» Флейм для сисадминов (часть IV)

konungster

Спасибо! Счастье близко... ZFS пока не разбухла. Единственное но: эта пара скриптов действует не на ту дату, на которую мне нужно: бэкапится "Date Created", а мне нужно перенести "Date Modified".

Пытаюсь разобраться, можно ли их поменять как мне надо - но мозгов уже не хватает
http://jpsoft.com/help/pdir.htm
http://jpsoft.com/help/touch.htm

Если кто-то сообразит раньше, с меня магарыч. А пока сам пойду-ка пива употреблю...

LevT
там все просто

Цитата:

pdir /(fpn"|"dy/m/d"|"th:m:s) /s /a:-d /T:с * > flist1.txt

/T:type     Specifies which single one of the date and time fields below, available on a drive which supports long filenames, should be displayed and used for sorting:
a    Last access date and time (NTFS volumes).
c    Creation date and time.
w    Last write date and time (default).


со всоей стороны у touch есть такой же параметр /T

Цитата:

for /f "tokens=1,2,3 delims=|" %a in (@c:\flist1.txt) do touch /d%b /Tс%c "%a"

a    Last access time (on VFAT volumes access time is always midnight).
c    Creation time
w    Last modification (write) time


первым проходом можно забекапить дату создания

Цитата:

pdir /(fpn"|"dy/m/d"|"th:m:s) /s /a:-d /T:с * > flist_c.txt

вторым - записи

Цитата:

pdir /(fpn"|"dy/m/d"|"th:m:s) /s /a:-d /T:w * > flist_w.txt

и,соответственно, восстановить

Цитата:

for /f "tokens=1,2,3 delims=|" %a in (@flist_c.txt) do touch /d%b /tc%c "%a"
for /f "tokens=1,2,3 delims=|" %a in (@flist_w.txt) do touch /d%b /tw%c "%a"

у меня работает
и обрати внимание, в файлах flist_c.txt и flist_w.txt записывается путь файлов.

konungster

и ZFS в порядке




Добавлено:

Цитата:

обрати внимание, в файлах flist_c.txt и flist_w.txt записывается путь файлов.

и вот за это особенно

друзья админы а посоветуйте в след. ситуации. На Win Server 2003 R2 SP2 работает как файловый сервак, был раньше включен аудит кто че удалил, но найти там что-то было нереально, миллион записей, вообщем отключил я тут функцию, а щас грохнули важную папку и устроили разбор полетов. Как в будущем удобней мониторить кто че удалял ?

Даже интересно что имеется в DFS и иже с ним... Ни когда не использовал сам, только вот уже второй раз переношу с обычных виндовых шар на samba.

В samba всё нормуль, логи пиши с нужной подробностью, и плюс на случай таких инцидентов я еще использовал серверную корзину, которую чистил по сроку давности, а если там только текстовые документы, то вообще можно забить болт и не трогать корзину - пусть бухнет.

А задача-то какая: найти казла, или сохранить данные? Аудит - это орудие "секретных служб", для админа инструмент бэкапы.

Цитата:

А задача-то какая: найти казла, или сохранить данные? Аудит - это орудие "секретных служб", для админа инструмент бэкапы.

файловый сервак размером 900 гиг тупо некуда бекапить, поэтому нужно хотя бы аудит вести какой нибудь.

p/s/ компы в раб.группе

Alukardd
Чей-то ты плаваешь насчёт DFS, оно тут вообще не в кассу. DFS это средство высокой доступности CIFS-ярлычков.

DFS придумано для того, чтобы мариванну не учить тому, что если \\serv1\shara1 недоступна, то надо сходить на \\serv2\shara2, и наоборот Мариванне даётся единственный ярлычок \\serv\shara
(предполагается, что и клиентский, и серверный софт знают, как определить, куда её на самом деле посылать... и что делать с конфликтами)


Добавлено:
Maza777

Цитата:

файловый сервак размером 900 гиг тупо некуда бекапить, поэтому нужно хотя бы аудит вести какой нибудь.

