的,默认分别是连接超时时间10秒、读超时时间60秒,源码在feign.Request…

十九:爬虫最终篇-平安银行商城实战

平安银行商场实战 需求 获取该商城商品信息 目标网址 https://m.yqb.com/bank/product-item-50301196.html?mcId1583912328849970&loginModepab&historyy&sceneModem&traceid30187_4dXJVel1iop详细步骤 1、寻找数据接口 2、对比payload寻找可疑参数 3、多…

图像融合论文阅读:CrossFuse: 一种基于交叉注意机制的红外与可见光图像融合方法

article{li2024crossfuse, title{CrossFuse: A novel cross attention mechanism based infrared and visible image fusion approach}, author{Li, Hui and Wu, Xiao-Jun}, journal{Information Fusion}, volume{103}, pages{102147}, year{2024}, publisher{Elsevier} } 论文…

当试图回复传入消息时,消息应用程序会闪烁

问题描述: Actual Results: Unable to reply for incoming message as Messaging app flickers and closes. Expected Results: User should be able to send reply for incoming messages. Reproduction Steps: Stay in home screen. Receive an incoming mes…

如何在 Ubuntu 20.04 上安装和使用 Docker

前些天发现了一个人工智能学习网站,通俗易懂,风趣幽默,最重要的屌图甚多,忍不住分享一下给大家。点击跳转到网站。 如何在 Ubuntu 20.04 上安装和使用 Docker 介绍 Docker是一个可以简化容器中应用程序进程管理过程的应用程序。…

拦截器HandlerInterceptor | springmvc系列

拦截器,通俗来来将,就是我们将访问某个路径的请求给拦截下来,然后可以对这个请求做一些操作 基本使用 创建拦截器类 让类实现HandlerInterceptor接口,重写接口中的三个方法。 Component //定义拦截器类,实现Handle…

Python实现PowerPoint(PPT/PPTX)到PDF的批量转换

演示文稿是一种常见传达信息、展示观点和分享内容的形式,特别是PowerPoint演示文稿,广泛应用于各行各业,几乎是演讲等场合的必备工具。然而,演示文稿也有其限制,对设备的要求较高,且使用不同的软件或设备演…

Ubuntu下AI4Green开源ELN服务的简单部署

主部署程序:AI4Green 配置参考这篇文档:AI4Green开源ELN(电子实验记录本)-CSDN博客 流量转发和负载均衡:使用Nginx 配置参考这篇文档:Nginx负载均衡-CSDN博客 SSL配置部分参考这篇文档: 设置…

SpringBoot-开启Actuator监控

Spring Boot Actuator是Spring Boot提供的一种管理和监控应用程序的框架,可以帮助我们了解应用程序的运行状况,提供HTTP端点来暴露应用程序的不同方面,如健康状况、指标、日志和运行时信息等。 开启Actuator监控,我们可以通过HTT…

Hyperledger Fabric 核心概念与组件

要理解超级账本 Fabric 的设计,首先要掌握其最基本的核心概念与组件,如节点、交易、排序、共识、通道等。 弄清楚这些核心组件的功能,就可以准确把握 Fabric 的底层运行原理,深入理解其在架构上的设计初衷。知其然,进…