¿Cómo se puede determinar qué usuario eliminó un file compartido en OS X Mountain Lion Server?

Mi novia es una técnica de laboratorio en una pequeña empresa farmacéutica. Ella creó un file de Excel muy importante y lo colocó en una carpeta compartida en un server que el "IT" instaló. El server ejecuta Mountain Lion (OS X 10.8.2).

La semana pasada, este file importante desapareció de esta carpeta en particular. Había varios otros files en esta carpeta, pero no desaparecieron.

  • No se pueden copyr files a otra Mac en la networking a través de AFP
  • La mejor manera de dividir files multimedia grandes para compartir
  • Tamaño de file PDF exponencial en vista previa
  • Progtwig o flujo de trabajo para actualizar un solo file y actualizar todas las instancias de este en cualquier otro lugar
  • ¿Por qué el file .app extraído aparece en Finder 3.1 Mb y en bash solo 102 bytes?
  • ¿Funcionará un trabajo cron para eliminar ._ shadow files en un trabajo compartido de Linux?
  • Desde entonces, ha podido recuperar el file de Time Machine, pero quiere saber cómo se perdió ese file. Ella me asegura que nadie en su departamento es lo suficientemente descuidado como para borrar el file, pero quizás un superior con acceso al file compartido movió o eliminó accidentalmente el file (o lo hizo deliberadamente debido al contenido del file).

    El problema aquí es que debido a una lucha de poder dentro de la empresa, sospecha que alguien pudo haber intentado sabotear (eliminar o mover) este file crítico que tenía datos que podrían mover a la compañía más rápido en una dirección particular que ciertos saboteadores me gusta.

    Los chicos de "IT" no saben mucho sobre los loggings del server, etc. Y yo no soy un experto en Mac. Mi pregunta es esta:

    ¿Hay alguna manera de averiguar quién eliminó o movió este file crítico? ¿Hay loggings de cambios de files ubicados en algún lugar del server que puedan "probar" esta acción?

  • ¿Por qué el file .app extraído aparece en Finder 3.1 Mb y en bash solo 102 bytes?
  • ¿OS X impone una longitud máxima de nombre de file o restricción de caracteres?
  • Abra dos vistas del mismo PDF
  • ¿Forzar USB para aceptar un file grande?
  • Accidente de Skype en Mac OS X 10.8.3
  • ¿Se puede desactivar Gatekeeper a través del terminal en OS X 10.8 Mountain Lion?
  • 2 Solutions collect form web for “¿Cómo se puede determinar qué usuario eliminó un file compartido en OS X Mountain Lion Server?”

    Sí, de manera pnetworkingeterminada, las eliminaciones de files se registran junto con muchos otros events importantes de intercambio de files.

    Instale la aplicación de server en cualquier Mac (o inicie session en el server para ejecutar la aplicación allí o inspeccione el file de logging localmente).

    enter image description here

    Seleccione loggings a la izquierda, select Registro de acceso AFP en la parte inferior y busque la palabra Eliminar . Una vez que haya encontrado la eliminación del file que le importa, tenga en count la dirección IP y la timestamp. Luego busque hacia atrás en este logging para ver qué usuario inició session usando esa IP inmediatamente antes de ese evento de eliminación.

    También puede search ayuda profesional si desea un análisis forense en lugar de realizarlo usted mismo. Cualquiera que pueda ver los loggings puede cambiar los loggings y la forma en que utiliza este conocimiento es más un problema social que un problema técnico. Debería haber Time Machine o mejores copys de security de los resources compartidos del server, por lo que debería poder determinar trivialmente los times en que los files se eliminan así como con herramientas como Backup Loupe y ojalá encuentre que alguien fue descuidado en lugar de deliberado. De cualquier manera, el server OS X tiene un logging suficiente para determinar una rareza de acceso a files si proviene de un usuario que se conectó al recurso compartido en lugar de iniciar session directamente en el server y eliminar el file. Ese evento necesitaría auditoría y logging adicionales, pero comenzaría por analizar el logging de acceso de AFP ya que normalmente es así como se accede a los files desde un server.

    No soy experto en informática pero he aprendido un par de cosas que me gustaría compartir en caso de que ayuden a alguien en el futuro.

    Si está utilizando un server Mac, intente compartir la pantalla desde su computadora al server y abra el progtwig llamado "Consola" y verifique los loggings entre la última vez que vio el file en el server (necesita saber el día y el TIME) y la primera vez que notó que faltaba el file. En "Consola" puede ver todas las acciones del usuario y lo que han hecho en el server en function de la dirección IP individual de cada computadora.

    Tendrás que ir a la computadora de todos para encontrar sus direcciones IP, si estás usando Macs, abre "Preferences del sistema" y haz clic en "Red" para ver la dirección IP del usuario de Mac. No estoy seguro de cómo encontrar direcciones IP en computadoras con Windows.

    Se necesita un poco de investigación, pero realmente necesita conocer los ploops para ayudar a networkingucir la búsqueda en los loggings, ya que puede haber literalmente millones de tareas registradas en la console, también, usted solo tiene una cierta cantidad de time antes de que la historia de la console sea ya no es visible en los loggings, por lo que es importante actuar rápido y save una copy de los loggings para que tenga testings de posibles daños.

    Lo mejor es contratar a un experto en TI (alguien de su confianza) que lo ayude a analizar los datos y respalde su reclamo de sabotaje a su supervisor.

    Buena suerte gente!

    Loving Apple Products like poisoning (iPhone, iPad, iMac, Macbook, iWatch).