环境:
Windows Server的虚拟机;
MongoDB数据库。
故障:
未关闭MongoDB服务的情况下,将数据库文件拷贝到其他分区后,对原数据库所在分区进行了格式化操作,然后将数据库文件拷回原分区,再重新启动MongoDB服务时发现无法启动。报错截图如下:
管理员联系北亚数据恢复中心寻求帮助。
MongoDB数据恢复过程:
在MongoDB服务没有关闭的情况下对MongoDB数据库文件进行拷贝,会导致mongod.lock和WiredTiger.lock这2个文件拷贝出错。可以在拷贝出的文件中删除这两个文件后再启动服务,这2个文件会自动重新生成。
1、北亚数据恢复工程师对管理员拷贝出的文件检测后发现,_mdb_catalog.wt文件丢失。
_mdb_catalog.wt文件里存储了MongoDB中所有集合的元数据,数据库启动时需要从_mdb_catalog.wt文件中读取相关的信息。由于此_mdb_catalog.wt文件丢失,数据库无法获取数据库中集合对应的WT table名字、集合的创建选项、集合的索引信息等元数据,数据库无法启动。
2、北亚数据恢复工程师尝试从文件系统的角度对_mdb_catalog.wt文件进行恢复。
使用北亚数据恢复中心自研软件对数据库分区进行扫描后发现并没有_mdb_catalog.wt文件的信息。北亚数据恢复工程师又根据MongoDB数据库中数据文件的特征值对数据库分区进行扫描,也没有发现_mdb_catalog.wt相关的数据区域。由此可以判断,_mdb_catalog.wt文件已经被彻底覆盖破坏,无法恢复。
3、从数据库层面设法提取数据。原服务器所部署的MongoDB数据库是基于WiredTiger存储引擎,北亚数据恢复工程师使用WiredTiger实用工具包提取数据库中的数据。
下载WiredTiger实用工具包,然后在windows环境下编译出可执行的wt工具。
4、编译完成后,使用wt工具对数据库的集合文件中的数据进行清洗回写,清洗回写完成后直接读取文件中的数据,并写入到一个.dump文件中。
5、还原数据库环境。北亚数据恢复工程师重新创建一个MongoDB数据库,根据提取出的集合文件,创建对应数量的空集合,然后使用wt工具,将提取出来的dump文件一一写入到新创建的空集合中。这时就可以通过查询集合中的数据,确认这些集合与元数据库中集合的对应关系,修改集合名称,重建索引信息。
6、由于原数据库中存在Gridfs存储的大字段(文件)集合,所以通过查询集合中的记录,确定记录类型,从而确定fs.files和fs.chunks集合的位置,然后修改这两个集合名称分别为xxx.files和xxx.chunks,重建集合索引,Gridfs集合恢复完成,可以正常查看其中数据:
数据验证:
北亚数据恢复工程师协助对全部集合进行索引重建之后,由管理员对数据库整体进行查询验证,数据无误。