【服務(wù)器數(shù)據(jù)恢復(fù)】UFS2文件系統(tǒng)數(shù)據(jù)恢復(fù)案例
服務(wù)器數(shù)據(jù)恢復(fù)環(huán)境:
一臺服務(wù)器,虛擬化系統(tǒng)為esxi,上層使用iSCSI的方式實現(xiàn)FC SAN功能,iSCSI通過FreeNAS構(gòu)建。
FreeNAS采用了UFS2文件系統(tǒng),esxi虛擬化系統(tǒng)里有3臺虛擬機(jī):其中一臺虛擬機(jī)安裝FreeBSD系統(tǒng),存放數(shù)據(jù)庫文件;一臺虛擬機(jī)存放網(wǎng)站數(shù)據(jù);一臺虛擬機(jī)安裝Windows server系統(tǒng),存放數(shù)據(jù)庫數(shù)據(jù)和程序代碼。
服務(wù)器故障:
機(jī)房供電不穩(wěn),服務(wù)器非正常關(guān)機(jī),重啟服務(wù)器后發(fā)現(xiàn)ESXI虛擬化系統(tǒng)無法連接存儲。工作人員對服務(wù)器進(jìn)行故障排查,發(fā)現(xiàn)UFS2文件系統(tǒng)出現(xiàn)故障,于是fsck修復(fù)UFS2文件系統(tǒng)并將ESXI虛擬化系統(tǒng)連接到存儲上。
檢查文件系統(tǒng)及數(shù)據(jù),發(fā)現(xiàn)原服務(wù)器上的文件系統(tǒng)和數(shù)據(jù)都無法識別。工作人員又將vmfs進(jìn)行了格式化操作,導(dǎo)致數(shù)據(jù)丟失。
服務(wù)器數(shù)據(jù)恢復(fù)過程:
1、將服務(wù)器所有硬盤編號后取出,經(jīng)過硬件工程師檢測,沒有發(fā)現(xiàn)有硬盤存在物理故障。將所有磁盤以只讀方式進(jìn)行扇區(qū)級全盤鏡像,鏡像完成后按照編號將所有磁盤還原到原服務(wù)器中。后續(xù)的數(shù)據(jù)分析和數(shù)據(jù)恢復(fù)操作都基于鏡像文件進(jìn)行,避免對原始磁盤數(shù)據(jù)造成二次破壞。
2、基于鏡像文件分析底層數(shù)據(jù)。經(jīng)過分析,北亞企安數(shù)據(jù)恢復(fù)工程師發(fā)現(xiàn)了一個被命名為iscsidata的大小為幾百GB的大文件。根據(jù)UFS2文件系統(tǒng)的存儲結(jié)構(gòu)定位到這個大文件的iNode數(shù)據(jù)。
3、查看iNode數(shù)據(jù)發(fā)現(xiàn)iscsidata文件被重建過,iNode指針指向的數(shù)據(jù)量非常少。這種情況下要進(jìn)入vmfs文件系統(tǒng)層去恢復(fù)數(shù)據(jù)就需要先分析出FreeNAS層的必要信息和數(shù)據(jù)。
4、通過分析得到如下信息:
UFS2文件系統(tǒng)塊大小為16kb,segment大小為2kb,柱面組大小為188176kb,數(shù)據(jù)指針大小為8字節(jié),每個塊可容納數(shù)據(jù)指針數(shù)量為2048個。
通過上面信息計算:一個二級指針塊可存儲的數(shù)據(jù)量=2048*2048*16KB=64GB。三級指針塊可存儲的數(shù)據(jù)量=64GB*2048=128TB。
5、嘗試通過iscsidata文件的三級指針塊來恢復(fù)FreeNAS層的數(shù)據(jù)。由于iscsidata文件曾經(jīng)被重建過,部分指針被重建的數(shù)據(jù)所覆蓋,原文件的iNode和重建后的文件的iNode所在的位置完全一致,沒有其他可用于恢復(fù)數(shù)據(jù)的iNode數(shù)據(jù)。
6、北亞企安數(shù)據(jù)恢復(fù)工程師根據(jù)服務(wù)器的實際數(shù)據(jù)情況編寫小程序收集有用的指針塊,通過小程序收集到了大量二級指針塊和三級指針塊。
