【服务器数据恢复】OneFS文件系统下误删除文件的数据恢复案例
EMC Isilon存储结构:
Isilon群集存储系统使用的是分布式文件系统OneFS。Isilon群集存储系统的每个节点均为单一OneFS文件系统,Isilon在进行横向扩展时不会影响数据的正常使用。Isilon群集存储系统所有节点在工作时都提供相同的功能,节点没有主备之分。Isilon群集存储系统在存储文件时,OneFS层会将文件分成128K的片段分别存放到不同的节点中,节点层又会将128K的片段分成8K的小片段分别存放到该节点的不同硬盘中,用户文件的Indoe信息、目录项及数据MAP则会分别存放在所有节点中。Isilon群集存储系统的这个特性可以让用户从任何一个节点访问到所有数据。Isilon群集存储系统在初始化时会让用户选择相应的存储冗余模式,不同的冗余模式所提供的数据安全级别也不一样(默认3个节点采用N+2:1模式)。
服务器数据恢复环境:
EMC Isilon S系列群集存储系统,3个节点,每个节点配置12块STAT硬盘。该存储系统存放的数据是vmware虚拟机(WEB服务器)和视频文件。vmware虚拟机通过NFS协议共享到ESX主机,视频文件通过CIFS协议共享给vmware虚拟机(WEB服务器)。
服务器故障:
管理员由于误操作将该存储系统中NFS协议共享的vmware虚拟机、MSSQL数据库以及大量的MP4、ASF和TS类型的视频文件删除。
服务器数据恢复过程:
1、通过Isilon的web管理界面的集群关闭功能将存储设备正常关机,将存储系统中所有硬盘编号取出。由硬件工程师对所有磁盘进行硬件故障检测,经过检测所有磁盘均可正常读取,无物理故障。以只读方式将所有磁盘做全盘镜像,后续数据分析和数据恢复操作都基于镜像文件进行,避免对原始磁盘数据造成二次破坏。镜像完成后将所有磁盘按照编号还原到存储设备中。
2、基于镜像文件分析所有硬盘中的数据。由于数据是被人为手动删除的,不用考虑存储的冗余级别。需要分析的是文件被删除后文件Indoe及数据MAP是否发生变化。
3、经过沟通和分析,发现被删除的虚拟磁盘文件都在64G或以上,并且存储中没有其他类型的大文件。北亚企安数据恢复工程师编写文件Indoe扫描程序,将文件大小64G或以上的Indoe都扫描出来。
4、对扫描出来的Indoe进行分析,发现Indoe中记录的数据MAP位置,其index指向的内容已不再是正常的数据。所有节点上的Indoe均是同样的情况。
5、继续分析Inode,发现大文件的数据MAP有多层(树结构),数据MAP中会记录文件的唯一ID,可以尝试找到文件最底层的数据MAP。对文件最底层的数据MAP做遍历跟踪操作,所幸找到最低层的数据MAP。
6、从文件Inode中取出文件的唯一ID,聚合所有符合该ID的数据MAP。根据数据MAP中的VCN号做排序,发现每个文件的前一万多项数据MAP都不存在,意味着每个文件的前一万多项数据没法恢复。
7、丢失的数据MAP项大小不到1G,被删除的文件全是虚拟机的vmdk文件,里面都是NTFS文件系统,而NTFS文件系统的MFT基本都在3G的位置。只需要在每个vmdk文件的头部手动伪造一个MBR和DBR就可以解释vmdk里面的数据。
8、对扫描到的数据MAP做解释,并根据VCN号的顺序导出数据,没有MAP的情况保留为零。先导出一个vmdk文件做测试,结果导出的vmdk文件比实际情况要小,并且vmdk中MFT的位置也与自身描述不符。随机验证了几个MPA发现都能指向数据区,程序解释MAP的方式也都没有问题。所以猜测可能为文件稀疏。
9、将代码进行调整后重新导出刚才的vmdk,这次导出的vmdk大小符合实际大小,且MFT的位置也与描述相符。手工伪造一个MBR、分区表和DBR,使用北亚企安自主开发的文件系统解释工具解释其文件系统,然后导出vmdk里面的数据库及视频文件。
10、对vmdk中的数据库及视频文件进行验证没有发现问题后,批量导出所有vmdk文件,再手工逐个去修改每个vmdk文件。
11、将所有数据恢复出来之后,交由用户方工程师对数据做完整性及准确性检测,经过反复检测,确认恢复出来的数据完整有效。本次数据恢复工作完成。
【服务器数据恢复】OneFS文件系统下误删除文件的数据恢复案例相关推荐
- 在 Centos6/RHEL6 上恢复 ext4 文件系统下误删除的文件
[root@xuegod63 ~]# rm -Rf / #执行不成功的, rm: 在"/" 进行递归操作十分危险 rm: 使用 --no-preserve-root 选项跳过安全模 ...