А у меня неделю назад некуда было бэкапить 2TB.
Поднимайте рядом что-нибудь со снапшотами


Добавлено:

Аудит нужен НЕ админу, интерес нашего брата именно бэкапы-снапшоты.

LevT
Да собственно речь шла именно о "иже с ним".

Что касается конкретно таких проблем, как удаление, то я предпочитаю решать их "серверной корзиной".
А бэкапы это на случай полного краха... Частота их создания собственно зависит от критичности данных.

Добавлено:
LevT
Если так рассуждать то админу ни чего не нужно и сами данные в т.ч. :-D

Maza777 Попался мне скрипт когда-то

Код: SELECT
-- преобразовать SID в имя пользователя
eventid,
timegenerated,
-- все данные о событии хранятся в текстовом
-- поле strings, разделенные символом |
-- Получаем нужные данные из extract_token
extract_token(strings, 2, '|' ) as Folder,
extract_token(strings, 8, '|' ) as UserName,
extract_token(strings, 9, '|' ) as DomainName,
extract_token(strings, 11, '|' ) as UserNameCl,
extract_token(strings, 12, '|' ) as DomainNameCl,
INTO c:\temp\output.csv
FROM
Security
WHERE
EventID=560
And Message like '%%DELETE%%'
And Message like '%%D:%%'
And Not Message like '%%SAM%%'
order by Timegenerated DESC

vlary
Для этого аудит должен был работать...

Alukardd

Цитата:

Что касается конкретно таких проблем, как удаление, то я предпочитаю решать их "серверной корзиной".

Мне например она не поможет. У меня дурная привычка удалять с зажатым шифтом.



Цитата:

Если так рассуждать то админу ни чего не нужно и сами данные в т.ч. :-D

Ну типа если админ хочет "расти в безопасника" - тады да, аудит стоит изучить. А иначе пускай те, кому за это платят, укажут, что именно подвергать аудиту, и выделят на то ресурс.

А вот за что админа любого уважают - это за способность извлечь из жоппы пройобанные данные. Это настолько важно, что можно и за счёт собственного ресурса обеспечить, если иначе никак.

LevT
Цитата:

Мне например она не поможет. У меня дурная привычка удалять с зажатым шифтом.

и-и?) корзина-то серверная - в вашу и так ни чего удалённое smb шары не попадёт при всём желании... А вот удалённая система, то бишь samba, вместо удаления переместит файл в указанную ей директорию (корзину).

Гым... я, получается, вообще не в теме серверной корзины

По жизни замечал какой-то подобный сервис на винде... но в основном тока следы жизнедеятельности, при разборке загаженных дисков. RECYCLED и Recycler, ага.

Alukardd

Цитата:

Что касается конкретно таких проблем, как удаление, то я предпочитаю решать их "серверной корзиной".

Как это сделать на server 2003 ?

vlary
я в скриптах не силен. его нужно в CMD файл записывать или куда? И у меня раб.группа

LevT, Maza777
Что там в форточках видно в этом плане, я не исследовал. А вот в samba весьма приятная корзина.

Maza777

Цитата:

его нужно в CMD файл записывать или куда?

Его нужно сохранить как файл .sql. С мелкомягких скачать и установить Log Parser, и скормить ему этот файл.

Друзья, а ведь у меня, старого трудоголика, остаётся ещё два дня на свободное художество. Имею две одинаковые шары - старую и новую. И в общем-то готов потратить собственный ресурс на заведение "разумного порядка"


Цитата:

если ещё заведён и нормальный порядок хранения, а не просто куча-из-ста-тыщ-в-одной-папке.. ж%)

Что бы такое выдумать (и цельнозаконченно реализовать за два дня), чтобы предложить согласным юзерам работать впредь с разумной иерархей папок ну хотя бы чуточку разгрести срач - оставив для остальных "всё как было"?


Добавлено:

Почему эти оставшиеся выходные лучше любых следующих? Сейчас удобнее получить поддержку дирекции. Инициатором наведения порядка она не будет никогда, а в уменьшении беспорядка я сам заинтересован.

