目录
一.LINUX文件系统
1.inode表和block
(1)inode
(2)block
2.查看inode号命令
3.Linux系统文件三种主要时间属性
4.磁盘空间还剩余很多但无法继续创建文件
5.inode大小
二.日志
1.日志保存位置
2.日志文件的分类
(1)内核及系统日志
(2)用户日志
(3)程序日志
3.常见的日志文件
4.系统日志介绍
(1)sysklogd 系统日志服务
(2)rsyslog 系统日志服务
5.rsyslog 管理
6.日志记录的一般格式
7.用户日志分析——保存了用户登录、退出系统等相关信息
8.last——查询成功登录到系统的用户记录
9.lastb 命令用于查询登录失败的用户记录
10.users——查询当前登录的用户情况
11.who——报告当前登录到系统中的每个用户的信息
编辑12.w——查询当前登录的用户情况
编辑三.将ssh服务日志单独存放
1.进入rsyslog配置文件,添加自己的文件位置
编辑编辑2.进入ssh配置文件,将ssh配成local6
编辑3.重启服务编辑4.验证
四.通过网络将本地的日志远程备份到另一台机器
1.关闭两台机器的防火墙与selinux
2.打开tcp514端口
3.将node2作为日志服务器
编辑4.测试
一.LINUX文件系统
1.inode表和block
(1)inode
- 中文译名为“索引节点”,也叫i节点;
- 用于存储文件元信息
- 同一个硬件设备上是唯一的,不可以跨设备,inode实际是资源,是可以被用完的,用完后无法创建任何文件。(xargs:读取前面的参数; -n1:一个一个给)
(2)block
- 连续的八个扇区组成一个block(4k);
- 是文件存取的最小单位。
2.查看inode号命令
1. 查看文件名对应的inode号码
ls -i 文件名
2. 查看文件inode信息中的inode号码
stat 文件名
3.Linux系统文件三种主要时间属性
ctime | 最后一次改变文件或目录的时间 |
atime | 最后一次访问文件或目录的时间 |
mtime | 最后一次修改文件或目录的时间 |
4.磁盘空间还剩余很多但无法继续创建文件
答案:inode号用完
lvm扩容、删除没有用的空文件
根据文件夹的文件名和inode号关系,找到对应的inode表。再根据inode表(属主属组)当中指针找到磁盘上的真实数据。
5.inode大小
- inode也会消耗硬盘空间,每个inode的大小一般是128字节或256字节
- inode的总数,在格式化时就确定
- 如果磁盘还有空间,但inode号被全部占用,无法创建新文件。
- inode号在同一个文件系统内唯一,在不同的文件系统中可以重复。
- 查看每个硬盘分区的inode总数和已经使用的数量,可以使用命令: df -I
二.日志
1.日志保存位置
/var/log目录下
2.日志文件的分类
(1)内核及系统日志
(2)用户日志
(3)程序日志
3.常见的日志文件
4.系统日志介绍
(1)sysklogd 系统日志服务
CentOS 5 之前版本采用的日志管理系统服务
- syslogd: system application 记录应用日志
- klogd: linux kernel 记录内核日志
(2)rsyslog 系统日志服务
rsyslog是CentOS 6以后版本的系统管理服务:它提供了高性能,出色的安全性和模块化设计。
rsyslog 特性
-
多线程
-
UDP, TCP, SSL, TLS, RELP
-
MySQL, PGSQL, Oracle实现日志存储
-
强大的过滤器,可实现过滤记录日志信息中任意部分
-
自定义输出格式 可以日志
-
适用于企业级
5.rsyslog 管理
在 Linux 内核中,根据日志消息的重要程度不同,将其分为不同 的优先级别(数字等级越小,优先级越高,消息越重要)。
0 | EMERG | 紧急 | 会导致主机系统不可用的情况 |
1 | ALERT | 警告 | 必须马上采取措施解决的问题 |
2 | CRIT | 严重 | 比较严重的情况 |
3 | ERR | 错误 | 运行出现错误 |
4 | WARNING | 提醒 | 可能影响系统功能,需要提醒用户的重要事件 |
5 | NOTICE | 注意 | 不会影响正常功能,但是需要注意的事件 |
6 | INFO | 信息 | 一般信息 |
7 | DEBUG | 调试 | 程序或系统调试信息等 |
6.日志记录的一般格式
系统日志一般分为四段,以messages日志为例
7.用户日志分析——保存了用户登录、退出系统等相关信息
- /var/log/lastlog:最近的用户登录事件
- /var/log/wtmap:用户登录、注销及开、关机事件
- /var/run/utmap:当前登录的每个用户的详细信息
- /var/log/secure:与用户验证相关的安全性事件
8.last——查询成功登录到系统的用户记录
最近的登录情况将显示在最前面。通过 last 命令可以及时掌握 Linux 主机的登录情况,若发现未经授权的用户登录过,则表示当前 主机可能已被入侵。
9.lastb 命令用于查询登录失败的用户记录
记录用户名错误、密码不正确等情况。
10.users——查询当前登录的用户情况
users 命令只是简单地输出当前登录的用户名称,每个显示的用户名对应一个登录会话。 如果一个用户有不止一个登录会话,那他的用户名将显示与其相同的次数
11.who——报告当前登录到系统中的每个用户的信息
使用该命令,系统管理员可以查看当前系统存在哪些不合法用户,从而对其进行审计和处理。who 的默认输出包括用户名、终端类型、登录日期及远程主机
12.w——查询当前登录的用户情况
w 命令用于显示当前系统中的每个用户及其所运行的进程信息,比 users、who 命令的 输出内容要丰富一些。
三.将ssh服务日志单独存放
1.进入rsyslog配置文件,添加自己的文件位置
2.进入ssh配置文件,将ssh配成local6
vim 打开/etc/ssh/sshd_config文件