Gelöschte Mail: Forensische Analyse möglich?

[schroederk]

Hallo,

Gestern meldete die Assistenz der Geschäftleitung, dass eine sehr sehr wichtige Mail plötzlich nicht mehr zu finden sei. Weder unter Alle Dokumente, noch im Papierkorb.
Die Mail wurde am Donnerstag um 19:22 Uhr vom Geschäftsführer gesendet.
Sie hat am Montag noch damit gearbeitet (Anhänge geöffnet) und sogar beantwortet.
Auf der Datensicherung vom Freitag war die Mail aber die Mail aber auch schon nicht auffindbar. Nur auf der Datensicherung vom Donnerstag Abend.
Jetzt stellen sich natürlich die Fragen:
- Wieso ist die Mail verschwunden (Ihrer Aussage nach löscht sie nie Mails, allenfalls mal einen Kalendereintrag)
- Wieso ist der Papierkorb leer (Automatische Löschung steht auf 48 Stunden), auch bei der Freitagssicherung
- Wie kann sie am Montag noch mit der Mail arbeiten, die bereits gelöscht ist? Sie fährt immer ihr Notebook runter, öffnet Mails nie, arbeitet nur mit der Vorschau.
  Sie hat die Mail am Montag auf ihrem Smartphone beantwortet und am Notebook über die Vorschau die Anhänge geöffnet

Jetzt ist sie natürlich verunsichert, welche Mails eventuell zusätzlich noch fehlen.

Welche forensischen Möglichkeiten habe ich (im nachhinein) um genau herauszufinden, was mit dieser Mail wann passiert ist?
Transaction-logs sind aktiviert, habe ich aber bisher noch nie genutzt.

[Pfefferminz-T]

Transaction logs sind nur für den Zweck des genaueren Backups&Restores, die kann man nicht direkt auswerten.

In der Sicherung-NSF sollte man die NoteID bzw. DocumentUNID sehen. Damit kannst Du in der produktiven Datenbank feststellen (Administrator Client -> Dokument suchen) wann das Dokument gelöscht wurde. Dann kann man in der Datenbankaktivität nachsehen, wer da zu diesem Zeitpunkt ggf. gelöscht hat.
Lief ein Compact, ein Fixup?
Sind mobile Endgeräte im Einsatz, was sagt da die Synchronisation?
Leider stellt sich bei den meisten Recherchen ein manueller Eingriff als Ursache heraus.

[eknori]

Ist deletion logging aktiviert? Nicht, dass das im Nachhinein etwas bringt, aber zumindest für die Zukunft.

Und wenn die gute Dame Montag mit einer am Freitag nicht mehr vorhandenen Mail gearbeitet hat, dann glaube ich das nur bedingt.
Hat sie auf den Laptop eine lokale Replik, und das Gerät repliziert nicht regelmäßig?

Wie gesagt. Genau für solche Fälle wurde Deletion Logging „erfunden“.

[schroederk]

Ist deletion logging aktiviert? Nicht, dass das im Nachhinein etwas bringt, aber zumindest für die Zukunft.

Das ist ein neueres Feature (seit Domino 10?) oder?
Ich vermute mal, dass das nicht standardmäßig aktiviert ist. In der Doku konnte ich auch nichts darüber finden, wie lange dann die Logs aufbewahrt werden (sollte ich es für alle Benutzer aktivieren wollen)

Und wenn die gute Dame Montag mit einer am Freitag nicht mehr vorhandenen Mail gearbeitet hat, dann glaube ich das nur bedingt.
Hat sie auf den Laptop eine lokale Replik, und das Gerät repliziert nicht regelmäßig?

Ich glaube ihr auch noch bedingt. Deshalb möchte ich es ihr ja gerne forensisch beweisen.

Die UNID ist in der Datenbank nicht mehr auffindbar, vermutlich weil der DBMT gelaufen ist.

[schroederk]

Die UNID ist auch nicht in der Datenbanksicherung vom Freitag zu finden.
Das Dokument muss also am Freitag so gelöscht worden sein, dass es auch nicht mehr im Papierkorb steht und der DBMT muss auch gelaufen sein?

Idee: die Benutzerin hat ein Archiv, das auf einem gemappten NAS-Speicher liegt. Ab und zu wird das Mapping nicht korrekt wiederhergestellt (im Explorer ein rotes X bei der Verbindung).
Wenn die Benutzerin ihre wichtige Mail verschieben wollte (Drag&Drop) und versehentlich das Archiv ausgewählt hat und dieses war zu diesem Zeitpunkt nicht richtig verfügbar... würde das die Situation erklären?

[Pfefferminz-T]

Wenn man in der Rücksicherung die UNID oder NoteID (sofern es sich bei produktiver Datenbank und Rücksicherung um den gleichen Server handelt), dann sollte diese immer noch als Deletino stub vorhanden sein, außer ihr habt in den Repliziereigenschaften 0 für die Deletion stubs eingestellt. Da macht der DBMT nix dran. Aus dem Deletion stub bekommt man das Datum und die Uhrzeit und dann kann man damit in der Datenbankaktivität suchen (sofern diese nicht deaktiviert ist).

Deletion logging ist auf jeden Fall dokumentiert seit v10:
https://help.hcltechsw.com/domino/10.0.1/admin/admn_monitoring_doc_deletions.html
https://blog.nashcom.de/nashcomblog.nsf/dx/domino-v10-deletion-logging-explained.htm

Und da es sich um ein File ähnlich der console.log handelt dürfte das auch länger zurückgehen oder man sichert eben täglich.

[Pfefferminz-T]

Wenn Backup-Server und produktiver Server gleich sind, dann verwende die NoteID des Dokuments. Und in der Rücksicherung muss doch das Dokument vorhanden sein und man sieht in den Dokumenteneigenschaften (letzter Reiter) die UNID und NoteID

[schroederk]

Die beiden Links habe ich auch gefunden, allerdings bei beiden keinen Hinweis auf maximale Größe oder maximale Aufbewahrungszeit.
So muss ich davon ausgehen, dass die (CSV-)Datei in kürzerer Zeit riesig wird.
Oder ich muss mit eigenen Mitteln (Batch-Dateien) diese Log-Datei täglich umbenennen und wegsichern?

Das Dokument habe ich über die UNID gesucht (ED12091486FC7997C12586951069E7E7)
In der Datensicherung vom Donnerstag ist das Dokument zu finden, in der Datensicherung vom Freitag schon nicht mehr.
Deletion Stubs sind nicht deaktiviert.
In der Benutzeraktivität sehe ich nur, dass am Freitag um 13:36 Uhr 10 Dokumente gelöscht wurden:

12.03.2021 13:46:49   165   7   142   10 Benutzer/ORG/Company

[schroederk]

Zur Info:

Ich habe das Deletion Logging jetzt aktiviert und nutze das Template von Daniel Nash
https://blog.nashcom.de/nashcomblog.nsf/dx/nshdellog-domino-deletion-log-annoatation-and-backup.htm

Zusätzlich gibt es ein enhancement request, um wenigstens zu sehen, bei welcher Datenbank die Option aktiviert ist:
https://domino-ideas.hcltechsw.com/ideas/DOMINO-I-491