Страница 1 из 2

Кто удалил каталог/папку??

СообщениеДобавлено: 25 янв 2007, 12:04
Виктор Гаврилов
OES SP2, тома nss
на томе nss расположена некая папка/файл, как посмотреть кто и когда удалил?

пробовал через виндозного клиента (sp3 рус), но он не показывает т.е. пусто

СообщениеДобавлено: 25 янв 2007, 21:44
Андрей Фисенко
В ряде случаев вообще никак.
Круг подозреваемых можно сузить до тех, кто имеет право удалять каталог.
А вообще-то для таких случаев придумали Novell Audit. Настраиваем на удаление и наслаждаемся логами. :shock:

СообщениеДобавлено: 25 янв 2007, 22:30
Андрей Старков
если на том/каталог не стоит атрибутов типа очищать немедленно, то, если была папка/файл и исчезла и нет никакой информации об удалении, то скорее всего не удалили а ПЕРЕМЕСТИЛИ - стандартная свойство проводника+drag&drop+мышка+нежные женские руки. Может быть это ваш случай?

Кто удалил каталог/папку??

СообщениеДобавлено: 26 янв 2007, 06:31
Виктор Гаврилов
Похоже так оно и было (все идут в отказ, и всё утыкается в меня)! как отловить эту ситуацию(отмазаться)? есть хоть какое-то решение???

СообщениеДобавлено: 26 янв 2007, 14:27
Андрей Тр. aka RH
Если ее ПЕРЕМЕСТИЛИ, то можно было бы найти поиском ..

Если её переместили на локальный диск???!!!!

СообщениеДобавлено: 26 янв 2007, 14:54
Виктор Гаврилов
И как долго мне её искать??? обходить все машины?, а если так:
пользователь преместил папку локально, затем подумал и решив что это ему сдесь не надо, удаляет её с очисткой корзины??!!! и как найти врага народа?? все в отказе!!!??

мне бы хотя бы увидеть лог: какой пользователь открыл/закрыл/удалил/создал и т.д. и т.п., вобщем что происходит в системе...

СообщениеДобавлено: 26 янв 2007, 21:48
Андрей Старков
нет, простой эксперимент подтвердил мои мысли.
1. drag&drop с диска на диск КОПИРУЕТ а не переносит, чтобы перенести надо еще Shift держать.
2. при переносе с диска на диск файлы на источнике УДАЛЯЮТСЯ, соответственно кто когда и как видно

Если такой инфы нет - ОДНОЗНАЧНО переместили в пределах тома. решается просто - выспрашивается с пристрастием имя каталога или имя хоть одного файла в нем. (это не так просто, точно никто не помнит :-) Поиск по всему тому - думаю найдете. Ну а дальше, если конечно у вас все не имеют доступа на весь том, сможете сузить поиск.

СообщениеДобавлено: 27 янв 2007, 05:33
Виктор Гаврилов
1.Хорошо, переместили внутри тома, как найти того кого по рукам бить?
Допустим на том имеют доступ 5 человек и все не моргнув глазом - сказали НЕ Я!!!!
2.Самый тяжёлый вариант: (из вредительских побуждений) переместили на локальный диск, затем удалили, как найти врага?

p.s. нужен ответ на вопрос кто виноват и что делать. Что делать руководство знает, а вот кто виноват??

СообщениеДобавлено: 27 янв 2007, 11:43
Иван Иванов
Виктор Гаврилов писал(а):2.Самый тяжёлый вариант: (из вредительских побуждений) переместили на локальный диск, затем удалили, как найти врага?

Не показывает только перемещение в пределах тома. На локальный диск и другой том будет обычным удалением.
А найти виновного, если файлы только переместили в пределах тома, похоже нельзя. Бывает что при открытии папки дернул рукой - и она уже "уехала" в соседнюю.

СообщениеДобавлено: 27 янв 2007, 11:55
Виктор Гаврилов
Про внутри тома, я понял!, согласен это именно так и происходит, а как быть с явным удалением????

СообщениеДобавлено: 27 янв 2007, 13:06
Иван Иванов
Виктор Гаврилов писал(а):Про внутри тома, я понял!, согласен это именно так и происходит, а как быть с явным удалением????

NWClient32, если не настроенна немедленная очистка тома то в контекстной меню на папке Salvage и там будет список удаленных файлов и кто удалил.
Novell Audit

СообщениеДобавлено: 27 янв 2007, 13:17
Виктор Гаврилов
Если выбираю "восстановить" на клиенте - имя удалявшего стоит - "недоступно", с аудитом разбираюсь!

спасибо за помощь

СообщениеДобавлено: 23 апр 2007, 15:13
Орлов Алексей
Novell audit никак не хочет логировать события происходящие на файловой системе,а именно создание, удаление папок. Edir логирует нормально. Может в стартер паке это не разрешено???

СообщениеДобавлено: 24 апр 2007, 09:18
Владимир Горяев
Орлов Алексей писал(а):Novell audit никак не хочет логировать события происходящие на файловой системе,а именно создание, удаление папок. Edir логирует нормально. Может в стартер паке это не разрешено???
Конкретнее, плз.

СообщениеДобавлено: 24 апр 2007, 09:23
Орлов Алексей
ды куда конкретнее. Поставил audit starterpack, поднял mysql указал валить все в мою базу. В свойствах сервера поставил галки логировать удаление, создание папок и тишина. Поставил следить за edir. Создал удалил пользователя запись занеслась, а вот удалил создал папку нет результата. У меня предположение либо что-то не включил, либо не поддерживаеться эта фича? У кого как с этим обстоит.