目录

一.LINUX文件系统

1.inode表和block

（1）inode

（2）block

2.查看inode号命令

3.Linux系统文件三种主要时间属性

4.磁盘空间还剩余很多但无法继续创建文件

5.inode大小

二.日志

1.日志保存位置

2.日志文件的分类

（1）内核及系统日志

（2）用户日志

（3）程序日志

3.常见的日志文件

4.系统日志介绍

（1）sysklogd 系统日志服务

（2）rsyslog 系统日志服务

5.rsyslog 管理

6.日志记录的一般格式

7.用户日志分析——保存了用户登录、退出系统等相关信息

8.last——查询成功登录到系统的用户记录

9.lastb 命令用于查询登录失败的用户记录

10.users——查询当前登录的用户情况

11.who——报告当前登录到系统中的每个用户的信息

​编辑12.w——查询当前登录的用户情况

​编辑三.将ssh服务日志单独存放

1.进入rsyslog配置文件，添加自己的文件位置

​编辑​编辑2.进入ssh配置文件，将ssh配成local6

​编辑3.重启服务​编辑4.验证

四.通过网络将本地的日志远程备份到另一台机器

1.关闭两台机器的防火墙与selinux

2.打开tcp514端口

3.将node2作为日志服务器

​编辑4.测试

---

一.LINUX文件系统

1.inode表和block

（1）inode

• 中文译名为“索引节点”，也叫i节点；
• 用于存储文件元信息
• 同一个硬件设备上是唯一的，不可以跨设备，inode实际是资源，是可以被用完的，用完后无法创建任何文件。（xargs:读取前面的参数；   -n1：一个一个给）

（2）block

• 连续的八个扇区组成一个block（4k）；
• 是文件存取的最小单位。

2.查看inode号命令

1.    查看文件名对应的inode号码
    ls -i 文件名
2.     查看文件inode信息中的inode号码
    stat 文件名

3.Linux系统文件三种主要时间属性

ctime	最后一次改变文件或目录的时间
atime	最后一次访问文件或目录的时间
mtime	最后一次修改文件或目录的时间

4.磁盘空间还剩余很多但无法继续创建文件

答案：inode号用完

lvm扩容、删除没有用的空文件

根据文件夹的文件名和inode号关系，找到对应的inode表。再根据inode表（属主属组）当中指针找到磁盘上的真实数据。

5.inode大小

• inode也会消耗硬盘空间，每个inode的大小一般是128字节或256字节

• inode的总数，在格式化时就确定

• 如果磁盘还有空间，但inode号被全部占用，无法创建新文件。
• inode号在同一个文件系统内唯一，在不同的文件系统中可以重复。
• 查看每个硬盘分区的inode总数和已经使用的数量，可以使用命令: df -I

二.日志

1.日志保存位置

/var/log目录下

2.日志文件的分类

（1）内核及系统日志

（2）用户日志

（3）程序日志

3.常见的日志文件

4.系统日志介绍

（1）sysklogd 系统日志服务

CentOS 5 之前版本采用的日志管理系统服务

• syslogd: system application 记录应用日志
• klogd: linux kernel 记录内核日志

（2）rsyslog 系统日志服务

rsyslog是CentOS 6以后版本的系统管理服务:它提供了高性能，出色的安全性和模块化设计。

rsyslog 特性

• 多线程

• UDP, TCP, SSL, TLS, RELP

• MySQL, PGSQL, Oracle实现日志存储

• 强大的过滤器，可实现过滤记录日志信息中任意部分

• 自定义输出格式 可以日志

• 适用于企业级

5.rsyslog 管理

在 Linux 内核中，根据日志消息的重要程度不同，将其分为不同 的优先级别（数字等级越小，优先级越高，消息越重要）。

0	EMERG	紧急	会导致主机系统不可用的情况
1	ALERT	警告	必须马上采取措施解决的问题
2	CRIT	严重	比较严重的情况
3	ERR	错误	运行出现错误
4	WARNING	提醒	可能影响系统功能，需要提醒用户的重要事件
5	NOTICE	注意	不会影响正常功能，但是需要注意的事件
6	INFO	信息	一般信息
7	DEBUG	调试	程序或系统调试信息等

6.日志记录的一般格式

系统日志一般分为四段，以messages日志为例

7.用户日志分析——保存了用户登录、退出系统等相关信息

• /var/log/lastlog：最近的用户登录事件
• /var/log/wtmap：用户登录、注销及开、关机事件
• /var/run/utmap：当前登录的每个用户的详细信息
• /var/log/secure：与用户验证相关的安全性事件

8.last——查询成功登录到系统的用户记录

最近的登录情况将显示在最前面。通过 last 命令可以及时掌握 Linux 主机的登录情况，若发现未经授权的用户登录过，则表示当前 主机可能已被入侵。

9.lastb 命令用于查询登录失败的用户记录

记录用户名错误、密码不正确等情况。

10.users——查询当前登录的用户情况

users 命令只是简单地输出当前登录的用户名称，每个显示的用户名对应一个登录会话。 如果一个用户有不止一个登录会话，那他的用户名将显示与其相同的次数

11.who——报告当前登录到系统中的每个用户的信息

使用该命令，系统管理员可以查看当前系统存在哪些不合法用户，从而对其进行审计和处理。who 的默认输出包括用户名、终端类型、登录日期及远程主机

12.w——查询当前登录的用户情况

w 命令用于显示当前系统中的每个用户及其所运行的进程信息，比 users、who 命令的 输出内容要丰富一些。

三.将ssh服务日志单独存放

1.进入rsyslog配置文件，添加自己的文件位置

2.进入ssh配置文件，将ssh配成local6

vim 打开/etc/ssh/sshd_config文件

3.重启服务4.验证

四.通过网络将本地的日志远程备份到另一台机器

1.关闭两台机器的防火墙与selinux

2.打开tcp514端口

3.将node2作为日志服务器

4.测试