电子说
服务器数据恢复环境:
NetApp某型号存储,共96块SAS硬盘,划分的lun都映射给小型机使用,存放的是Oracle数据库文件,采用ASM裸设备存储方式。
服务器故障:
管理员误操作删除了该NetApp存储上的所有lun。具体情况是:工作人员给NetApp存储设备重新划分空间,直接把存储的卷全部删除并进行重新分配。在删除所有卷后还没有来得及分配的时候,上层业务就出现异常。运维工程师紧急排查故障情况,发现业务服务器上的磁盘都不见了,无法访问数据。
服务器数据恢复过程:
1、为了预防在数据恢复过程中可能对原始磁盘数据造成的二次破坏,将该NetApp存储上的每块磁盘以只读方式做完整镜像。后续所有的数据分析和数据恢复操作都在镜像文件上进行。
2、基于镜像文件分析Netapp存储数据。
a、分析盘序和LVM的组成方式;
b、扫描硬盘内的所有节点,一般只扫描“MBFI”。
c、在节点扫描结果中找到文件大小符合需求的节点并提取此节点uid,并判断索引根。
d、根据索引根内的第一级数据指针提取本文件的所有直接数据指针(需要参考节点中0x03位置的MAP深度。为0x00时直接从节点内提取数据,为0x01时需要提取一次MAP,为0x02时需要提取两次MAP......)。在指针提取完毕后开始提取文件数据。
3、解析超级块。在硬盘的前面扇区的位置找到超级块相关信息,从超级块中获取到磁盘组名字、磁盘组的逻辑起始块号、总块数、磁盘组中raid的编号。
netapp超级块信息:
北亚企安数据恢复——NetApp数据恢复
4、剔除校验盘。
每个数据块占8个扇区,数据块后附加64字节数据块描述信息。根据这些信息可以判断出作为校验盘(提取数据时校验盘需剔除)的磁盘。
校验块描述信息:
北亚企安数据恢复——NetApp数据恢复
5、判断aggr盘。
确定各个磁盘所属aggr组,然后判断组内盘序(依据每块磁盘8号扇区的磁盘信息以及磁盘末尾的RAID盘序表确定盘序)。数据指针跳转时不考虑校验盘,所以只取得数据盘的盘序即可。
netapp盘序表:
北亚企安数据恢复——NetApp数据恢复
6、分析节点及节点头部信息。
Netapp的节点分布在数量众多的数据块内,在数据块内又被统一组织为节点组。每个节点组的前半部分字节记录系统数据,后半部分字节记录各个文件节点。根据用户级别可将节点分为两类:“MBFP”系统文件节点和“MBFI”用户文件节点,在数据恢复时一般只取MBFI节点组即可。
netapp节点样:
北亚企安数据恢复——NetApp数据恢复
7、获取目录项,并根据目录项节点编号找到对应节点。
目录项信息:
北亚企安数据恢复——NetApp数据恢复
8、分析出该Netapp存储结构后,用北亚企安自研的NetApp解析程序解析asm文件系统,提取出oracle数据库文件。
北亚企安数据恢复——NetApp数据恢复
9、搭建小机环境并安装oracle数据库,检测提取出来的数据库文件和备份文件。
10、使用提取出的数据库文件启动oracle数据库,启动正常。
11、使用最新的数据库备份文件还原数据库,然后由用户方亲自进行验证,经过反复验证,用户方确认恢复出来的oracle数据库数据完整可用,数据恢复工作完成。
审核编辑:汤梓红
全部0条评论
快来发表一下你的评论吧 !