标签:
在上一篇中,我们介绍了Ext3文件系统的日志可以看做一个文件,由JBD进行管理。自然而然引出如下这些问题:
1)如何定位ext3日志文件和查看日志文件的裸数据?
2)ext3日志文件数据在物理上是如何布局的?
3)JBD如何利用日志文件进行数据恢复?
带着这些问题,开始这次探索之旅。
首先找到ext3 日志文件的inode
/ # /dumpe2fs /dev/sda1 dumpe2fs 1.42 (29-Nov-2011) Filesystem volume name: shouxian<none> Last mounted on: <not available> Filesystem UUID: 513c186a-108b-4840-ad98-aa8e8f62d4c8 Filesystem magic number: 0xEF53 Filesystem revision #: 1 (dynamic) Filesystem features: has_journal ext_attr resize_inode dir_index filetype sparse_super large_file Filesystem flags: signed_directory_hash Default mount options: user_xattr acl Filesystem state: clean Errors behavior: Continue Filesystem OS type: Linux Inode count: 513072 Block count: 2048276 Reserved block count: 102413 Free blocks: 1978758 Free inodes: 513061 First block: 0 Block size: 4096 Fragment size: 4096 Reserved GDT blocks: 500 Blocks per group: 32768 Fragments per group: 32768 Inodes per group: 8144 Inode blocks per group: 509 Filesystem created: Sat Mar 21 11:39:13 2015 Last mount time: n/a Last write time: Sat Mar 21 11:39:14 2015 Mount count: 0 Maximum mount count: -1 Last checked: Sat Mar 21 11:39:13 2015 Check interval: 0 (<none>) Reserved blocks uid: 0 (user root) Reserved blocks gid: 0 (group root) First inode: 11 Inode size: 256 Required extra isize: 28 Desired extra isize: 28 Journal inode: 8 Default directory hash: half_md4 Directory Hash Seed: 08091c3c-7a35-4f5b-8477-7af597c5eb50 Journal backup: inode blocks Journal features: (none) Journal size: 128M Journal length: 32768 Journal sequence: 0x00000001 Journal start: 0
然后找到inode所在的数据块
# /debugfs -R ‘imap <8>‘ /dev/sda1 debugfs 1.42 (29-Nov-2011) Inode 8 is part of block group 0 located at block 504, offset 0x0700
根据块号、块大小和偏移,换算出inode所在数据块的物理偏移(以256B为单位)
>>> (504*4096+0x700)/256. 8071.0
读出这个inode的数据
# dd if=/dev/sda1 of=inode.8 bs=256 count=1 skip=8071 1+0 records in 1+0 records out 256 bytes (256B) copied, 0.000955 seconds, 261.8KB/s /usr/lib # hexdump inode.8 0000000 8081 0000 0000 0008 6258 0d55 6258 0d55 0000010 6258 0d55 0000 0000 0000 0100 0801 0400 0000020 0000 0000 0000 0000 ff01 0f00 0002 0f00 0000030 0102 0f00 0202 0f00 0302 0f00 0402 0f00 0000040 0502 0f00 0602 0f00 0702 0f00 0802 0f00 0000050 0902 0f00 0a02 0f00 0b02 0f00 0c06 0f00 0000060 0000 0000 0000 0000 0000 0000 0000 0000 * 0000080 1c00 0000 0000 0000 0000 0000 0000 0000 0000090 6258 0d55 0000 0000 0000 0000 0000 0000 00000a0 0000 0000 0000 0000 0000 0000 0000 0000 * 0000100
对照inode数据结构,找到其管理的数据块块号(蓝色标示),前12映射槽是直接映射,直接管理的数据块块号从0x0f01ff(983551)到0x0f020b,属于group 30。
Group 30: (Blocks 983040-1015807) Block bitmap at 983040 (+0), Inode bitmap at 983041 (+1) Inode table at 983042-983550 (+2) 0 free blocks, 8144 free inodes, 0 directories Free blocks: Free inodes: 244321-252464
