目录
一.Linux文件系统
1.inode表和block
(1)inode
(2)block
2.查看inode号命令
3.Linux系统文件三种主要时间属性
4.磁盘空间还剩余很多但无法继续创建文件
5.inode大小
二.日志
1.日志保存位置
2.日志文件的分类
(1)内核及系统日志
(2)用户日志
(3)程序日志
3.常见的日志文件
4.系统日志介绍
(1)sysklogd 系统日志服务
(2)rsyslog 系统日志服务
5.rsyslog 管理
6.日志记录的一般格式
7.lastb 命令用于查询登录失败的用户记录
三.将ssh服务日志单独存放
1.进入rsyslog配置文件,添加自己的文件位置
2.进入ssh配置文件,将ssh配成local6
3.重启服务
4.验证,使用另外一台主机实时查看tail -f /var/log/secure
四.通过网络将本地的日志远程备份到另一台机器
1.关闭两台机器的防火墙与selinux
2.打开配置
3.重启服务
4.查看514端口是否启动
5.测试logger写入日志
6.接收方开启TCP和514端口
7.重启日志服务
8.接收方收到发送方的日志记录
一.Linux文件系统
1.inode表和block
(1)inode
- 中文译名为“索引节点”,也叫i节点;
- 用于存储文件元信息
- 同一个硬件设备上是唯一的,不可以跨设备,inode实际是资源,是可以被用完的,用完后无法创建任何文件。(xargs:读取前面的参数; -n1:一个一个给)
(2)block
- 连续的八个扇区组成一个block(4k);
- 是文件存取的最小单位。
2.查看inode号命令
1. 查看文件名对应的inode号码
ls -i 文件名
2. 查看文件inode信息中的inode号码
stat 文件名3.Linux系统文件三种主要时间属性
| ctime | 最后一次改变文件或目录的时间 |
| atime | 最后一次访问文件或目录的时间 |
| mtime | 最后一次修改文件或目录的时间 |
4.磁盘空间还剩余很多但无法继续创建文件
答案:inode号用完
lvm扩容、删除没有用的空文件
根据文件夹的文件名和inode号关系,找到对应的inode表。再根据inode表(属主属组)当中指针找到磁盘上的真实数据。
5.inode大小
- inode也会消耗硬盘空间,每个inode的大小一般是128字节或256字节
- inode的总数,在格式化时就确定
- 如果磁盘还有空间,但inode号被全部占用,无法创建新文件。
- inode号在同一个文件系统内唯一,在不同的文件系统中可以重复。
- 查看每个硬盘分区的inode总数和已经使用的数量,可以使用命令: df -I
二.日志
1.日志保存位置
/var/log目录下
2.日志文件的分类
(1)内核及系统日志
(2)用户日志
(3)程序日志
3.常见的日志文件
| 日志文件位置 | 日志文件说明 |
|---|---|
| /var/log/messages内核和公共日志 | 它是核心系统日志文件,其中包含了系统启动时的引导信息,以及系统运行时的其他状态消息。I/O 错误、网络错误和其他系统错误都会记录到此文件中。其他信息,比如某个人的身份切换为 root,已及用户自定义安装软件的日志,也会在这里列出。 |
| /var/log/cron 计划任务日志 | 记录与系统定时任务相关的曰志 |
| /var/log/dmesg 系统引导日志 | 记录了系统在开机时内核自检的信息,也可以使用dmesg命令直接查看内核自检信息 |
| /var/log/maillog 邮件日志 | 记录邮件信息的曰志 |
| 用户日志 | |
| /var/log/lastlog | 记录系统中所有用户最后一次的登录时间的曰志。这个文件也是二进制文件.不能直接用Vi 查看。而要使用lastlog命令查看 |
| /var/log/secure | 记录验证和授权方面的倍息,只要涉及账户和密码的程序都会记录,比如系统的登录、ssh的登录、su切换用户,sudo授权,甚至添加用户和修改用户密码都会记录在这个日志文件中 |
| /var/log/btmp | 查看用户登录失败信息,lastb命令可以查看,是一个二进制文件 |
| /var/log/wtmp | 永久记录所有用户的登陆、注销信息,同时记录系统的启动、重启、关机事件。同样,这个文件也是二进制文件.不能直接用Vi查看,而要使用last命令查看 |
| /var/tun/ulmp | 记录当前已经登录的用户的信息。这个文件会随着用户的登录和注销而不断变化,只记录当前登录用户的信息。同样,这个文件不能直接用Vi查看,而要使用w、who、users等命令查看 |
4.系统日志介绍
(1)sysklogd 系统日志服务
CentOS 5 之前版本采用的日志管理系统服务
- syslogd: system application 记录应用日志
- klogd: linux kernel 记录内核日志
(2)rsyslog 系统日志服务
rsyslog是CentOS 6以后版本的系统管理服务:它提供了高性能,出色的安全性和模块化设计。
rsyslog 特性
-
多线程
-
UDP, TCP, SSL, TLS, RELP
-
MySQL, PGSQL, Oracle实现日志存储
-
强大的过滤器,可实现过滤记录日志信息中任意部分
-
自定义输出格式 可以日志
-
适用于企业级
5.rsyslog 管理
在 Linux 内核中,根据日志消息的重要程度不同,将其分为不同 的优先级别(数字等级越小,优先级越高,消息越重要)。
| 0 | EMERG | 紧急 | 会导致主机系统不可用的情况 |
| 1 | ALERT | 警告 | 必须马上采取措施解决的问题 |
| 2 | CRIT | 严重 | 比较严重的情况 |
| 3 | ERR | 错误 | 运行出现错误 |
| 4 | WARNING | 提醒 | 可能影响系统功能,需要提醒用户的重要事件 |
| 5 | NOTICE | 注意 | 不会影响正常功能,但是需要注意的事件 |
| 6 | INFO | 信息 | 一般信息 |
| 7 | DEBUG | 调试 | 程序或系统调试信息等 |
6.日志记录的一般格式
7.lastb 命令用于查询登录失败的用户记录
记录用户名错误、密码不正确等情况。
三.将ssh服务日志单独存放
1.进入rsyslog配置文件,添加自己的文件位置
2.进入ssh配置文件,将ssh配成local6
3.重启服务
4.验证,使用另外一台主机实时查看tail -f /var/log/secure
四.通过网络将本地的日志远程备份到另一台机器
1.关闭两台机器的防火墙与selinux
2.打开配置
3.重启服务
4.查看514端口是否启动
5.测试logger写入日志
6.接收方开启TCP和514端口
7.重启日志服务
8.接收方收到发送方的日志记录
