Come determinare quale utente ha cancellato un file condiviso su OS X Mountain Lion Server

Sì: per impostazione predefinita, le eliminazioni dei file vengono registrate insieme a molti altri importanti eventi di condivisione dei file.

Installa l'app Server su qualsiasi Mac (o accedi al server per eseguire l'app lì o ispeziona il file di registro localmente).

Seleziona log a sinistra, seleziona AFP Access Log in basso e cerca la parola Elimina . Una volta trovata la cancellazione del file che ti interessa, annota l'indirizzo IP e il timestamp. Quindi cerca indietro in questo registro per vedere quale utente ha effettuato l'accesso utilizzando quell'IP immediatamente prima dell'evento di eliminazione.

Potresti anche cercare un aiuto professionale se vuoi un'analisi forense piuttosto che eseguirla da solo. Chiunque può guardare i registri può modificare i registri e il modo in cui si utilizza questa conoscenza è più un problema sociale che un problema tecnico. Ci dovrebbe essere Time Machine o backup migliori delle condivisioni del server, quindi dovresti essere in grado di determinare in modo insignificante i tempi in cui i file vengono cancellati anche con strumenti come Backup Loupe e spero che qualcuno sia incurante piuttosto che intenzionale. In entrambi i casi, il server OS X ha una registrazione sufficiente a determinare una stranezza di accesso ai file se proviene da un utente che si è connesso alla condivisione anziché accedere direttamente al server ed eliminare il file. Quell'evento avrebbe bisogno di ulteriore controllo e registrazione, ma vorrei iniziare analizzando il registro di accesso AFP poiché normalmente si tratta di come i file sono accessibili da un server.

Non sono esperto di computer, ma ho imparato un paio di cose che sarei felice di condividere nel caso in cui aiutassero qualcuno in futuro.

Se stai usando un server Mac dovresti provare la condivisione dello schermo dal tuo computer al server e aprire il programma chiamato "Console" e controllare i log tra l'ultima volta che hai visto il file sul server (devi conoscere il giorno e l'ora) e la prima volta che hai notato il file mancante. In "Console" puoi vedere tutte le azioni dell'utente e cosa hanno fatto sul server in base al singolo indirizzo IP di ogni computer.

Dovrai andare in giro al computer di tutti per scoprire i loro indirizzi IP, se usi tutti i Mac, apri "Preferenze di Sistema" e fai clic su "Rete" per vedere l'indirizzo IP dell'utente Mac. Non sono sicuro di come trovare gli indirizzi IP sui computer Windows PC.

Ci vuole un po 'di investigazione ma è necessario conoscere gli intervalli di tempo per aiutare a restringere la ricerca nei registri in quanto ci possono essere letteralmente milioni di attività registrate nella Console, inoltre, hai solo una certa quantità di tempo prima La cronologia della console non è più visibile nei log, quindi è importante agire rapidamente e salvare una copia dei log in modo da avere la prova di possibili errori.

È meglio portare un esperto IT (qualcuno di cui ti fidi) per aiutarti ad analizzare i dati e per aiutare a eseguire il backup del tuo sabotaggio al tuo supervisore.

Buona fortuna gente!