Страница 1 из 1

Как посмотреть кто последним изменял файл?

СообщениеДобавлено: 23 ноя 2002, 05:22
Юрий aka qwerty
Каким образом такое дело посмотреть, столкунлись с хулиганством и теперь надо найти.

СообщениеДобавлено: 23 ноя 2002, 07:17
Андрей Тр. aka RH
ИМХО никак, если аудит предварительно не был настроен. Как тут уже где-то раньше писал Сергей Дубров, с файлом хранятся лишь даты ( создания, модификации ) и имя владельца. При удалении хранится имя удалившего.

У нас вот еще Recent Files у каждого - один из каталогов, перенаправленных в домашний каталог ( скрытый, поэтому юзеры как каталог его не видят ). Поэтому практически все открываемые файлы помещаются туда в хронологическом порядке ( ссылки на них, разумеется ). А править Recent через Виндоуз у пользователя прав нет. Но аудит это не заменит, конечно .. хотя нормальный аудит сжирает ресурсы только так.

Я говорил не совсем так :-)

СообщениеДобавлено: 23 ноя 2002, 11:23
Сергей Дубров
Андрей Тр. aka RH писал(а):ИМХО никак, если аудит предварительно не был настроен. Как тут уже где-то раньше писал Сергей Дубров, с файлом хранятся лишь даты ( создания, модификации ) и имя владельца.

Вообще-то я писАл как раз обратное - у каждого файла хранится и владец и модификатор и архиватор, но штатными средствами смотреть их (кроме владельца) - неудобно (nwadmin32 - та ещё "птичка", пока взлетит). Вот одна из утилит г-н Baird-а легко позволяет это сделать:

J:\TMP\eksta>whodidit *.txt

Path_______________________Owner___Updater__ Archiver

DATA:TMP/eksta/phones.txt____Kyrpotin__Dubrov____BackupUser

Re: Я говорил не совсем так :-)

СообщениеДобавлено: 23 ноя 2002, 13:39
Андрей Тр. aka RH
Сергей Дубров писал(а):штатными средствами смотреть их неудобно (nwadmin32 - та ещё "птичка", пока взлетит).


:) Согласен, про "хранятся" я маху дал. Но все же "неудобно" или "невозможно" ? Все же вещи разные. Я вот сходу не припомню, как вообще штатными средствами просмотреть модификатора .. Кстати, а та утилита из какого набора г-на Baird'a - бесплатного или за деньги ?

Я еще как-то спрашивал, что именно в данном контексте считается модификацией - изменение ( или просто доступ ? ) содержимого файла, или даже изменение его атрибутов или имени ? Заодно вопрос - архиватор, этот тот, кто меняет соответствующий атрибут .. и все ?

Re: Я говорил не совсем так :-)

СообщениеДобавлено: 23 ноя 2002, 15:13
Сергей Дубров
Андрей Тр. aka RH писал(а):
Сергей Дубров писал(а):штатными средствами смотреть их неудобно (nwadmin32 - та ещё "птичка", пока взлетит).


:) Согласен, про "хранятся" я маху дал. Но все же "неудобно" или "невозможно" ? Все же вещи разные. Я вот сходу не припомню, как вообще штатными средствами просмотреть модификатора ..

NWADMIN32, закладка Facts в свойствах файла.

Андрей Тр. aka RH писал(а):Кстати, а та утилита из какого набора г-на Baird'a - бесплатного или за деньги ?

Из платного...

Андрей Тр. aka RH писал(а):Я еще как-то спрашивал, что именно в данном контексте считается модификацией - изменение ( или просто доступ ? ) содержимого файла, или даже изменение его атрибутов или имени ?

Команда:

Echo 12345>>file.txt

меняет модификатора, но оставляет прежним владельца. Довольно часто в сетевом каталоге со всеобщим доступом, видел вордовские файлы (.DOC), у которых владелец не совпадал с модификатором, т.е., word тоже умеет модифицировать файл, а не полностью переписывать.

Андрей Тр. aka RH писал(а):Заодно вопрос - архиватор, этот тот, кто меняет соответствующий атрибут .. и все ?

