Wie kann man feststellen, welcher Benutzer eine freigegebene Datei auf OS X Mountain Lion Server gelöscht hat

Meine Freundin ist Labortechnikerin bei einem kleinen Pharma-Startup. Sie erstellte eine sehr wichtige Excel-Datei und legte sie in einem freigegebenen Ordner auf einem Server ab, den der „IT“-Typ eingerichtet hatte. Auf dem Server läuft Mountain Lion (OS X 10.8.2).

Letzte Woche ist diese wichtige Datei aus diesem bestimmten Ordner verschwunden. Es gab mehrere andere Dateien in diesem Ordner, aber sie gingen nicht verloren.

Seitdem konnte sie die Datei von Time Machine wiederherstellen, möchte aber wissen, wie diese Datei verloren gegangen ist. Sie versichert mir, dass niemand in ihrer Abteilung unvorsichtig genug ist, um die Datei zu löschen, aber vielleicht hat ein Vorgesetzter mit Zugriff auf die freigegebene Datei die Datei entweder versehentlich verschoben/gelöscht (oder dies aufgrund des Inhalts der Datei absichtlich getan).

Das Problem hier ist, dass sie aufgrund eines Machtkampfes innerhalb des Unternehmens vermutet, dass jemand versucht haben könnte, diese kritische Datei zu sabotieren (zu löschen oder zu verschieben), die Daten enthielt, die das Unternehmen schneller in eine bestimmte Richtung voranbringen könnten, als es bestimmte Saboteure tun würden wie.

Die "IT"-Leute wissen nicht viel über Serverprotokolle usw. Und ich bin kein Mac-Experte. Meine Frage ist folgende:

Gibt es eine Möglichkeit herauszufinden, wer diese wichtige Datei gelöscht oder verschoben hat? Gibt es irgendwo auf dem Server Dateiänderungsprotokolle, die diese Aktion "beweisen" könnten?

Dies muss definitiv vom IT-Typ auf dem Server durchgeführt werden. Ein Benutzer, der auf die Freigabe zugreift, kann keine Informationen zu Dateien sehen, die nicht mehr vorhanden sind.
Fair genug ... aber wie kann der IT-Typ das tun? Ich denke, er braucht buchstäblich Anweisungen, wie man das macht.
Ich habe dies nicht als Antwort bereitgestellt, da es sich nur um einen Link handelt und ich keinen Zugriff auf einen Mountain Lion-Server habe (ich habe einen früheren OS X-Server), um ihn zu testen, aber diese Seite über Protokolle und Skripte könnte nützlich sein, insbesondere die Abschnitt über „AppleFileServiceAccess.log“. Beachten Sie jedoch auch, dass der Autor dieser Seite angibt, dass diese Protokolle überhaupt aktiviert werden müssen, sodass dies Ihrem IT-Mitarbeiter möglicherweise nicht hilft.
Apple- und Unix-basierte Systeme verfolgen im Allgemeinen keine Dateilöschungen. Sie können Software hinzufügen, um solche Dinge zu verfolgen, aber das verlangsamt das Dateisystem erheblich (jeder Schreibvorgang im Dateisystem wird zu zwei Schreibvorgängen – einer für die Änderung und einer für das Protokoll). Schlimmer noch: So etwas tut es hilft nicht bei Black Hats, die eine Datei ändern (Sie wissen, dass sie sie geändert haben, aber normalerweise nicht wie. Und das Öffnen einer Excel-Datei scheint sie zu ändern. Zumindest wenn ich sie öffne, fragt sie, ob ich speichern möchte.)
Sie können restriktivere Freigabeberechtigungen festlegen. Beispielsweise kann nur der Eigentümer eine Datei löschen. Nur der Eigentümer oder ein Mitglied einer bestimmten Gruppe kann eine Datei ändern. Dies erfordert einige Einstellungen durch Ihren IT-Mitarbeiter. Aber es wird dir nicht mit der Vergangenheit helfen.
Eine letzte Möglichkeit besteht darin, dass Sie eine Kopie der Datei posten und das Original in Ihrem eigenen Home-Verzeichnis aufbewahren. Wenn ich dort arbeiten würde, würde ich auch eine Kopie von allem auf einem USB-Stick aufbewahren, der nicht mit dem Computer verbunden ist.
@SherwoodBotsford Dies ist möglicherweise trivial aufzuspüren. Die Gruppe braucht eindeutig einen neuen IT-Mitarbeiter, da die Überwachung von Dateilöschungen ein Kernkonzept für die UNIX-Administration ist, wenn Sie geschäftskritische (geschweige denn möglicherweise die einzige Kopie) Arbeit haben, die gespeichert wird.

