Linux/Centos7系统管理之深入理解Linux文件系统与日志分析

Vecloud

[align=center]

Linux/Centos7系统管理之深入理解Linux文件系统与日志分析

[/align]
[align=left][align=left][font=宋体]前言：[/font]inode[font=宋体]（文件节点）与[/font][font=Calibri]block[/font][font=宋体]（数据块）硬链接与软连接恢复误删除的文件 （即[/font][font=Calibri]rm-rf [/font][font=宋体]的操作，可以先进行备份的操作，然后可以进行恢复[/font][font=Calibri]ext4[/font][font=宋体]和[/font][font=Calibri]xfs[/font][font=宋体]文件系统皆可）日志文件的分类用户日志与程序日志一 ：[/font][font=Calibri]inode[/font][font=宋体]和[/font][font=Calibri]block[/font][font=宋体]概述[/font][font=Calibri]1.1 [/font][font=宋体]概述文件数据包括元信息与实际数据文件存储在硬盘上，硬盘最小存储单位是[/font][font=Calibri]“[/font][font=宋体]扇区[/font][font=Calibri]”[/font][font=宋体]，每个扇区储存[/font][font=Calibri]512[/font][font=宋体]字节[/font][font=Calibri]block[/font][font=宋体]（块）连续的八个扇区组成一个[/font][font=Calibri]block,[/font][font=宋体]一个[/font][font=Calibri]block[/font][font=宋体]单位是[/font][font=Calibri]4k[/font][font=宋体]是文件存取的最小单位[/font][font=Calibri]inode[/font][font=宋体]（索引节点）中文译名[/font][font=Calibri]“[/font][font=宋体]索引节点[/font][font=Calibri]”[/font][font=宋体]，也叫[/font][font=Calibri]i[/font][font=宋体]节点用于存储文件元信息元信息[/font][font=Calibri]>>>>>>>inode[/font]
[font=宋体]数据[/font]>>>>>>>>>block
[font=宋体]一个文件必须占用一个[/font]inode[font=宋体]，但至少占用一个[/font][font=Calibri]block[/font]
[font=宋体]对于磁盘而言，物理层面一个单元的表示形式是扇区[/font]
​           [font=宋体]逻辑层面一个单元的表示形式是单元格[/font]
[font=宋体]删除文件删的是文件名，而不是[/font]block[font=宋体]和[/font][font=Calibri]inode[/font][font=宋体]，一个文件名对应一个[/font][font=Calibri]inode[/font][font=宋体]；当一个新文件的重新写入磁盘，覆盖到被删除文件的[/font][font=Calibri]block[/font][font=宋体]时，才意味着文件的实际删除，所以当误删文件时，第一件事就是不要再在磁盘写入文件，通过数据恢复有可能找回到误删文件[/font]
1.2 inode[font=宋体]的内容[/font][font=Calibri]inode[/font][font=宋体]包含文件的元信息[/font]
[font=宋体]文件的字节数文件拥有者（属主）的[/font]UID[font=宋体]文件的[/font][font=Calibri]GID[/font][font=宋体]文件的读写执行权限文件的时间戳备注：不包含文件名用[/font][font=Calibri]stat[/font][font=宋体]命令可以查看某个文件的[/font][font=Calibri]inode[/font][font=宋体]信息；[/font][font=Calibri]ls -i[/font][font=宋体]也可以查看[/font][font=Calibri]inode[/font][font=宋体]号码示例：[/font][font=Calibri]stat aa.txtlinux[/font][font=宋体]系统文件时间戳的三个主要的时间属性[/font]
ctime[font=宋体]（[/font][font=Calibri]change time[/font][font=宋体]）：最后一次改变文件或目录（属性即[/font][font=Calibri]inode[/font][font=宋体]）的时间[/font][font=Calibri]atime[/font][font=宋体]（[/font][font=Calibri]access time[/font][font=宋体]）：最后一次访问文件或目录的时间[/font][font=Calibri]mtime[/font][font=宋体]（[/font][font=Calibri]modify time[/font][font=宋体]）：最后一次修改文件或目录（内容即[/font][font=Calibri]block[/font][font=宋体]）的时间目录文件的结构[/font]
[font=宋体]目录也是一种文件目录文件的结构一个文件名对应一个[/font]inode[font=宋体]号码，两个字段成为一行，一行称为一个目录项每个[/font][font=Calibri]inode[/font][font=宋体]都有一个号码，操作系统用[/font][font=Calibri]inode[/font][font=宋体]号码来识别不同的文件[/font]
linux[font=宋体]系统内部不使用文件名，而是用[/font][font=Calibri]inode[/font][font=宋体]号码来识别文件[/font]
