1. 每日数据丢失的原因 #

结合你提供的MongoDB日志（存在dropDatabase操作）及已完成的排查项，核心原因可锁定为以下两类：

• 应用/脚本误操作：业务代码、后台定时任务或运维脚本中存在未被发现的dropDatabase调用，比如测试环境遗留的危险代码、批量数据处理逻辑出错；
• 未授权访问导致的删库操作：MongoDB未启用身份认证，或认证配置存在漏洞（弱密码、允许公网无限制访问），导致内部人员误操作或外部攻击者执行了删库指令；
• 可排除Docker卷本身的问题：你已确认卷创建正常、挂载正确且无手动删除操作，且容器未重启时数据丢失，说明并非Docker卷生命周期异常导致。

2. 防止Docker中MongoDB数据丢失的措施 #

• 紧急加固访问权限
  • 启用MongoDB身份认证：在docker-compose.yml中添加环境变量MONGO_INITDB_ROOT_USERNAME和MONGO_INITDB_ROOT_PASSWORD，重启容器后创建管理员账户，关闭匿名访问；
  • 限制网络暴露：修改docker-compose.yml的ports配置为绑定服务器内部IP（如127.0.0.1:27017:27017），同时用Ubuntu防火墙ufw限制仅信任IP可访问27017端口；
• 开启操作审计追踪
  • 在MongoDB启动参数中添加--auditDestination file --auditPath /var/log/mongodb/audit.log，将审计日志目录挂载到宿主机，记录所有数据库操作，方便定位删库来源；
• 完善备份与冗余策略
  • 定时自动备份：编写shell脚本，用mongodump定期导出数据库，将备份文件存到宿主机或外部存储，配合cron每日执行；
  • 部署MongoDB副本集：将单实例改为多节点副本集，实现数据冗余，同时利用oplog（操作日志）快速恢复数据；
  • 备份Docker卷：定期执行docker volume export mongo_production_stats -o mongo_volume_backup.tar，打包卷数据做离线备份；
• 排查代码风险
  • 全面检查所有涉及MongoDB操作的代码、定时任务，移除dropDatabase等危险操作，添加操作权限校验；

3. 排查Docker是否删除卷的日志与工具 #

• Docker Daemon日志：执行journalctl -u docker.service | grep -i "volume"，过滤卷相关操作，检查是否存在删除（remove）事件；
• Docker Events监控：实时监控Docker事件，执行docker events --filter 'type=volume'，若有卷删除操作会实时输出；如需持久化记录，可将events输出到日志文件；
• 系统审计日志（auditd）
  • 安装auditd：apt install auditd；
  • 配置监控卷目录：auditctl -w /var/lib/docker/volumes/mongo_production_stats/_data -p rwxa，监控该目录的读写、执行、属性修改操作；
  • 查看审计记录：ausearch -f /var/lib/docker/volumes/mongo_production_stats/_data，排查是否有异常删除行为；
• 卷元数据检查：执行docker inspect mongo_production_stats，查看卷的创建时间、挂载点、驱动信息，确认是否有异常修改标记；

内容的提问来源于stack exchange，提问作者mirodil