至此,终于可以dump出日志文件数据块内容。
# dd if=/dev/sda1 of=inode.8.data bs=4096 count=12 skip=983551 1+0 records in 1+0 records out 4096 bytes (4.0KB) copied, 0.000942 seconds, 4.1MB/s 0000000 c03b 3998 0000 0004 0000 0000 0000 1000 0000010 0000 8000 0000 0001 0000 0002 0000 0001 0000020 0000 0000 0000 0000 0000 0000 0000 0000 0000030 513c 186a 108b 4840 ad98 aa8e 8f62 d4c8 0000040 0000 0001 0000 0000 0000 0000 0000 0000 0000050 0000 0000 0000 0000 0000 0000 0000 0000 * 0001000 c03b 3998 0000 0001 0000 0002 0000 01f8 0001010 0000 0008 0000 0000 0000 0000 0000 0000 0001020 0000 0000 0000 0000 0000 0000 0000 0000 * 0002000 0000 0000 0000 0000 6158 0d55 6158 0d55 0002010 6158 0d55 0000 0000 0000 0000 0000 0000 0002020 0000 0000 0000 0000 0000 0000 0000 0000 * 0002100 ed41 0000 0010 0000 d75d 0d55 6158 0d55 0002110 6158 0d55 0000 0000 0000 0300 0800 0000 0002120 0000 0000 0000 0000 f503 0000 0000 0000 0002130 0000 0000 0000 0000 0000 0000 0000 0000 * 0002180 1c00 0000 0000 0000 0000 0000 0000 0000 0002190 6158 0d55 0000 0000 0000 0000 0000 0000 00021a0 0000 0000 0000 0000 0000 0000 0000 0000 * 0002600 8081 0000 00c0 4000 6158 0d55 6158 0d55 0002610 6158 0d55 0000 0000 0000 0100 a88c 0000 0002620 0000 0000 0000 0000 0000 0000 0000 0000 * 0002650 0000 0000 0000 0000 0000 0000 fa03 0000 0002660 0000 0000 0000 0000 0000 0000 0100 0000 0002670 0000 0000 0000 0000 0000 0000 0000 0000 0002680 1c00 0000 0000 0000 0000 0000 0000 0000 0002690 6158 0d55 0000 0000 0000 0000 0000 0000 00026a0 0000 0000 0000 0000 0000 0000 0000 0000 * 0002700 8081 0000 0000 0008 6258 0d55 6258 0d55 0002710 6258 0d55 0000 0000 0000 0100 0801 0400 0002720 0000 0000 0000 0000 ff01 0f00 0002 0f00 0002730 0102 0f00 0202 0f00 0302 0f00 0402 0f00 0002740 0502 0f00 0602 0f00 0702 0f00 0802 0f00 0002750 0902 0f00 0a02 0f00 0b02 0f00 0c06 0f00 0002760 0000 0000 0000 0000 0000 0000 0000 0000 * 0002780 1c00 0000 0000 0000 0000 0000 0000 0000 0002790 6258 0d55 0000 0000 0000 0000 0000 0000 00027a0 0000 0000 0000 0000 0000 0000 0000 0000 * 0002a00 c041 0000 0040 0000 6158 0d55 6158 0d55 0002a10 6158 0d55 0000 0000 0000 0200 2000 0000 0002a20 0000 0000 0000 0000 f603 0000 f703 0000 0002a30 f803 0000 f903 0000 0000 0000 0000 0000 0002a40 0000 0000 0000 0000 0000 0000 0000 0000 * 0002a80 1c00 0000 0000 0000 0000 0000 0000 0000 0002a90 6158 0d55 0000 0000 0000 0000 0000 0000 0002aa0 0000 0000 0000 0000 0000 0000 0000 0000 * 0003000 c03b 3998 0000 0002 0000 0002 0000 0000 0003010 0000 0000 0000 0000 0000 0000 0000 0000 * 以下略
0000000 -- 0001000 数据块:
日志超级块段,存储的是journal_superblock_t数据,从中可以看出块类型为JFS_SUPERBLOCK_V2(4),日志块大小: 0x1000; 日志块个数: 0x8000。进而可以计算出日志总大小为:0x1000 * 0x8000 = 128M。
