¿Cómo se puede determinar qué usuario eliminó un file compartido en OS X Mountain Lion Server

Mi novia es un técnico de laboratorio en una pequeña empresa farmacéutica. Ella creó un file de Excel muy importante y lo colocó en una carpeta compartida en un server que el "IT" chico creado. El server ejecuta Mountain Lion (OS X 10.8.2).

La semana pasada, este file importante desapareció de esta carpeta en particular. Había varios otros files en esta carpeta, pero no desaparecieron.

  • ¿Cómo puedo diagnosticar o arreglar el CalendarAgent que ocupa toda una CPU en Mountain Lion?
  • ¿Por qué hay una input duplicada para mi TextMate?
  • Para Mountain Lion, ¿cómo define Apple el ciclo de vida transparente de aplicaciones (TAL)?
  • iCal ya no ejecuta secuencias de commands?
  • Laptop de novia no copy de security a mi server de Time Machine
  • ¿Se puede cambiar la búsqueda de Omnibar de Safari 6 desde google.com a google.co.uk?
  • Desde entonces ha podido recuperar el file de Time Machine, pero quiere saber cómo ese file desapareció. Ella me asegura que nadie en su departamento es lo suficientemente descuidado como para borrar el file, pero tal vez un usuario más alto con acceso al file compartido accidentalmente movió / borró el file (o lo hizo deliberadamente debido al contenido del file).

    La cuestión aquí es que, debido a una lucha de poder dentro de la empresa, ella sospecha que alguien puede haber intentado sabotear (eliminar o mover) este file crítico que tenía datos que podrían mover a la empresa hacia adelante más rápido en una dirección determinada que ciertos saboteadores me gusta.

    Los "IT" chicos no sabe mucho acerca de los loggings del server, etc Y no soy un experto Mac. Mi pregunta es la siguiente:

    ¿Hay alguna manera de saber quién borró o movió este file crítico? ¿Hay loggings de cambio de files ubicados en algún lugar del server que podrían "probar" esta acción?

  • OS X El-Capitan - / directory de núcleos ocupando mucho espacio?
  • La synchronization de Google Calendar no funciona en Mountain Lion
  • ¿Es posible utilizar Remote Desktop para controlar un Mac Lion Server sin monitor y keyboard adjuntos?
  • ¿Cómo puedo diagnosticar o arreglar el CalendarAgent que ocupa toda una CPU en Mountain Lion?
  • macOS Sierra "Sistema" files comiendo espacio en disco
  • Para Mountain Lion, ¿cómo define Apple el ciclo de vida transparente de aplicaciones (TAL)?
  • 2 Solutions collect form web for “¿Cómo se puede determinar qué usuario eliminó un file compartido en OS X Mountain Lion Server”

    Sí: de forma pnetworkingeterminada, las eliminaciones de files se registran junto con muchos otros events importantes de intercambio de files.

    Instale la aplicación Servidor en cualquier Mac (o inicie session en el server para ejecutar la aplicación allí o inspeccionar el file de logging localmente).

    introduzca la descripción de la imagen aquí

    Seleccione loggings a la izquierda, select Registro de acceso AFP en la parte inferior y busque la palabra Eliminar . Una vez que haya encontrado la eliminación de files que le importan, tenga en count la dirección IP y la timestamp. A continuación, busque hacia atrás en este logging para ver qué usuario ha iniciado session utilizando ese IP inmediatamente antes de ese evento de eliminación.

    También puede search ayuda profesional si desea un análisis forense en lugar de realizarlo usted mismo. Cualquier persona que pueda mirar los loggings puede cambiar los loggings y cómo usted utiliza este conocimiento es más de un problema social que de un problema técnico. Debería haber Time Machine o mejores copys de security de los resources compartidos del server, por lo que debería ser capaz de determinar trivialmente los times en que los files se eliminan también con herramientas como Backup Loupe y esperamos que descubra que alguien fue descuidado en lugar de deliberado. De cualquier manera, el server OS X tiene logging suficiente para determinar una rareza de acceso a files si provenía de un usuario que se conectó al recurso comparado con el inicio de session directamente en el server y la eliminación del file. Ese evento necesitaría auditoría y logging adicionales, pero empezaría con analizar el logging de acceso de AFP, ya que normalmente es cómo se accede a los files desde un server.

    No soy experto en informática pero he aprendido un par de cosas que estaría encantado de compartir en caso de que ayuden a alguien en el futuro.

    Si está utilizando un server Mac, debe intentar compartir la pantalla de su computadora con el server y abrir el progtwig llamado "Consola" y comprobar los loggings entre la última vez que vio el file en el server (necesita saber el día y la date). TIME) y la primera vez que notó que faltaba el file. En "Console" puede ver todas las acciones del usuario y lo que han hecho en el server basado en la dirección IP individual de cada computadora.

    Usted tendrá que ir alnetworkingedor a la computadora de todos para averiguar sus direcciones IP, si todos están usando Mac, abra "Preferences del Sistema" y click "Red" para ver la dirección IP del usuario de Mac. No estoy seguro de cómo encontrar direcciones IP en equipos con PC con Windows.

    Se necesita un poco de detección, pero realmente necesita saber los frameworks de time para ayudar a networkingucir la búsqueda en los loggings, ya que puede haber literalmente millones de tareas grabadas en la console, también, sólo tiene una cierta cantidad de time antes de la historia de la console es ya no es visible en los loggings, por lo que es importante actuar con rapidez y save una copy de los loggings para que tenga testing de posibles daños.

    Lo mejor es traer a un experto en TI (alguien de su confianza) para ayudarle a analizar los datos ya ayudar a respaldar su reclamo de sabotaje a su supervisor.

    Buena suerte por ahí gente!

    Loving Apple Products like poisoning (iPhone, iPad, iMac, Macbook, iWatch).