Un colega de la empresa está a punto de dejar la empresa. No sé si se eliminaron 30T de datos de manera accidental o malintencionada en el espacio de almacenamiento compartido Synology NAS de 200T de la empresa. La computadora usó el protocolo SMB para montarlo, iniciarlo y eliminarlo. Estuvo eliminado durante tres días y tres noches. No fue hasta el tercer día que mis colegas estaban usando los datos en el trabajo y de repente desaparecieron. Solo entonces encontré que alguien estaba eliminando los datos de prueba en todo el NAS. Abra el grupo de inmediato. El registro de Hui encontró la identificación del colega y siguió eliminando datos, por lo que inmediatamente apagó su computadora a la fuerza. 
Lo terrible es que debido a que los datos a menudo deben recopilarse, escribirse, eliminarse y actualizarse, no es tan importante. El administrador de datos del grupo de prueba no ha habilitado la función de papelera de reciclaje para este directorio. Todos los datos se eliminaron directamente del disco duro, incluso si me puse en contacto con la tecnología oficial de Synology la primera vez, no se pudieron recuperar. Afortunadamente, la autoridad del empleado no es alta y no hay datos básicos involucrados. Aunque los datos de 30T son datos de prueba, son más importantes para la empresa. Después de todo, llevará más de un mes recopilarlos, así que me comuniqué con un amigo para brindar soluciones y asistencia remota, e inició la recuperación de datos. .
El modelo Synology NAS es Synology DS2422+ más el gabinete de expansión DS 2419+, un total de 24 piezas del grupo de discos RAID5 de 16T, espacio de almacenamiento de 200T en formato btrfs.
El primer paso es preparar el hardware. En primer lugar, compré inmediatamente 24 discos de helio WD 18T en Jingdong el mismo día y los recibí al mediodía del día siguiente. El mismo día, abrí un servidor de almacenamiento Huawei de 24 bahías. Se necesita preparar al menos 96 G de memoria, se instala el sistema Windows Server 2012 y se desactiva la función de actualización automática para clonar imágenes y restaurar datos. Prepare un almacenamiento de red grande. Preparé un Synology NAS 100T y lo monté en el sistema de Windows Server 2012 del servidor de Huawei para almacenar los datos recuperados. Debido a que los datos se eliminan aleatoriamente, solo la totalidad de las carpetas grandes, los datos recuperados serán mucho más grande que los eliminados.
El segundo paso es usar el tiempo del fin de semana para clonar la imagen de cada disco en el NAS a un nuevo disco duro a través del software WINHEX en el servidor. Se necesitaron 5 días para clonar los datos de estos 24 discos duros de 16T. Inmediatamente después de la clonación, restablezca el uso del Synology NAS original, sin afectar el trabajo de otros colegas de toda la empresa, y minimice el impacto y la pérdida tanto como sea posible.
El tercer paso es instalar los nuevos discos duros clonados en el servidor de almacenamiento de 24 bahías de Huawei.Tenga en cuenta que la memoria del servidor no debe ser inferior a 64 G, de lo contrario, se producirán problemas debido a la memoria insuficiente. Instale la versión UFS PRO, tenga en cuenta que solo la versión PRO puede restaurar el grupo de discos RAID.
Paso 4 Comience a escanear los datos del disco. El Synology NAS con 200T de espacio de almacenamiento (menos los 30T eliminados, los 130T realmente usados) se escaneó con este software durante 15 días y se escaneó un total de 300T de datos.
El quinto paso es restaurar los datos escaneados en el nuevo Synology NAS 100T. El software UFS EXPLORER PRO ocupa un máximo de 64G de memoria. El escaneo anterior tardó 15 días en completarse. Finalmente, el software se colgó porque la memoria era demasiado pequeña, por lo que se volvió a realizar el segundo escaneo con más memoria y se recuperaron los datos. recuperado con éxito.
Afortunadamente, los datos recuperados se pueden usar después de las pruebas en estos días, lo que ayuda a la empresa a recuperar una gran cantidad de pérdidas. Después de este incidente, personalmente gané mucha experiencia, que resumiré y compartiré.
1. Prepare la estrategia antieliminación de Synology con antelación y reduzca los permisos. Verifique si los permisos de registro montados están verificados, esta es la pista más crítica para recuperar y rastrear el comportamiento de los usuarios de NAS. Revise regularmente el registro. Nuestra eliminación duró 3 días y 3 noches. Si revisamos el registro todos los días, definitivamente podemos evitarlo en la mayor medida posible. Desafortunadamente, Synology no tiene una función de recordatorio para eliminar datos de gran capacidad dentro de un unidad de tiempo. Por ejemplo, un usuario eliminó 1T de datos en un día. , envíe un recordatorio por correo electrónico al administrador. Compruebe si la Papelera de reciclaje de Synology está abierta. La Papelera de reciclaje es la última garantía de los datos de Synology. Si es posible, no cierre la Papelera de reciclaje en ningún momento. Los usuarios comunes nunca deben asignar permisos de eliminación, solo use lectura y escritura personalizada, y los permisos de eliminación se otorgan a los jefes de departamento para aclarar las responsabilidades. Reducir el número de administradores de Synology. Cuantos más administradores haya, mayor será la probabilidad de problemas. Esta vez, la papelera de reciclaje la abrió el administrador de datos del grupo de prueba.
