Toon posts:

[w2k8] Verwijderde bestanden netwerkschijven

Pagina: 1
Acties:

woensdag 5 mei 2010 14:52

Acties:
  • PeeCee
  • Registratie: September 2005
  • Laatst online: 20-12 08:33

PeeCee

Topicstarter
Wij ondervinden op het moment wat incidenten omtrent verwijderde bestanden van netwerkschijven. Nu zijn deze (binnen aanzienbare tijd) eenvoudig terug te halen dankzij het schaduwvolume of uit back-up.
Echter blijkt het ook wel eens voor te komen dat er opeens hele mappen verdwenen zijn en iedereen (die er toegang tot heeft) beweerd niets verwijderd te hebben.

Nu is dit alles niet een heel groot probleem. Bestanden terug plaatsen gaat snel en gemakkelijk. Maar de back-up gaat maar 14 dagen terug en het schaduwvolume soms langer en soms korter terug. En dit is op zich zelf een probleem gezien het wachten op de dag is dat verloren data ouder is dan deze 14 dagen.

Nu weet ik dat er elke week een snapshot gemaakt kan worden, maar met de hoeveelheid verplaatste, verwijderde, nieuwe en bestaande data zou dit een dure zaak worden.

Nu ben ik opzoek naar software die netwerkschijven kan monitoren en bij kan houden wie wat en wanneer verwijderd, verplaatst of gemaakt heeft op deze schijven. En bij voorkeur ook nog het verwijderde in een soort van prullenbak wordt geplaatst en ik bij grote hoeveelheden aan de bel kan trekken.

Ik heb al gezocht via Google met "networkdisk monitor, networkshare monitor, networkshare recylebin, networkdisk recylebin en zo ook in het Nederlands. Dit leverde weinig tot geen resultaat op. Er zijn blijkbaar veel problemen mee, maar ik vind geen oplossingen.

Ik vroeg mij af of andere mensen met dit soort problemen ervaring hebben en mij misschien een goede oplossing kunnen geven die ook nog betaalbaar is of misschien software kennen die dit bijhoud?

Ik wil namelijk niet het risico lopen om iets niet meer terug te kunnen halen en niet duidelijk te weten wie het verwijderd heeft, om welke redenen dan ook.
En ik geloof niet dat data die op schijven staan, zomaar verdwijnen(mits iemand mij het tegendeel kan bewijzen) zonder user input, dus wil ik ook weten wie ik op ze donder kan geven })

Het gaat om een server met w2k8 SBS er op met een DAS welke in Raid5 functioneert. Alle cliënts zijn Windows XP of Windows 7. Verder is zowel de server als alle cliënt voorzien van een ESET NOD32 v4 virusscanner.

woensdag 5 mei 2010 19:04

Acties:
  • vinniel83
  • Registratie: November 2009
  • Laatst online: 18-01-2024

vinniel83

Je kunt auditing aanzetten op je shares, dit vind je onder het tabblad beveiliging, en monitoren of er bestanden verwijderd worden en door welke gebruiker, dit kan je dan terug vinden in je security logboek, zorg er wel voor dat je de grote van je security logboek een stuk groter maakt, anders kun je maar een paar dagen terug kijken.

woensdag 5 mei 2010 19:12

Acties:
  • alt-92
  • Registratie: Maart 2000
  • Niet online

alt-92

ye olde farte

[google=network recyclebin] bevat anders toch wel een aantal verwijzingen naar bestaande softwarepakketten die beweren die functie te bieden?
Sterker nog: [search=netwerk prullenbak] en de topiclijst van de afgelopen 5 dagen vermeldt zelfs een dergelijke vraag:
\[2003] Netwerkprullenbak mogelijk?

Zet desnoods ook die bewuste shares in de Windows Search Catalog, het zal niet voor het eerst zijn als er een domme drag-n-drop verplaatsing wordt gezien als een verwijderde map.
Staat die data echt niet op een andere plek? Merk je het echt duidelijk aan de hoeveelheid data?

En inderdaad: auditing kun je enablen op de server zodat je bij delete acties in je security eventlogs daarvan bewijzen krijgt.
Hou er alleen wel rekening mee dat je dit zorgvuldig moet inzetten, anders loopt binnen de kortste keren je eventlog vol. Gebruik dus een aanpak waarbij je je eventlogs regelmatig backupt of exporteert (kan je scripted doen, even zoeken met de juiste keywords zet je dan al in de juiste richting).

[ Voor 15% gewijzigd door alt-92 op 05-05-2010 19:15 ]

ik heb een 864 GB floppydrive! - certified prutser - the social skills of a thermonuclear device

woensdag 5 mei 2010 23:50

Acties:
  • PeeCee
  • Registratie: September 2005
  • Laatst online: 20-12 08:33

PeeCee

Topicstarter
Bedankt voor jullie reacties.

