HCL Notes / Domino / Diverses > Administration & Userprobleme

Gelöschte Mail: Forensische Analyse möglich?

(1/2) > >>

schroederk:
Hallo,

Gestern meldete die Assistenz der Geschäftleitung, dass eine sehr sehr wichtige Mail plötzlich nicht mehr zu finden sei. Weder unter Alle Dokumente, noch im Papierkorb.
Die Mail wurde am Donnerstag um 19:22 Uhr vom Geschäftsführer gesendet.
Sie hat am Montag noch damit gearbeitet (Anhänge geöffnet) und sogar beantwortet.
Auf der Datensicherung vom Freitag war die Mail aber die Mail aber auch schon nicht auffindbar. Nur auf der Datensicherung vom Donnerstag Abend.
Jetzt stellen sich natürlich die Fragen:
- Wieso ist die Mail verschwunden (Ihrer Aussage nach löscht sie nie Mails, allenfalls mal einen Kalendereintrag)
- Wieso ist der Papierkorb leer (Automatische Löschung steht auf 48 Stunden), auch bei der Freitagssicherung
- Wie kann sie am Montag noch mit der Mail arbeiten, die bereits gelöscht ist? Sie fährt immer ihr Notebook runter, öffnet Mails nie, arbeitet nur mit der Vorschau.
  Sie hat die Mail am Montag auf ihrem Smartphone beantwortet und am Notebook über die Vorschau die Anhänge geöffnet

Jetzt ist sie natürlich verunsichert, welche Mails eventuell zusätzlich noch fehlen.

Welche forensischen Möglichkeiten habe ich (im nachhinein) um genau herauszufinden, was mit dieser Mail wann passiert ist?
Transaction-logs sind aktiviert, habe ich aber bisher noch nie genutzt.

Pfefferminz-T:
Transaction logs sind nur für den Zweck des genaueren Backups&Restores, die kann man nicht direkt auswerten.

In der Sicherung-NSF sollte man die NoteID bzw. DocumentUNID sehen. Damit kannst Du in der produktiven Datenbank feststellen (Administrator Client -> Dokument suchen) wann das Dokument gelöscht wurde. Dann kann man in der Datenbankaktivität nachsehen, wer da zu diesem Zeitpunkt ggf. gelöscht hat.
Lief ein Compact, ein Fixup?
Sind mobile Endgeräte im Einsatz, was sagt da die Synchronisation?
Leider stellt sich bei den meisten Recherchen ein manueller Eingriff als Ursache heraus.

eknori:
Ist deletion logging aktiviert? Nicht, dass das im Nachhinein etwas bringt, aber zumindest für die Zukunft.

Und wenn die gute Dame Montag mit einer am Freitag nicht mehr vorhandenen Mail gearbeitet hat, dann glaube ich das nur bedingt.
Hat sie auf den Laptop eine lokale Replik, und das Gerät repliziert nicht regelmäßig?

Wie gesagt. Genau für solche Fälle wurde Deletion Logging „erfunden“.

schroederk:

--- Zitat von: eknori am 17.03.21 - 19:29:20 ---Ist deletion logging aktiviert? Nicht, dass das im Nachhinein etwas bringt, aber zumindest für die Zukunft.

--- Ende Zitat ---

Das ist ein neueres Feature (seit Domino 10?) oder?
Ich vermute mal, dass das nicht standardmäßig aktiviert ist. In der Doku konnte ich auch nichts darüber finden, wie lange dann die Logs aufbewahrt werden (sollte ich es für alle Benutzer aktivieren wollen)


--- Zitat von: eknori am 17.03.21 - 19:29:20 ---Und wenn die gute Dame Montag mit einer am Freitag nicht mehr vorhandenen Mail gearbeitet hat, dann glaube ich das nur bedingt.
Hat sie auf den Laptop eine lokale Replik, und das Gerät repliziert nicht regelmäßig?

--- Ende Zitat ---

Ich glaube ihr auch noch bedingt. Deshalb möchte ich es ihr ja gerne forensisch beweisen.

Die UNID ist in der Datenbank nicht mehr auffindbar, vermutlich weil der DBMT gelaufen ist.

schroederk:
Die UNID ist auch nicht in der Datenbanksicherung vom Freitag zu finden.
Das Dokument muss also am Freitag so gelöscht worden sein, dass es auch nicht mehr im Papierkorb steht und der DBMT muss auch gelaufen sein?

Idee: die Benutzerin hat ein Archiv, das auf einem gemappten NAS-Speicher liegt. Ab und zu wird das Mapping nicht korrekt wiederhergestellt (im Explorer ein rotes X bei der Verbindung).
Wenn die Benutzerin ihre wichtige Mail verschieben wollte (Drag&Drop) und versehentlich das Archiv ausgewählt hat und dieses war zu diesem Zeitpunkt nicht richtig verfügbar... würde das die Situation erklären?

Navigation

[0] Themen-Index

[#] Nächste Seite