¿Cómo se puede determinar qué usuario eliminó un archivo compartido en OS X Mountain Lion Server?

Mi novia es técnica de laboratorio en una pequeña empresa farmacéutica. Creó un archivo de Excel muy importante y lo colocó en una carpeta compartida en un servidor que instaló el tipo de "TI". El servidor ejecuta Mountain Lion (OS X 10.8.2).

La semana pasada, este importante archivo desapareció de esta carpeta en particular. Había varios otros archivos en esta carpeta, pero no desaparecieron.

Desde entonces, ha podido recuperar el archivo de Time Machine, pero quiere saber cómo se perdió ese archivo. Ella me asegura que nadie en su departamento es tan descuidado como para eliminar el archivo, pero tal vez un superior con acceso al archivo compartido lo movió o eliminó accidentalmente (o lo hizo deliberadamente debido a su contenido).

El problema aquí es que, debido a una lucha de poder dentro de la empresa, ella sospecha que alguien pudo haber intentado sabotear (eliminar o mover) este archivo crítico que tenía datos que podrían hacer avanzar a la empresa más rápido en una dirección particular de lo que lo harían ciertos saboteadores. como.

Los chicos de "TI" no saben mucho acerca de los registros del servidor, etc. Y no soy un experto en Mac. Mi pregunta es esta:

¿Hay alguna forma de averiguar quién eliminó o movió este archivo crítico? ¿Hay registros de cambios de archivos ubicados en algún lugar del servidor que puedan "probar" esta acción?

Esto definitivamente lo tendrá que hacer el técnico de TI en el servidor. Un usuario que accede al recurso compartido no puede ver ninguna información sobre los archivos que ya no están allí.
Está bien... pero ¿cómo puede hacerlo el tipo de TI? Creo que literalmente necesita instrucciones sobre cómo hacerlo.
No proporcioné esto como respuesta ya que es solo un enlace y no tengo acceso a un servidor Mountain Lion (tengo un servidor OS X anterior) para probar, pero esta página sobre registros y scripts puede ser útil, particularmente el sección sobre 'AppleFileServiceAccess.log'. Pero también tenga en cuenta que el autor de esa página indica que esos registros deben activarse en primer lugar, por lo que esto podría no ayudar a su técnico de TI.
Los sistemas basados ​​en Apple y Unix en general, no rastrean las eliminaciones de archivos. Puede agregar software para rastrear este tipo de cosas, pero ralentiza mucho el sistema de archivos (cada escritura del sistema de archivos se convierte en dos escrituras: una para el cambio y otra para el registro). Peor: este tipo de cosas no No ayuda con Black Hats que modifican un archivo (Sabe que lo modificaron, pero generalmente no cómo. Y simplemente abrir un archivo de Excel parece modificarlo. Al menos cuando lo abro, me pregunta si quiero guardar).
Puede establecer permisos compartidos que sean más restrictivos. Por ejemplo, solo el propietario puede eliminar un archivo. Solo el propietario o un miembro de un grupo específico puede modificar un archivo. Esto requerirá alguna configuración por parte de su técnico de TI. Pero no te ayudará con el pasado.
Una última posibilidad es que publique una copia del archivo y guarde el original en su propio directorio de inicio. Si trabajara allí, mantendría una copia de todo en una memoria USB que no estuviera conectada a la computadora también.
@SherwoodBotsford Esto puede ser trivial de rastrear. Claramente, el grupo necesita un nuevo tipo de TI, ya que auditar las eliminaciones de archivos es un concepto central para la administración de UNIX cuando se almacena trabajo crítico para el negocio (y mucho menos potencialmente la única copia).

Respuestas (2)

Sí, de forma predeterminada, las eliminaciones de archivos se registran junto con muchos otros eventos importantes para compartir archivos.

Instale la aplicación Servidor en cualquier Mac (o inicie sesión en el servidor para ejecutar la aplicación allí o inspeccione el archivo de registro localmente).

ingrese la descripción de la imagen aquí

Seleccione registros a la izquierda, seleccione AFP Access Log en la parte inferior y busque la palabra Eliminar . Una vez que haya encontrado la eliminación del archivo que le interesa, anote la dirección IP y la marca de tiempo. Luego busque hacia atrás en este registro para ver qué usuario inició sesión usando esa IP inmediatamente antes de ese evento de eliminación.

También puede buscar ayuda profesional si desea un análisis forense en lugar de realizarlo usted mismo. Cualquiera que pueda ver los registros puede cambiar los registros y la forma en que utiliza este conocimiento es más un problema social que un problema técnico. Debería haber Time Machine o mejores copias de seguridad de los recursos compartidos del servidor, por lo que también debería poder determinar trivialmente las veces que los archivos se eliminan allí con herramientas como Backup Loupe y, con suerte, encontrará que alguien fue descuidado en lugar de deliberado. De cualquier manera, el servidor OS X tiene suficiente registro para determinar una rareza de acceso a un archivo si proviene de un usuario que se conectó al recurso compartido en lugar de iniciar sesión directamente en el servidor y eliminar el archivo. Ese evento necesitaría una auditoría y un registro adicionales, pero comenzaría analizando el registro de acceso de AFP ya que eso es

Gracias. Nos dimos cuenta de esto hace un tiempo... pero agradezco su respuesta detallada (y la captura de pantalla). Salud.

No soy experto en informática, pero he aprendido un par de cosas que me encantaría compartir en caso de que ayuden a alguien en el futuro.

Si está utilizando un servidor Mac, debe intentar compartir la pantalla desde su computadora con el servidor y abrir el programa llamado "Consola" y verificar los registros entre la última vez que vio el archivo en el servidor (necesita saber el día y la TIME) y la primera vez que notó que faltaba el archivo. En "Consola" puede ver todas las acciones del usuario y lo que ha hecho en el servidor según la dirección IP individual de cada computadora.

Tendrá que ir a la computadora de todos para averiguar sus direcciones IP, si todos usan Mac, abra "Preferencias del sistema" y haga clic en "Red" para ver la dirección IP del usuario de Mac. No estoy seguro de cómo encontrar direcciones IP en computadoras con Windows.

Se necesita un poco de investigación, pero realmente necesita conocer los marcos de tiempo para ayudar a reducir la búsqueda en los registros, ya que puede haber literalmente millones de tareas registradas en la Consola, además, solo tiene una cierta cantidad de tiempo antes de que el historial de la Consola sea ya no es visible en los registros, por lo que es importante actuar con rapidez y guardar una copia de los registros para tener pruebas de posibles travesuras.

Lo mejor es traer a un experto en TI (alguien en quien confíe) para que lo ayude a analizar los datos y para respaldar su reclamo de sabotaje a su supervisor.

¡Buena suerte gente!

¿Cómo se puede determinar qué usuario eliminó un archivo compartido en OS X Mountain Lion Server?
RespuestasAquíPolítica de privacidad1y, 0v