@vinniel83
Ik heb even gekeken naar auditing op de windows server, echter logt dit niet enkel de aangegeven fileoperations (zoals remove) maar ook vele andere dingen na het aanzetten hiervan. Dit zal dan ook een flinke log veroorzaken welke het al deed na 5 minuten zonder dat iemand iets had verwijderd. En bij het verwijderen van één bestand kreeg ik al minimaal 8 meldingen.

@alt-92
Ik heb inderdaad even gezocht op wat er "verloren" was, welke ik niet had gedaan of gedacht op het moment zelf (mensen in paniek aan de andere kant van de telefoon). En inderdaad was het verplaatst denk ik, want ik vind het zelfde terug elders. Moet morgen nog even overleggen of het niet toevallig een gemaakte kopie is voor andere doeleinde. Maar datum en tijden komen overeen, dus denk dat het idd verplaatst is.

Ook heb ik gekeken naar VSS, echter functioneert dit zeker niet als het gaat om verwijderde bestanden en die naar een maand terug te halen. We hebben een diskarray van 2 TB en uitbreiden naar 4 to 6 TB zou veel geld gaan kosten.

Tevens heb ik ook de sites gevonden waar naar verwezen wordt, echter gaat het hierbij om een tool die op de client draait. Ook zou dit de verwijderde bestanden overhalen wat erg veel onnodige belasting zou leggen op het netwerk.

Ik ben meer opzoek naar software die enkelvoudig op de server werkt en daar dan ook verwijderde bestanden opslaat en aangeeft wie deze heeft verwijderd en misschien ook verplaatst. Het gaat mij er vooral om, om niet aangekeken te worden over vier maanden als ze iets kwijt zijn en ik geen back-up meer heb (wat redelijk logisch is).

In onze back-up tool kan ik wel zien hoeveel er is verwijderd en bij is gekomen, maar dit kan op sommige dagen ook redelijk kloppend zijn. Plus dat ik niet elke dag dit uitlees.

woensdag 5 mei 2010 23:53

Acties:
  • MAX3400
  • Registratie: Mei 2003
  • Laatst online: 10-12 10:40

MAX3400

XBL: OctagonQontrol

Dan maak je je log-size toch groter? En desnoods maak je ergens een automatisch filter middels VBS of Excel wat eens in de 24 uur een op bepaald event filtert, dat wegschrijft of apart houdt en dan het volledige auditing log weer leeg gooit?

Mijn advertenties!!! | Mijn antwoorden zijn vaak niet snowflake-proof

donderdag 6 mei 2010 00:10

Acties:
  • redfoxert
  • Registratie: December 2000
  • Niet online

redfoxert

Heb je ook al gedacht om de backup cycle te verlengen dan wel te vergroten? Ik weet niet hoe je nu backups maakt maar het moet toch wel te doen zijn om backups met een langere retentie te maken.

Daarnaast, hoeveel is die data waard die ze schijnbaar regelmatig kwijtraken? De investering die nu nodig zal zijn in grotere storage (voor langere shadowcopy retentie) of langere backups zal in het niet vallen bij hoeveel het kost om data van 2 maanden terug te halen of opnieuw te maken.

https://discord.com/invite/tweakers

donderdag 6 mei 2010 13:38

Acties:
  • alt-92
  • Registratie: Maart 2000
  • Niet online

alt-92

ye olde farte

PeeCee schreef op woensdag 05 mei 2010 @ 23:50:

Ik heb inderdaad even gezocht op wat er "verloren" was, welke ik niet had gedaan of gedacht op het moment zelf (mensen in paniek aan de andere kant van de telefoon). En inderdaad was het verplaatst denk ik, want ik vind het zelfde terug elders. Moet morgen nog even overleggen of het niet toevallig een gemaakte kopie is voor andere doeleinde. Maar datum en tijden komen overeen, dus denk dat het idd verplaatst is.
Dat is eigenlijk het eerste wat je doet - of laat doen. Je zal eerst moeten vaststellen of het écht weg is voor je alles en iedereen uit de kast moet trekken om de boel te herstellen.
Eindgebruikers raken gauw in paniek, jij bent de ITjert die juist het hoofd koel zou moeten houden dan :P

Uiteraard helpt het wel als je een goed ingerichte omgeving hebt, met dito backup & restore procedure, maar als het even kan voorkom je liever dat er naar de tape moet worden gezocht.

ik heb een 864 GB floppydrive! - certified prutser - the social skills of a thermonuclear device

vrijdag 7 mei 2010 12:07

Acties:
  • Exorcist
  • Registratie: Maart 2002
  • Niet online

Exorcist

Uitdrijvûrrrr!