[font=宋体]对于用户来说，文件名只是[/font]inode[font=宋体]号码便于识别的别称，即系统识别文件的[/font][font=Calibri]inode[/font][font=宋体]号码，用户识别文件的文件名[/font]
1.3[font=宋体]用户通过文件名打开文件，系统内部执行过程用户通过文件名打开文件时，系统内部的过程步骤（这个过程比较重要）：[/font]
1.[font=宋体]系统找到这个文件对应的[/font][font=Calibri]inode[/font][font=宋体]号码[/font][font=Calibri]2.[/font][font=宋体]通过[/font][font=Calibri]inode[/font][font=宋体]号码，获取[/font][font=Calibri]inode[/font][font=宋体]信息，即元信息[/font][font=Calibri]3.[/font][font=宋体]根据[/font][font=Calibri]inode[/font][font=宋体]信息，找到文件数据所在的[/font][font=Calibri]block[/font][font=宋体]，读出数据查看[/font][font=Calibri]inode[/font][font=宋体]号码的方法[/font][font=Calibri]ls -i[/font][font=宋体]命令：查看文件名对应的[/font][font=Calibri]inode[/font][font=宋体]号码[/font][font=Calibri]ls -i AA.txtstat[/font][font=宋体]命令：查看文件[/font][font=Calibri]inode[/font][font=宋体]信息，信息中包含[/font][font=Calibri]inode[/font][font=宋体]号码[/font][font=Calibri]stat AA.txt[root@localhost ~]# cd /opt [root@localhost opt]# lsrh[root@localhost opt]# touch abc.txt[root@localhost opt]# vim abc.txt [root@localhost opt]# ls -i '[/font][font=宋体]查看元信息[/font][font=Calibri]'35889299 abc.txt   1420654 rh[root@localhost opt]# stat abc.txt  ''[/font][font=宋体]查看文件详细元信息  文件：[/font][font=Calibri]"abc.txt"  [/font][font=宋体]大小：[/font][font=Calibri]13         [/font][font=宋体]块：[/font][font=Calibri]8          IO [/font][font=宋体]块：[/font][font=Calibri]4096   [/font][font=宋体]普通文件设备：[/font][font=Calibri]fd00h/64768d Inode[/font][font=宋体]：[/font][font=Calibri]35889299    [/font][font=宋体]硬链接：[/font][font=Calibri]1[/font][font=宋体]权限：[/font][font=Calibri](0644/-rw-r--r--)  Uid[/font][font=宋体]：[/font][font=Calibri](    0/    root)   Gid[/font][font=宋体]：[/font][font=Calibri](    0/    root)[/font][font=宋体]环境：[/font][font=Calibri]unconfined_u:object_r:usr_t:s0[/font][font=宋体]最近访问：[/font][font=Calibri]2019-11-16 17:57:53.373111661 +0800[/font][font=宋体]最近更改：[/font][font=Calibri]2019-11-16 17:57:53.373111661 +0800[/font][font=宋体]最近改动：[/font][font=Calibri]2019-11-16 17:57:53.375111659 +0800[/font][font=宋体]创建时间：[/font][font=Calibri]-[root@localhost opt]# df -i '[/font][font=宋体]查看挂载点元信息[/font][font=Calibri]'[/font][font=宋体]文件系统                   [/font][font=Calibri]Inode [/font][font=宋体]已用[/font][font=Calibri](I)  [/font][font=宋体]可用[/font][font=Calibri](I) [/font][font=宋体]已用[/font][font=Calibri](I)% [/font][font=宋体]挂载点[/font][font=Calibri]/dev/mapper/centos-root 10485760  125297 10360463       2% /devtmpfs                  250006     386   249620       1% /devtmpfs                     253986       1   253985       1% /dev/shmtmpfs                     253986     620   253366       1% /runtmpfs                     253986      16   253970       1% /sys/fs/cgroup/dev/sda1                3145728     328  3145400       1% /boot/dev/mapper/centos-home  5242880     286  5242594       1% /hometmpfs                     253986       9   253977       1% /run/user/42tmpfs                     253986      16   253970       1% /run/user/0/dev/sr0                       0       0        0        - /run/media/root/CentOS 7 x86_64tmpfs                     253986      16   253970       1% /run/user/1000//192.168.254.10/linuxs        0       0        0        - /aaainnode [/font][font=宋体]从一定意义上可以代表有多少个文件[/font]
