6 votes

Doomd avatar

Comment déterminer quel utilisateur a supprimé un fichier partagé sur un serveur OS X Mountain Lion ?

Demandé el 10 de Octobre, 2012
Quand la question a-t-elle été
11020 affichage
Nombre de visites la question a
2 Réponses
Nombre de réponses aux questions
Résolu
Situation réelle de la question

Ma petite amie est technicienne de laboratoire dans une petite entreprise pharmaceutique. Elle a créé un fichier Excel très important et l'a placé dans un dossier partagé sur un serveur que le responsable "informatique" a mis en place. Le serveur fonctionne sous Mountain Lion (OS X 10.8.2).

La semaine dernière, ce fichier important a disparu de ce dossier particulier. Il y avait plusieurs autres fichiers dans ce dossier, mais ils n'ont pas disparu.

Depuis, elle a pu récupérer le fichier à partir de Time Machine, mais elle veut savoir comment ce fichier a disparu. Elle m'assure que personne dans son service n'est assez négligent pour supprimer le fichier, mais peut-être qu'un supérieur ayant accès au fichier partagé a déplacé/supprimé le fichier par accident (ou l'a fait délibérément en raison de son contenu).

Le problème ici, c'est qu'en raison d'une lutte de pouvoir au sein de l'entreprise, elle soupçonne quelqu'un d'avoir tenté de saboter (supprimer ou déplacer) ce fichier critique qui contenait des données susceptibles de faire avancer l'entreprise plus rapidement dans une direction particulière que certains saboteurs ne le souhaiteraient.

Les gars de l'informatique ne connaissent pas grand-chose aux journaux des serveurs, etc. Et je ne suis pas un expert en Mac. Ma question est la suivante :

Existe-t-il un moyen de savoir qui a supprimé ou déplacé ce fichier essentiel ? Y a-t-il des journaux de modification de fichiers situés quelque part sur le serveur qui pourraient "prouver" cette action ?

Demandé el 10 de Octobre, 2012 par Doomd

Réponses

Trop de publicités?

3voto

Oskar avatar
Oskar Points 1242

Oui - par défaut, les suppressions de fichiers sont enregistrées avec de nombreux autres événements importants liés au partage de fichiers.

Installez l'application serveur sur n'importe quel Mac (ou connectez-vous au serveur pour y exécuter l'application ou inspecter le fichier journal localement).

enter image description here

Sélectionnez journaux à gauche, sélectionnez Journal des accès AFP en bas de la page et recherchez le mot Supprimer . Une fois que vous avez trouvé la suppression de fichier qui vous intéresse, notez l'adresse IP et l'horodatage. Ensuite, effectuez une recherche en arrière dans ce journal pour voir quel utilisateur s'est connecté en utilisant cette IP immédiatement avant cet événement de suppression.

Vous pouvez également demander l'aide d'un professionnel si vous souhaitez une analyse médico-légale plutôt que de la réaliser vous-même. Quiconque peut consulter les journaux peut les modifier et la façon dont vous utilisez ces connaissances est davantage un problème social qu'un problème technique. Il devrait y avoir des sauvegardes Time Machine ou plus performantes des partages du serveur, de sorte que vous devriez être en mesure de déterminer trivialement les moments où les fichiers sont supprimés là aussi avec des outils comme Backup Loupe et, avec un peu de chance, vous trouverez que quelqu'un a été négligent plutôt que délibéré. Quoi qu'il en soit, le serveur OS X dispose d'une journalisation suffisante pour déterminer une anomalie d'accès aux fichiers si elle provient d'un utilisateur qui s'est connecté au partage plutôt que de se connecter directement au serveur et de supprimer le fichier. Cet événement nécessiterait un audit et une journalisation supplémentaires, mais je commencerais par analyser le journal d'accès AFP puisque c'est normalement de cette manière que les fichiers sont accédés depuis un serveur.

Répondu el 22 de Juin, 2013 par Oskar (1242 Points )

0voto

victor n. avatar
victor n. Points 92

Je ne suis pas doué en informatique, mais j'ai appris deux ou trois choses que je serais heureux de partager au cas où elles aideraient quelqu'un à l'avenir.

Si vous utilisez un serveur Mac, vous devriez essayer de partager l'écran de votre ordinateur vers le serveur et ouvrir le programme appelé "Console" et vérifier les journaux entre le moment où vous avez vu le fichier sur le serveur pour la dernière fois (vous devez connaître le jour et l'HEURE) et la première fois que vous avez remarqué que le fichier manquait. Dans "Console", vous pouvez voir toutes les actions de l'utilisateur et ce qu'il a fait sur le serveur en fonction de l'adresse IP individuelle de chaque ordinateur.

Vous devrez faire le tour des ordinateurs de chacun pour connaître leur adresse IP. Si vous utilisez tous des Mac, ouvrez "Préférences Système" et cliquez sur "Réseau" pour voir l'adresse IP de l'utilisateur Mac. Je ne sais pas comment trouver les adresses IP sur les ordinateurs PC Windows.

Cela demande un peu de perspicacité, mais vous devez vraiment connaître les périodes de temps pour affiner la recherche dans les journaux, car il peut y avoir littéralement des millions de tâches enregistrées dans Console. De plus, vous ne disposez que d'un certain temps avant que l'historique de Console ne soit plus visible dans les journaux, il est donc important d'agir rapidement et de sauvegarder une copie des journaux pour avoir une preuve d'un éventuel méfait.

Le mieux est de faire appel à un expert en informatique (quelqu'un en qui vous avez confiance) pour vous aider à analyser les données et à étayer votre plainte pour sabotage auprès de votre supérieur.

Bonne chance à tous !

Répondu el 4 de Mai, 2015 par victor n. (92 Points )

Questions en vedette

Top Tags

Dans notre réseau

LesApples.com

LesApples est une communauté de Apple où vous pouvez résoudre vos problèmes et vos doutes. Vous pouvez consulter les questions des autres utilisateurs d'appareils Apple, poser vos propres questions ou résoudre celles des autres.

Powered by:

Yandex
X