Помощь в поиске событий

SaymonPhoenix · Feb 19, 2018

Добрый день. Подскажите пожалуйста сохраняется ли где нибудь информация о действия пользователей в сетевой папке? Появилась в организации крыса, которая перемещает папки, чтоб никто их не мог найти, удаляет файлы, изменяет разрешения, в общем гадит втихоря. Можно ли как нибудь отследить кто переместил ту или иную папку, кто удали?

BaT · Feb 19, 2018

SaymonPhoenix said:
Добрый день. Подскажите пожалуйста сохраняется ли где нибудь информация о действия пользователей в сетевой папке? Появилась в организации крыса, которая перемещает папки, чтоб никто их не мог найти, удаляет файлы, изменяет разрешения, в общем гадит втихоря. Можно ли как нибудь отследить кто переместил ту или иную папку, кто удали?

O_O
Все зависит от того, какой сервис используется. Если, как я подозреваю - SMB, то в нем есть модули *audit, которые могут логгировать различные действия пользователей. Не просто так, конечно - может съесться до 20% производительности системы. Но тут уж, что важнее.

Ну и всегда полезно доступ к шарам предоставлять только аутентифицированным пользователям.

BaT · Feb 19, 2018

http://samba.org.ru/samba/docs/man/manpages/vfs_audit.8.html

http://samba.org.ru/samba/docs/man/manpages/vfs_extd_audit.8.html

http://samba.org.ru/samba/docs/man/manpages/vfs_full_audit.8.html

Mihalich · Feb 19, 2018

SaymonPhoenix said:
Добрый день. Подскажите пожалуйста сохраняется ли где нибудь информация о действия пользователей в сетевой папке? Появилась в организации крыса, которая перемещает папки, чтоб никто их не мог найти, удаляет файлы, изменяет разрешения, в общем гадит втихоря. Можно ли как нибудь отследить кто переместил ту или иную папку, кто удали?

Если не сложно, расскажите чем закончилось.

SaymonPhoenix · Feb 20, 2018

BaT said:
O_O
Все зависит от того, какой сервис используется. Если, как я подозреваю - SMB, то в нем есть модули *audit, которые могут логгировать различные действия пользователей. Не просто так, конечно - может съесться до 20% производительности системы. Но тут уж, что важнее.

Ну и всегда полезно доступ к шарам предоставлять только аутентифицированным пользователям.

Доступ только по логинам и паролям, но это не мешает кому-то гадить. Аудит пробывал вчера, но при тестовом удалении файла явного логирования удаления так и не нашел. Были записи об открытии файла, о смене разрешений про rm ничего.

Important Announcement for the TrueNAS Community.

Помощь в поиске событий

SaymonPhoenix

Dabbler

BaT

Explorer

BaT

Explorer

Mihalich

Patron

SaymonPhoenix

Dabbler

Similar threads