Linux下删点日志也能搞死人
共 3362字,需浏览 7分钟
·
2020-07-10 00:13
点击「阅读原文」查看良许原创精品视频。
想了十天十夜不知道写些什么,那就写写面试题吧。
== 1 ==
在面试应聘者的时候,我常常会问:
在 Linux 下,如何删除一个目录下的所有 log 文件?
不知道是不是我人畜无害的围笑给了应聘者我很好应付的错觉
以至于应聘者全都回答:rm *.log
追问:该目录下可能有很多子目录(还可能是多级),如何把子目录里的 log 文件也删掉呢?
答:rm -r *.log
== 2 ==
令我很意外的是,只有很少的应聘者能想到 find 命令。
而且想到的人也很少有记得具体用法的。
目前为止只有一个应聘者能够给出完整的命令:
find -name \*.log -exec rm -f {} \;
注:这里的两个斜杠都不是笔误。这里除了 -exec ...,也可以用 -delete,或者用管道结合 xargs 来完成;又或者 ls -r | grep 也行。
我觉得 find 应该不算一个很罕见的命令?
我们有一台共享开发机,因为大家都懒得删 log ,经常磁盘爆满,后来我们给它加了个 crontab:
0 4 * * * find /home/ -type f -name "*.log*" -size +100M -exec bash -c "echo -n > '{}'" \;
注:".log*" 后面的 * 是考虑了 log rotate。
注意,这个命令没有用 rm ,而是使用重定向来清空文件,原因后面会讲。
== 3 ==
基于清理磁盘空间这个场景,我还会继续问:
你有遇到过删了 log 文件,但是磁盘空间却没有释放的情况吗?
有些候选人可能心里在想着:文件删了不就删了吗,还有什么磁盘空间没释放?
所以有时候我需要解释一下,是 df 命令看到的磁盘空间没有减少。
还有个候选人努力想了想,和我确认,是不是正好这个目录挂载的是其他磁盘,所以看起来当前磁盘空间没减少。(当然不是)
思路稍微开阔一点的候选人会想到:你个憨批莫不是删了个软链接吧?
当然候选人的语气会比较友好。
然后我会和候选人继续沟通:
你提到了软链接,那它和硬链接的区别是什么呢?
有时候我怀疑这几个连续的问题问到候选人开始怀疑人生,因为有的候选人有点犹豫,觉得自己想说的其实是硬链接。
不过还是有几个候选人知道,软链接是一种文件类型,其内容是目标文件的路径;硬链接是 inode 的别名,同一个 inode 可以有多个链接,在 inode 里记录了硬链接的数量(引用计数)。
比如这样:
创建一个空文件,看下inode和链接数:
#创建一个空文件 touch a.txt
stat -c 'inode %i, links %h' a.txt
inode 12058942, links 1
创建一个软链接,再看看文件大小:
#软链接 ln -s a.txt b.txt
stat -c 'inode %i, links %h' b.txt
inode 12058978, links 1
$ ls -l b.txt #大小5字节
lrwxrwxrwx ... 5 ... b.txt -> a.txt
$ readlink b.txt #文件内容
a.txt
创建一个硬链接,看下inode和链接数
#硬链接,inode不变,链接数变成2 ln a.txt c.txt
stat -c 'inode %i, links %h' c.txt
inode 12058942, links 2
$ ls -l c.txt #大小0字节,和a一样
lrwxrwxrwx ... 0 ... c.txt
== 4 ==
但实际生产上,遇到 “删了文件、但空间不释放” 通常和软/硬链接没有什么关系。
实(cai)战(keng)经验比较丰富的候选人会知道,这更可能是因为文件正被另一个进程打开。
比如在终端 1 打开 a.txt:
python
"a.txt") >> f = open(
然后在终端 2 可以看到该文件被 Python 打开:
lsof a.txt
COMMAND PID ... NODE NAME
python 2390 ... 12058942 a.txt
删掉 a.txt,再查看 python 打开的文件列表:
$ rm a.txt
$ ls -l /proc/2390/fd
lrwx------ 1 user ... 00:04 0 -> /dev/pts/5
lrwx------ 1 user ... 00:04 1 -> /dev/pts/5
lrwx------ 1 user ... 00:04 2 -> /dev/pts/5
lr-x------ 1 user ... 00:04 3 -> /tmp/a.txt (deleted)
注:0、1、2、3 是内核的 fd 编号。0=stdin, 1=stdout, 2=stder。
可以看到,a.txt 被标记为已删除,但因为进程还开着它,可能会访问文件的内容,所以内核会等到进程关闭该文件(或进程退出后)才在磁盘上移除这个文件。
== 5 ==
在面试中通常没有机会再问下去了,但实践中往往问题还没解决。
比如前述共享开发机,就曾遇到了用 df 看磁盘空间800G已满,但用 du 查看,所有文件却只占用了 500G的情况。
那么:
1. 如何才能知道现在系统中有哪些文件已删除、但是仍被占用呢?
sudo lsof | grep deleted
COMMAND PID … NAME
main 893246 … /../nohup.out (deleted)
...
发现是有大量已经被删除、但仍被某些进程打开的 nohup.out 。
2. 坑是找到了,该怎么填呢?
由于这是开发机,很简单,把进程杀掉就好了,进程退出时,内核会负责关闭文件,然后清理占用的空间。
但如果是线上服务呢?
Linux下有一个 package 叫 logrotate,像 nginx 这些服务就是使用它来做日志切割/轮转的。
但 nginx 是在后台持续运行的,不能为了切个日志就停止服务,所以它们是这样约定的:
logrotate 执行 rename 系统调用(相当于 mv 命令)重命名日志文件;
由于 inode 不变,这时 nginx 会继续写入重命名后的日志文件;
logrotate 给 nginx 发送一个 SIGHUP 信号;
nginx 在收到信号后会关闭当前文件,并重新打开日志文件(即创建了新的日志文件)。
注:为什么是用 SIGHUP 而不是其他信号,以后可能会另开一篇讲讲。
这样 logrotate 出来的日志,就可以放心删除了。
对于不支持类似逻辑的服务怎么办呢?
重启大法。
如果只是想清空这个文件,可以这样(以前面python为例):
echo -n > /proc/2390/fd/3
这样文件是清空了,适用于 append only 的日志文件,但对于其他场景可能存在一定风险。
要是不怕背 P0 的话,还可以这么作死:
$ sudo gdb
(gdb) attach $PID
(gdb) call ftruncate(3, 0) #按需修改fd
$1 = 0
注:ftruncate只是清空文件,如果想关闭文件,可以结合 dup、dup2、open和close来搞事,不细说了。
== 6 ==
看到这里你应该明白了为什么前面那个 find 命令不直接用 rm 了吧?
照例总结下:
可以用 find 查找文件
软链接存的是路径,硬链接共享inode
删除被进程打开的文件,磁盘空间不会释放
lsof 很好用(不只是看文件的占用)
良许个人微信
添加良许个人微信即送3套程序员必读资料
→ 精选技术资料共享
→ 高手如云交流社群
本公众号全部博文已整理成一个目录,请在公众号里回复「m」获取!
推荐阅读:
5T技术资源大放送!包括但不限于:C/C++,Linux,Python,Java,PHP,人工智能,单片机,树莓派,等等。在公众号内回复「1024」,即可免费获取!!