2fsprogs-libs 和 e2fsprogs-devel;
这两个包在系统安装光盘的/Package 目录下就有,使用 rpm 或 yum 命令将其安装;
e2fsprogs-devel 安装依赖于 libcom_err-devel 包。
[root@localhost ~]#yum -y install e2fsprogs-devel e2fsprogs-libs
#安装依赖软件
[root@localhost ~]# tar -jxvf extundelete-0.2.4.tar.bz2 -C /opt
#解压软件
[root@localhost ~]# cd /opt/extundelete-0.2.4
#切换到目录下
[root@localhost extundelete-0.2.4]# ./configure //定义模块和路径
#编译安装
[root@localhost extundelete-0.2.4]#make //编译
[root@localhost extundelete-0.2.4]#make install //写入硬盘
[root@localhost extundelete-0.2.4]#cd /usr/local/bin/
[root@localhost bin]#ls
extundelete you-get
#验证恢复,目前使用版本只对ext3 有效,分区略
[root@localhost ~]# mkfs.ext3 /dev/sdb1
[root@localhost ~]# mkdir /test/
[root@localhost ~]# mount /dev/sdb1 /test/
[root@localhost ~]# cd /test/
[root@localhost test]# echo a>a
[root@localhost test]# echo a>b
[root@localhost test]# echo a>c
[root@localhost test]# echo a>d
2.2模拟误删并恢复
可以使用extundelete /dev/sdb1 --inode 2 //查看文件系统/dev/sdb1 下存在哪些文件
具体的使用情况:
其中--inode 2 代表从 i 节点为 2 的文件开始查看,一般文件系统格式化挂载之后,i 节点是从 2 开始的,2 代表该文件系统最开始的目录。
在恢复前需要先解挂载
[root@localhost test]# rm -rf a b //模拟误删除
[root@localhost test]# ls c d lost+foun
[root@localhost test]# cd
[root@localhost ~]# umount /test/
#解挂载
[root@localhost ~]#extundelete /dev/sdb1 --inode 2 //查看该分区下的存在哪些文件
# 命令 查看的分区 从2节点开始
[root@localhost ~]# extundelete /dev/sdb1 --restore-all //使用恢复
# 命令 需要恢复的分区设备 恢复选项,全都要
[root@localhost ~]# ls
anaconda-ks.cfg extundelete-0.2.4 extundelete-0.2.4.tar.bz2 RECOVERED_FILES
[root@localhost ~]# cd RECOVERED_FILES/ //进入恢复目录
[root@localhost RECOVERED_FILES]# ls //查看
a b //恢复成功
3.xfs类型备份和恢复
CentOS 7 系统默认采用 xfs 类型的文件。针对 xfs 文件系统目前也没有比较成熟的文件恢复工具,所以建议提前做好数据备份,以避免数据丢失。
xfs 类型的文件可使用 xfsdump 与 xfsrestore 工具进行备份恢复。
若系统中未安装 xfsdump与xfsrestore工具,可以通过yum install -y xfsdump命令安装。
xfsdump 按照inode 顺序备份一个 xfs 文件系统。
3.1xfsdump 的备份级别:
-
0 表示完全备份
-
1-9 表示增量 备份
-
xfsdump 的备份级别默认为 0
xfsdump 的命令格式为:
xfsdump -f 备份存放位置 要备份路径或设备文件。
选项:
选项 |
作用 |
-f |
指定备份文件目录 |
-L |
指定标签 session label |
-M |
指定设备标签 media label |
-s |
备份单个文件,-s 后面不能直接跟路径 |
3.2使用 xfsdump 时,需要注意以下的几个限制:
-
不支持没有挂载的文件系统备份,所以只能备份已挂载的;
-
必须使用 root 的权限才能操作;
-
只能备份 XFS 文件系统;
-
备份下来的数据只能让 xfsrestore 解析;
-
不能备份两个具有相同 UUID 的文件系统(可使用blkid查看)。
4.日志
4.1常见的日志文件
日志文件位置 |
日志文件说明 |
/var/log/messages内核和公共日志 |
它是核心系统日志文件,其中包含了系统启动时的引导信息,以及系统运行时的其他状态消息。I/O 错误、网络错误和其他系统错误都会记录到此文件中。其他信息,比如某个人的身份切换为 root,已及用户自定义安装软件的日志,也会在这里列出 |
/var/log/cron 计划任务日志 |
记录与系统定时任务相关的曰志 |
/var/log/dmesg 系统引导日志 |
记录了系统在开机时内核自检的信息,也可以使用dmesg命令直接查看内核自检信息 |
/var/log/maillog 邮件日志 |
记录邮件信息的曰志 |
用户日志: |
|
/var/log/lastlog |
记录系统中所有用户最后一次的登录时间的曰志。这个文件也是二进制文件.不能直接用Vi 查看。而要使用lastlog命令查看 |
/var/log/secure |
记录验证和授权方面的倍息,只要涉及账户和密码的程序都会记录,比如系统的登录、ssh的登录、su切换用户,sudo授权,甚至添加用户和修改用户密码都会记录在这个日志文件中 |
/var/log/wtmp |
永久记录所有用户的登陆、注销信息,同时记录系统的启动、重启、关机事件。同样,这个文件也是二进制文件.不能直接用Vi查看,而要使用last命令查看 |
/var/tun/ulmp |
记录当前已经登录的用户的信息。这个文件会随着用户的登录和注销而不断变化,只记录当前登录用户的信息。同样,这个文件不能直接用Vi查看,而要使用w、who、users等命令查看 |
日志文件的格式包含以下 4 列:
-
事件产生的时间。
-
产生事件的服务器的主机名。
-
产生事件的服务名或程序名。
-
事件的具体信息
[root@localhost ~]# cat /var/log/secure //查看用户验证和授权的日志
Oct 10 10:17:07 localhost sshd[13030]: pam_unix(sshd:session): session closed for us |