• Бесплатный ВЕБИНАР по OSINT с Екатериной Тьюринг: ➡️9 февраля в 19:00 (мск) пройдет урок

    Как безопасно искать информацию в открытых источниках

    🔥 Записаться 🔥

Понято кто удалил документы

  • Автор темы Автор темы iki
  • Дата начала Дата начала
I

iki

Из базы бесследно исчезла часть документов. (база согласования все доки привязаны к внешним карточкам в других базах)

Внешние карточки остались связи по служебным полям тоже. Документы в базе согласования исчезли. Стабов нет. Поиск по UNID'у выдает "инвалид унид". В базах логов записей нет.

Такое ощущение что кто-то накосячил и случаенно каким-нибудь ScanEZ'ом поделитил документы. Вопрос: можно ли найти кто?
 
а в юзер детайлах что нибудь есть?
 
недавно тему обсуждали... надо знать несколько вещей: кто может удалять документы и как удаление могло произойти...
iki сказал(а):
случаенно каким-нибудь ScanEZ'ом поделитил документы
Нажмите, чтобы раскрыть...
сразу становится ясно, что есть группа лиц, которые могут юзать спецсофт на соответствующем уровне....
Смотрите user details и log.nsf в части интересующего момента времени..

в базе надо иметь как минимум корзину и включить soft deletetion - часто можно помочь...
 
а случайно на базе формулу репликации не устанавливали?
 
Log.nsf не поможет. Так как:
1. Не понятно на каком именно сервере удалили документы
2. Не ясно точное время удаления. Интервал - неделя. Баз на сервере много.

Юзеры не могут удалять документы. Все удаления на пользовательском уровне происходят так doc.replaceitemvalue("deleted","1")+ запись в лог.

Да есть группа администраторов у которых есть права на удаления и спец софт. Грешу на них. Но как проверить...

user details хранится только за текущий день.

Видимо всетаки при данных условиях миссия не выполнима..
 
ну, еще можно бы глянуть бекапы, если имелись таковые =)
 
бэкапная схема какая? исследуя. можно время определить примерно... понять кто работал в те дни ну и т.д. Понятно, восстановить доки из бэкапа...


OKEN - мыслим в унисон с точностью до минуты :)
 
Документы в бэкапах есть. Проблемма не в этом. Восстановить если потребуется восстановим (Там не храниться ничего важного что нельзя перекрепить\пересоздать руками, так что поднимтаь бэкапы не требуеться.. покрайней мере пока (сколько именно доков поделители не ясно. Пока что всплыло около 10) ). Пытаюсь выяснить причину и\или найти виноватых. Делаются каждые 3 дня. Исследовать несколько и найти более мелкий интервал(±3 дня) можно - но смысл.. Темболее это связано с большим оформленческим гемороем.
 
корзина пустая? агенты-мусорщики есть?
 
Следов документа в базе нет вообще. Агенты мусорщики есть. Проверял их первым делом. Но видимо это не они,
так как:
1. Смотрел код и там вроде все ок (Очень маловерятно что удаленные документы могли удовлетворять условиям физического удаления)
2. Агенты оставляют стабы.

Что подразумеваете под корзиной?
 
Увы я не могу изменять настройки рабочих баз
 
iki
поставить задачу админам...
ну а что там в АЦЛ? реально если группы указаны серверов - достаточно правильно ввести чужие всервера в группы текущего домена...
 
что-то вы тут явно не договариваете или не туда смотрите
если удалять документы ScanEz с указанием не создавать стаб, то документ при следующей репликации тут же появится в текущей базе, так как отсутствие стаба воспринимается репликатором как новый документ
я бы смотрел в сторону правил репликации или SpaceSaver в настройках реплики
 
отсутствие стаба воспринимается репликатором как новый документ
Нажмите, чтобы раскрыть...
Об этом как-то не подумал. Спасибо

Репликацию посмотрел там вроде все норм.
Похоже сам себя перемудрил. Наверно всетаки надо упорнее искать косячный агент. Похоже стабы просто пропали по давности (возможно ошибся с примерными сроками удаления). Буду думать.
 
ToxaRat сказал(а):
..если удалять документы с указанием не создавать стаб, то документ при следующей репликации тут же появится в текущей базе..
Нажмите, чтобы раскрыть...
Чуть-чуть не так.
Если зачистить историю - удалённые док-ты действительно восстановятся из соседней реплики. Или - если оригинал будет обновлён в соседней реплике.
Иначе - нет
 
Для ответа нужно войти/зарегистрироваться
Мы в соцсетях:

Обучение наступательной кибербезопасности в игровой форме. Начать игру!

Верх Низ