Linux中inode号与日志分析

一.inode号

1.inode表结构

元信息：每个文件的属性信息，比如：文件的大小，时间，类型，权限等，称为文件的元数据(meta data 元信息 )

元数据是存放在inode（index node）表中。inode 表中有很多条记录组成，第一条记录对应的存放了一个文件的元数据信息。

每一个inode表记录对应的保存了以下信息：

inode number 节点号
文件类型
权限
UID
GID
链接数（指向这个文件名路径名称个数）
该文件的大小和不同的时间戳
指向磁盘上文件的数据块指针
有关文件的其他数据

inode 是有限资源，如果消耗完毕，无法继续新建文件解决方法：删除空文件，无用的文件

inode 号在同一设备中是唯一的

在不同设备中inode号是可以相同的

2.如何查看inode号

ls -i
stat
atime：访问文件时间，需要打开文件时间才会变化
mtime：最近更改时间，文件内容发生改变，时间才会变化
ctime：最近改动时间，文件的元信息发生改变，时间才会改动  属主 属组 大小

1.文件是存储在硬盘上的，硬盘的最小存储单位叫做“扇区”(sector)，每个扇区存储512字节。

2.一般连续八个扇区组成一个"块”(block)，一个块是4K大小，是文件存取的最小单位。操作系统读取硬盘的时候，是一次性连续读取多个扇区，即一个块一个块的读取的。4k一读,8个扇区一读

3.文件数据包括实际数据与元信息(类似文件属性)。文件数据存储在“块"中，存储文件元信息(比如文件的创建者、创建日期、文件大小、文件权限等)的区域就叫做inode表。因此，一个文件必须占用一个inode，并且至少占用一个block。du 显示

4.inode不包含文件名。文件名是存放在目录文件夹当中的。Linux 系统中一切皆文件，因此目录也是一种文件。

5.每个inode都有一个号码，操作系统用inode号码来识别不同的文件。Linux系统内部不使用文件名，而使用inode号码来识别文件。对于系统来说，文件名只是inode号码便于识别的别称，文件名和inode号码是一一对应关系，每个inode号码对应一个或多个文件名。

唯一同一文件系统（）不同的文件

6.所以，当用户在Linux系统中试图访问一个文件时，系统会先根据文件名去查找它对应的inode号码:通过inode号码，获取inode信息;根据inode信息，看该用户是否具有访问这个文件的权限;如果有，就指向相对应的数据block，并读取数据。

硬盘上最小的存储单位为扇区（512字节）

文件存储的最小单位为块8个扇区组成为4k

目录文件的结构非常简单，就是一系列目录项（dirent）的列表。每个目录项，由两部分组成：所包含文件的文件名，以及该文件名对应的inode号码。

3.inode 的大小

inode 消耗磁盘空间

1.每个inode的大小

2.一般是128字节或256字节

格式化文件系统时确定inode的总数

使用df -i 命令可以查看每个硬盘分区的inode总数和已经使用的数量

示例：

4.inode的特殊作用

由于inode号码与文件名分离，导致一些Unix/Linux系统具有一下的现象

（1）当文件名包含特殊字符，可能无法正常删除文件，直接删除inode ，也可以删除文件

（2）移动或重命名文件时，只改变文件名，不影响inode号码

（3）打开一个文件后，系统通过inode号码来识别该文件，不再考虑文件名

二.日志

1.日志的介绍

内核及系统日志由系统服务 rsyslog 统一管理，根据其主配置文件 /etc/rsyslog.conf

Linux 操作系统本身和大部分服务器程序的日志文件都默认放在目录/var/log/下

2.日志的功能

（1）用于记录系统，程序运行中发生的各种事件

（2）通过阅读日志，有助于诊断和解决系统故障

3.常见的一些日志文件

日志文件位置	日志文件说明
/var/log/messages内核和公共日志	它是核心系统日志文件，其中包含了系统启动时的引导信息，以及系统运行时的其他状态消息。I/O 错误、网络错误和其他系统错误都会记录到此文件中。其他信息，比如某个人的身份切换为 root，已及用户自定义安装软件的日志，也会在这里列出。
/var/log/cron 计划任务日志	记录与系统定时任务相关的曰志
/var/log/dmesg 系统引导日志	记录了系统在开机时内核自检的信息，也可以使用dmesg命令直接查看内核自检信息
/var/log/maillog 邮件日志	记录邮件信息的曰志
用户日志
/var/log/lastlog	记录系统中所有用户最后一次的登录时间的曰志。这个文件也是二进制文件.不能直接用Vi 查看。而要使用lastlog命令查看
/var/log/secure	记录验证和授权方面的倍息，只要涉及账户和密码的程序都会记录，比如系统的登录、ssh的登录、su切换用户，sudo授权，甚至添加用户和修改用户密码都会记录在这个日志文件中
/var/log/wtmp	永久记录所有用户的登陆、注销信息，同时记录系统的启动、重启、关机事件。同样，这个文件也是二进制文件.不能直接用Vi查看，而要使用last命令查看
/var/tun/ulmp	记录当前已经登录的用户的信息。这个文件会随着用户的登录和注销而不断变化，只记录当前登录用户的信息。同样，这个文件不能直接用Vi查看，而要使用w、who、users等命令查看

日志作用命令

btmp 查看登录失败的用户 lastb

lastlog 查看最后一次登录情况 lastlog

wtmp 用户成功登录的日志 last

日志文件的格式包含以下 4 列：

事件产生的时间。
产生事件的服务器的主机名。
产生事件的服务名或程序名。
事件的具体信息。

4.日志的级别

在 Linux 内核中，根据日志消息的重要程度不同，将其分为不同的优先级别（数字等级越小，优先级越高，消息越重要）。

级号	消息	级别	说明
0	EMERG	紧急	会导致主机系统不可用的情况
1	ALERT	警告	必须马上采取措施解决的问题
2	CRIT	严重	比较严重的情况
3	ERR	错误	运行出现错误
4	WARNING	提醒	可能影响系统功能，需要提醒用户的重要事件
5	NOTICE	注意	不会影响正常功能，但是需要注意的事件
6	INFO	信息	一般信息
7	DEBUG	调试	程序或系统调试信息等

5.日志的实际案例

系统安全日志

文件位置：/var/log/secure

文件格式：文本文件

示例：登录失败的信息

远程登录192.168.240.11

使用 lastb 命令查询登录失败的日志

6.rsyslog配置文件

/etc/rsyslog.conf配置文件格式由三部分组成

（1）MODULES：相关模块配置

（2）GLOBAL DIRECTIVES：全局配置

（3）RULES：日志记录相关的规划配置

RULES配置格式：

facility.priority；
#分类     日志的级别*：所有级别
none：没有级别，即不记录
PRIORITY：指定级别（含以上的所有级别）
=PRIORITY：仅记录指定级别的日志信息文件路径：通常在/var/log/，文件路径前的 “-”表示异步写入
异步写入：内存中记录一段时间后再存入磁盘用户：将日志事件通知给指定用户，* 表示所有用户
日志服务器：@host，把日志送往至指定的远程UDP日志服务器  @@host 将日志发送到远程TCP日志服务器
管道：|  COMMAND，转发给其他命令处理