/* * Standard header for all descriptor blocks: */ typedef struct journal_header_s { __be32 h_magic; __be32 h_blocktype; __be32 h_sequence; } journal_header_t; /* * The journal superblock. All fields are in big-endian byte order. */ typedef struct journal_superblock_s { /* 0x0000 */ journal_header_t s_header; /* 0x000C */ /* Static information describing the journal */ __be32 s_blocksize; /* journal device blocksize */ __be32 s_maxlen; /* total blocks in journal file */ __be32 s_first; /* first block of log information */ /* 0x0018 */ /* Dynamic information describing the current state of the log */ __be32 s_sequence; /* first commit ID expected in log */ __be32 s_start; /* blocknr of start of log */ /* 0x0020 */ /* Error value, as set by journal_abort(). */ __be32 s_errno; /* 0x0024 */ /* Remaining fields are only valid in a version-2 superblock */ __be32 s_feature_compat; /* compatible feature set */ __be32 s_feature_incompat; /* incompatible feature set */ __be32 s_feature_ro_compat; /* readonly-compatible feature set */ /* 0x0030 */ __u8 s_uuid[16]; /* 128-bit uuid for journal */ /* 0x0040 */ __be32 s_nr_users; /* Nr of filesystems sharing log */ __be32 s_dynsuper; /* Blocknr of dynamic superblock copy*/ /* 0x0048 */ __be32 s_max_transaction; /* Limit of journal blocks per trans.*/ __be32 s_max_trans_data; /* Limit of data blocks per trans. */ /* 0x0050 */ __u32 s_padding[44]; /* 0x0100 */ __u8 s_users[16*48]; /* ids of all fs‘es sharing the log */ /* 0x0400 */ } journal_superblock_t;
0001000 -- 0002000 数据块:
日志描述符块,开头存储的是journal_header_t,然后紧跟着journal_block_tag_t数据表。从中可以看出块类型为JFS_DESCRIPTOR_BLOCK(1), transaction id为2。只有一个tag,tag的block号为0x1f8, flag为JFS_FLAG_LAST_TAG(8)。此外,第一个tag后面会额外跟着一个16个字节的j_uuid,具有相同uuid的tag以JFS_FLAG_SAME_UUID(2)标示,最后一个tag flag以JFS_FLAG_LAST_TAG置位标示。
/* * The block tag: used to describe a single buffer in the journal */ typedef struct journal_block_tag_s { __be32 t_blocknr; /* The on-disk block number */ __be32 t_flags; /* See below */ } journal_block_tag_t;
0002000 -- 0003000 数据块:
元数据块,紧跟着DESCRIPTOR_BLOCK,一个tag对应一个块,块的个数由tag的个数决定。此示例中只有一个tag,所以只有一个数据块。这个块中的数据,在日志恢复或journal load时会写到存储设备文件系统的真实物理块(即tag的t_blocknr)上。
0003000 -- 0004000 数据块:
日志提交块。表示一个完整的transaction。从中可以看出块类型为JFS_COMMIT_BLOCK(2), transaction id为2,与前面的日志描述块匹配。
如果文件系统崩溃或者unclean umount 重启造成文件系统损坏,当再次mount日志文件系统后,ext3文件系统会根据JBD日志文件进行日志恢复动作。
JBD的日志恢复分3个阶段:
第一个阶段PASS_SCAN:
完成日志一致性检查,查找日志尾部,获取start_transaction和end_transaction ID等信息;
第二个阶段PASS_REVOKE:
搜索revoke块(revoke块中存储需要丢弃的块号),统计nr_revokes个数,构造revoke块hash表;避免回放revoke块,破坏数据块内容,造成文件系统损坏;
第三个阶段PASS_REPLAY:
对日志中满足条件的数据块进行回放;拷贝日志中的数据块到文件系统真实位置:
1)块号不在revoke块hash表中;
2)此数据块所在的描述块commit ID大于revoke块的commit ID,即在revoke块后面;
然后设置日志的j_transaction_sequence为下个transaction ID,保证日志中已存在的日志记录都无效;
清空revoke块列表,同步存储设备,至此ext3日志完成恢复。
--EOF--
标签:
原文地址:http://www.cnblogs.com/wahaha02/p/4812860.html