Кто удалил каталог/папку??

Обсуждение технических вопросов по продуктам Novell под Linux, а также *nix систем

Кто удалил каталог/папку??

Сообщение Виктор Гаврилов » 25 янв 2007, 12:04

OES SP2, тома nss
на томе nss расположена некая папка/файл, как посмотреть кто и когда удалил?

пробовал через виндозного клиента (sp3 рус), но он не показывает т.е. пусто
Виктор Гаврилов
 
Сообщения: 17
Зарегистрирован: 11 янв 2006, 18:06

Сообщение Андрей Фисенко » 25 янв 2007, 21:44

В ряде случаев вообще никак.
Круг подозреваемых можно сузить до тех, кто имеет право удалять каталог.
А вообще-то для таких случаев придумали Novell Audit. Настраиваем на удаление и наслаждаемся логами. :shock:
Андрей Фисенко
 
Сообщения: 1311
Зарегистрирован: 05 июн 2002, 08:13
Откуда: Красноярск

Сообщение Андрей Старков » 25 янв 2007, 22:30

если на том/каталог не стоит атрибутов типа очищать немедленно, то, если была папка/файл и исчезла и нет никакой информации об удалении, то скорее всего не удалили а ПЕРЕМЕСТИЛИ - стандартная свойство проводника+drag&drop+мышка+нежные женские руки. Может быть это ваш случай?
Андрей Старков
 
Сообщения: 473
Зарегистрирован: 21 июн 2002, 13:57
Откуда: г. Ноябрьск, ЯНАО

Кто удалил каталог/папку??

Сообщение Виктор Гаврилов » 26 янв 2007, 06:31

Похоже так оно и было (все идут в отказ, и всё утыкается в меня)! как отловить эту ситуацию(отмазаться)? есть хоть какое-то решение???
Виктор Гаврилов
 
Сообщения: 17
Зарегистрирован: 11 янв 2006, 18:06

Сообщение Андрей Тр. aka RH » 26 янв 2007, 14:27

Если ее ПЕРЕМЕСТИЛИ, то можно было бы найти поиском ..
Даешь отдельный раздел по ZENworks ... :bad-words: .. и печати !
Аватара пользователя
Андрей Тр. aka RH
 
Сообщения: 3937
Зарегистрирован: 18 июн 2002, 11:27

Если её переместили на локальный диск???!!!!

Сообщение Виктор Гаврилов » 26 янв 2007, 14:54

И как долго мне её искать??? обходить все машины?, а если так:
пользователь преместил папку локально, затем подумал и решив что это ему сдесь не надо, удаляет её с очисткой корзины??!!! и как найти врага народа?? все в отказе!!!??

мне бы хотя бы увидеть лог: какой пользователь открыл/закрыл/удалил/создал и т.д. и т.п., вобщем что происходит в системе...
Виктор Гаврилов
 
Сообщения: 17
Зарегистрирован: 11 янв 2006, 18:06

Сообщение Андрей Старков » 26 янв 2007, 21:48

нет, простой эксперимент подтвердил мои мысли.
1. drag&drop с диска на диск КОПИРУЕТ а не переносит, чтобы перенести надо еще Shift держать.
2. при переносе с диска на диск файлы на источнике УДАЛЯЮТСЯ, соответственно кто когда и как видно

Если такой инфы нет - ОДНОЗНАЧНО переместили в пределах тома. решается просто - выспрашивается с пристрастием имя каталога или имя хоть одного файла в нем. (это не так просто, точно никто не помнит :-) Поиск по всему тому - думаю найдете. Ну а дальше, если конечно у вас все не имеют доступа на весь том, сможете сузить поиск.
Андрей Старков
 
Сообщения: 473
Зарегистрирован: 21 июн 2002, 13:57
Откуда: г. Ноябрьск, ЯНАО

Сообщение Виктор Гаврилов » 27 янв 2007, 05:33

1.Хорошо, переместили внутри тома, как найти того кого по рукам бить?
Допустим на том имеют доступ 5 человек и все не моргнув глазом - сказали НЕ Я!!!!
2.Самый тяжёлый вариант: (из вредительских побуждений) переместили на локальный диск, затем удалили, как найти врага?

p.s. нужен ответ на вопрос кто виноват и что делать. Что делать руководство знает, а вот кто виноват??
Виктор Гаврилов
 
Сообщения: 17
Зарегистрирован: 11 янв 2006, 18:06

Сообщение Иван Иванов » 27 янв 2007, 11:43

Виктор Гаврилов писал(а):2.Самый тяжёлый вариант: (из вредительских побуждений) переместили на локальный диск, затем удалили, как найти врага?

