- PR -

ストレージサーバ上の共有フォルダのデータ(フォルダ)が不定期に消える

1
投稿者投稿内容
platini
大ベテラン
会議室デビュー日: 2002/12/03
投稿数: 193
投稿日時: 2007-06-07 13:46
サーバOS:Windows2003 Storage Server(NEC製)

導入以降、2年間ちょっと使用しているストレージサーバは
過去2年間以下のような運用を行ってきました。

共有フォルダを2個配置して、
同一LANセグメント内にある他の2台の
サーバ(Windows2003)からネットワークドライブ参照し、
他の2台のサーバのデータのDailyバックアップを取得。

過去2年間は何の問題も起きていませんでした。

最近共有フォルダを1個追加しました。
その共有フォルダは、従来のサーバに対するアクセス許可ではなく、
イントラ上のクライアントマシン(多数)
からのアクセスができる設定です。
(端的に言えば、Everyoneに対してフルコントロール)

この新規追加共有フォルダのデータが不定期に(1週間に1回位)、
全データが消滅する現象に見舞われています。

勿論、権限的に削除することはできるので、誰かが人為的な
操作で削除した可能性はあるのですが。

============================
そこで、教えていただきたく。
仮に 人為的な誤った操作で起きているのだと仮定します。

イベントログに、特定の監視対象フォルダが消されたとき、
その行為(操作)を行ったマシンのIPアドレスを含めて
イベントログに残したりできるでしょうか。

セキュリティイベントログに残せるやに見えるのですが、
具体的な設定方法がよくわかりませんでした。

LANなので、IPアドレスがわかれば、操作元は特定できます。
.NET の FileSystemWatcherなどで監視ツールを作ったとしても、
ファイル削除のイベントは取得できても、誰が(どのIPから)は
無理なようです。

なお、仮に適当なツール(無料系になりますが・・・)を
ご紹介頂けたとしてインストールは可能です。
とにかく痕跡がわかればよいので、
痕跡の出力先はシステムログイベントにはこだわっていません。

実際、人為的な操作ではなく、ストレージサーバ上の何らかの
設定ミス(変なタスクが走っている)せいなのかもしれませんが、
その場合でも、フォルダ削除を行った操作主体のIPアドレスが
わかれば、それで特定できると考えました。

宜しくお願いします。


ue
ぬし
会議室デビュー日: 2005/05/07
投稿数: 581
お住まい・勤務地: 広島市
投稿日時: 2007-06-07 14:11
こんにちは。

ファイルの削除をイベントログから監査することは可能です。
オブジェクトアクセスの監査を構成してイベントID の 564 を調査してください。

具体的な手順は マイクロソフト サーバー製品のログ監査ガイドファイルサーバー上のファイル操作における監査 (PDF 形式, 1.6MB) に載っています。
_________________
上本亮介 (ue) @ わんくま同盟
Microsoft MVP for VSTO (Jul 2008 - Jun 2009)
Hello Another World!
.NET 勉強会 / ヒーロー島
platini
大ベテラン
会議室デビュー日: 2002/12/03
投稿数: 193
投稿日時: 2007-06-07 14:35
ueさん 情報ありがとうございます。
レスを見る前に 監査でできそうだとのインターネット情報を見つけて
実験してました。単に監査するだけではなく、
プラス ローカルセキュリティポリシーのところで
オブジェクトアクセスの成功、失敗の両方または成功に
チェックを入れないと実際にイベントログに出てこないところに気が付くまで
はまってしまいましたが。

ueさんの提供してくれた情報の
ログ監査ガイドで体系的に把握できそうです。
ありがとうございました。
ひよっ子
常連さん
会議室デビュー日: 2006/04/07
投稿数: 37
投稿日時: 2007-08-10 10:27
お世話になります。
私のところでも同じ現象が発生しています。

