一、故障描述
服务器是dell730系列服务器,储存阵列是MD3200系列储存5T的Lunlinux文件系统修复,操作系统是Linuxcentos7,文件系统类型是EXT4,因意外断电,造成系统不能正常启动,修补然后系统可以正常启动,并且挂载的5T分区不能正常访问了,对这个5T的分区进行fsck修补嵌入式linux 培训,修补完成以后文件系统正常,然而遗失了部份文件,仔细查看以后缺位的部份文件在lost+found文件夹上面,文件名称早已被改变。
二、故障剖析
1、备份数据
把MD3200储存的5T的lun以只读模式重新映射到一台windows2008的备份服务器上,接着使用专业的工具将整个5T卷以磁道的形式镜像到已打算的备份空间上kali linux,以确保顾客的数据安全,然后的剖析和恢复操作均在备份的数据上进行。
2、分析故障缘由
仔细剖析5T卷的底层数据发觉,服务器的忽然断电致使故障虚拟机目录下的目录项出现破坏,而且这些破坏不会影响重要数据,只是破坏了文件的目录项而已,可以通过人工修补即可解决。而以后对文件系统进行fsck修补,造成受损的目录项修补不成功,直接以目录节点号命名放在lost+found文件夹下,则目录项对应的数据区索引会被清掉,也不会影响删掉文件的实际数据。此类情况可依照删掉虚拟c盘文件中的文件系统以及虚拟c盘中的文件类型在VMFS卷自由空间中进行碎片匹配和合并linux文件系统修复,最终也可恢复删掉的虚拟c盘文件。
三、实施方向
因为ext4文件系统文件遗失以后,文件的节点信息被清不仅,所以未能按照文件的节点信息进行还原,只能按照遗失的文件的目录项节点号和lost+found上面的文件的名称进行匹配,因为lost+found上面的文件是以该文件的目录项的节点号命名的,所以把目录项节点号提取下来和lost+found的文件名称进行匹配就可以还原之前的目录结构。
四、恢复数据
根据施行方向思路进行底层剖析,按照EXT4的文件系统结构信息,在底层的空间中扫描符合的目录项的区域,并统计其数目和估算目录项的节点号。再依照c盘中的文件系统的信息将这种扫描到的目录项节点号进行整合,把扫描到的目录项节点号记录到数据库上面,然后在通过lost+found上面的文件记录号和数据库上面的记录号进行匹配。
五、恢复总结
因为顾客数据先是被忽然断电致使文件系统出现问题,接着人为fsck修补造成大量文件目录结构遗失,而且又重新写入部份数据,致使其存在数据覆盖的可能性。因为对ext4文件系统底层结构足够了解,但是有处理过类似故障类型的经验。所以整个恢复过程中还算比较顺利。匹配然后数据正常恢复,但是验证没有问题,整个数据恢复成功。
本文由北亚数据恢复中心提供