一、inode表结构
1. inode表
inode号在同一个设备上是唯一的。
inode号是有限资源,它的大小和磁盘大小有关。
访问文件的基本流程
根据文件夹的文件名和inode号的关系找到对应的inode表,再根据inode表(属主 属组)当中的指针找到磁盘上的真实数据。
二、日志
内核及系统日志由系统服务 rsyslog 统一管理,根据其主配置文件 /etc/rsyslog.conf。
Linux 操作系统本身和大部分服务器程序的日志文件都默认放在目录/var/log/下
2.1 常见的一些日志文件
| 日志文件位置 | 日志文件说明 |
|---|---|
| /var/log/messages(内核和公共日志) | 它是核心系统日志文件,其中包含了系统启动时的引导信息,以及系统运行时的其他状态消息 |
| /var/log/cron(计划任务日志) | 记录与系统定时任务相关的曰志 |
| /var/log/dmesg(系统引导日志) | 记录了系统在开机时内核自检的信息,也可以使用dmesg命令直接查看内核自检信息 |
| /var/log/maillog(邮件日志) | 记录邮件信息的日志 |
| 用户日志 | |
| /var/log/lastlog | 记录用户最后一次登陆的信息可以使用lastlog命令查看 |
| /var/log/secure | 记录验证和授权方面的信息,只要涉及账户和密码的程序都会记录 |
| /var/log/wtmp | 永久记录所有用户的登陆、注销信息,同时记录系统的启动、重启、关机事件可以使用lastlog命令查看 |
| /var/log/ulmp | 记录当前已经登陆的用户信息 |
日志文件的格式:
事件产生的时间
产生时间的服务器的主机名
产生时间的服务器或程序名
时间的具体信息
2.2 内核和公共文件
日志的基本配置文件在/etc/rsyslog.conf
信息的重要程度
在 Linux 内核中,根据日志消息的重要程度不同,将其分为不同 的优先级别(数字等级越小,优先级越高,消息越重要)。
| 信号 | 日志消息 | 说明 |
|---|---|---|
| 0 | EMERG(紧急) | 会导致主机系统不可用的情况 |
| 1 | ALERT(警告) | 必须马上采取措施解决的问题 |
| 2 | CRIT(严重) | 比较严重的情况 |
| 3 | ERR(错误) | 运行出现错误 |
| 4 | WARNING(提醒) | 可能影响系统功能,需要提醒用户的重要事件 |
| 5 | NOTICE(注意) | 不会影响正常功能,但是需要注意的事件 |
| 6 | INFO(信息) | 一般信息 |
| 7 | DEBUG(调试) | 程序或系统调试信息等 |
2.3 用户日志
在 wtmp、btmp、lastlog 等日志文件中,保存了系统用户登录、退出等相关的事件消息。但是这些文件都是二进制的数据文件,需要使用 who、w、users、last 和 lastb 等用户查询命令来获取日志信息。
2.3.1 查看当前登录的用户情况
users
users 命令只是简单地输出当前登录的用户名称,每个显示的用户名对应一个登录会话。
who
who命令用于报告当前登录到系统中的每个用户的信息。
w
w 命令用于显示当前系统中的每个用户及其所运行的进程信息
2.3.2 查看用户登录的历史纪录
last
last 命令用于查询成功登录到系统的用户记录
lastb
lastb 命令用于查询登录失败的用户记录
三、实验
将日志文件全部放在日志文件服务器上
四、系统日志管理
4.1 rsyslog管理
自定义日志文件的位置
该软件要支持rsyslog
日志等级
五、实验
将ssh服务的日志单独设置
六、实验
网络日志(远程日志功能)
七、日志文件
/var/log/secure:系统安全日志(用户登录),文本格式,应周期性分析
/var/log/btmp:当前系统上,用户的失败尝试登录相关的日志信息,二进制格式,lastb命令进行查看
/var/log/wtmp:当前系统上,用户正常登录系统的相关日志信息,二进制格式,last命令可以查看
/var/log/lastlog:每一个用户最近一次的登录信息,二进制格式,lastlog命令可以查看
/var/log/dmesg:CentOS7 之前版本系统引导过程中的日志信息,文本格式,开机后的硬件变化不再记录专用命令dmesg查看,可持续记录硬件变化的情况
/var/log/boot.log:系统服务启动的相关信息,文本格式
/var/log/messages:系统中大部分的信息
/var/log/anaconda:anaconda的日志操作系统安装时安装的软件信息
7.1 日志管理工具journalctl
日志的配置文件:/etc/systemd/journald.conf
journalctl的格式:journalctl [选项...] [匹配项...]
![[Vulnhub靶机] DriftingBlues: 2](https://img-blog.csdnimg.cn/ee58c53007d2447f8f2e01ff9a64fa46.png)