目录

1.文件系统的组成

1.1inode和block

1.2inode的内容

1.3inode的号码

​1.4文件存储小结

​1.5inode大小

1.6inode的特殊作用

2. 链接文件

3.文件恢复

3.1EXT类型文件恢复

3.2磁盘有空间，但是仍然无法写入新文件

3.3恢复XFS类型的文件

3.3.1xfsdump使用限制

3.3.2XFS类型文件恢复步骤

4.日志分析

4.1日志文件的分类​编辑

4.2日志文件保存位置

4.2.1内核及系统日志​编辑

4.2.2日志消息的级别

​4.2.3日志记录的一般格式

4.2.4程序日志分析

5.journalctl 日志管理工具

5.1查看所有日志

5.2查看某个服务的日志

---

1.文件系统的组成

1.1inode和block

1.2inode的内容

stat [文件名]：查看某个指定文件的元信息；

Linux系统文件三个主要的时间属性

atime(access time)：最后一次访问文件或目录的时间
mtime（modify time）：最后一次修改文件或目录（内容）的时间
ctime(change time)：最后一次改变文件或目录(属性)的时间

查询文件中的内容最近访问时间即会更新

1.3inode的号码

1.4文件存储小结

1.5inode大小

df -i：查看每个硬盘分区的inode总数和已经使用的数量；

1.6inode的特殊作用

find ./ -inum （inode号） -exec rm -rf {} \; 根据inode号查找到指定文件并删除；

移动或重命名文件时，只改变文件名，不影响inode号码，实例如下所示;

重定向修改文件内容，不会更改inode号，但在vim编辑器中修改文件内容，则会导致文件的inode号发生改变；

2. 链接文件

3.文件恢复

3.1EXT类型文件恢复

注意：extundelete工具目前只能恢复ext类型的文件；

EXT类型文件恢复步骤

1.使用fdisk创建分区/dev/sdb1，格式化ext3文件系统;

2.安装依赖包；

3.编译安装extundelete；

4.对extundelete做软连接；

5.模拟删除并执行恢复操作；

3.2磁盘有空间，但是仍然无法写入新文件

原因：
（1）inode号被占满；

（2）磁盘出现问题的情况又分为：磁盘坏道和文件系统出现问题；

1.使用fdisk创建分区/dev/sdc1，格式化ext4文件系统;

3.3恢复XFS类型的文件

 

3.3.1xfsdump使用限制

1.只能备份已挂载的文件系统；

2.必须使用root的权限才能操作；

3.只能备份XFS文件系统；

4.备份后的数据只能让xfsrestore解析；

5.不能备份两个具有相同UUID的文件系统（可用 blkid命令查看）

3.3.2XFS类型文件恢复步骤

1.使用fdisk创建分区/dev/sdc2，格式化xfs文件系统;

2.备份、模拟删除



3.恢复

4.日志分析

4.1日志文件的分类

4.2日志文件保存位置

/var/log/messages:记录linux内核消息及名种应用程序的公共日志信息，包括启动、IO错误、网络错误、程序故障等，对于未使用独立日志文件的应用程序或服务，一般都可以从该日志文中获得相关的事件记录信息。

/var/log/cron:记录crond计划任务产生的事件信息。

/var/log/dmesg:记录linux系统在引导过程中的各种事件信息。

/var/log/maillog:记录进入或发出系统的电子邮件活动。

/var/log/lastlog:记录每个用户最近的登录事件。

/var/log/rpmpkgs:记录系统中安装的各rpm包列表信息。

/var/log/secure:记录用户认证相关的安全事件信息。

/var/log/wtmp:记录每个用户登录、注销及系统启动和停机事件。

/var/run/btmp：记录失败的、错误的登录尝试及验证事件。

4.2.1内核及系统日志

由rsyslog软件包提供了rsyslogd程序。分别用于记录系统内核的消息和各种应用程序的消息。

在/etc/syslog.conf 配置文件中,配置记录的格式如下(具体参考man syslog.conf):

设备类别.日志级别 日志消息发送位置

—— 如果需要在同一行中设置多个“设备.级别”组合,每组之间用分号隔开。

—— 发送位置可以是本机的用户名：“-/var/log/maillog”中前面的"-"表示每次记录日志时并不马上进行数据同步。

4.2.2日志消息的级别

4.2.3日志记录的一般格式

/etc/rsyslog.conf：记录内核及系统服务的日志文件；

4.2.4用户日志分析

注意：除了==/var/log/secure文件以外,其他三个用户日志文件都是二进制的数据文件==，无法直接使用tail、 less等文本查看工具浏览。

4.2.4程序日志分析

5.journalctl 日志管理工具

5.1查看所有日志

5.2查看某个服务的日志

-k	查看内核日志
-b -0/-1	查看本次/上次启动日志
-f	实时跟踪
_PID=<进程PID>	根据PID号查看用户日志
_UID=<账户UID>	根据UID号查看用户日志