Задача для линуксовых сисадминов

[dil]

Дано: обычный линукс. На нем работает демон и пишет логи в файл. По несчастливой случайности ротирующий скрипт стёр запись о файле из директории. Но демона не перезапустил, поэтому демон продолжает писать в тот же файл.
Задача: прочитать данные из этого файла.

Решившие задачу безработные (или желающие сменить место работы) сисадмины могут присылать резюме.

Comments

[tobotras]

Черт, почему я не безработный сисадмин?...

[scarabeus.livejournal.com]

совсем навскидку - в /proc//fd перечислены все дескрипторы, открытые процессом. Можно жрать оттуда.

- пид писающего демона.

[scarabeus.livejournal.com]

/proc/pid/fd, естественно.

[bobuk.livejournal.com]

Копирайты! Копирайты!

[(Anonymous)]

если много времени - идем сюда и читаем http://www.tldp.org/HOWTO/Ext2fs-Undeletion.html
если мало времени - то сюда http://recover.sourceforge.net/linux/recover/
удачи

[jerom.livejournal.com]

Ну вот так:
lsofом найду inode, потом:
debugfs /dev/hda3
debugfs: cat <196511>

[jerom.livejournal.com]

тьфу
debugfs: cat <196511>

Ну cat не обязательно, есть другие команды в man debugfs.

[dil.livejournal.com]

Так тоже можно, но есть горазздо более простой способ

хы

[bormotov.livejournal.com]

а пока безработные или желающие сменить работу амины будут рещать задачу, вы бите следить, чтоб демон не помер и продолжал писать тот самый лог? :)))

Re: хы

[dil.livejournal.com]

Не, мы её уже решили :)

[webushka.livejournal.com]

Просто lsof'ом посмотреть какой inode использует демон для этого файла и по нему к файлу обратиться. Да хотя б линк на него кинуть.

[dil.livejournal.com]

это работающий, но длинный способ. есть гораздо более простой.

[anatolix.livejournal.com]

Я не админ и совершенно ничего не понимаю в администрировании Linux.
Но случайно его нельзя прочитать из /proc/[pid]/fd ?

[dil.livejournal.com]

Ага, ответ правильный :)

[sigterm.livejournal.com]

тоже мне, Бином Ньютона ;)
по шагам для 2.6 (на другом лень проверять):
1) находим pid процесса. Далее pid
2) cd /proc//task//fd
3) ls -l | grep deleted. Пусть выдало n
4) cat n >>/path/to/real/file

[sigterm.livejournal.com]

2) похоже побился. Следует читать:
cd /proc/pid/task/pid/fd

[http://users.livejournal.com/mak_/]

а что рассматривается в качестве подручных средств?
debugfs и -d? или там gdb и вставление в демона кода типа seek 0; read src; write dst? или стоит какая-нибудь экзотика типа http://amadeus.uprm.edu/~undelete/ ?

[dil.livejournal.com]

есть гораздо более простой способ

разве сложно?

[gong.livejournal.com]

Как я ненавижу линукс, а?!

Варианты для извращенцев (кодеров) и для тупых людей (админов): через gdb и через файловую систему.

(Типа задачи про место и время умерщвления мухи и двух поездов.)

Первых я ненавижу, поэтому этот шаг опустим.

Второй, для тупых. Вызнаём lsof-ом по имени процесса $pid и открытый номер $fd, лезем тупо в норку /proc/$pid/fd/$fd и шарим там кочергой.

После чего спасаемся бегством.

[algm.livejournal.com]

А я знаю!
Проверил... действительно, блин, читается!

[alz421.livejournal.com]

Огласите весь спсок вакансий пжалссста! ;)

[dil.livejournal.com]

http://company.yandex.ru/inside/job/index.xml

[int21h.livejournal.com]

Разрешите присоединиться к вашему компетишену:

Решившие эту задачу под фрибзд 4-х программисты, могут присылать резюме нам (http://mail.ru) ;)

[dil.livejournal.com]

Не, вы себе сами задачки придумывайте :)
Хотя в общих чертах я себе этот процесс представляю, надо будет попробовать вживую.
А сколько у вас денег дают?

[webushka.livejournal.com]

Что-то мне в голову никаких больше более-менее файлосистемнонезависимых способов не приходит. Ну разве только mc уже научился делать undelete на любых файловых системах :)

[dil.livejournal.com]

Хинт: существенно, что это линукс.
Насчет любых fs я не знаю, подразумеваются систмы с юниксовой логикой работы, в частности, родные ext2/ext3, когда удаленный из директории файл не удаляется с диска физически, пока его не закроет последний процесс.

[webushka.livejournal.com]

О, боги, какой я тормоз :))) Действительно, очень простой способ.
Например cat /proc//fd/ ?

[dil.livejournal.com]

Во-о-от!

[alexkuklin.livejournal.com]

/proc/$pid/fd/что-то
как-то я оттуда инфу доставал...

[dil.livejournal.com]

Ага :)

[ex-sighup150.livejournal.com]

Ну, к примеру -- посмотреть lsof'ом номер открытой inode'ы и debugfs'ом (если дело на ext2/3) либо сдампить её, либо сделать еще один линк.
Приходят в голову также и экзотические решения, включающие аттач к демону ptrace()'ом с помощью gdb и вызовы read() :)

[dil.livejournal.com]

Это сложный способ. А есть простой.

[ex-sighup150.livejournal.com]

Зануда :)
Ну, можно посмотреть в /proc/

[Error: Irreparable invalid markup ('<pid демона>') in entry. Owner must fix manually. Raw contents below.]

Зануда :)
Ну, можно посмотреть в /proc/<pid демона>/fd/<какой там у него fd для этого файла>
Но это совершенно неспортивно :)

[icelord.livejournal.com]

lsof?

[dil.livejournal.com]

Ну. А дальше?

[alexkuklin.livejournal.com]

(заинтересованно) таки что вы можете предложить? :)))))

[int21h.livejournal.com]

Таки где ж решение, а то прямо и не знаю чего предлагать :)

[(Anonymous)]

cd /proc/`pidof daemon/fd/;
cat `ls -l | grep deleted | awk '{print $9}'`

// Mon :-)

[icelord.livejournal.com]

хм, на заскриненое на дает ответить, а ты ответ хочешь... в общем
lsof.../proc/NNN ... дальше рассказывать?