¿Cómo se puede determinar qué usuario eliminó un file compartido en OS X Mountain Lion Server?

Mi novia es una técnica de laboratorio en una pequeña empresa farmacéutica. Ella creó un file de Excel muy importante y lo colocó en una carpeta compartida en un server que el "IT" instaló. El server ejecuta Mountain Lion (OS X 10.8.2).

La semana pasada, este file importante desapareció de esta carpeta en particular. Había varios otros files en esta carpeta, pero no desaparecieron.

  • ¿Cómo puedo activar el uso compartido de FTP en Lion?
  • ¿Puede alguien describir el propósito de las carpetas de nivel raíz de OSX en términos sencillos?
  • OS X: Especificación de la invocación de línea de command personalizada del progtwig como aplicación para abrir files con doble clic
  • Sincronización automática de files locales a control remoto
  • Cómo transferir documentos de aplicaciones de Mac a iOS en iTunes 12.7
  • ¿Cómo recuperar datos borrados accidentalmente?
  • Desde entonces, ha podido recuperar el file de Time Machine, pero quiere saber cómo se perdió ese file. Ella me asegura que nadie en su departamento es lo suficientemente descuidado como para borrar el file, pero quizás un superior con acceso al file compartido movió o eliminó accidentalmente el file (o lo hizo deliberadamente debido al contenido del file).

    El problema aquí es que debido a una lucha de poder dentro de la empresa, sospecha que alguien pudo haber intentado sabotear (eliminar o mover) este file crítico que tenía datos que podrían mover a la compañía más rápido en una dirección particular que ciertos saboteadores me gusta.

    Los chicos de "IT" no saben mucho sobre los loggings del server, etc. Y yo no soy un experto en Mac. Mi pregunta es esta:

    ¿Hay alguna manera de averiguar quién eliminó o movió este file crítico? ¿Hay loggings de cambios de files ubicados en algún lugar del server que puedan "probar" esta acción?

  • Cómo cambiar el tamaño de Macintosh HD?
  • Restablecer la contraseña de OS X sin tener el disco de installation?
  • ¿Por qué un puerto USB podría ser problemático en una MacBook Pro?
  • Cómo deshabilitar ese "Usuario invitado" para que aparezca en la pantalla de inicio de session de OS X 10.8.5
  • La navigation web en Mac se ralentiza después de unos días de uso
  • ¿Cómo escribir las reglas de fstab para un volumen NTFS si el volumen no tiene LABEL o UUID?
  • 2 Solutions collect form web for “¿Cómo se puede determinar qué usuario eliminó un file compartido en OS X Mountain Lion Server?”

    Sí, de manera pnetworkingeterminada, las eliminaciones de files se registran junto con muchos otros events importantes de intercambio de files.

    Instale la aplicación de server en cualquier Mac (o inicie session en el server para ejecutar la aplicación allí o inspeccione el file de logging localmente).

    enter image description here

    Seleccione loggings a la izquierda, select Registro de acceso AFP en la parte inferior y busque la palabra Eliminar . Una vez que haya encontrado la eliminación del file que le importa, tenga en count la dirección IP y la timestamp. Luego busque hacia atrás en este logging para ver qué usuario inició session usando esa IP inmediatamente antes de ese evento de eliminación.

    También puede search ayuda profesional si desea un análisis forense en lugar de realizarlo usted mismo. Cualquiera que pueda ver los loggings puede cambiar los loggings y la forma en que utiliza este conocimiento es más un problema social que un problema técnico. Debería haber Time Machine o mejores copys de security de los resources compartidos del server, por lo que debería poder determinar trivialmente los times en que los files se eliminan así como con herramientas como Backup Loupe y ojalá encuentre que alguien fue descuidado en lugar de deliberado. De cualquier manera, el server OS X tiene un logging suficiente para determinar una rareza de acceso a files si proviene de un usuario que se conectó al recurso compartido en lugar de iniciar session directamente en el server y eliminar el file. Ese evento necesitaría auditoría y logging adicionales, pero comenzaría por analizar el logging de acceso de AFP ya que normalmente es así como se accede a los files desde un server.

    No soy experto en informática pero he aprendido un par de cosas que me gustaría compartir en caso de que ayuden a alguien en el futuro.

    Si está utilizando un server Mac, intente compartir la pantalla desde su computadora al server y abra el progtwig llamado "Consola" y verifique los loggings entre la última vez que vio el file en el server (necesita saber el día y el TIME) y la primera vez que notó que faltaba el file. En "Consola" puede ver todas las acciones del usuario y lo que han hecho en el server en function de la dirección IP individual de cada computadora.

    Tendrás que ir a la computadora de todos para encontrar sus direcciones IP, si estás usando Macs, abre "Preferences del sistema" y haz clic en "Red" para ver la dirección IP del usuario de Mac. No estoy seguro de cómo encontrar direcciones IP en computadoras con Windows.

    Se necesita un poco de investigación, pero realmente necesita conocer los ploops para ayudar a networkingucir la búsqueda en los loggings, ya que puede haber literalmente millones de tareas registradas en la console, también, usted solo tiene una cierta cantidad de time antes de que la historia de la console sea ya no es visible en los loggings, por lo que es importante actuar rápido y save una copy de los loggings para que tenga testings de posibles daños.

    Lo mejor es contratar a un experto en TI (alguien de su confianza) que lo ayude a analizar los datos y respalde su reclamo de sabotaje a su supervisor.

    Buena suerte gente!

    Loving Apple Products like poisoning (iPhone, iPad, iMac, Macbook, iWatch).