Не показывает только перемещение в пределах тома. На локальный диск и другой том будет обычным удалением.
А найти виновного, если файлы только переместили в пределах тома, похоже нельзя. Бывает что при открытии папки дернул рукой - и она уже "уехала" в соседнюю.
Иван Иванов
 
Сообщения: 448
Зарегистрирован: 19 апр 2004, 14:02

Сообщение Виктор Гаврилов » 27 янв 2007, 11:55

Про внутри тома, я понял!, согласен это именно так и происходит, а как быть с явным удалением????
Виктор Гаврилов
 
Сообщения: 17
Зарегистрирован: 11 янв 2006, 18:06

Сообщение Иван Иванов » 27 янв 2007, 13:06

Виктор Гаврилов писал(а):Про внутри тома, я понял!, согласен это именно так и происходит, а как быть с явным удалением????

NWClient32, если не настроенна немедленная очистка тома то в контекстной меню на папке Salvage и там будет список удаленных файлов и кто удалил.
Novell Audit
Иван Иванов
 
Сообщения: 448
Зарегистрирован: 19 апр 2004, 14:02

Сообщение Виктор Гаврилов » 27 янв 2007, 13:17

Если выбираю "восстановить" на клиенте - имя удалявшего стоит - "недоступно", с аудитом разбираюсь!

спасибо за помощь
Виктор Гаврилов
 
Сообщения: 17
Зарегистрирован: 11 янв 2006, 18:06

Сообщение Орлов Алексей » 23 апр 2007, 15:13

Novell audit никак не хочет логировать события происходящие на файловой системе,а именно создание, удаление папок. Edir логирует нормально. Может в стартер паке это не разрешено???
Даёшь полный контроль над Юзверем!!!
-------------------------------------------------------
Я еще из тех, кто учился азбуке по букварю, а не по клавиатуре....

Иногда пишу в своем блоге на тему ms Lync, directaccess.
Аватара пользователя
Орлов Алексей
 
Сообщения: 953
Зарегистрирован: 04 июн 2003, 12:43
Откуда: Нижний Новгород

Сообщение Владимир Горяев » 24 апр 2007, 09:18

Орлов Алексей писал(а):Novell audit никак не хочет логировать события происходящие на файловой системе,а именно создание, удаление папок. Edir логирует нормально. Может в стартер паке это не разрешено???
Конкретнее, плз.
Бардак автоматизировать невозможно!!!
_________________
Аватара пользователя
Владимир Горяев
 
Сообщения: 3473
Зарегистрирован: 05 июн 2002, 13:37
Откуда: Смоленск

Сообщение Орлов Алексей » 24 апр 2007, 09:23

ды куда конкретнее. Поставил audit starterpack, поднял mysql указал валить все в мою базу. В свойствах сервера поставил галки логировать удаление, создание папок и тишина. Поставил следить за edir. Создал удалил пользователя запись занеслась, а вот удалил создал папку нет результата. У меня предположение либо что-то не включил, либо не поддерживаеться эта фича? У кого как с этим обстоит.
Даёшь полный контроль над Юзверем!!!
-------------------------------------------------------
Я еще из тех, кто учился азбуке по букварю, а не по клавиатуре....

Иногда пишу в своем блоге на тему ms Lync, directaccess.
Аватара пользователя
Орлов Алексей
 
Сообщения: 953
Зарегистрирован: 04 июн 2003, 12:43
Откуда: Нижний Новгород

След.

Вернуться в *nix

Кто сейчас на конференции

Сейчас этот форум просматривают: нет зарегистрированных пользователей и гости: 10

cron