2. Asegúrese de instalar el paquete de instantáneas en el centro de paquetes para tomar instantáneas regulares de toda la carpeta para evitar la eliminación maliciosa y el ransomware, y restaurar todos los archivos a través de instantáneas.
4. Cuando se encuentre un comportamiento de eliminación, deje de escribir en Synology lo antes posible. Desde el momento en que descubrimos la pérdida de una gran cantidad de datos, enviamos un aviso a toda la empresa para detener todas las operaciones de escritura, cerramos todos los permisos de escritura en Synology y mantuvimos la lectura para minimizar el impacto en el negocio de la empresa. Esto también se deriva de la experiencia de la pérdida de datos del disco duro de varias computadoras y la recuperación de datos Mientras los datos perdidos no se recuperen, la probabilidad de recuperación sigue siendo muy alta.
5. Prepárese inmediatamente para comprar el hardware necesario. Primero prepare la misma cantidad de discos duros, con una capacidad mayor que antes. También prepare un servidor de almacenamiento con las mismas bahías. Mi Synology tiene 24 bahías, así que encontré un servidor de almacenamiento Huawei con 24 bahías. Para preparar un almacenamiento de gran capacidad que pueda almacenar datos de recuperación, instalamos un Synology 100T nuevo y la recuperación de montaje en red.
6. Clonar imágenes de disco para reducir el tiempo de interrupción del negocio. Para minimizar el impacto del uso del Synology NAS de solo lectura para toda la empresa, utilice el fin de semana para quitar todos los discos duros y marcarlos, coloque 12 discos duros originales y 12 hardware nuevo en el servidor de almacenamiento de 24 bahías, uno por uno Corresponde a la imagen del clon. Se necesitaron 36 horas para clonar el disco duro 16T una vez, y se necesitaron casi 4 días para completar los dos clones. El Synology NAS 200T original se restauró de inmediato y se activó la función de escritura, de modo que todos los servicios originales del NAS se puede usar normalmente. Todo el NAS tardó 4 días en encontrar una falla, apagar la función de escritura, apagar el espejo de clonación del NAS los fines de semana y encender Synology para restaurar las funciones de lectura y escritura, lo que minimizó el impacto en el negocio original.
7. Elija el software adecuado. Hay una gran cantidad de software de recuperación de datos en Internet, pero pocos realmente pueden restaurar el formato raid5 Synology BRTFS, y elegí UFS después de la recomendación del maestro. La versión anterior de UFS PRO 8.1 se bloqueó con una pantalla negra durante el proceso de escaneo, así que actualicé inmediatamente a la versión 9.11. Al mismo tiempo, al ver que la memoria del servidor original estaba llena, instalé 320G de memoria inmediatamente y supervisé el uso de la CPU y la memoria del sistema. El uso de la CPU no era grande, pero el uso máximo de memoria era de 64G. Tomó 15 días escanear el grupo de raid de disco duro 200T, lo que fue realmente atormentador.Frente a los resultados desconocidos y la insistencia de los colegas de prueba, el proceso de espera desconocido fue muy atormentador. Afortunadamente, toda la espera valió la pena. Al final, todos los datos fueron rescatados y todos estuvieron disponibles después de la entrega al grupo de prueba para la prueba.
La recuperación de datos es un asunto lleno de incógnitas, y la probabilidad estimada de éxito es la misma que la probabilidad de ganar o perder en el juego. Varios gigabytes de datos en el disco duro se eliminaron accidentalmente varias veces antes, y la mayoría de los datos recuperados eran caracteres ilegibles a través de algún software de recuperación de datos. Esta vez, no esperaba que todos fueran directorios limpios y archivos originales utilizables. Creo que la principal razón es la función de copia en escritura del formato BRTFS utilizado por Synology (similar a las instantáneas, aunque no hay una instantánea especial, pero es equivalente a recuperar la última instantánea a través del software) y el disco múltiple RAID5 mecanismo de verificación de datos Este es el mayor contribuyente a la recuperación y disponibilidad exitosas de todos los datos, porque todos los datos se distribuyen en 24 discos diferentes, y la reescritura en lotes pequeños no sobrescribió inmediatamente los datos de gran capacidad antes del supresión. En segundo lugar, el volumen de datos de 31T es enorme y es difícil sobrescribirlos y destruirlos en un corto período de tiempo, porque los datos recién escritos de nuestro NAS son solo unos pocos cientos de G en un día. Más importante aún, cuando se descubrió que se eliminó, todas las operaciones de escritura se detuvieron de inmediato y se tomaron las medidas de recuperación correctas de manera ordenada. Espero que las lecciones aprendidas esta vez puedan ayudar a todo el personal de administración y mantenimiento de TI que enfrente este tipo de situación en el futuro. Ante los desastres, no tienen que entrar en pánico y estar perdidos. Cálmate y usa mi experiencia para darle alguna referencia y confianza.