Точнее, дирекция может разродиться дико затратным проектом наведения порядка, требующим времени и согласований с моим участием - но вот этого-то мне как раз совсем не надо. Причём тоже только под моими настойчивыми пинками... которыми мне заниматься лениво: я лучше технические методы задействую.

Цитата:

 Его нужно сохранить как файл .sql. С мелкомягких скачать и установить Log Parser, и скормить ему этот файл.

скачал я парсер, сохранил скрипт в файл del.sql нажал выполнить его, запустился Management Studio и в нем ругнулось
"Сообщение 195, уровень 15, состояние 10, строка 8
'extract_token' is not a recognized built-in function name."

Что дальше?

Maza777
Цитата:

сохранил скрипт в файл del.sql нажал выполнить его, запустился Management Studio и в нем ругнулось

А я разве так делать советовал?
Для полного просветления в мозгах посмотри по этим ссылкам:
LogParser — привычный взгляд на непривычные вещи
И эту темку: Log Parser
Там в шапке есть ссылка на аудит журнала безопасности

LevT
Тут всё зависит от реальной организации фирмы (отделы, проекты, интересы и т.п.)
У меня на первой работе была сделана жёсткая структура. Т.е. я и еще несколько сотрудников (администрация по сути) потратили некоторое время и решили как и что делать (как должна выглядеть структурированная шара). После чего я создал эту структуру и запретил её изменение или вмешательство в неё. Т.о. помимо прочего разделения прав доступа, для всех поголовно есть запрет на изменение созданной структуры каталогов (выражается это в возможности что либо менять только в листах дерева, независимо на каком уровне появляется лист, на 2-м или 5-м)..
Да, для создания такого чуда, нужно время и не только админа, который поубавит амбиции юзверей техническими рамками, но и продвинутой части управляющих должностей, которые смогут сказать какая структура им удобнее.

Добавлено:
Распихивать документы в новую структуру напрягли самих юзверей. Т.е. им был дан строк в месяц и 2 подключенных сетевых диска (старая помойка и новая структура), через месяц просто я старый диск отключил и дал им еще пару месяцев на возможность забежать ко мне и ткнуть пальцем в то, что они в этой помойке забыли или не заметили.

Спасибо большое, покажу это потенциально заинтересованным как внятное описание того, что надо проделать.

По моим собственным раскладам... мне свои личные месяцы проще потратить на обеспечение удобного поиска по существующей помойке, чем на организацию описанной процедуры.

Другое дело, что даже на один месяц меня не оставят в покое... - пока я всю инфраструктуру для мгновенных полезных изменений не создам собственными усилиями.

Цитата:

выражается это в возможности что либо менять только в листах дерева, независимо на каком уровне появляется лист, на 2-м или 5-м

То есть если у пользюка появляется объективная причина в создании вместо листа каталога, он должен бежать к админу или специальному человеку?

LevT
Лично я на структуру потратил меньше рабочей недели. С учётом того, что я всё проделанное оформил в виде bash скрипта, который начисто создаёт структуру каталогов и выдаёт права соответствующим лицам или группам лиц. После каких либо манипуляций на помойке от root'а дабы восстановить вселенский баланс, я проганял этот скрипт только с функцией раздачи прав, т.о. я всегда могу применить те права, которые задумал. Соответственно при желании внести изменения в иерархию это делалось только через меня.
И предполагаю, что дня 2 потратили на это люди умудрённые желаниями о том что такое порядок. Ну и плюс пару часов мы вместе посидели, что бы я им дал напутствия. Всё равно в итоге это около недели заняло. Считаю что это немного.

Добавлено:
urodliv
Структура была согласована с наиболее осведомлёнными и опытными людьми и была зафиксирована. Человек может создавать сколь угодно много каталогов и вложенных каталогов, но только начиная с того места где ему это позволена. Грубо говоря первые 3 уровня иерархии отделов и т.п. были зафиксированы.
Ни кто кроме админа их править не может.

Добавлено:
urodliv
Я очень сомневаюсь что структура организации, категории документов и т.п. основополагающие структурные элементы организации меняются хотя бы раз в пол года...

