目录

一.Linux文件系统

1.inode表和block

（1）inode

（2）block

2.查看inode号命令

3.Linux系统文件三种主要时间属性

4.磁盘空间还剩余很多但无法继续创建文件

5.inode大小

二.日志

1.日志保存位置

2.日志文件的分类

（1）内核及系统日志

（2）用户日志

（3）程序日志

3.常见的日志文件

4.系统日志介绍

（1）sysklogd 系统日志服务

（2）rsyslog 系统日志服务

5.rsyslog 管理

6.日志记录的一般格式

7.lastb 命令用于查询登录失败的用户记录

三.将ssh服务日志单独存放

1.进入rsyslog配置文件，添加自己的文件位置

2.进入ssh配置文件，将ssh配成local6

3.重启服务

4.验证，使用另外一台主机实时查看tail -f /var/log/secure

四.通过网络将本地的日志远程备份到另一台机器

1.关闭两台机器的防火墙与selinux

2.打开配置

3.重启服务

4.查看514端口是否启动

5.测试logger写入日志

6.接收方开启TCP和514端口

7.重启日志服务

8.接收方收到发送方的日志记录

---

一.Linux文件系统

1.inode表和block

（1）inode

• 中文译名为“索引节点”，也叫i节点；
• 用于存储文件元信息
• 同一个硬件设备上是唯一的，不可以跨设备，inode实际是资源，是可以被用完的，用完后无法创建任何文件。（xargs:读取前面的参数；   -n1：一个一个给）

（2）block

• 连续的八个扇区组成一个block（4k）；
• 是文件存取的最小单位。

2.查看inode号命令

1.	查看文件名对应的inode号码ls -i 文件名
2. 	查看文件inode信息中的inode号码stat 文件名

3.Linux系统文件三种主要时间属性

ctime	最后一次改变文件或目录的时间
atime	最后一次访问文件或目录的时间
mtime	最后一次修改文件或目录的时间

4.磁盘空间还剩余很多但无法继续创建文件

答案：inode号用完

lvm扩容、删除没有用的空文件

根据文件夹的文件名和inode号关系，找到对应的inode表。再根据inode表（属主属组）当中指针找到磁盘上的真实数据。

5.inode大小

• inode也会消耗硬盘空间，每个inode的大小一般是128字节或256字节

• inode的总数，在格式化时就确定

• 如果磁盘还有空间，但inode号被全部占用，无法创建新文件。

• inode号在同一个文件系统内唯一，在不同的文件系统中可以重复。

• 查看每个硬盘分区的inode总数和已经使用的数量，可以使用命令: df -I

二.日志

1.日志保存位置

/var/log目录下

2.日志文件的分类

（1）内核及系统日志

（2）用户日志

（3）程序日志

3.常见的日志文件

日志文件位置	日志文件说明
/var/log/messages内核和公共日志	它是核心系统日志文件，其中包含了系统启动时的引导信息，以及系统运行时的其他状态消息。I/O 错误、网络错误和其他系统错误都会记录到此文件中。其他信息，比如某个人的身份切换为 root，已及用户自定义安装软件的日志，也会在这里列出。
/var/log/cron 计划任务日志	记录与系统定时任务相关的曰志
/var/log/dmesg 系统引导日志	记录了系统在开机时内核自检的信息，也可以使用dmesg命令直接查看内核自检信息
/var/log/maillog 邮件日志	记录邮件信息的曰志
用户日志
/var/log/lastlog	记录系统中所有用户最后一次的登录时间的曰志。这个文件也是二进制文件.不能直接用Vi 查看。而要使用lastlog命令查看
/var/log/secure	记录验证和授权方面的倍息，只要涉及账户和密码的程序都会记录，比如系统的登录、ssh的登录、su切换用户，sudo授权，甚至添加用户和修改用户密码都会记录在这个日志文件中
/var/log/btmp	查看用户登录失败信息，lastb命令可以查看，是一个二进制文件
/var/log/wtmp	永久记录所有用户的登陆、注销信息，同时记录系统的启动、重启、关机事件。同样，这个文件也是二进制文件.不能直接用Vi查看，而要使用last命令查看
/var/tun/ulmp	记录当前已经登录的用户的信息。这个文件会随着用户的登录和注销而不断变化，只记录当前登录用户的信息。同样，这个文件不能直接用Vi查看，而要使用w、who、users等命令查看

4.系统日志介绍

（1）sysklogd 系统日志服务

CentOS 5 之前版本采用的日志管理系统服务

• syslogd: system application 记录应用日志
• klogd: linux kernel 记录内核日志

（2）rsyslog 系统日志服务

rsyslog是CentOS 6以后版本的系统管理服务:它提供了高性能，出色的安全性和模块化设计。

rsyslog 特性

• 多线程

• UDP, TCP, SSL, TLS, RELP

• MySQL, PGSQL, Oracle实现日志存储

• 强大的过滤器，可实现过滤记录日志信息中任意部分

• 自定义输出格式 可以日志

• 适用于企业级

5.rsyslog 管理

在 Linux 内核中，根据日志消息的重要程度不同，将其分为不同 的优先级别（数字等级越小，优先级越高，消息越重要）。

0	EMERG	紧急	会导致主机系统不可用的情况
1	ALERT	警告	必须马上采取措施解决的问题
2	CRIT	严重	比较严重的情况
3	ERR	错误	运行出现错误
4	WARNING	提醒	可能影响系统功能，需要提醒用户的重要事件
5	NOTICE	注意	不会影响正常功能，但是需要注意的事件
6	INFO	信息	一般信息
7	DEBUG	调试	程序或系统调试信息等

6.日志记录的一般格式

7.lastb 命令用于查询登录失败的用户记录

记录用户名错误、密码不正确等情况。

三.将ssh服务日志单独存放

1.进入rsyslog配置文件，添加自己的文件位置

2.进入ssh配置文件，将ssh配成local6

3.重启服务

4.验证，使用另外一台主机实时查看tail -f /var/log/secure

四.通过网络将本地的日志远程备份到另一台机器

1.关闭两台机器的防火墙与selinux

2.打开配置

3.重启服务

4.查看514端口是否启动

5.测试logger写入日志

6.接收方开启TCP和514端口

7.重启日志服务

8.接收方收到发送方的日志记录