OS:windows2003server
機種:ibm
使用用途:ファイルサーバー

クライアントはドメイン参加させております。
active directoryを構築しており、共有フォルダのアクセス権はADユーザーにて設定しております。
現象は、共有フォルダ中の複数フォルダが突然消えている(削除?)のです。
ユーザーは大体、朝気づき私に連絡してきます。
ユーザーが言うには「昨日の夕方まではデータはあった」との事です。

こういう現象は3回目です。
内2回は同部署用の共有フォルダの中のデータが削除されていたので、悪質ユーザーが行ったものだと思っておりました。
で、実は今日も現象が起きたのですが違う部署用の共有フォルダの中身が一部フォルダごと削除されていたのです。
一部と言っても10個以上のフォルダが削除されていました。

何か人が行ったのではなく、サーバーが勝手に削除しているように思えてきて投稿しました。
私もアクセスログはとっていなかったので、まったく仮定の話です。
(もちろん今後はログ対策を行います)
サーバーが共有フォルダの中にあるデータを削除してしまうという事はあるのでしょうか?
すみません新規にスレ立てようとしたら似たスレがあったのでこちらに質問させて頂きました。
よしら
会議室デビュー日: 2007/07/23
投稿数: 17
投稿日時: 2007-08-10 17:31
私のところでも、ありました。やはりログを取るほど、というより取ると膨大な量になりそうで。シャドーコピーで復帰しました。

原因を想定してみました。

・悪意のある所業→どうしようもないのでトレースしなくてはいけませんね。
・悪意のない所業→どうしようもないですね。でも、よくあるのは
         ドラッグ&ドロップでフォルダーを違うフォルダーに
         落としてしまったとか。眠いときにそうなります。
・BUG?→そう思いたい一面もありますね。

トレースしてみる。
  イベントログは見るのが大変そうです。だから全体が消えるのであれば
  いろいろな権限をつけたファイルを作成して人が特定できるように
  してみたらどうでしょうか?本当はファイル操作のログソフトが
  いいと思いますがこんなことでお金をかけたくないし。あと、その前に
  ADMIN権限のあるユーザーのパスワードを変更してからやらないと、owner
  取得して消されるかも。

本当にファイルは消えているのか?
  見えないだけではないのか?
    ・見る権限がない、なくなった→ディスクの使用量を見てみるとか
                    同じ名前の者を作ってみるとか。
    ・違うところにあって気がつかない→検索してみる。

  私が先日経験した、未解決ですが、アクセス権がなくなるという件で
  やはり共有フォルダーの操作でその操作対象になる共有フォルダーのルート
  からざっくり消える(見えなくなる)障害に見舞われました。

ひよっ子
常連さん
会議室デビュー日: 2006/04/07
投稿数: 37
投稿日時: 2007-08-10 19:12
やっぱりバグやサーバーが自動で削除してしまうという可能性は薄そうですね。。

>・見る権限がない、なくなった→ディスクの使用量を見てみるとか同じ名前の者を作ってみるとか。

これは知りませんでした。ディスク使用量が多いと見る権限がなくなるのでしょうか?
多いというのはどれくらいの容量なんだろう??
よしら
会議室デビュー日: 2007/07/23
投稿数: 17
投稿日時: 2007-08-20 08:57
言葉足らずで申し訳ありません。

容量が多くて見えなくなる、権限がなくなるのではなくて、
私の場合の話ですが、ある共有ファイルの権限を変更したところ
権限(影響)範囲内(よって、共有フォルダー全て)のファイルと
ディレクトリーの権限が消えてしまった(なぜかは不明ですが
そうなりました。バグでしょうか?)ということが発生しました。
ただの想像ですが権限変更をしたクライアントからサーバー上の
ファイルの権限変更時に適切なアクセス権内容が受け渡されず
空のアクセス権が渡されてしまいその結果誰も見る権限がなったのでは
と、、、考えた次第です。

1

スキルアップ/キャリアアップ(JOB@IT)