[font=宋体]全盘恢复数据原理：即在文件名误删的情况下，去直接扫描[/font]inode[font=宋体]和[/font][font=Calibri]block[/font][font=宋体]信息[/font]
1.4 inode[font=宋体]的大小[/font][font=Calibri]inode[/font][font=宋体]也会消耗硬盘空间，每个[/font][font=Calibri]inode[/font][font=宋体]的大小，一般是[/font][font=Calibri]128[/font][font=宋体]字节或[/font][font=Calibri]256[/font][font=宋体]字节格式化文件系统时确定[/font][font=Calibri]inode[/font][font=宋体]的总数使用[/font][font=Calibri]df -i[/font][font=宋体]命令可以查看每个硬盘分区的[/font][font=Calibri]inode[/font][font=宋体]总数和已经使用的数量[/font][font=Calibri]1.5 inode[/font][font=宋体]的特殊作用由于[/font][font=Calibri]inode[/font][font=宋体]号码与文件名分离，导致一些[/font][font=Calibri]Unix/Linux[/font][font=宋体]系统具有以下的现象当文件名包含特殊字符，可能无法正常删除文件，直接删除[/font][font=Calibri]inode[/font][font=宋体]，也可以删除文件移动或重命名文件时，只改变文件名，不影响[/font][font=Calibri]inode[/font][font=宋体]号码打开一个文件后，系统通过[/font][font=Calibri]inode[/font][font=宋体]号码来识别该文件，不再考虑文件名[/font][font=Calibri]1.6 [/font][font=宋体]链接文件为文件或目录建立链接文件文件类型软连接（符号链接）硬链接删除原始文件（即文件名）后失效仍旧可用适用范围适用于文件或目录只可用于文件保存位置与原始文件可以位于不同的文件系统中必须与原始文件在同一个文件系统（[/font][font=Calibri]xfs[/font][font=宋体]系统，或者[/font][font=Calibri]ext4[/font][font=宋体]等）中，如一个[/font][font=Calibri]Linux[/font][font=宋体]分区内硬链接命令[/font][font=Calibri]ln [/font][font=宋体]源文件 目标位置软连接命令[/font][font=Calibri]ln -s [/font][font=宋体]源文件或目录[/font][font=Calibri].. [/font][font=宋体]链接文件或目标位置          [/font][font=Calibri]-s [/font][font=宋体]即[/font][font=Calibri]soft[/font][font=宋体]二、文件恢复[/font][font=Calibri]2.1[/font][font=宋体]恢复[/font][font=Calibri]EXT[/font][font=宋体]类型的文件编译安装[/font][font=Calibri]extundelete[/font][font=宋体]软件包安装依赖包[/font][font=Calibri]e2fsprogs-libs-1.41.12-18.el6.x86_64.rpme2fsprogs-devel-1.41.12-18.el6.x86_64.rpm[/font][font=宋体]配置、编译及安装[/font][font=Calibri]extundelete-0.2.4.tar.bz2[/font][font=宋体]模拟删除并执行恢复操作[/font][font=Calibri]extundelete[/font][font=宋体]软件包只能在[/font][font=Calibri]centos-6[/font][font=宋体]或者[/font][font=Calibri]centos-5[/font][font=宋体]使用，因为[/font][font=Calibri]centos-6[/font][font=宋体]的默认文件系统类型是[/font][font=Calibri]ext4[/font][font=宋体]，[/font][font=Calibri]centos-5[/font][font=宋体]的默认文件类型是[/font][font=Calibri]ext3[/font]
