Как посмотреть кто последним изменял файл?

Обсуждение технических вопросов по продуктам Novell

Как посмотреть кто последним изменял файл?

Сообщение Юрий aka qwerty » 23 ноя 2002, 05:22

Каким образом такое дело посмотреть, столкунлись с хулиганством и теперь надо найти.
Аватара пользователя
Юрий aka qwerty
 
Сообщения: 152
Зарегистрирован: 12 июн 2002, 06:32
Откуда: г.Иркутск

Сообщение Андрей Тр. aka RH » 23 ноя 2002, 07:17

ИМХО никак, если аудит предварительно не был настроен. Как тут уже где-то раньше писал Сергей Дубров, с файлом хранятся лишь даты ( создания, модификации ) и имя владельца. При удалении хранится имя удалившего.

У нас вот еще Recent Files у каждого - один из каталогов, перенаправленных в домашний каталог ( скрытый, поэтому юзеры как каталог его не видят ). Поэтому практически все открываемые файлы помещаются туда в хронологическом порядке ( ссылки на них, разумеется ). А править Recent через Виндоуз у пользователя прав нет. Но аудит это не заменит, конечно .. хотя нормальный аудит сжирает ресурсы только так.
Даешь отдельный раздел по ZENworks ... :bad-words: .. и печати !
Аватара пользователя
Андрей Тр. aka RH
 
Сообщения: 3937
Зарегистрирован: 18 июн 2002, 11:27

Я говорил не совсем так :-)

Сообщение Сергей Дубров » 23 ноя 2002, 11:23

Андрей Тр. aka RH писал(а):ИМХО никак, если аудит предварительно не был настроен. Как тут уже где-то раньше писал Сергей Дубров, с файлом хранятся лишь даты ( создания, модификации ) и имя владельца.

Вообще-то я писАл как раз обратное - у каждого файла хранится и владец и модификатор и архиватор, но штатными средствами смотреть их (кроме владельца) - неудобно (nwadmin32 - та ещё "птичка", пока взлетит). Вот одна из утилит г-н Baird-а легко позволяет это сделать:

J:\TMP\eksta>whodidit *.txt

Path_______________________Owner___Updater__ Archiver

DATA:TMP/eksta/phones.txt____Kyrpotin__Dubrov____BackupUser
Аватара пользователя
Сергей Дубров
 
Сообщения: 2096
Зарегистрирован: 05 июн 2002, 06:07
Откуда: Новосибирск, ин-т ядерной физики СО РАН

Re: Я говорил не совсем так :-)

Сообщение Андрей Тр. aka RH » 23 ноя 2002, 13:39

Сергей Дубров писал(а):штатными средствами смотреть их неудобно (nwadmin32 - та ещё "птичка", пока взлетит).


:) Согласен, про "хранятся" я маху дал. Но все же "неудобно" или "невозможно" ? Все же вещи разные. Я вот сходу не припомню, как вообще штатными средствами просмотреть модификатора .. Кстати, а та утилита из какого набора г-на Baird'a - бесплатного или за деньги ?

Я еще как-то спрашивал, что именно в данном контексте считается модификацией - изменение ( или просто доступ ? ) содержимого файла, или даже изменение его атрибутов или имени ? Заодно вопрос - архиватор, этот тот, кто меняет соответствующий атрибут .. и все ?
Даешь отдельный раздел по ZENworks ... :bad-words: .. и печати !
Аватара пользователя
Андрей Тр. aka RH
 
Сообщения: 3937
Зарегистрирован: 18 июн 2002, 11:27

Re: Я говорил не совсем так :-)

Сообщение Сергей Дубров » 23 ноя 2002, 15:13

Андрей Тр. aka RH писал(а):
Сергей Дубров писал(а):штатными средствами смотреть их неудобно (nwadmin32 - та ещё "птичка", пока взлетит).


:) Согласен, про "хранятся" я маху дал. Но все же "неудобно" или "невозможно" ? Все же вещи разные. Я вот сходу не припомню, как вообще штатными средствами просмотреть модификатора ..

NWADMIN32, закладка Facts в свойствах файла.

Андрей Тр. aka RH писал(а):Кстати, а та утилита из какого набора г-на Baird'a - бесплатного или за деньги ?

Из платного...

Андрей Тр. aka RH писал(а):Я еще как-то спрашивал, что именно в данном контексте считается модификацией - изменение ( или просто доступ ? ) содержимого файла, или даже изменение его атрибутов или имени ?

Команда:

Echo 12345>>file.txt

меняет модификатора, но оставляет прежним владельца. Довольно часто в сетевом каталоге со всеобщим доступом, видел вордовские файлы (.DOC), у которых владелец не совпадал с модификатором, т.е., word тоже умеет модифицировать файл, а не полностью переписывать.

Андрей Тр. aka RH писал(а):Заодно вопрос - архиватор, этот тот, кто меняет соответствующий атрибут .. и все ?

