【国内电子数据取证厂商龙信科技】ES 数据库重建

我们公司在协助侦办一起案件现场勘查遇到这样一个案件，现场没有 获取到服务器数据库密码，且涉案服务器数据巨大，涉及到的数据库并不 是 mysql 数据库，而是 elasticsarch 数据库，这给我们侦办案件带来了极 大的困难，因数据量比较大，如果我们把镜像下载下来再去重建，所花费 的时间肯定是很长的，那我们就直接在 linux 系统将 elasticsarch 数据库 打包拷贝出来，那我们如何对导出的 elasticsarch 数据进行重建查看呢？

本文将展开详细教程。

一、解压 elasticsarch 数据库

在服务器压缩 es 数据库并下载到 Windows 电脑上解压，如图 1。

图 1

二、下载 elasticSearch Head 插件

elasticSearch Head 插件下载链接：

https://pan.baidu.com/s/1Cq4mmimeCfMFb0fTlXFbxQ?pwd=m72u

提取码：m72u，下载并解压，如图 2。

图 2

将下载解压好的 ElasticSearch Head 加载到谷歌拓展程序，如图 3。

图 3

三、下载 elasticsearch 对应 windows 版本

进入以下网站下载所需版本的 windows  elasticsearch 程序包：

https://www.elastic.co/cn/downloads/elasticsearch。如图 4。

图 4

将下载的 elasticsearch 程序包解压下来，如图 5。

图 5

四、修改 elasticsearch 配置文件

打开 elasticsearch-x.x.x-windows-x86_64 文件夹，找到

elasticsearch-7.9.3-windows-x86_64\elasticsearch-7.9.3\config 下

的 elasticsearch.yml 文件，然后点击编辑，如图 6。

图 6

编辑 elasticsearch.yml，找到第 33 行代码的位置，将路径修改为我 们导出的 elasticsearch 数据库的 data 文件夹路径，将前面的#注释删掉，

然后保存。如图 7。

图 7

五、启动 elasticsearch

打开解压的 elasticsearch-x.x.x-windows-x86_64 程序包文件夹，找

到 elasticsearch-7.9.3\bin\elasticsearch.bat，右键以管理员运行，

如图 8。

图 8

运行 elasticsearch.bat，等待几分钟。如图 9。

图 9

打开谷歌浏览器，打开拓展程序按钮，选择 elasticsearch head 程序。

如图 10。

图 10

然后就可以打开 elasticsearch 数据库进行数据库管理和查询了。如

图 11。

图 11

以上就是介绍的当我们遇到扣押的 elasticsearch 服务器数据库没有 密码，又或者需要将单独扣押的服务器数据库需要重新搭建还原的情况下，使用 windows 电脑，对 elasticsearch 数据库进行重建管理的详细教程。