2.2 [font=宋体]恢复[/font][font=Calibri]XFS[/font][font=宋体]类型的文件[/font][font=Calibri]xfsdump[/font][font=宋体]命令格式[/font][font=Calibri]xfsdump -f [/font][font=宋体]备份存放位置    要备份的路径或者设备文件[/font][font=Calibri]xfsdump[/font][font=宋体]备份级别（默认为[/font][font=Calibri]0[/font][font=宋体]）[/font][font=Calibri]0[/font][font=宋体]：完全备份[/font][font=Calibri]1-9[/font][font=宋体]：增量备份[/font][font=Calibri]xfsdump[/font][font=宋体]常用选项：[/font][font=Calibri]xfsdump --helpxfsdump——[/font][font=宋体]帮助[/font][font=Calibri]xfsdump: version 3.1.4 (dump format 3.0)xfsdump:[/font][font=宋体]版本[/font][font=Calibri]3.1.4([/font][font=宋体]转储格式[/font][font=Calibri]3.0)xfsdump: usage: xfsdump [ -a (dump DMF dualstate files as offline) ]xfsdump:[/font][font=宋体]用法[/font][font=Calibri]:xfsdump[-([/font][font=宋体]转储[/font][font=Calibri]DMF[/font][font=宋体]双状态文件为离线[/font][font=Calibri])][ -b <blocksize> ][-b <[/font][font=宋体]块大小[/font][font=Calibri]>][ -c <media change alert program> ][-c <[/font][font=宋体]媒体变更警报程序[/font][font=Calibri]>][ -d <dump media file size> ][-d <[/font][font=宋体]转储媒体文件大小[/font][font=Calibri]>][ -e (allow files to be excluded) ][-e([/font][font=宋体]允许文件被排除[/font][font=Calibri])][ -f <destination> ...[-f <[/font][font=宋体]目的[/font][font=Calibri]>…]]][ -h (help) ][-h([/font][font=宋体]帮助[/font][font=Calibri])][ -l <level> ][-l <level>][ -m (force usage of minimal rmt) ][-m([/font][font=宋体]最低[/font][font=Calibri]rmt[/font][font=宋体]的武力使用[/font][font=Calibri])][ -o (overwrite tape) ][-o([/font][font=宋体]覆写带[/font][font=Calibri])][ -p <seconds between progress reports> ][-p < >[/font][font=宋体]进度报告之间的秒数[/font][font=Calibri]][ -q <use QIC tape settings> ][-q <[/font][font=宋体]使用[/font][font=Calibri]QIC[/font][font=宋体]磁带设置[/font][font=Calibri]>][ -s <subtree> ...[-s <[/font][font=宋体]子树[/font][font=Calibri]>…]]][ -t <file> (use file mtime for dump time ][-t <[/font][font=宋体]文件[/font][font=Calibri]>([/font][font=宋体]使用文件[/font][font=Calibri]mtime[/font][font=宋体]作为转储时间[/font][font=Calibri])][ -v <verbosity {silent, verbose, trace}> ][-v <verbosity {silent, verbose, trace}>][ -z <maximum file size> ][-z <[/font][font=宋体]最大文件大小[/font][font=Calibri]>][ -A (don't dump extended file attributes) ][-([/font][font=宋体]不要转储扩展文件属性[/font][font=Calibri])][ -B <base dump session id> ][-B <[/font][font=宋体]基本转储会话[/font][font=Calibri]id>][ -D (skip unchanged directories) ][-D([/font][font=宋体]跳过未更改的目录[/font][font=Calibri])][ -E (pre-erase media) ][-E([/font][font=宋体]预删除媒体[/font][font=Calibri])][ -F (don't prompt) ][-F([/font][font=宋体]不要提示[/font][font=Calibri])][ -I (display dump inventory) ][-I([/font][font=宋体]显示转储库存[/font][font=Calibri])][ -J (inhibit inventory update) ][-J([/font][font=宋体]禁止存货更新[/font][font=Calibri])][ -K (generate format 2 dump) ][-K([/font][font=宋体]生成格式[/font][font=Calibri]2[/font][font=宋体]转储[/font][font=Calibri])][ -L <session label> ][-L <[/font][font=宋体]会话标签[/font][font=Calibri]>][ -M <media label> ...