Problema

Suddently, todos os arquivos de fev-2015 para nov-2016 desapareceram do sistema de arquivos.

Contexto

• Nos últimos dois anos, o sistema foi encerrado abruptamente por razões de falta de energia ou por desconexões de hardware USB.
• Essa perda não parece por causa de blocos ruins ou coisas assim. Parece mais algo relacionado a software.
• Os discos são arquivos vmdk em tamanho real em um RAID-5 baseado em hardware USB conectado a um Ubuntu do VirtualBox.
• O host que mantém o RAID e o VirtualBox é um Windows.
• O RAID no Windows é NTFS e o VirtualBox executa o Ubuntu acessando o vmdk formatado no ext4. O Windows não faz outra função do que apenas conter um monte de máquinas virtuais e nenhum usuário entra nesse Windows, exceto para iniciar ou parar máquinas virtuais.

Situação

Eu tenho usado esses discos (do Ubuntu) em um uso intensivo diariamente. E eu tenho usado com sucesso todos os dias os arquivos do dia anterior, e da semana anterior, e do mês anterior, e assim por diante ... Mesmo depois de reinicializações ... Então os dados devem estar lá.

Mas de repente ... meu Dropbox começou a deletar arquivos, fui ver o que aconteceu, e o fato é que ... não sei dizer se isso aconteceu "on the fly" ou depois de uma reinicialização.

Mas o problema é que ... o arquivo mais recente que vejo é de jan-2015, enquanto trabalho com esses discos até novembro de 2016 todos os dias. Os arquivos provavelmente estão nos blocos e, por algum motivo, perdi todo o índice.

Eu posso imaginar facilmente que, por algum motivo, o ext4 conserva cópias de backup das tabelas do i-node ou algo assim, e por alguma razão, o Linux decidiu "restaurar" o mapeamento para um antigo.

Eu vi que há um monte de ferramentas. Da execução do fsck ao extundelete e outros.

O que eu vejo

Fazendo:

find . -newermt 20150201

me dá zero resultados.

Além disso,

• Para arquivos que eu sei que eles existiam, eu cd nos diretórios correspondentes e não consigo ver os arquivos lá.
• Eu posso ver uma estrutura de diretórios que eu sei que excluí.
• Isso aconteceu com vários discos conectados à máquina virtual.

ext4 ou NTFS?

Eu desmontei o RAID que contém os discos virtuais vmdk do Windows e montei-o somente leitura em um linux.

Se eu listar os arquivos, posso ver isso:

root@vagrant:/mnt/raid5/mnt# ls -la
total 1572864014
drwxrwxrwx 1 root root         4096 Jan 29  2015 .
drwxrwxrwx 1 root root         4096 Oct 31 21:14 ..
-rwxrwxrwx 2 root root 268435456000 Jan 26  2015 LinuxData250G_A-flat.vmdk
-rwxrwxrwx 2 root root          651 Jan 26  2015 LinuxData250G_A.vmdk
-rwxrwxrwx 2 root root 268435456000 Jan 26  2015 LinuxData250G_B-flat.vmdk
-rwxrwxrwx 2 root root          558 Jan 26  2015 LinuxData250G_B.vmdk
-rwxrwxrwx 2 root root 536870912000 Jan 26  2015 LinuxData500G_A-flat_3.vmdk
-rwxrwxrwx 2 root root 536870912000 Jan 26  2015 LinuxData500G_A-flat.vmdk
-rwxrwxrwx 2 root root          559 Jan 26  2015 LinuxData500G_A.vmdk

onde os discos problemáticos são aqueles LinuxDataXXXG_Y-flat.vmdk

O que me surpreende é que ... a data de modificação de todos é de 26 de janeiro de 2015 ... exatamente "antes" da perda de tempo no conteúdo dos discos ... não consigo ver nenhum arquivo de fevereiro de 2015, mas vejo arquivos de janeiro de 2015.

Gostaria de saber se em vez de ser um problema com o EXT4 de dentro do linux poderia ser um problema com o próprio NTFS. O que eu não posso dizer é se os drivers de baixo nível do VirtualBox atualizariam o horário dos arquivos do host ou se é o momento de "criação".

Não há espaço no RAID para ter uma cópia completa dos vmdks, então os dados perdidos DEVEM estar lá de alguma forma.

Trabalhando em uma cópia de imagem

Já fiz uma "imagem" do original vmdk e desmontei o RAID completo para poder ser um pouco "destrutivo" na cópia.

A coisa é que dura 20 horas para copiar a imagem de backup completa, então eu não quero apenas estar brincando com tentativa e erro e eu quero usar as ferramentas adequadas na ordem correta.

Qualquer falha no processo será um atraso de 1 dia.

Perguntas

Assumindo que os dados DEVEM estar lá ... Supondo que do ext4 eu possa brincar com as tabelas do i-node ...

• Q1) Qual é o conjunto de ferramentas que preciso para tentar restaurar os mapeamentos de i-node ou recriar uma nova tabela de i-nodes a partir do nada?
• Q2) Particularmente, qual é a ordem que tenho para executar as ferramentas? Quer dizer, se eu executar o fsck talvez eu destrua coisas para extundelete ou vice-versa ou para outras ferramentas.
• Q3) É verdade que as tabelas do i-node são submetidas a backup de tempos em tempos em áreas de partição especiais reservadas para isso? Onde? Posso ter sorte e encontrar um backup das tabelas, se não do "último dia" pelo menos a partir de meados de 2016?

Talvez eu esteja fazendo as perguntas erradas ...

Então, um anel para governar todos eles: Q) Como posso recuperar meus arquivos perdidos?