Нет, сейчас специально проверил - whodidit показывает того же архиватора, что и был, после ручного снятия архивного бита:

J:\TMP\eksta>whodidit *.txt

Path_______________________Owner____Updater___ Archiver

DATA:TMP/eksta/phones.txt____Kyrpotin__Dubrov____BackupUser

J:\TMP\eksta>flag *.txt
...
PHONES.TXT [Rw---A] [-----------------] .Kyrpotin.C... N/A

J:\TMP\eksta>flag *.txt -a /fo
...
PHONES.TXT [Rw----] [-----------------] .Kyrpotin.C... N/A

J:\TMP\eksta>whodidit *.txt

Path_______________________Owner____Updater___ Archiver

DATA:TMP/eksta/phones.txt____Kyrpotin__Dubrov____BackupUser


Насколько я помню, архиватор устанавливался даже у файла, у которого бит "A" не сбрасывался, именно после того, как его забэкапил наш arcserver. Проверить точно смогу теперь только во вторник утром, т.к. в ночь с пятницы на субботу у нас прошёл полный бэкап со сбросом архивных битов, а первый инкрементный бэкап (который не трогает A-бит) состоится в ночь с понедельника на вторник.
Аватара пользователя
Сергей Дубров
 
Сообщения: 2096
Зарегистрирован: 05 июн 2002, 06:07
Откуда: Новосибирск, ин-т ядерной физики СО РАН

Сообщение Юрий aka qwerty » 23 ноя 2002, 16:10

Т.е. как я понял не затрачивая денежных средств я не могу узнать кто последним правил файл?
Бля.... (слов нет) предстовляте ктото отправил от общего адреса
почтового партнерам в финляндии письмо с текстом "ХУЙ СОСИ!"-извините :oops:
есть (временно) коммутируемый доступ, почт. клиенты The Bat и общий почтовый ящик локальный на сетевом диске.
А кто виноват ? конечно информационный отдел блин......
И особеннно его руководитель , крик просто безудержный стоит....
Вот теперь и выкручиваешся блин....
Аватара пользователя
Юрий aka qwerty
 
Сообщения: 152
Зарегистрирован: 12 июн 2002, 06:32
Откуда: г.Иркутск

Сообщение Андрей Тр. aka RH » 23 ноя 2002, 17:20

Юрий, как я понимаю вместо всех наших тутошних словоизлияний ответом на вопрос являются слова Сергея о модификаторе файла :
NWADMIN32, закладка Facts в свойствах файла.


Разумеется, речь про файлы на томе Netware.

Да, неудобно как-то у вас получилось .. :) но ИМХО с таким же успехом можно винить отдел кадров - что в фирме работают подобные уроды, службу безопасности - что не могут их выявить. А ИТ, теоретически, можно собрать имеющуюся информацию в кучку и посмотреть, что с ней можно сделать. Время отправки письма там, хедер у него просмотреть .. если по горячим следам, то можно также глянуть last login time у народа. Не зная подробностей вашей сети и ситуации трудно что-то конкретное советовать.

P.S. Да, для оправданий перед клиентом надо все списывать на хакеров или на вирус .. :shock: мол, lovebug a la rus
Даешь отдельный раздел по ZENworks ... :bad-words: .. и печати !
Аватара пользователя
Андрей Тр. aka RH
 
Сообщения: 3937
Зарегистрирован: 18 июн 2002, 11:27

Сообщение Edward Ivanov aka Ed111 » 24 ноя 2002, 16:46

А у нас почта настроена так, что все входящие-исходящие сообщения по почте валятся на: 1. спец. адрес (локальный), 2. отправляются по назначению. Перлюстрация всей корпоративной почты забита в политику безопасности предприятия, так что вопросов насчет анонимности переписки не возникает.
Edward Ivanov aka Ed111
 
Сообщения: 83
Зарегистрирован: 23 окт 2002, 21:25
Откуда: Брянск

Сообщение Михаил Карпенко » 25 ноя 2002, 15:00

В некоторых ситуациях очень помогает утилита filer (salvage). Если у тебя при модификации файла старый файл удаляется, то посмотри кто удалял/создавал файлы в твоем "почтовом" каталоге.
Например, чтобы узнать кто печатал на сетевом принтере я захожу в каталог очередей и смотрю кто создал/удалил конкретное сообщение в очереди.
Михаил Карпенко
 
Сообщения: 32
Зарегистрирован: 20 ноя 2002, 13:26
Откуда: Минск

Сообщение Музалёв Николай » 25 ноя 2002, 16:29

2 ЮРИЙ.
А просто написать типа "послали грязное оскорбление" было сложно?
Или вы думаеет, что физиологтческие подробносьт помогут найти для вас помощь? Не уверен, однако.....
2 МОДЕРАТОРАМ.
Ребята, ну приктойте же срам - глаз же режет.....
Отродясь у нас этого не бывало.
armoracia rusticana (lat.), "блины" и "фиги" всех видов, а также смайлики - крайне не желательны !
Музалёв Николай
 
Сообщения: 3034
Зарегистрирован: 04 июн 2002, 19:58
Откуда: Беларусь. МИНСК.


Вернуться в Novell

Кто сейчас на конференции

Сейчас этот форум просматривают: нет зарегистрированных пользователей и гости: 62

cron