7、分析三級指針塊后發(fā)現(xiàn)這些指針塊都是無效的,應(yīng)該是重建iscsidata文件時被覆蓋了。新的iscsidata文件在掛載到ESXi后有個VMFS格式化過程,本案例中的ESXi使用GPT分區(qū),GPT分區(qū)會在磁盤最后寫入冗余的GPT頭和分區(qū)表信息數(shù)據(jù),這個過程會使用iscsidata文件的三級指針塊。
8、分析二級指針塊,對有大量二級指針塊的指向數(shù)據(jù)進(jìn)行DUMP,然后再從磁盤中的數(shù)據(jù)定位到二級指針。通過這種方式獲取到大量DUMP的數(shù)據(jù)。
9、根據(jù)NTFS和UFS2文件系統(tǒng)結(jié)構(gòu)定位到vmfs層,繼而定位到DUMP出的單個64GB文件&組合數(shù)據(jù)。
10、經(jīng)過復(fù)雜的查詢和重組操作,最終恢復(fù)出3臺虛擬機(jī)及虛擬機(jī)內(nèi)的全部數(shù)據(jù)。
11、將恢復(fù)出來的數(shù)據(jù)上傳到準(zhǔn)備好的環(huán)境中進(jìn)行驗證,經(jīng)過用戶方的仔細(xì)驗證,確認(rèn)所有恢復(fù)數(shù)據(jù)完整有效。本次服務(wù)器數(shù)據(jù)恢復(fù)工作完成。
審核編輯 黃宇
-
服務(wù)器
+關(guān)注
關(guān)注
12文章
9306瀏覽量
86069 -
數(shù)據(jù)恢復(fù)
+關(guān)注
關(guān)注
10文章
585瀏覽量
17632
發(fā)布評論請先 登錄
相關(guān)推薦
服務(wù)器數(shù)據(jù)恢復(fù)—Zfs文件系統(tǒng)服務(wù)器數(shù)據(jù)恢復(fù)案例
虛擬化數(shù)據(jù)恢復(fù)—UFS2文件系統(tǒng)數(shù)據(jù)恢復(fù)案例
服務(wù)器數(shù)據(jù)恢復(fù)—raid5陣列+reiserfs文件系統(tǒng)數(shù)據(jù)恢復(fù)案例
服務(wù)器數(shù)據(jù)恢復(fù)—異常斷電導(dǎo)致linux系統(tǒng)無法啟動的數(shù)據(jù)恢復(fù)案例
服務(wù)器數(shù)據(jù)恢復(fù)—EXT3文件系統(tǒng)下誤刪除數(shù)據(jù)的恢復(fù)案例
服務(wù)器數(shù)據(jù)恢復(fù)—V7000存儲NTFS文件系統(tǒng)數(shù)據(jù)恢復(fù)案例
服務(wù)器數(shù)據(jù)恢復(fù)—xfs文件系統(tǒng)服務(wù)器數(shù)據(jù)恢復(fù)案例
虛擬機(jī)數(shù)據(jù)恢復(fù)—KVM虛擬機(jī)被誤刪除的數(shù)據(jù)恢復(fù)案例
服務(wù)器數(shù)據(jù)恢復(fù)—誤刪除KVM虛擬機(jī)的數(shù)據(jù)恢復(fù)案例
服務(wù)器數(shù)據(jù)恢復(fù)—KVM虛擬機(jī)raw格式磁盤文件數(shù)據(jù)恢復(fù)案例
服務(wù)器數(shù)據(jù)恢復(fù)—xfs文件系統(tǒng)分區(qū)丟失的數(shù)據(jù)恢復(fù)案例
服務(wù)器數(shù)據(jù)恢復(fù)—ESXi無法識別數(shù)據(jù)存儲和VMFS文件系統(tǒng)如何恢復(fù)數(shù)據(jù)?
服務(wù)器數(shù)據(jù)恢復(fù)—EMC存儲下xfs文件系統(tǒng)數(shù)據(jù)恢復(fù)案例
【服務(wù)器數(shù)據(jù)恢復(fù)】硬盤壞道掉線導(dǎo)致服務(wù)器崩潰的數(shù)據(jù)恢復(fù)案例
【服務(wù)器數(shù)據(jù)恢復(fù)】異常斷電導(dǎo)致UFS2文件系統(tǒng)故障的數(shù)據(jù)恢復(fù)案例
工商網(wǎng)監(jiān)
評論