- 在Centos6/RHEL6上恢复ext4文件系统下误删除的文件
在Centos6/RHEL6上恢复ext4文件系统下误删除的文件 [root@GDH ~]# rm -Rf / #执行不成功的, rm: 在"/" 进行递归操作十分危险 rm: 使 ...
- 用Winhex手工定位NTFS文件系统下的文件
用Winhex手工定位NTFS文件系统下的文件<?xml:namespace prefix = o ns = "urn:schemas-microsoft-com:office:off ...
- linux 解压文件乱码,云服务器:解决linux下zip文件解压乱码问题
云服务器:解决linux下zip文件解压乱码问题 原因 由于zip格式并没有指定编码格式,Windows下生成的zip文件中的编码是GBK/GB2312等,因此,导致这些zip文件在Linux下解压时 ...
- UNIX文件系统下误删除的数据恢复经典案例--UFS删除恢复
•事件描述 Sun阵列柜中的一个272GB的LUN和一个1TB的LUN,在Solaris 8下格式化成UFS文件系统,由于用户的误操作,导致数据丢失,用户具体操作如下: 用oracle用户运行sh ...
- linux服务器格式化恢复,LINUX下误删除、格式化恢复解决方案
原标题:LINUX下误删除.格式化恢复解决方案 一.总述:基于linux系统,删除数据及格式化后的数据恢复方案 1 .基于EXT2/EXT3/EXT4文件系统 2 .基于Reiserfs文件系统 3 ...
- 多学一点(十二)——使用extundelete恢复Linux下误删除文件
通常来说,对于重要文件我们都应该定期备份(如 /etc 下的配置文件),以免在喝醉了手残了等异常状态下将重要文件误删除.然而,如果意外真的发生,而我们又没有做好备份,那赶紧试试手动恢复吧,这里使用的文 ...
- linux找回删除的文件6,在Centos6/RHEL6上恢复ext4文件系统下误删除的文件
该楼层疑似违规已被系统折叠 隐藏此楼查看此楼 安装SSM ssm工具了一下 [root@xuegod63 ~]# yum -y installsystem-storage-manager SSM:检查 ...
- 计算机数据恢复视频教程,快速扫描误删除文件 文件数据恢复软件 视频文件数据恢复效果最佳...
电脑突然死机或者断电,硬盘数据丢失?U盘重要文件不小心删掉了? 电脑中毒,文件丢失或无法读取? 系统突然崩溃,重要文件丢失?使用计算机最怕的就是象以上这些突如其来的灾难性故障导致重要数据的丢失,误操作 ...
最新文章
- Swift中页面跳转与传值:
- 我需要运行自己的节点吗?
- 【转】使用Apache CXF开发WebServices服务端
- Golang 优化之路-空结构[转]
- 第十六章--访问文件
- express 框架之 路由与中间件
- DotNet4应用程序打包工具(把DotNet4安装程序打包进你的应用程序;WINAPI开发,无dotNet环境也可顺利执行)【一】整体思路...
- 应用计算机网络的方面,计算机网络技术在电子信息工程中的应用研究(1)
- java常用简略语含义
- 小学生计算机学科竞赛类活动,自主招生/综合评价认可哪些科创类赛事?2020届参考...
- IPLATUI----GRID删除
- 阿里巴巴成立云原生技术委员会,云原生升级为阿里技术新战略!
- PyTorch 成程序员“新宠”,TensorFlow 风光不再?
- 飞秋mac版字符乱码_Mac必装软件推荐,下载方法也给你了。
- 常州模拟赛d7t2 数组
- labview由于其他对话正在访问FIFO_LabVIEW常用工具、调试工具汇总
- 数据库系统概论第五版_第二章:关系数据库
- java程序输入二叉树,JAVA 二叉树代写、代写java二叉树编程作业
- 微软默认 密钥管理服务器,加密和密钥管理概述 - Microsoft Service Assurance | Microsoft Docs...
- 使用XMLSerializer报错java.lang.NoClassDefFoundError: nu/xom/ParentNode