• Apfeltalk ändert einen Teil seiner Allgemeinen Geschäftsbedingungen (AGB), das Löschen von Useraccounts betreffend.
    Näheres könnt Ihr hier nachlesen: AGB-Änderung
  • Es regnet, ist neblig und kalt, alle sind krank und der Chef wird zunehmend cholerisch. Das Thema des Monats ist also folgerichtig --> Das Grau(en)
    Wir sind gespannt, war Euch dazu einfällt! Zum Wettbewerb --> Klick

10.11.3 Server Löschen auf Freigabe protokollieren

ibastl

ibastl

Pferdeapfel
Registriert
13.01.04
Beiträge
79
Hallo Kollegen,

ich müsste auf einer Freigabe, die auf einem via Thunderbolt angeschlossenen RAID die Löschvorgänge protokollieren. Da verschwinden nämlich von Zeit zu Zeit Dateien und Verzeichnisse ins Nirgendwo und keiner hat's gelöscht.

Bitte keine Layer 8 Witze und so - das ist mir echt ein Rätsel.

Also wie kann ich die Schreib-, Lese- & Löschvorgänge auf einer Freigabe protokollieren lassen bzw. das Protokoll auslesen?
Finde ich das in der Konsole? Wie filtere ich am besten?

Gruß

Bastian
 
Marcel Bresink

Marcel Bresink

Filippas Apfel
Registriert
28.05.04
Beiträge
8.856
Was ist ein "10.11.3 Server"? Eine Installation von OS X 10.11.3, auf der OS X Server 5.1.x läuft? Falls ja, gilt Folgendes:

Normalerweise werden nur Zugriffe per WebDAV protokolliert. Die Daten befinden sich im Standardprotokoll der jeweiligen Website. Die anderen 4 File Server (AFP, FTP, NFS, SMB) führen im Vorhinein keine Zugriffsprotokolle.

Beim AFP-Server kann man ein Protokoll mit folgendem Befehl einschalten:

Code: 
sudo serveradmin settings afp:activityLog = yes

Schreib-/Lesevorgänge werden nicht protokolliert, das wäre zuviel. Man kann das Anlegen und Löschen von Objekten und das An-/Abmelden protokollieren lassen, was sich im Detail wie folgt steuern lässt:

Code: 
sudo serveradmin settings afp:loggingAttributes:logOpenFork = yes
sudo serveradmin settings afp:loggingAttributes:logCreateDir = yes
sudo serveradmin settings afp:loggingAttributes:logLogin = yes
sudo serveradmin settings afp:loggingAttributes:logLogout = yes
sudo serveradmin settings afp:loggingAttributes:logDelete = yes
sudo serveradmin settings afp:loggingAttributes:logCreateFile = yes

Die Protokolldatei wird standardmäßig geschlossen, sobald 10 MiB Textdaten überschritten wurden. Archivierung findet alle 7 Tage statt. Protokolliert werden IP-Adressen, keine Account-Namen. Ablageort der Protokolle ist der Ordner /Library/Logs/AppleFileService.
 
  • Like
Reaktionen: doc_holleday
ibastl

ibastl

Pferdeapfel
Registriert
13.01.04
Beiträge
79
Hallo Marcel,

Danke für Deine Antwort. Genau das habe ich gesucht und auch direkt ausprobiert. Das Terminal verhält sich friedlich. Aber im Ordner: /Library/Logs/AppleFileService finde ich zwar Accesslogs, die sind aber alt und da steht nix interessantes drin.

Wie heißt denn die Logdatei für den AFP Server?
 
Marcel Bresink

Marcel Bresink

Filippas Apfel
Registriert
28.05.04
Beiträge
8.856
Die aktuelle Datei heißt AppleFileServiceAccess.log. Sie wird als AppleFileServiceAccess.log.#.bz2 archiviert. Es kann passieren, dass die Datei erst dann aktualisiert wird, wenn intern 10 MiB Protokolldaten angefallen oder 7 Tage vergangen sind.
 
Du musst dich einloggen oder registrieren, um hier zu antworten.
2003-2024 Apfeltalk | Made on a Mac
Oben Unten