Кто удалил каталог

[akbr1k 0]

Добрый день. Есть DS1815+, есть домен. Есть общая папка в которой всем пользователям домена даны права на чтение/редактирование/удаление. Какая нехорошая личность периодически трет нужные каталоги, в центре журналов информации об удалении каталогов нет, только файлов. Вопрос: как посмотреть кто удалил конкретный каталог, зная дату удаления и приблизительное время.

[akbr1k 0]

Кусок лога:

После 2022/01/19 18:27:04 логов по каталогу нет, тем не менее с утра этого каталога не было.

Передача файла Windows	2022/01/19 18:27:04	192.168.169.211	*\*	move	Файл	6.39 MB	/users/обмен/*/ДА.pdf
Передача файла Windows	2022/01/19 18:25:53	192.168.169.211	*\*	write	Файл	16 Bytes	/users/обмен/*ДА.pdf
Передача файла Windows	2022/01/19 18:24:04	192.168.169.211	*\*	write	Файл	4.00 KB	/users/обмен/*Scan.pdf

[QwertRob 0]

3 часа назад, akbr1k сказал:

как посмотреть кто удалил конкретный каталог

Насколько мне известно, на DSM-6x - никак. Вроде бы появилась какая-то похожая функция в DSM-7. По крайней мере, читал, что в ней можно увидеть кто какие файлы держит открытыми. А что Вам мешает использовать снапшоты? Или надо просто найти нехорошего человека?

[akbr1k 0]

31 минут назад, QwertRob сказал:

Насколько мне известно, на DSM-6x - никак. Вроде бы появилась какая-то похожая функция в DSM-7. По крайней мере, читал, что в ней можно увидеть кто какие файлы держит открытыми. А что Вам мешает использовать снапшоты? Или надо просто найти нехорошего человека?

Надо найти и объяснить. Каталоги регулярно подчищаются. Все бекапится регулярно, но каждый раз восстанавливать уже надоело.

[QwertRob 0]

6 часов назад, akbr1k сказал:

Надо найти и объяснить.

Если юзверей не очень много, можно попробовать такую тактику: поочередно втихую отбирать права на удаление и смотреть на результат.

[kucher 0]

1. Настройте дублирование (сохранение) логов в отдельный каталог под Админом.

2. Не смотрите сохранённые логи штатной утилитой, она не всё показывает. Мне понравилось как с ними справлялся Notepad++.

[QwertRob 0]

2 часа назад, kucher сказал:

Мне понравилось как с ними справлялся Notepad++.

Вы про журналы с какой DSM говорите?

[kucher 0]

В 24.01.2022 в 16:32, QwertRob сказал:

Вы про журналы с какой DSM говорите?

6-ой версии. Я скачивал сохранённые журналы на ПК и там искал. На самом NAS чё-то найти в журналах - занятие так себе.

[QwertRob 0]

3 часа назад, kucher сказал:

Я скачивал сохранённые журналы на ПК и там искал.

Повторил Ваш вариант. Никакой новой инфы в логах не обнаружил, те же поля. Или Вы имели в виду просто большее удобство поиска и просмотра?

[kucher 0]

14 часов назад, QwertRob сказал:

Повторил Ваш вариант. Никакой новой инфы в логах не обнаружил, те же поля. Или Вы имели в виду просто большее удобство поиска и просмотра?

Удобство - + у меня было такое, когда на NAS в логах просто не находилось ничего. А вот описанным способом находилось всё.

[QwertRob 0]

1 час назад, kucher сказал:

А вот описанным способом находилось всё.

Рискну еще раз уточнить, чисто для себя: Вы своим способом видели какую-то дополнительную инфу в логах, которую стандартным способом нельзя увидеть?

[xvss 0]

2 часа назад, QwertRob сказал:

видели какую-то дополнительную инфу в логах, которую стандартным способом нельзя увидеть?

-- увидеть можно, найти трудно. Ну например стандартный поиск чувствителен к регистру букв, а Notepad++ ищет вне зависимости от регистра. Т.е. по слову "hyper" событие "System successfully stopped [Hyper Backup]." стандартный поиск не найдет, а блокнот найдет.

[kucher 0]

В 26.01.2022 в 16:47, QwertRob сказал:

Рискну еще раз уточнить, чисто для себя: Вы своим способом видели какую-то дополнительную инфу в логах, которую стандартным способом нельзя увидеть?

Именно так. Причём мы здесь это обсуждали где-то и кто-то ещё подтверждал что иногда стандартными средствами чего-то не находится. Но оно есть.
У меня, помнится, со стандартным поиском творилась какая-то дичь, вроде зависания процедуры поиска или просто ничего не находило. Было чувство, будь то каждый раз когда ищешь - находит всё меньше и меньше, словно фильтры какие-то не сбрасываются. А мне надо было срочно, я и последовал чьему-то совету.

[QwertRob 0]

1 час назад, kucher сказал:

Именно так.

Можете привести пример любого поля данных любого лога, которое не видно в стандарте, но обнаруживается Вашим способом?

[kucher 0]

16 часов назад, QwertRob сказал:

Можете привести пример любого поля данных любого лога, которое не видно в стандарте, но обнаруживается Вашим способом?

Ну, кажись я тогда искал кто конкретно имел доступ к определённому каталогу и получилось у меня это лишь описанным выше способом. Это было довольно давно и факт имел место быть не только у меня, что мною и несколькими участниками где-то на форуме обсуждалось. Возможно, баг уже исправили. Возможно к этому времени исправили даже фееричный Drive.
Сейчас у меня отпала необходимость поиска чего-то в логах, поскольку я сменил профиль деятельности. Правда, логи всё так же пишутся в отдельный каталог.

[QwertRob 0]

29 минут назад, kucher сказал:

Ну, кажись я тогда искал кто конкретно имел доступ к определённому каталогу

То есть, Вы своим способом нашли в логах список доступа к конкретному объекту? Ну хоть как-то можете продемонстрировать? На форуме ничего похожего, относительно логов пока не нашел... 

[kucher 0]

51 минут назад, QwertRob сказал:

То есть, Вы своим способом нашли в логах список доступа к конкретному объекту? Ну хоть как-то можете продемонстрировать? На форуме ничего похожего, относительно логов пока не нашел... 

Ну, способ-то не мой, мне просто подсказали. Да, я не мог чего-то найти стандартными средствами и когда выгрузил файлы логов с сервера на свой комп - просто "дал пожевать" их Notepad++. У него есть функция поиска текста в файлах и выдаёт он результат в очень удобной для меня форме. Что тут демонстрировать, берите и пробуйте, если есть желание. Если уж так не найдётся, ну тогда и правда нету там ничего и событие просто не пишется в лог, потому что например действие с файлами выполняется от какого-то приложения, у которого свои логи или в его настройках не установлена соответствующая опция: ведение логов.
Кажется, лог пишется в файл после достижения определённого объёма и если интересующие Вас данные ещё не будут сохранены в отдельный файл, то поглядеть их содержимое можно только на NAS.

[QwertRob 0]

42 минут назад, kucher сказал:

Если уж так не найдётся, ну тогда и правда нету там ничего и событие просто не пишется в лог,

Так именно это я и пытаюсь Вам сказать: хоть чем смотри, если там этого нет, то и не увидишь. И не зря спрашивал: иной контент или просто удобство просмотра. Все, спасибо.