Antworten (2)

Ja – standardmäßig werden Dateilöschungen zusammen mit vielen anderen wichtigen Dateifreigabeereignissen protokolliert.

Installieren Sie die Server-App auf einem beliebigen Mac (oder melden Sie sich beim Server an, um die App dort auszuführen, oder überprüfen Sie die Protokolldatei lokal).

Geben Sie hier die Bildbeschreibung ein

Wählen Sie links Protokolle aus, wählen Sie unten AFP-Zugriffsprotokoll und suchen Sie nach dem Wort Delete . Wenn Sie die gewünschte Dateilöschung gefunden haben, notieren Sie sich die IP-Adresse und den Zeitstempel. Suchen Sie dann in diesem Protokoll rückwärts, um zu sehen, welcher Benutzer sich mit dieser IP unmittelbar vor diesem Löschereignis angemeldet hat.

Sie können sich auch professionelle Hilfe suchen, wenn Sie eine forensische Analyse wünschen, anstatt sie selbst durchzuführen. Jeder, der die Protokolle einsehen kann, kann die Protokolle ändern, und wie Sie dieses Wissen nutzen, ist eher ein soziales Problem als ein technisches Problem. Es sollte Time Machine oder bessere Backups der Serverfreigaben geben, also sollten Sie in der Lage sein, die Zeiten, in denen Dateien gelöscht werden, auch dort mit Tools wie Backup Loupe trivial zu bestimmen, und hoffentlich finden Sie heraus, dass jemand eher nachlässig als absichtlich war. In jedem Fall verfügt der OS X-Server über eine ausreichende Protokollierung, um eine Kuriosität beim Dateizugriff festzustellen, wenn sie von einem Benutzer stammt, der sich mit der Freigabe verbunden hat, anstatt sich direkt beim Server anzumelden und die Datei zu löschen. Dieses Ereignis würde eine zusätzliche Prüfung und Protokollierung erfordern, aber ich würde seitdem mit der Analyse des AFP-Zugriffsprotokolls beginnen.

Danke schön. Wir haben das vor einiger Zeit herausgefunden ... aber ich schätze Ihre ausführliche Antwort (und den Screenshot). Beifall.

Ich bin nicht Computer-versiert, aber ich habe ein paar Dinge gelernt, die ich gerne teilen würde, falls sie jemandem in der Zukunft helfen.

Wenn Sie einen Mac-Server verwenden, sollten Sie versuchen, den Bildschirm von Ihrem Computer auf den Server zu teilen und das Programm namens "Console" zu öffnen und die Protokolle zwischen dem Zeitpunkt zu überprüfen, an dem Sie die Datei zuletzt auf dem Server gesehen haben (Sie müssen den Tag und die TIME) und wann Sie zum ersten Mal bemerkt haben, dass die Datei fehlt. In "Konsole" können Sie alle Aktionen des Benutzers und was sie auf dem Server getan haben, basierend auf der individuellen IP-Adresse jedes Computers sehen.

Sie müssen zu allen Computern gehen, um ihre IP-Adressen herauszufinden. Wenn Sie alle Macs verwenden, öffnen Sie „Systemeinstellungen“ und klicken Sie auf „Netzwerk“, um die IP-Adresse des Mac-Benutzers anzuzeigen. Ich bin mir nicht sicher, wie ich IP-Adressen auf Windows-PC-Computern finden kann.

Es erfordert ein wenig Nachforschungen, aber Sie müssen wirklich die Zeitrahmen kennen, um die Suche in den Protokollen einzugrenzen, da in Console buchstäblich Millionen von Aufgaben aufgezeichnet werden können. Außerdem haben Sie nur eine bestimmte Zeit, bevor der Verlauf der Konsole angezeigt wird in den Protokollen nicht mehr sichtbar, daher ist es wichtig, schnell zu handeln und eine Kopie der Protokolle aufzubewahren, damit Sie einen Beweis für möglichen Schaden haben.

Holen Sie am besten einen IT-Experten (jemanden Ihres Vertrauens) hinzu, der Ihnen hilft, die Daten zu analysieren und Ihren Vorwurf der Sabotage gegenüber Ihrem Vorgesetzten zu untermauern.

Viel Glück da draußen Leute!

Wie kann man feststellen, welcher Benutzer eine freigegebene Datei auf OS X Mountain Lion Server gelöscht hat
AntwortenHierDatenschutz-Bestimmungen1y, 0v