1. Головна
  2. Статті

Процес відновлення даних із NAS від QNAP під ОС QuTS hero

У пристроях QNAP NAS на базі операційної системи QuTS hero застосовується особливий підхід до зберігання даних, який суттєво відрізняється від підходу, що використовується у їхніх аналогах на базі QTS. Замість LVM та файлової системи Ext ці пристрої використовують пули зберігання ZFS. QNAP суттєво перекроїв ZFS для цього конкретного випадку застосування. Однак саме через це їхня QNAP ZFS, відома ще як QZFS, є несумісною з драйверами файлових систем сторонніх розробників. Відмінності присутні не лише в структурах метаданих, але й в алгоритмах, які керують операціями у RAID-Z. Що стосується програмного забезпечення UFS Explorer, файлова система ZFS від QNAP (QZFS) підтримується виключно редакцією UFS Explorer Technician.

Зміст:

Відновлення даних після збою пристрою

У разі виходу з ладу пристрою NAS (що малоймовірно), зазвичай можна просто перенести увесь набір дисків до іншого сумісного NAS від QNAP з тією ж або наступною версією ОС QuTS hero та з такою ж або більшою кількістю відсіків для дисків.

Однак не всі версії QZFS сумісні з усіма версіями QuTS hero, тому варто спершу переконатись у їхній сумісності, як це рекомендує робити виробник.

Крім того, наша програма UFS Explorer Technician здатна розпізнати файлову систему QZFS і надати вам доступ до даних у ній навіть за відсутності сумісного NAS. Це стане у пригоді зокрема тоді, коли запасного пристрою немає або дані потрібні якомога швидше і бракує часу чекати на прибуття нового пристрою.

Відновлення видалених даних

Зазвичай файли та папки, видалені з QNAP NAS, можна відновити через мережеву папку "Кошик".

Якщо дані були видалені з "Кошика" або навіть не потрапили до нього, ви все ще маєте змогу відновити нещодавно видалені файли за допомогою UFS Explorer Technician. Для цього, будь ласка, зробіть наступне:

  1. Підключіть усі диски, що ви їх витягнули з NAS, до ПК або сервера під Windows і запустіть UFS Explorer Technician для відновлення даних. Програма має автоматично зібрати сховище даних і відобразити файлову систему QZFS.

    2. automatically assembled qnap nas raid in detected storages list in ufs explorer interface

  2. Клацніть правою кнопкою миші на цій файловій системі та виберіть "Показати транзакції файлової системи". Після нетривалого очікування ви побачите список останніх транзакцій ZFS.

    3. zfs file system transactions (default)

  3. Кожна транзакція містить останні зміни файлової системи. Знайдіть транзакцію з датою, що передує даті видалення даних, і відкрийте її, щоб переглянути файли всередині. Транзакція має відображати стан файлової системи до видалення потрібних вам даних.

  4. Тож просто скористайтеся відкритою файловою системою для отримання необхідних даних.

Якщо файлова система використовувалася протягом тривалого часу і навіть найстаріша з наявних транзакцій не містить видалених даних, ви можете запустити сканування для пошуку ще старіших транзакцій. Для цього:

  1. Натисніть кнопку "Шукати транзакції" на панелі інструментів і вкажіть параметри пошуку.

    start transactions search

    QZFS від QNAP здебільшого не використовує стиснення кореневих метаданих, тому ми рекомендуємо вимкнути декомпресію LZJB та LZ4 з міркувань продуктивності (за винятком, якщо транзакції, що ви їх побачили під час швидкого доступу, не вказують на те, що стиснення все ж активоване).

    Також варто увімкнути опцію "Сканувати компоненти одночасно", зокрема якщо вихідні компоненти (образи) знаходяться на різних фізичних носіях.

  2. Натисніть "Почати сканування", і програмне забезпечення почне знаходити раніше не виявлені транзакції. Зазвичай вони відображаються без дат, проте розташовані в хронологічному порядку за своїми ідентифікаторами.

    3. zfs file system transactions - scanning

  3. Ви можете переглядати ці транзакції навіть під час сканування. Щойно транзакція, що містить потрібні вам дані, буде знайдена, ви можете зупинити сканування та перейти до відновлення даних.