[-M <[/font][font=宋体]媒体标签[/font][font=Calibri]>…]]][ -O <options file> ][-O <[/font][font=宋体]选项文件[/font][font=Calibri]>][ -R (resume) ][-R([/font][font=宋体]简历[/font][font=Calibri])][ -T (don't timeout dialogs) ][-T([/font][font=宋体]不要超时对话框[/font][font=Calibri])][ -Y <I/O buffer ring length> ][-Y <I/O[/font][font=宋体]缓冲环长度[/font][font=Calibri]>][ - (stdout) ][-([/font][font=宋体]标准版[/font][font=Calibri])][ <source (mntpnt|device)> ][<[/font][font=宋体]源[/font][font=Calibri](mntpnt|[/font][font=宋体]设备[/font][font=Calibri])>]xfsrestore[/font][font=宋体]命令格式（恢复命令）：[/font][font=Calibri]xfsrestore -f [/font][font=宋体]恢复文件的位置  存放恢复后文件的位置模拟删除并执行恢复操作备注：必须要先使用[/font][font=Calibri]xfsdump[/font][font=宋体]先备份，才能再用[/font][font=Calibri]xfsrestore[/font][font=宋体]去恢复文件[/font][font=Calibri]2.3 xfsdump[/font][font=宋体]使用限制只能备份已挂载的文件系统必须使用[/font][font=Calibri]root[/font][font=宋体]的权限才能操作只能备份[/font][font=Calibri]XFS[/font][font=宋体]文件系统[/font][font=Calibri],[/font][font=宋体]即只能在[/font][font=Calibri]centos7[/font][font=宋体]以及以上的系统中才能使用备份后的数据只能让[/font][font=Calibri]xfsrestore[/font][font=宋体]解析不能备份两个具有相同[/font][font=Calibri]UUID[/font][font=宋体]的文件系统三、日志文件[/font][font=Calibri]3.1 [/font][font=宋体]日志的功能用于记录系统、程序运行中发生的各种事件通过阅读日志，有助于诊断和解决系统故障[/font][font=Calibri]3.2 [/font][font=宋体]日志文件的分类内核及系统日志（服务日志，放在[/font][font=Calibri]/var/log[/font][font=宋体]）[/font]
[font=宋体]由系统服务[/font]syslog[font=宋体]统一进行管理，日志格式基本相似用户日志[/font]
[font=宋体]记录系统用户登陆及退出系统的相关信息程序日志[/font]
[font=宋体]由各种应用程序独立管理的日志文件，记录格式不统一程序日志只在程序第一次运行的时候才会产生[/font][root@localhost opt]# cd /var/log '[font=宋体]切换到日志文件目录[/font][font=Calibri]'[root@localhost log]# lsanaconda           dmesg               messages  speech-dispatcher       wpa_supplicant.logaudit              dmesg.old           ntpstats  spooler                 wtmpboot.log           firewalld           pluto     sssd                    Xorg.0.logboot.log-20191115  gdm                 ppp       sudo                    Xorg.0.log.oldboot.log-20191116  glusterfs           qemu-ga   tallylog                Xorg.1.logbtmp               grubby_prune_debug  rhsm      tuned                   Xorg.1.log.oldchrony             lastlog             sa        vmware-vgauthsvc.log.0  Xorg.2.logcron               libvirt             samba     vmware-vmsvc.log        Xorg.9.logcups               maillog             secure    vmware-vmusr.log        yum.log[root@localhost log]# rpm -q httpd    '[/font][font=宋体]查看程序是否安装[/font][font=Calibri]'[/font][font=宋体]未安装软件包 [/font][font=Calibri]httpd [root@localhost log]# yum install httpd -y[/font][font=宋体]已安装[/font][font=Calibri]:httpd.x86_64 0:2.4.6-90.el7.centos                                                                      [/font][font=宋体]作为依赖被安装[/font][font=Calibri]:apr.x86_64 0:1.4.8-5.el7       apr-util.x86_64 0:1.5.2-6.el7  httpd-tools.x86_64 0:2.4.6-90.el7.centos mailcap.noarch 0:2.1.41-2.el7 [/font][font=宋体]完毕！