Журналирование Нетваре 5.1

[Unsiker]

В сети стоит Нетваре 5.1 СП8. В сети 100 компов подключенных к главному серверу. Есть на сети очень "важный" файл (с ним работает порядка 30 человек). И постоянно кто-то его портит (удаляет нужные строки из него). Подскажите можно ли вычислить кто именно его портит? Как то натравить на этот файл систему журналирования, что б показывал кто и когда его менял и что именно с ним делал?
_______________
Заранее спасибо.

[Музалёв Николай]

Предполагается, что штатными средствами пятерки можно отследить, кто и когда файл ОТКРЫВАЛ (и когда освободил), но что он там делал - нет.

Для таких задачек ( типа "поймать гада") проще применить ловушки на рабочих станциях.

Диапазон достаточно широк: от простых клавиатурных шпионов с их логами до скрытого журналирования всей (со скриншотами) работы за определённый период.

Если задачка разовая, то не исключено , что можно применить демку.

Естественно, что принимающий сервер объём дисков должен иметь немерянно - ото всех 30ти пользователей такую кучу информации принимать!

Искать это добро лучше на сайтах, посвященных "секретности".

[Unsiker]

ловушки на рабочих станциях.

Это уже используем. Но не очень помогает. прочитал 30 логов за день но ничего противозаконного не обнаружил. все вроде в норме. А файл портится раз в неделю. Да и как то сама система просмотра всех логов длительна. Может все таки есть какая то ловушка? как то постоянно мониторить кто к нему обращается и какой размер?

[skoltogyan]

предлагаю контролировать кто последний модифициовал файл.
Т.е. по Salavage смотрите кто когда этот файл убивал. Восстанавливайте все удаленые и смотрите в каком СЛНЕДУЮЩЕМ ВОсстановленом уже испорченая инфа.

УБИВАЛ - это знаяит внес изменения и сохранил.. для ОС это означает, что текущйи файл удалается и появлетс новый с таким-же именем..

P.S. может это быт и не предумышленное, если увас , например, op.lock включен или cash level != 0..

[Павел Гарбар]

изменен не значит удален. Это МС в своих офисных продуктах вносит измененияв файл путем создания временного, а потом его переименовывает/удаляет...
Нормальные программы пишут собственно в файл, если открывали его для изменения.
Предлагаю включить аудит для этого файла и регулярно делать его копию (раз 10 на дню).
Потом посмотреть, когда файл был измененм, а с помощью аудита установить, кто его за этот промежуток потрогал.

[Boris Morozov]

сидели в другом файле и закрыть туда доступ? Или программисты у вас в конторе из касты неприкасаемых? Мне тут недавно рассказывали про 2
GB DBF файл, который очень тяжело открывался, да еще и запортился.
Оказывается в него складировали всю отгрузку за 15 лет. На резонный вопрос "A по периодам поделить нельзя было?" ответа вразумительного никто не дал. Во всем виноваты админы по определению.

[Музалёв Николай]

Есть ещё вариант из разряда "с бубном".
Попросите месячную ( а если умело пустите слезу, то продлят на 2 и на 3ри) демонстрашку программы DSMETER.
(Поиск на этом сайте даст вам и подробности и сайт.)

У неё очень мощная и на порядок более понятная в настройке и сопровождении система аудита.
Настроите на контроль вашего файла и в совокупности с советом Павла ( почаще создавать "контрольную точку" для этого файла) вычислите гада быстро.

Другое дело, что не исключается догадка коллеги и программисты (если задача собственная или кем то самописная) у вас из касты БезМозглоКриворуких.

Тогда вполне может быть, что порча наводится в результате вполне лояльных действий пользователей.

Кстати, если возможно, то опишите задачу и как вы с данными работаете - не исключено, что ответ на поверхности....