Debugfs + ext3 + памагите!!111

0

2

Привет, кого не видел.
Расскажите мне, как я могу смотреть изменения файлухи через журнал ext3, например?

Есть допустим 20-е апреля и мне надо посмотреть какие записи есть в журнале файхули на этот счет.
Спасибо!

Ссылка

←	nginx на Linux vs nginx на FreeBSD

PXE boot - failover.

→

cast true_admin

tazhate ★★★★★
(22.04.13 23:50:32 MSK) автор топика

Ответ на: комментарий от tazhate 22.04.13 23:50:32 MSK

Гугл говорит вот это: http://www.linuxforums.org/forum/red-hat-fedora-linux/121074-ext3-journal.html :)

Потом расскажи получилось или нет найти нужное. Я щас в разъездах, даже посмотреть этот debugfs некогда.

true_admin ★★★★★
(23.04.13 10:27:04 MSK)

Ссылка

Ответ на: комментарий от tazhate 22.04.13 23:50:32 MSK

Ну что, получилось что-нить? Я посмотрел logdump, тебя ждёт уникальный секс с расшифровкой :). Оно, похоже, логирует тупо блоками.

true_admin ★★★★★
(23.04.13 20:37:59 MSK)

Ответ на: комментарий от true_admin 23.04.13 20:37:59 MSK

Я по другому решил проблему, но вопрос все еще актуален.

tazhate ★★★★★
(23.04.13 20:39:41 MSK) автор топика

Ответ на: комментарий от tazhate 23.04.13 20:39:41 MSK

Ну, могу сказать что оно не по датам работает. Там просто round robin база по блокам. Тебе сначала нужно найти блок, а потом уже через debugfs вытащить его версии. Возможно, дата в журнале вообще не хранится.

true_admin ★★★★★
(23.04.13 21:14:58 MSK)

Ответ на: комментарий от true_admin 23.04.13 21:14:58 MSK

taz@tazwork:~$ touch lol
taz@tazwork:~$ stat lol
  File: ‘lol’
  Size: 4096      	Blocks: 8          IO Block: 4096   directory
Device: 831h/2097d	Inode: 57982986    Links: 2
Access: (0755/drwxr-xr-x)  Uid: ( 1000/     taz)   Gid: ( 1000/     taz)
Access: 2013-04-23 21:14:37.199351302 +0400
Modify: 2013-04-23 21:14:37.199351302 +0400
Change: 2013-04-23 21:14:37.199351302 +0400
 Birth: -

tazhate ★★★★★
(23.04.13 21:17:39 MSK) автор топика

Ответ на: комментарий от tazhate 23.04.13 21:17:39 MSK

Какого плана тебе нужно инфу вытащить? Я боюсь что при стандартных опциях журналирования туда контент файла и не попадает.

Максимум что мне удалось сделать это

1) debugfs /dev/sdb2 и потом stat <твой файл>

2) номер экстента это, я так понял, номер первого блока. Блоки можно посмотреть через dump_extent.

3) ищешь нужные блоки в logdump -a

4) делаешь logdump -b <блок из файла> -c

Я, правда, всё время путаю блок из лога с блоками из экстентов. Это разные сущности.

true_admin ★★★★★
(23.04.13 21:33:19 MSK)

Ответ на: комментарий от true_admin 23.04.13 21:33:19 MSK

Например, пару дней назад удалили файл. Известно, что он где-то в /var/www, например. Мне надо посмотреть все изменения, которые происходили внутри этой директории, чтобы поймать этот файл, восстановить его и изучить (например).

Задача такая же, как с руткитом на я.конкурсе админском тогда была.

tazhate ★★★★★
(23.04.13 21:42:51 MSK) автор топика