[/font][font=Calibri][root@localhost log]# lsanaconda           dmesg.old           ntpstats           sssd                    Xorg.0.log.oldaudit              firewalld           pluto              sudo                    Xorg.1.logboot.log           gdm                 ppp                tallylog                Xorg.1.log.oldboot.log-20191115  glusterfs           qemu-ga            tuned                   Xorg.2.logboot.log-20191116  grubby_prune_debug  rhsm               vmware-vgauthsvc.log.0  Xorg.9.logbtmp               'httpd'               sa                 vmware-vmsvc.log        yum.logchrony             lastlog             samba              vmware-vmusr.logcron               libvirt             secure             wpa_supplicant.logcups               maillog             speech-dispatcher  wtmpdmesg              messages            spooler            Xorg.0.log[root@localhost log]# cd httpd/[root@localhost httpd]# ls    '[/font][font=宋体]此时[/font][font=Calibri]httpd[/font][font=宋体]没有日志文件[/font][font=Calibri]'[root@localhost httpd]# [root@localhost httpd]# systemctl start httpd.service     '[/font][font=宋体]开启[/font][font=Calibri]httpd'[root@localhost httpd]# lsaccess_log  error_log '[/font][font=宋体]出现日志文件[/font][font=Calibri]'[root@localhost httpd]# [root@localhost httpd]# cat access_log    '[/font][font=宋体]查看访问日志[/font][font=Calibri]'[root@localhost httpd]#[root@localhost httpd]# cat error_log     '[/font][font=宋体]查看错误日志[/font][font=Calibri]'[Sat Nov 16 20:43:17.040961 2019] [core:notice] [pid 14701] SELinux policy enabled; httpd running as context system_u:system_r:httpd_t:s0[Sat Nov 16 20:43:17.041673 2019] [suexec:notice] [pid 14701] AH01232: suEXEC mechanism enabled (wrapper: /usr/sbin/suexec)AH00558: httpd: Could not reliably determine the server's fully qualified domain name, using localhost.localdomain. Set the 'ServerName' directive globally to suppress this message[Sat Nov 16 20:43:17.049635 2019] [lbmethod_heartbeat:notice] [pid 14701] AH02282: No slotmem from mod_heartmonitor[Sat Nov 16 20:43:17.071383 2019] [mpm_prefork:notice] [pid 14701] AH00163: Apache/2.4.6 (CentOS) configured -- resuming normal operations[Sat Nov 16 20:43:17.071420 2019] [core:notice] [pid 14701] AH00094: Command line: '/usr/sbin/httpd -D FOREGROUND'[root@localhost httpd]# systemctl stop firewalld.service  '[/font][font=宋体]关闭防火墙[/font][font=Calibri]'[root@localhost httpd]# setenforce 0  [root@localhost httpd]# [root@localhost httpd]# ifconfigens33: flags=4163<UP,BROADCAST,RUNNING,MULTICAST>  mtu 1500      inet 192.168.139.153  netmask 255.255.255.0  broadcast 192.168.139.255      inet6 fe80::413b:c9ad:e0e:1afc  prefixlen 64  scopeid 0x20<link>      ether 00:0c:29:d6:c0:8a  txqueuelen 1000  (Ethernet)      RX packets 291080  bytes 77990464 (74.3 MiB)      RX errors 0  dropped 0  overruns 0  frame 0      