Ik heb hier altijd één afdeling die het voor elkaar krijgt bestanden te verwijderen "nee, niemand heeft ze verwijderd" of Excel bestanden corrupt krijgt.

Omdat ik tapes wisselen niet tot mijn hobby beschouw, maar ik van hun folder op de netwerkschijf een automatische kopie op een andere fysieke disk waar niemand bij kan, en dat om het uur.

Kan handig zijn bij afdelingen met veel vrouwen.

zondag 9 mei 2010 17:40

Acties:
  • PeeCee
  • Registratie: September 2005
  • Laatst online: 20-12 08:33

PeeCee

Topicstarter
Bedankt voor jullie reacties, heeft me weer aan het denken gezet.

@MAX3400
Het is een idee om idd de toegang tot bestanden en mappen bij te houden en daarbij de logs te filteren en daarna weer te legen. Nu kan ik zelf wel aardig VBS schrijven, maar hiervoor zal ik dan wel Google nodig hebben.
Misschien kan het zelfs zo gemaakt worden dat ik gewoon de gegevens netjes in een DB kan zetten om die dmv een query of een webpagina uit te lezen. Zou ook redelijk wat zoekwerk schelen in de verre toekomst.

@redfoxert
Twee goede punten.

De back-up wordt gemaakt naar een externe omgeving, welke wij huren. De kosten hiervan zijn op het moment nog redelijk hoog per zoveel GB. Ik heb de retentie nu wel opgeschroefd naar 14 dagen, echter is het de vraag of ik dit nog haal in de beschikbare ruimte. (naar deze locatie gaat alles heen, dus ook SQL, Exchange, SystemState en bestanden).

Nu hebben wij (met name ik als enige ITer) in het verleden gedacht om zelf extern een server te plaatsten en daar back-up op weg te zetten. Echter kwam uit de kosten & baten berekening dat we bij een externe partij goedkoper uit zouden zijn. Want bij deze externe server komt naast de initiële investering, ook het maandelijkse dataverkeer, onderhoud kosten en locatiekosten.

Nu is het heel moeilijk uit te meten wat het precies kost als data echt verloren is. Zo is het heel afhankelijk of het om actuele data gaat of data van een lange tijd geleden die nog wel wordt gebruikt.
Deze data kan vandaag gemaakt worden en morgen weg zijn, maar ook drie weken geleden gemaakt zijn, daar tussen nog 80 keer aangepast en dan verwijderd zijn. Nu is het altijd de vraag wanneer het verwijderd is. Nu zou dat uit te lezen kunnen zijn, maar dan nog heb je de bestanden wel of net niet.

Naast dit alles is het de vraag wanneer het ontdekt wordt, sommige dingen gebruik je eens in de maand en sommige dingen maar eens in het jaar. Maar misschien beide net zo belangrijk.

@alt-92
Als ik in college zit en de telefoon gaat denk ik daar niet zo helder over na. Plus dat het terug halen (binnen 12 tot 24 uur) zowaar minder tijd kost dan het te gaan zoeken op dat moment.

Er zijn een hoop zaken die nog structuur moeten krijgen bij ons op de zaak. Het is niet een heel groot bedrijf en ik ben dan ook de enige ITer die alles doet met soms geen tijd. Het is vaak ook moeilijk om binnen een klein bedrijf structuur aan te brengen in de IT (qua handelen van personeel als ze data kwijt zijn) omdat er binnen het bedrijf zelf niet veel structuur is en mensen ook anders reageren.

@Exorcist
Een kopie bij houden van alles? Mogelijk een idee, maar tot hoever ga je dan?
Jij maakt je druk om één afdeling met veel vrouwen? Ik heb naast me baas en mensen van het magazijn alleen maar vrouwen om me heen 8)7 . Krijg je in de Fashion :9 . Maar ik persoonlijk denk ik niet dat het veel uit maakt of je man of vrouw bent wanneer je niet met de computer weet om te gaan. Zou een leuk onderwerp kunnen zijn voor me onderzoek :Y

Maar om niet te ver van het onderwerp af te dwalen denk ik dat auditing met een filter via VBS een goede oplossing is om te traceren wie wat en wanneer. Echter zit ik dan nu nog wel met de opslag probleem, hoe kan ik dit het beste inrichten zodat ik minder risico loop?

Ik zit zelf te denken om te kijken of het kopieren naar een NAS van verwijderde bestanden een mogelijkheid is. Zo zou de back-up gewoon naar extern kunnen blijven lopen waarbij verwijderde bestanden hieruit worden terug gehaald en op de NAS wordt opgeslagen.

