Biznesowy powód dla analityka [zamknięty]

-4

Jeden z naszych analityków bezpieczeństwa IT jest na urlopie macierzyńskim

Wyczyściła logi Windows Event Viewer z komputera. Zanim się z nią skonfrontowaliśmy, chcieliśmy dowiedzieć się, czy istnieje jakiś powód biznesowy do usunięcia tych dzienników zdarzeń.

Nie jestem informatykiem, więc nie jestem pewien, ale chcemy się upewnić, że dajemy jej uczciwą szansę wyjaśnienia jej działań, gdy wróci do pracy.

windows events JavaScripter007
źródło

Skąd wiesz, że ta osoba wyczyściła dzienniki zdarzeń, czy zdarzenie miało miejsce?

Ramhound,

Tak, jest zdarzenie wskazujące, że wyczyściła dzienniki.

JavaScripter007

Co zostało dokładnie zarejestrowane?

Ramhound,

Tylko dodać. Rozrządu to - oparte wyłączyć swoje pytanie jest podejrzany. Uważaj bardzo na to, co robisz - jeśli próbujesz zwolnić kogoś na urlopie macierzyńskim i próbujesz znaleźć powody po fakcie, w wielu krajach jest to nielegalne.

Journeyman Geek

Odpowiedzi:

Wyczyściła logi Windows Event Viewer z komputera.

W typowej konfiguracji korporacyjnej dzienniki zdarzeń są archiwizowane według rozmiaru, co powoduje utworzenie pliku archiwum. Więc zanim skonfrontujesz się z kimś, o czymś, o czym wiesz, że niewiele wiesz, możesz sprawdzić konfigurację maszyny. Ta sama funkcjonalność może obracać dzienniki, więc NIE jest tworzone archiwum, co oznacza, że starsze zdarzenia zostaną ostatecznie zastąpione przez nowsze działania.

Nie jestem informatykiem, więc nie jestem pewien, ale chcemy się upewnić, że dajemy jej uczciwą szansę wyjaśnienia jej działań, gdy wróci do pracy.

Na podstawie samego tego stwierdzenia nie należy konfrontować się z analitykiem bezpieczeństwa, o którym mowa, ponieważ wydaje się, że nie jesteś zaznajomiony z konfiguracją systemu. Jako administrator sam, jeśli ktoś przyszedłby do mnie, który własnymi słowami opisałby siebie jako „nie informatyka”, natychmiast udałbym się do swojego menedżera i upewnił się, że jest zdyscyplinowany.

Gdyby przyszedł do mnie inny Administrator, wytłumaczyłbym swoje działania i ruszyłby z życiem. Jako administrator istnieje wiele sytuacji, w których usunięcie zarejestrowanych zdarzeń byłoby zachowaniem akceptowalnym.

Ramhound
źródło

@ JavaScripter007 - Nie; Istnieje zbyt wiele, aby podać listę, sytuacje, o których mogę myśleć, byłyby bardzo specyficzne dla sieci, której jestem administratorem. Lista nie byłaby pomocna dla nikogo spoza mojej organizacji. Nie będę spekulować, z jakich powodów Administrator musiał usunąć omawiane zdarzenia.

Ramhound,

Nie możesz podać nawet 1 lub 2 powodów? @Ramhound

JavaScripter007

@ JavaScripter007 Dziennik zdarzeń był uszkodzony i dopóki go nie wyczyściłem, żadne zdarzenia nie zostaną zarejestrowane.

Twisty Impersonator

@ JavaScripter007 - Czy mogę podać 1 lub 2 powody, absolutnie mógłbym je podać. Odpowiedziałem na twoje pytanie, jak jest napisane, i nie podam tych powodów. Ja też nie wrócę do tego pytania.

Ramhound,

-1

Wiele różnych aplikacji „czyszczących” sugeruje ich usunięcie, aby zaoszczędzić miejsce. Mogła zainstalować jedną z nich, aby rozwiązać inny problem, i nie rozumiała konsekwencji, jakie może pozwolić takiej aplikacji na czyszczenie dzienników.

K7AAY
źródło

To są spekulacje brutto. Pytający przyznaje, że bardzo mało wie o IT, więc jest bardzo mało prawdopodobne, aby przeprowadził badanie lub dochodzenie w celu ustalenia, czy ktoś w ogóle wyczyścił dzienniki lub czy było to ustawienie systemowe, takie jak obracanie dzienników.

Nasir Riley,