Цитата:

Грубо говоря первые 3 уровня иерархии отделов и т.п. были зафиксированы.

Ну это другое дело. А то я уже хотел предложить создание каждого нового каталога оформлять приказом по организации

urodliv
Это совсем и жестоко по отношению к самому себе
Админ должен сидеть в тишине и покое и курить новые интересные статьи/книги/маны.

Alukardd

Всё что ты рассказываешь, очень ценно и безусловно практически применимо.

Но всё-таки следует понимать (хотя бы теоретически), что любая единственная структура это навязывание чьего-то "мнения о прекрасном".

Чтобы быть понятным: вот, в современных линуксах я обнаружил разнообразные виды содержимого /dev/: что-то вроде by-uuid, by-name, by-bus - и очень порадовался. Когда я в предыдущие разы поковыривал линуксы несколько лет назад, ничего такого там не было.


urodliv

Цитата:

Ну это другое дело. А то я уже хотел предложить создание каждого нового каталога оформлять приказом по организации

Для этого есть делегирование прав ) Вот только я на практике ещё не встречался с юзерами, которым можно что-либо делегировать и спокойно "читать маны". Уж лучше сделать самому.

Даже самые вменяемые представители администрации - которые, безусловно могут что-то сделать в своих собственных интересах точно - почему-то допускают в таких случаях приблизительность и странную забывчивость.

Хорошо, когда можно что-то делегировать молоденьким продвинутым девочкам - но... честно говоря, чем за ними проверять (и возиться с эпизодическими странностями женской психехики), мне-таки важнее одолеть "маны".

LevT
Цитата:

что любая единственная структура это навязывание чьего-то "мнения о прекрасном".

эм... к данной ситуации это применимо только отчасти. Пользователю и так выделяется папка (в рамках этой структуры или отдельно) в которой он может творить хаос. Но то к чему доступ должны иметь определённые группы тут должна быть структура, что происходит в противном случае вы сейчас наблюдаете, да и я пока на новой работе увы тоже (в списке моих приоритетов это далеко где-то в конце весьма длинного списка).

Добавлено:
Думаю, пора намекнуть ShriEkeR'у в личку, что данную тему пора ротировать... Есть возражения?)

vlary

Цитата:

А я разве так делать советовал?
Для полного просветления в мозгах посмотри по этим ссылкам:
LogParser — привычный взгляд на непривычные вещи
И эту темку: Log Parser
Там в шапке есть ссылка на аудит журнала безопасности

покурил я это все. все равно не понимаю, вбиваю весь код в клмандной строке LogParser 2.2 ругается на аргумент eventid.

Думал, думал. и скачал визуальную оболочку Lizard вставил туда скрипт, она говорит "Error parsing query: Syntax Error: <from-clause>: expecting FROM keyword instead of token C:\temp\output.csv" [Недопустимый или не поддерживаемый синтаксис запроса SQL]"

Alukardd

Цитата:

эм... к данной ситуации это применимо только отчасти. Пользователю и так выделяется папка (в рамках этой структуры или отдельно) в которой он может творить хаос.

Не обязательно считать хаосом всякий взгляд, отличный от "единственно правильного".

Даже мне себе единственному, горячо любимому, когда-то удобно листать девайсы by-bus, когда-то by-uuid, а когда-то иначе. В конторе могут быть разные взгляды на один и тот же контент у разных отделов и проектных групп...

Ты зря отрицаешь существование проблемы, старой как компьютеры. Для этого самого когда-то в юниксах были придуманы иноды, хардлинки и симлинки. А сейчас (на базе нынешних гигагерц и объёмов стораджа) развивается CAM: content addressable memory.

Упд. CAM это термин для низкоуровневых реализаций, а на уровне типа документов то же самое называется типа OBS: object-based storage


Добавлено:

Цитата:

личку, что данную тему пора ротировать...

А кто-то может объяснить, зачем на руборде темы ротируются? Я когда-то думал, чтобы не было трёхзначных номеров страниц, потом заметил, что некоторые темы ротируются типа на 400.

Почему бы не подождать в таком случае 999?