Відновлення видалених наборів даних

Видалення наборів даних (datasets чи спільних папок) у файловій системі ZFS працює за тим самим принципом, що й видалення файлів і папок. Будь ласка, дотримуйтесь інструкцій, наведених у розділі про відновлення видалених даних, щоб відновити видалені спільні папки.

Відновлення даних після видалення пулу

Це найскладніший випадок, оскільки з видаленням пулу втрачаються всі метадані, що описують його, включно з конфігурацією RAID-Z, швидким доступом до файлової системи або транзакцій та іншими деталями. З цієї причини програмне забезпечення не має змоги автоматично ідентифікувати пул або його компоненти.

no zfs file system detected

Тож на цьому етапі рекомендуємо створити "тестовий" пул на різних дисках однакової ємності (з тим самим рівнем RAID, тим самим NAS, але, за потреби, меншою кількістю дисків) та підключити його до ПК для аналізу. Клацніть правою кнопкою миші на розпізнаному "тестовому" пулі та знайдіть наступні параметри:

parameters of a test (reference) pool

Занотуйте собі значення "Мінімальний розмір смуги" та "Розмір Metaslab" (вони залежать від ємності дисків у наборі).

Після цього поверніться до вихідних компонентів сховища даних та зробіть наступне:

  1. У головному меню натисніть спершу на "RAID", а потім на "Новий пул ZFS".

    2. new ZFS pool

  2. Після цього натисніть на "Додати новий vdev", щоб розпочати створення пулу. Виберіть тип vdev (наприклад, RAID-Z) та додайте компоненти vdev у їхньому вихідному порядку разом з заповнювачами замість усіх відсутніх компонентів. Вкажіть відповідні значення "Мінімального розміру смуги" та "Розміру Metaslab".

    3. new ZFS pool - configuration

  3. Натисніть "Створити пул". Ви побачите новий том пулу без файлової системи (через те, що початкові метадані відсутні, як ми вже пояснили вище). Тож функціонал, пов'язаний з ZFS, також буде недоступний.

    4. forcibly assembled QZFS pool, no file system

  4. Виберіть опцію "Сканувати (шукати втрачені дані)", але замість того, щоб розпочати нове сканування, клацніть мишею на посилання "транзакції" поруч із опцією вибору сімейства файлових систем ZFS.

    5. file system scan dialogue

  5. Програма відкриє діалогове вікно "Транзакції". Однак, оскільки транзакцій для "швидкого доступу" немає, список буде порожнім.

    6. empty zfs transactions

  6. Запустіть сканування у пошуках втрачених транзакцій. Трохи зачекайте, поки з'являться транзакції. Після виявлення транзакцій ви зможете продовжити роботу та відкрити файлову систему.

    found some zfs transactions

    recovered zfs file system

    Рекомендуємо перевірити кілька транзакцій у зворотному хронологічному порядку, щоб знайти ту, що відображає стан до видалення пулу, оскільки найновіша транзакція може відображати стан вже після видалення.

Якщо жодних транзакцій не було знайдено, це може вказувати на неправильну конфігурацію RAID. У такому разі відредагуйте параметри RAID та повторіть всі кроки, починаючи з кроку 4.

QNAP ZFS (QZFS) та цифрова криміналістика

Файлова система QZFS не підтримується більшістю популярних програм комп'ютерної криміналістики, через що для цифрової криміналістичної експертизи потрібно експортувати знайдені дані.

Ми наполегливо не рекомендуємо створювати образ зібраного RAID-Z. Створити єдиний робочий образ RAID-Z або такий, який би точно відображав фактичні дані неможливо. Це пов'язано з тим, що ротація (rotation) та розмір блоку закодовані у вказівниках файлової системи та не можуть бути відновлені поза контекстом файлової системи та RAID-Z.

Для аналізу даних рекомендується скопіювати файли з файлової системи QZFS на порожній (обнулений, а потім відформатований) носій інформації підтримуваного формату, а потім вже перейти до цифрової експертизи.

Для збору доказів та відстеження їхньої хронології можна витягти кілька станів файлової системи, збережених у різних транзакціях, упорядкованих за позначками часу або ідентифікаторами, дотримуючись процедури, описаної в розділі про відновлення видалених даних.

Останнє оновлення: 7 жовтня 2025 року

Якщо вам сподобалася ця стаття, поділіться нею у соцмережах: