故障:
误操作将linux文件系统装入到Ocfs2文件系统的数据卷上,原始Ocfs2文件系统被格式化成为Ext4文件系统。服务器管理员联系北亚数据恢复中心进行数据恢复。
故障分析:
由于Ext4文件系统每隔几百兆就会写入文件系统的原始信息,数据可能受到一定程度的破坏。
ocfs2文件系统数据恢复过程:
1、备份数据——将存储以只读模式映射给北亚数据恢复中心的备份服务器。使用dd,Winhex等专业备份工具将映射到备份服务器中的数据做全部镜像。做完全部镜像后,将所有存储配置及链路还原至初始状态,之后数据恢复均不对原始硬盘进行任何操作。
北亚服务器数据恢复——ocfs2文件系统数据恢复
2、分析ocfs文件系统结构——找到ocfs2文件系统的超级块,通过分析超级块,北亚数据恢复工程师获取ocfs2文件系统的基本结构信息。通过服务器管理员提供的虚拟磁盘文件名称,北亚数据恢复工程师查找到虚拟磁盘文件的目录项,继而找到所对应的所有一级索引项和二级索引项,并利用北亚数据恢复中心自主开发的文件系统解析程序,对已备份的数据进行文件系统解析。ocfs2文件系统的索引项结构如下:
一级索引项
二级索引项
3、修复ocfs文件系统
修复损坏的文件系统,对原始Ocfs2文件系统做一致性检测,并对损坏的区域进行人工修复。
4、恢复数据
利用北亚数据恢复中心自主开发的针对Ocfs2不完整文件系统的解析工具对已修复的Ocfs2文件系统进行解析。根据文件系统分析的结果,北亚数据恢复工程师编写对应的数据提取程序,最大程度地恢复每一个虚拟磁盘文件,并对恢复的每一个虚拟磁盘文件进行一致性检测。
5、文件检测与修复
对恢复出来的虚拟磁盘文件进行解析,验证虚拟磁盘文件是否有错误,并修复损坏的文件。恢复其中的用户文件,对已恢复的用户文件进行一致性检测,并修复损坏的文件。
数据验证:
1、验证虚拟机
针对用户比较重要的虚拟机做验证,大部分虚拟机都可以开机到登陆界面。小部分虚拟机开机蓝屏或开机检测磁盘,经过光盘修复之后都可以启动。
部分虚拟机开机截图如下:
有一台虚拟机磁盘文件恢复之后,通过解析发现该虚拟机中没有数据,继续对该虚拟机的磁盘文件进行分析,发现该文件索引项存在,但是索引结构并不多,数据量也很少,有可能存在人为清零或修改的情况,也可能虚拟机原本就没有多少数据。
2、验证数据库
对重要虚拟机中的数据库做验证,发现数据库都正常。部分数据库可能与应用程序对接有一定问题,服务器管理员联系应用程序原厂的技术人员对应用程序进行修复之后,数据库都可以正常使用。
移交数据:
由于时间紧迫,北亚数据恢复工程师使用专业工具依次导出ocfs2中的虚拟机,然后将虚拟磁盘数据带到客户现场。
在现场使用网线将R510服务器接入到客户内部的网络当中,然后通过NFS共享,将虚拟机磁盘文件上传到客户的服务器上,然后通过ovm虚拟机管理工具进行虚拟机挂载,完成数据移交。
数据恢复总结:
基于ext4文件系统的特性,Ext4文件系统每隔几百兆会写入文件系统的原始信息,对原始数据造成一定的破坏。所以,本次数据恢复过程中,对ocfs2文件结构的分析占用了比较多的时间。