Mi novia es técnica de laboratorio en una pequeña empresa farmacéutica. Creó un archivo de Excel muy importante y lo colocó en una carpeta compartida en un servidor que instaló el tipo de "TI". El servidor ejecuta Mountain Lion (OS X 10.8.2).
La semana pasada, este importante archivo desapareció de esta carpeta en particular. Había varios otros archivos en esta carpeta, pero no desaparecieron.
Desde entonces, ha podido recuperar el archivo de Time Machine, pero quiere saber cómo se perdió ese archivo. Ella me asegura que nadie en su departamento es tan descuidado como para eliminar el archivo, pero tal vez un superior con acceso al archivo compartido lo movió o eliminó accidentalmente (o lo hizo deliberadamente debido a su contenido).
El problema aquí es que, debido a una lucha de poder dentro de la empresa, ella sospecha que alguien pudo haber intentado sabotear (eliminar o mover) este archivo crítico que tenía datos que podrían hacer avanzar a la empresa más rápido en una dirección particular de lo que lo harían ciertos saboteadores. como.
Los chicos de "TI" no saben mucho acerca de los registros del servidor, etc. Y no soy un experto en Mac. Mi pregunta es esta:
¿Hay alguna forma de averiguar quién eliminó o movió este archivo crítico? ¿Hay registros de cambios de archivos ubicados en algún lugar del servidor que puedan "probar" esta acción?
Sí, de forma predeterminada, las eliminaciones de archivos se registran junto con muchos otros eventos importantes para compartir archivos.
Instale la aplicación Servidor en cualquier Mac (o inicie sesión en el servidor para ejecutar la aplicación allí o inspeccione el archivo de registro localmente).
Seleccione registros a la izquierda, seleccione AFP Access Log en la parte inferior y busque la palabra Eliminar . Una vez que haya encontrado la eliminación del archivo que le interesa, anote la dirección IP y la marca de tiempo. Luego busque hacia atrás en este registro para ver qué usuario inició sesión usando esa IP inmediatamente antes de ese evento de eliminación.
También puede buscar ayuda profesional si desea un análisis forense en lugar de realizarlo usted mismo. Cualquiera que pueda ver los registros puede cambiar los registros y la forma en que utiliza este conocimiento es más un problema social que un problema técnico. Debería haber Time Machine o mejores copias de seguridad de los recursos compartidos del servidor, por lo que también debería poder determinar trivialmente las veces que los archivos se eliminan allí con herramientas como Backup Loupe y, con suerte, encontrará que alguien fue descuidado en lugar de deliberado. De cualquier manera, el servidor OS X tiene suficiente registro para determinar una rareza de acceso a un archivo si proviene de un usuario que se conectó al recurso compartido en lugar de iniciar sesión directamente en el servidor y eliminar el archivo. Ese evento necesitaría una auditoría y un registro adicionales, pero comenzaría analizando el registro de acceso de AFP ya que eso es
No soy experto en informática, pero he aprendido un par de cosas que me encantaría compartir en caso de que ayuden a alguien en el futuro.
Si está utilizando un servidor Mac, debe intentar compartir la pantalla desde su computadora con el servidor y abrir el programa llamado "Consola" y verificar los registros entre la última vez que vio el archivo en el servidor (necesita saber el día y la TIME) y la primera vez que notó que faltaba el archivo. En "Consola" puede ver todas las acciones del usuario y lo que ha hecho en el servidor según la dirección IP individual de cada computadora.
Tendrá que ir a la computadora de todos para averiguar sus direcciones IP, si todos usan Mac, abra "Preferencias del sistema" y haga clic en "Red" para ver la dirección IP del usuario de Mac. No estoy seguro de cómo encontrar direcciones IP en computadoras con Windows.
Se necesita un poco de investigación, pero realmente necesita conocer los marcos de tiempo para ayudar a reducir la búsqueda en los registros, ya que puede haber literalmente millones de tareas registradas en la Consola, además, solo tiene una cierta cantidad de tiempo antes de que el historial de la Consola sea ya no es visible en los registros, por lo que es importante actuar con rapidez y guardar una copia de los registros para tener pruebas de posibles travesuras.
Lo mejor es traer a un experto en TI (alguien en quien confíe) para que lo ayude a analizar los datos y para respaldar su reclamo de sabotaje a su supervisor.
¡Buena suerte gente!
NReilingh
fatalidad
usuario26787
Sherwood Botsford
Sherwood Botsford
Sherwood Botsford
bmike