6 votos

Dyin avatar

¿Cómo se puede determinar qué usuario ha borrado un archivo compartido en OS X Mountain Lion Server?

Preguntado el 9 de Octubre, 2012
Cuando se hizo la pregunta
5629 visitas
Cuantas visitas ha tenido la pregunta
2 Respuestas
Cuantas respuestas ha tenido la pregunta
Resuelta
Estado actual de la pregunta

Mi novia es técnica de laboratorio en una pequeña empresa farmacéutica. Ha creado un archivo de Excel muy importante y lo ha colocado en una carpeta compartida en un servidor que ha configurado el informático. El servidor ejecuta Mountain Lion (OS X 10.8.2).

La semana pasada, este importante archivo desapareció de esta carpeta en particular. Había otros archivos en esta carpeta, pero no desaparecieron.

Desde entonces ha podido recuperar el archivo desde Time Machine, pero quiere saber cómo se perdió ese archivo. Me asegura que nadie en su departamento es tan descuidado como para borrar el archivo, pero tal vez un superior con acceso al archivo compartido movió/borró el archivo accidentalmente (o lo hizo deliberadamente debido al contenido del archivo).

El problema aquí, es que debido a una lucha de poder dentro de la empresa, ella sospecha que alguien puede haber intentado sabotear (borrar o mover) este archivo crítico que tenía datos que podrían hacer avanzar a la empresa más rápido en una dirección particular de lo que ciertos saboteadores quisieran.

Los chicos de "IT" no saben mucho sobre los registros del servidor, etc. Y yo no soy un experto en Mac. Mi pregunta es la siguiente:

¿Hay alguna forma de averiguar quién ha borrado o movido este archivo crítico? ¿Hay registros de cambios de archivos ubicados en algún lugar del servidor que puedan "probar" esta acción?

Preguntado el 9 de Octubre, 2012 por Dyin

0 votos

Avatar de EndangeredMassa

Definitivamente, esto lo tendrá que hacer el informático del servidor. Un usuario que accede al recurso compartido no puede ver ninguna información sobre los archivos que ya no están allí.

Comentado el 10 de Octubre, 2012 por EndangeredMassa

0 votos

Avatar de Dyin

Me parece justo... pero ¿cómo puede hacerlo el informático? Creo que literalmente necesita instrucciones sobre cómo hacerlo.

Comentado el 11 de Octubre, 2012 por Dyin

0 votos

Avatar de Usuario no registrado

No he proporcionado esto como respuesta ya que es sólo un enlace y no tengo acceso a un servidor de Mountain Lion (tengo un servidor anterior de OS X) para probar, pero esta página sobre registros y scripts puede ser útil, especialmente la sección sobre 'AppleFileServiceAccess.log'. Pero también ten en cuenta que el autor de esa página indica que esos registros tienen que ser activados en primer lugar, así que esto podría no ayudar a tu informático.

Comentado el 11 de Octubre, 2012 por Usuario no registrado
Mostrar 4 comentarios más

Respuestas

¿Demasiados anuncios?

3voto

Oskar avatar
Oskar Puntos 1242

Sí, por defecto, las eliminaciones de archivos se registran junto con muchos otros eventos importantes de intercambio de archivos.

Instale la aplicación Server en cualquier Mac (o inicie sesión en el servidor para ejecutar la aplicación allí o inspeccionar el archivo de registro localmente).

enter image description here

Seleccione Registros a la izquierda, seleccione Registro de acceso a la AFP en la parte inferior y busque la palabra Borrar . Una vez que hayas encontrado la eliminación de archivos que te interesa, anota la dirección IP y la marca de tiempo. Luego busca hacia atrás en este registro para ver qué usuario se conectó usando esa IP inmediatamente antes de ese evento de borrado.

También puedes buscar ayuda profesional si quieres un análisis forense en lugar de realizarlo tú mismo. Cualquiera que pueda mirar los registros puede cambiarlos y el uso de este conocimiento es más un problema social que un problema técnico. Debería haber copias de seguridad de Time Machine o mejores de los recursos compartidos del servidor, por lo que deberías ser capaz de determinar trivialmente las veces que se borran los archivos allí también con herramientas como Backup Loupe y con suerte encontrarás que alguien fue descuidado en lugar de deliberado. De cualquier manera, el servidor OS X tiene suficiente registro para determinar una rareza de acceso a un archivo si proviene de un usuario que se conectó al recurso compartido en lugar de iniciar sesión directamente en el servidor y eliminar el archivo. Ese evento necesitaría una auditoría y un registro adicionales, pero yo empezaría por analizar el registro de acceso a AFP, ya que normalmente es así como se accede a los archivos desde un servidor.

Respondido el 22 de Junio, 2013 por Oskar (1242 Puntos )

0 votos

Avatar de Dyin

Gracias. Ya nos dimos cuenta hace tiempo... pero te agradezco tu detallada respuesta (y la captura de pantalla). Saludos.

Comentado el 3 de Septiembre, 2013 por Dyin

0voto

user125560 avatar
user125560 Puntos 1

No tengo conocimientos de informática, pero he aprendido un par de cosas que me gustaría compartir por si ayudan a alguien en el futuro.

Si estás usando un servidor Mac deberías probar a compartir la pantalla de tu ordenador con el servidor y abrir el programa llamado "Console" y comprobar los registros entre la última vez que viste el archivo en el servidor (necesitas saber el día y la HORA) y la primera vez que notaste que faltaba el archivo. En "Console" puedes ver todas las acciones de los usuarios y lo que han hecho en el servidor según la dirección IP individual de cada ordenador.

Tendrás que ir a los ordenadores de todos para averiguar sus direcciones IP, si todos usáis Macs, abre "Preferencias del Sistema" y haz clic en "Red" para ver la dirección IP del usuario de Mac. No estoy seguro de cómo encontrar las direcciones IP en los ordenadores PC con Windows.

Se necesita un poco de investigación, pero realmente se necesita saber los marcos de tiempo para ayudar a reducir la búsqueda en los registros, ya que puede haber literalmente millones de tareas registradas en la Consola, también, sólo tiene una cierta cantidad de tiempo antes de la historia de la Consola ya no es visible en los registros, por lo que es importante actuar con rapidez y guardar una copia de los registros para que tenga la prueba de una posible travesura.

Lo mejor es que traigas a un experto en informática (alguien de confianza) para que te ayude a analizar los datos y a respaldar tu afirmación de sabotaje ante tu supervisor.

Buena suerte ahí fuera, gente.

Respondido el 4 de Mayo, 2015 por user125560 (1 Puntos )

Preguntas relacionadas

Preguntas Destacadas

Etiquetas mas usadas

En nuestra red

AppleAyuda.com

AppleAyuda es una comunidad de usuarios de los productos de Apple en la que puedes resolver tus problemas y dudas.
Puedes consultar las preguntas de otros usuarios, hacer tus propias preguntas o resolver las de los demás.

Powered by:

Yandex
X