那些遇到过的问题

访问EXT3/EXT4期刊

Gau*_*jan 6 linux filesystems ext3 journaling ext4

ext3和ext4文件系统具有日志功能.有没有机会获得有关文件的详细信息和事件?

某种API允许User Space程序访问文件的日记条目.甚至是Journal事件(比如文件x被删除)

这似乎是某种文档,但我不确定它是否是正确的东西.

Mat*_*aun 7

debugfs

logdump

logdump您可以使用来自的命令显示有关文件系统日志的信息debugfs

例如,sudo debugfs -R 'logdump -S' /dev/sda3产量

Journal features:         journal_incompat_revoke journal_checksum_v3
Total journal size:       512M
Total journal blocks:     131072
Max transaction length:   131072
Fast commit length:       0
Journal sequence:         0x004bd0ae
Journal start:            109412
Journal checksum type:    crc32c
Journal checksum:         0x157eebb7

Journal starts at block 109412, transaction 4968622
Found expected sequence 4968622, type 5 (revoke table) at block 109412
Found expected sequence 4968622, type 1 (descriptor block) at block 109413
Found expected sequence 4968622, type 2 (commit block) at block 109419
Found expected sequence 4968623, type 1 (descriptor block) at block 109420
Found expected sequence 4968623, type 2 (commit block) at block 109422
Found expected sequence 4968624, type 1 (descriptor block) at block 109423
Found expected sequence 4968624, type 2 (commit block) at block 109425
Found expected sequence 4968625, type 1 (descriptor block) at block 109426
// rest omitted
Run Code Online (Sandbox Code Playgroud)

我意识到这debugfs不是 API,但它可以访问日志。

读取日志的字节

要获取日志的原始字节,您可以debugfs再次使用。它的cat命令接受一个索引节点号并打印该索引节点指向的地址的数据。

假设该期刊的inode号为8:

sudo debugfs -R 'cat <8>' /dev/sda3 | hexdump -C
Run Code Online (Sandbox Code Playgroud)

这将以十六进制打印日志的字节。您应该在开头看到期刊格式的神奇数字jbd2:

c0 3b 39 98
Run Code Online (Sandbox Code Playgroud)

该日志使用大端字节顺序,而 ext4 使用小端字节顺序。

jls

jlsThe Sleuth Kit还打印有关该期刊的信息。

例如,sudo jls /dev/sda3产量

JBlk    Description
0:  Superblock (seq: 0)
sb version: 4
sb version: 4
sb feature_compat flags 0x00000000
sb feature_incompat flags 0x00000011
        JOURNAL_REVOKE
sb feature_ro_incompat flags 0x00000000
1:  Unallocated Commit Block (seq: 4936768, sec: 1613471034.3277057792)
2:  Unallocated Descriptor Block (seq: 4936769)
3:  Unallocated FS Block 42991838
4:  Unallocated FS Block 0
5:  Unallocated Commit Block (seq: 4949171, sec: 1613574032.1117509120)
6:  Unallocated Descriptor Block (seq: 4949172)
7:  Unallocated Commit Block (seq: 4960433, sec: 1613729975.4288594432)
8:  Unallocated Descriptor Block (seq: 4960434)
// rest omitted
Run Code Online (Sandbox Code Playgroud)

的源代码jls这里

DIY

或者,您可以查阅ext4 wiki,使用您必须自己编写的程序来解析日志。步骤大致如下:

  1. 读取从文件系统后 1024 字节开始的 ext4 超级块。
  2. 从超级块的偏移 0xE0 处读取日志 inode 号。日志的 inode 号通常为 8。此处对此进行了记录。
  3. 从日志中读取所需的数据,请记住它是大端字节序,而不是 ext4 是小端字节序。该期刊的结构如下所述。

归档时间:

查看次数:

1373 次

最近记录:

9 年,8 月 前
相关归档
得到pid in shell(bash) 143
如何在Xvfb中运行Selenium? 89
当我们可以编写自己的makefile时,为什么要使用像Autotools这样的构建工具? 52
readelf vs. objdump:为什么两者都需要 37
Linux Kernel在启动时执行的第一个操作是什么? 26
字符串使用的字符单元格数 25
bash pid和$$之间的区别 20
linux中的ls命令使用哪个linux系统调用来显示文件夹/文件名? 17
使用带有bash的命名管道 - 数据丢失问题 14
如何修复导入证书文件中的“证书导入错误:此客户端证书的私钥丢失或无效”错误 10
难疑归档
为什么处理排序数组比处理未排序数组更快? 23665
撤消尚未推送的Git合并 3695
使用JavaScript获取当前网址? 2882
如何在Python中将字符串解析为float或int? 2108
如何使div不大于其内容? 1960
确定对象的类型? 1700
如何在Ruby on Rails迁移中重命名数据库列? 1419
从已从磁盘中删除的Git存储库中删除多个文件 1294
你怎么能加速Eclipse? 1258
从字典中删除元素 1243