伺服器資料恢複環境:
某品牌PowerEdge系列伺服器,磁盤陣列存儲型号為該品牌MD3200系列存儲,配置設定lun;
linux centos 7作業系統,EXT4檔案系統。
北亞企安資料恢複——EXT4檔案系統資料恢複
伺服器故障:
伺服器在工作中由于未知原因突然關機且無法啟動,管理者經過修複後可以啟動伺服器,但伺服器的某個分區無法挂載。管理者對無法挂載的分區執行了fsck修複,修複完成後該分區可以成功挂載,但是檢視該分區資料後發現部分檔案丢失。
伺服器資料恢複過程:
1、資料恢複工程師到達現場後将故障伺服器以隻讀模式映射到北亞企安資料恢複伺服器上,将所有硬碟資料以隻讀方式鏡像到資料恢複伺服器上,後續資料分析和資料恢複操作都基于鏡像檔案進行,避免對原始資料造成二次破壞。
北亞企安資料恢複——EXT4檔案系統資料恢複
2、通過對鏡像檔案的分析,資料恢複工程師初步診斷導緻該伺服器故障的原因是機房供電不穩引起的伺服器非正常關機。
3、仔細分析故障伺服器的底層資料,發現伺服器的異常斷電導緻目錄項被破壞,所幸的是底層資料依然存在,隻需要資料恢複工程師手工修複即可恢複資料。
4、由于管理者對檔案系統執行了fsck修複,被破壞的目錄項在修複失敗後以目錄節點号命名,并存放于lost+found目錄内,随後又清除了這些目錄項所對應的資料區索引。這就是分區挂載成功後部分檔案丢失的原因。這樣的情況想要恢複資料,可以根據被删除的虛拟磁盤檔案的檔案系統和檔案類型在vmfs卷自由空間中進行排查,比對碎片并重新合并,最終通過這種方式将删除的虛拟磁盤檔案恢複。
5、由于故障伺服器采用的是EXT4檔案系統,EXT4檔案系統有一個特點就是檔案丢失後其節點資訊也會被清除,是以在本案例不能采用基于節點資訊進行還原的方法來恢複資料,而是根據丢失的檔案目錄項節點号比對lost+found目錄下的檔案名稱這種方式來恢複資料。因為lost+found目錄下的檔案命名規則就是該檔案的目錄項節點号。可以先提取目錄項節點号并與lost+found目錄下的檔案名進行一一對應,最終還原出伺服器的原始目錄結構。
6、基于鏡像檔案分析底層,在底層空間掃描目錄項的區域,将目錄項的節點号、數量等資訊進行統計和記錄,根據伺服器磁盤中的檔案系統資訊将統計到的目錄項和節點号進行整合比對,然後比對lost+found目錄下的檔案記錄号,最終将伺服器分區丢失的資料恢複出來。
7、經過管理者對恢複出來的資料進行反複驗證後,确認恢複出來的資料完整有效,本次資料恢複工作完成。
北亞企安資料恢複——EXT4檔案系統資料恢複