Ik ga dinsdag kijken hoe toepasbaar is oplossing is voor bestanden. Als er nog andere ideeën zijn hoor ik dit graag. :)

zondag 9 mei 2010 17:58

Acties:
  • alt-92
  • Registratie: Maart 2000
  • Niet online

alt-92

ye olde farte

PeeCee schreef op zondag 09 mei 2010 @ 17:40:
Bedankt voor jullie reacties, heeft me weer aan het denken gezet.

@MAX3400
Het is een idee om idd de toegang tot bestanden en mappen bij te houden en daarbij de logs te filteren en daarna weer te legen. Nu kan ik zelf wel aardig VBS schrijven, maar hiervoor zal ik dan wel Google nodig hebben.
Misschien kan het zelfs zo gemaakt worden dat ik gewoon de gegevens netjes in een DB kan zetten om die dmv een query of een webpagina uit te lezen. Zou ook redelijk wat zoekwerk schelen in de verre toekomst.
Om maar alvast wat Googlewerk op te leveren icm logging opslaan in SQL:
Kijk eens of je met LogParser wat leuks in elkaar kan zetten :)
@alt-92
Als ik in college zit en de telefoon gaat denk ik daar niet zo helder over na. Plus dat het terug halen (binnen 12 tot 24 uur) zowaar minder tijd kost dan het te gaan zoeken op dat moment.

Er zijn een hoop zaken die nog structuur moeten krijgen bij ons op de zaak. Het is niet een heel groot bedrijf en ik ben dan ook de enige ITer die alles doet met soms geen tijd. Het is vaak ook moeilijk om binnen een klein bedrijf structuur aan te brengen in de IT (qua handelen van personeel als ze data kwijt zijn) omdat er binnen het bedrijf zelf niet veel structuur is en mensen ook anders reageren.
Imho pak je het dan nog steeds reactief aan, maar ok :)
Shadow Copies zijn ook voor de eindgebruiker makkelijker uit te leggen en een bijkomend effect is dat men zelf ook leert zelfstandiger te werken omdat ze nu niet direct naar de telefoon hoeven te grijpen.
Ook al zou je met VSS slechts 5 dagen terug kunnen gaan: na enige tijd hebben ze zelf door dat die bestanden niet echt weg zijn maar per ongeluk verplaatst worden en letten ze daar zelf ook veel meer op.
Maar om niet te ver van het onderwerp af te dwalen denk ik dat auditing met een filter via VBS een goede oplossing is om te traceren wie wat en wanneer. Echter zit ik dan nu nog wel met de opslag probleem, hoe kan ik dit het beste inrichten zodat ik minder risico loop?

Ik zit zelf te denken om te kijken of het kopieren naar een NAS van verwijderde bestanden een mogelijkheid is. Zo zou de back-up gewoon naar extern kunnen blijven lopen waarbij verwijderde bestanden hieruit worden terug gehaald en op de NAS wordt opgeslagen.
Hoe wil je een bestand dat verwijderd is nu ergens opslaan? Het is weg, of niet weg.

ik heb een 864 GB floppydrive! - certified prutser - the social skills of a thermonuclear device

maandag 10 mei 2010 19:55

Acties:
  • PeeCee
  • Registratie: September 2005
  • Laatst online: 20-12 08:33

PeeCee

Topicstarter
alt-92 schreef op zondag 09 mei 2010 @ 17:58:
Hoe wil je een bestand dat verwijderd is nu ergens opslaan? Het is weg, of niet weg.
Nee, het is nog beschikbaar via VSS of back-up beschikbaar. Dus zou het mogelijk zijn om deze op te slaan omdat het nog aanwezig is. Het back-up programma bied mij niet de mogelijkheid om automatisch verwijderde gegevens terug te halen in geval van verwijdering, dus dat is een no go.

Om het ingewikkeld te maken dacht ik aan het volgende, maar weet niet of dit geheel mogelijk is zoals ik dat voor ogen heb. Misschien via de gegevens uit de auditlogs is het pad op te halen waarna het uit de VSS gehaald kan worden. Maar dat wordt nog wel een leuk werkje aangezien het niet zo eenvoudig is als dat het hier staat. :X

Mits er nog goede andere ideeën zijn?
Pagina: 1
Reageer

Apple iPhone 17 LG OLED evo G5 Google Pixel 10 Samsung Galaxy S25 Star Wars: Outlaws Nintendo Switch 2 Apple AirPods Pro (2e generatie) Sony PlayStation 5 Pro

Tweakers is onderdeel van DPG Media B.V.
Alle rechten voorbehouden - Auteursrecht © 1998 - 2025 Hosting door TrueFullstaq