Нет, сейчас специально проверил - whodidit показывает того же архиватора, что и был, после ручного снятия архивного бита:

J:\TMP\eksta>whodidit *.txt

Path_______________________Owner____Updater___ Archiver

DATA:TMP/eksta/phones.txt____Kyrpotin__Dubrov____BackupUser

J:\TMP\eksta>flag *.txt
...
PHONES.TXT [Rw---A] [-----------------] .Kyrpotin.C... N/A

J:\TMP\eksta>flag *.txt -a /fo
...
PHONES.TXT [Rw----] [-----------------] .Kyrpotin.C... N/A

J:\TMP\eksta>whodidit *.txt

Path_______________________Owner____Updater___ Archiver

DATA:TMP/eksta/phones.txt____Kyrpotin__Dubrov____BackupUser


Насколько я помню, архиватор устанавливался даже у файла, у которого бит "A" не сбрасывался, именно после того, как его забэкапил наш arcserver. Проверить точно смогу теперь только во вторник утром, т.к. в ночь с пятницы на субботу у нас прошёл полный бэкап со сбросом архивных битов, а первый инкрементный бэкап (который не трогает A-бит) состоится в ночь с понедельника на вторник.

СообщениеДобавлено: 23 ноя 2002, 16:10
Юрий aka qwerty
Т.е. как я понял не затрачивая денежных средств я не могу узнать кто последним правил файл?
Бля.... (слов нет) предстовляте ктото отправил от общего адреса
почтового партнерам в финляндии письмо с текстом "ХУЙ СОСИ!"-извините :oops:
есть (временно) коммутируемый доступ, почт. клиенты The Bat и общий почтовый ящик локальный на сетевом диске.
А кто виноват ? конечно информационный отдел блин......
И особеннно его руководитель , крик просто безудержный стоит....
Вот теперь и выкручиваешся блин....

СообщениеДобавлено: 23 ноя 2002, 17:20
Андрей Тр. aka RH
Юрий, как я понимаю вместо всех наших тутошних словоизлияний ответом на вопрос являются слова Сергея о модификаторе файла :
NWADMIN32, закладка Facts в свойствах файла.


Разумеется, речь про файлы на томе Netware.

Да, неудобно как-то у вас получилось .. :) но ИМХО с таким же успехом можно винить отдел кадров - что в фирме работают подобные уроды, службу безопасности - что не могут их выявить. А ИТ, теоретически, можно собрать имеющуюся информацию в кучку и посмотреть, что с ней можно сделать. Время отправки письма там, хедер у него просмотреть .. если по горячим следам, то можно также глянуть last login time у народа. Не зная подробностей вашей сети и ситуации трудно что-то конкретное советовать.

P.S. Да, для оправданий перед клиентом надо все списывать на хакеров или на вирус .. :shock: мол, lovebug a la rus

СообщениеДобавлено: 24 ноя 2002, 16:46
Edward Ivanov aka Ed111
А у нас почта настроена так, что все входящие-исходящие сообщения по почте валятся на: 1. спец. адрес (локальный), 2. отправляются по назначению. Перлюстрация всей корпоративной почты забита в политику безопасности предприятия, так что вопросов насчет анонимности переписки не возникает.

СообщениеДобавлено: 25 ноя 2002, 15:00
Михаил Карпенко
В некоторых ситуациях очень помогает утилита filer (salvage). Если у тебя при модификации файла старый файл удаляется, то посмотри кто удалял/создавал файлы в твоем "почтовом" каталоге.
Например, чтобы узнать кто печатал на сетевом принтере я захожу в каталог очередей и смотрю кто создал/удалил конкретное сообщение в очереди.

СообщениеДобавлено: 25 ноя 2002, 16:29
Музалёв Николай
2 ЮРИЙ.
А просто написать типа "послали грязное оскорбление" было сложно?
Или вы думаеет, что физиологтческие подробносьт помогут найти для вас помощь? Не уверен, однако.....
2 МОДЕРАТОРАМ.
Ребята, ну приктойте же срам - глаз же режет.....
Отродясь у нас этого не бывало.