¿Cómo se puede determinar qué usuario eliminó un archivo compartido en el servidor OS X Mountain Lion?

Navega tus respuestas
6

Mi novia es técnico de laboratorio en una pequeña empresa farmacéutica. Ella creó un archivo de Excel muy importante y lo colocó en una carpeta compartida en un servidor que el tipo "IT" configuró. El servidor ejecuta Mountain Lion (OS X 10.8.2).

La semana pasada, este archivo importante desapareció de esta carpeta en particular. Había varios otros archivos en esta carpeta, pero no desaparecieron.

Desde entonces, ha podido recuperar el archivo de Time Machine, pero quiere saber cómo desapareció ese archivo. Ella me asegura que nadie en su departamento es lo suficientemente descuidado como para eliminar el archivo, pero tal vez una persona superior con acceso al archivo compartido haya movido / eliminado el archivo accidentalmente (o lo hizo deliberadamente debido al contenido del archivo).

El problema aquí es que debido a una lucha de poder dentro de la compañía, ella sospecha que alguien pudo haber intentado sabotear (eliminar o mover) este archivo crítico que tenía datos que podrían hacer avanzar a la compañía más rápido en una dirección particular que A ciertos saboteadores les gustaría.

Los chicos de "TI" no saben mucho acerca de los registros del servidor, etc. Y no soy un experto en Mac. Mi pregunta es la siguiente:

¿Hay alguna manera de averiguar quién eliminó o movió este archivo crítico? ¿Hay registros de cambios de archivos ubicados en algún lugar del servidor que puedan "probar" esta acción?

    
pregunta Doomd 10.10.2012 - 00:39

2 respuestas

3

Sí: de forma predeterminada, las eliminaciones de archivos se registran junto con muchos otros eventos importantes para compartir archivos.

Instale la aplicación del servidor en cualquier Mac (o inicie sesión en el servidor para ejecutar la aplicación allí o inspeccione el archivo de registro localmente).

Seleccione registros a la izquierda, seleccione Registro de acceso de AFP en la parte inferior y busque la palabra Eliminar . Una vez que haya encontrado la eliminación del archivo que le interesa, anote la dirección IP y la marca de tiempo. Luego busque hacia atrás en este registro para ver qué usuario inició sesión usando esa IP inmediatamente antes de ese evento de eliminación.

También puede buscar ayuda profesional si desea un análisis forense en lugar de realizarlo usted mismo. Cualquier persona que pueda ver los registros puede cambiarlos y la forma en que utiliza este conocimiento es más un problema social que un problema técnico. Debería haber Time Machine o mejores copias de seguridad de los recursos compartidos del servidor, por lo que debería poder determinar de forma trivial las veces que los archivos se eliminan allí también con herramientas como Backup Loupe y, con suerte, encontrará que alguien fue descuidado en lugar de deliberado. De cualquier manera, el servidor OS X tiene suficiente registro para determinar una rareza de acceso al archivo si provino de un usuario que se conectó al recurso compartido en lugar de iniciar sesión directamente en el servidor y eliminar el archivo. Ese evento necesitaría una auditoría y un registro adicionales, pero empezaría por analizar el registro de acceso de AFP, ya que normalmente así se accede a los archivos desde un servidor.

    
respondido por el bmike 22.06.2013 - 19:35
0

No soy experto en informática, pero he aprendido un par de cosas que me encantaría compartir en caso de que ayuden a alguien en el futuro.

Si está utilizando un servidor Mac, debería probar el uso compartido de la pantalla desde su computadora al servidor, abrir el programa llamado "Consola" y verificar los registros entre la última vez que vio el archivo en el servidor (debe conocer el día y la HORA) y la primera vez que notó que falta el archivo. En "Consola" puede ver todas las acciones del usuario y lo que han hecho en el servidor según la dirección IP individual de cada computadora.

Tendrás que ir a la computadora de todos para averiguar sus direcciones IP, si estás usando Mac, abre "Preferencias del sistema" y haz clic en "Red" para ver la dirección IP del usuario de Mac. No estoy seguro de cómo encontrar direcciones IP en las computadoras PC con Windows.

Se necesita un poco de investigación, pero realmente necesitas conocer los marcos de tiempo para ayudar a reducir la búsqueda en los registros, ya que literalmente puede haber millones de tareas registradas en la Consola. Además, solo tienes un cierto tiempo antes. El historial de la consola ya no se ve en los registros, por lo que es importante actuar con rapidez y guardar una copia de los registros para tener pruebas de posibles daños.

Es mejor traer a un experto en TI (alguien de confianza) para que lo ayude a analizar los datos y para respaldar su reclamo de sabotaje a su supervisor.

¡Buena suerte, gente!

    
respondido por el user125560 04.05.2015 - 19:07

Lea otras preguntas en las etiquetas

¿Puedo conectar en caliente un monitor DVI en una Mac Pro? ¿Qué software extiende el tiempo rápido para admitir códecs como alternativa a Perian?