TX packets 327629  bytes 19778549 (18.8 MiB)      TX errors 0  dropped 0 overruns 0  carrier 0  collisions 0[root@localhost httpd]# cat access_log '[/font][font=宋体]再次查看访问日志，有记录了[/font][font=Calibri]'192.168.139.1 - - [16/Nov/2019:20:49:35 +0800] "GET / HTTP/1.1" 403 4897 "-" "Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/78.0.3904.97 Safari/537.36"192.168.139.1 - - [16/Nov/2019:20:49:35 +0800] "GET /noindex/css/bootstrap.min.css HTTP/1.1" 200 19341 "http://192.168.139.153/" "Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/78.0.3904.97 Safari/537.36"192.168.139.1 - - [16/Nov/2019:20:49:35 +0800] "GET /noindex/css/open-sans.css HTTP/1.1" 200 5081 "http://192.168.139.153/" "Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/78.0.3904.97 Safari/537.36"192.168.139.1 - - [16/Nov/2019:20:49:35 +0800] "GET /images/apache_pb.gif HTTP/1.1" 200 2326 "http://192.168.139.153/" "Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/78.0.3904.97 Safari/537.36"192.168.139.1 - - [16/Nov/2019:20:49:35 +0800] "GET /images/poweredby.png HTTP/1.1" 200 3956 "http://192.168.139.153/" "Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/78.0.3904.97 Safari/537.36"192.168.139.1 - - [16/Nov/2019:20:49:35 +0800] "GET /noindex/css/fonts/Bold/OpenSans-Bold.woff HTTP/1.1" 404 239 "http://192.168.139.153/noindex/css/open-sans.css" "Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/78.0.3904.97 Safari/537.36"192.168.139.1 - - [16/Nov/2019:20:49:35 +0800] "GET /noindex/css/fonts/Light/OpenSans-Light.woff HTTP/1.1" 404 241 "http://192.168.139.153/noindex/css/open-sans.css" "Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/78.0.3904.97 Safari/537.36"192.168.139.1 - - [16/Nov/2019:20:49:35 +0800] "GET /favicon.ico HTTP/1.1" 404 209 "http://192.168.139.153/" "Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/78.0.3904.97 Safari/537.36"192.168.139.1 - - [16/Nov/2019:20:49:35 +0800] "GET /noindex/css/fonts/Light/OpenSans-Light.ttf HTTP/1.1" 404 240 "http://192.168.139.153/noindex/css/open-sans.css" "Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/78.0.3904.97 Safari/537.36"192.168.139.1 - - [16/Nov/2019:20:49:35 +0800] "GET /noindex/css/fonts/Bold/OpenSans-Bold.ttf HTTP/1.1" 404 238 "http://192.168.139.153/noindex/css/open-sans.css" "Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/78.0.3904.97 Safari/537.36"::1 - - [16/Nov/2019:20:49:43 +0800] "OPTIONS * HTTP/1.0" 200 - "-" "Apache/2.4.6 (CentOS) (internal dummy connection)"::1 - - [16/Nov/2019:20:49:44 +0800] "OPTIONS * HTTP/1.0" 200 - "-" "Apache/2.4.6 (CentOS) (internal dummy connection)"3.3 [/font][font=宋体]日志保存位置默认位于：[/font][font=Calibri]/var/log [/font][font=宋体]目录下除非使用手动编译安装，可以去指定路径[/font][font=Calibri]3.4 [/font][font=宋体]主要日志文件介绍内核及公共消息日志[/font][font=Calibri]/var/log/messages[/font][font=宋体]计划任务日志[/font][font=Calibri]/var/long/cron[/font][font=宋体]系统引导日志[/font][font=Calibri]/var/log/dmesg[/font][font=宋体]邮件系统日志[/font][font=Calibri]/var/log/maillog[/font][font=宋体]用户登录日志[/font][font=Calibri]/var/log[/font][font=宋体]中的[/font][font=Calibri]lastlog|secure|wtmp|btmp[/font][font=宋体]四、内核及系统日志[/font][font=Calibri]4.1 [/font][font=宋体]由系统服务 [/font][font=Calibri]rsyslogd [/font][font=宋体]统一管理软件包： [/font][font=Calibri]rsyslog-7.4.7-16.el7.x86_64[/font][font=宋体]主要程序： [/font][font=Calibri]/sbin/rsyslogd[/font][font=宋体]配置文件： [/font][font=Calibri]/etc/rsyslog.conf4.2 [/font][font=宋体]日志消息的级别级别严重程度解释[/font][font=Calibri]0EMERG[/font][font=宋体]（紧急）会导致主机系统不可用的情况（基本上已经没得救了，开机都开不了，服务器瘫痪这样的严重程度）[/font][font=Calibri]1ALERT[/font][font=宋体]（警告）必须马上采取措施解决的问题（兵临城下，需要立刻解决的）[/font][font=Calibri]2CRIT[/font][font=宋体]（严重）比较严重的情况（严重的错误，比如需要重新安装服务）[/font][font=Calibri]3ERR[/font][font=宋体]（错误）运行出现错误（一般级别都设置在这个位置）[/font][font=Calibri]4WARNING[/font][font=宋体]（提醒）可能会影响系统功能的事件（勤快的都设置在这）[/font][font=Calibri]5NOTICE[/font][font=宋体]（注意）不会影响系统但值得注意[/font][font=Calibri]6INFO[/font][font=宋体]（信息）一般信息[/font][font=Calibri]7DEBUG[/font][font=宋体]（调试）程序或系统调试信息等（做测试使用这个级别）五、 用户日志分析[/font][font=Calibri]5.1 [/font][font=宋体]保存了用户登录、退出系统等相关信息[/font][font=Calibri]/var/log/lastlog[/font][font=宋体]：最近的用户登录事件[/font][font=Calibri]/var/log/wtmp[/font][font=宋体]：用户登录、注销及系统开、关机事件[/font][font=Calibri]/var/run/utmp[/font][font=宋体]：当前登录的每个用户的详细信息[/font][font=Calibri]/var/log/secure[/font][font=宋体]：与用户验证相关的安全性事件[/font][font=Calibri]5.2 [/font][font=宋体]分析的工具[/font][font=Calibri]users[/font][font=宋体]：    [/font][font=Calibri]users [[/font][font=宋体]选项[/font][font=Calibri]]... [[/font][font=宋体]文件[/font]
<br/>[font=宋体]根据文件判断输出当前有谁正登录在系统上。[/font][font=Calibri]​           [/font][font=宋体]如果文件未予指定，则使用[/font][font=Calibri]/var/run/utmp[/font][font=宋体]，[/font][font=Calibri]/var/log/wtmp [/font][font=宋体]是通用的相关文件。[/font]
who[font=宋体]：  [/font][font=Calibri]who [[/font][font=宋体]选项[/font][font=Calibri]]... [ [/font][font=宋体]文件 [/font][font=Calibri]| [/font][font=宋体]参数[/font][font=Calibri]1 [/font][font=宋体]参数[/font]
[font=宋体]显示当前已登录的用户信息。[/font]​          -a, --all        [font=宋体]等于[/font][font=Calibri]-b -d --login -p -r -t -T -u [/font][font=宋体]选项的组合[/font]

[font=Calibri] extundelete-0.2.4 '[/font][font=宋体]成功，回复数据也是有几率，不是百分百成功的[/font][font=Calibri]'[root@gsy RECOVERED_FILES]# [/font][font=宋体]七、总结[/font][font=Calibri]​   [/font][font=宋体]本文主要是介绍了[/font][font=Calibri]Linux[/font][font=宋体]文件系统的相关知识，对于想对应的常见故障进行检测和排障最为关键。这就需要我们对[/font][font=Calibri]Linux[/font][font=宋体]系统中的常见日志文件熟悉掌握，及时解决各种问题[/font][font=宋体][font=宋体]，[b][size=6]国际互联网专线解决方案[/size][/b]电话[/font][font=Calibri][size=10.5pt]400-028-9798[/size][/font][font=宋体][size=10.5pt]。[/size][/font][/font][/align][/align]