Benutzeraktivität / User Activity Logging

[Lugo]

Hallo zusammen,

aus Revisionsgründen ist Loggen der Benutzeraktivität bei uns auf vielen Mail-In DBs aktiv. Jetzt scheint es bei einigen dieser DBs unerklärliche User-Zugriffe zu geben, so daß es z.B. zu Uhrzeiten an denen diese nicht vor Ort waren Schreibzugriffe unter ihrer ID auf der DB gab. Ich habe daraufhin geprüft ob Regeln, eigene Agenten und die Archivierung veantwortlich sein könnten, dies scheint nicht der Fall zu sein, da alles nicht vorhanden.
Außerdem wurden Aktivitäten die die User tätigten nicht protokolliert, bzw. tauchen bisher (ca. 1 1/2 Stunden später) nicht in dem Log auf.

 

Nun meine Fragen dazu:

Wie kann es notestechnisch sein, daß mehrere User, die nicht aktiv auf der DB arbeiteten und keinen Agenten besitzen, Lese- und Schreibzugriffe auslösen? 
In welchem Zeit-Rhytmus wird das Log aktualisiert? Ist das beeinflussbar? 
Was sind das für Logdaten? Bekomme ich irgendwo eine besser Ansicht als über die DB-Eigenschaften? 

Vielen Dank für Eure Hilfe.

Grüße Lugo

[klaussal]

Ich würde mal die ACLs prüfen, ob da "unberechtigte" User drin stehen.

Aus den Forums-Regeln:

Am liebsten ist es uns, wenn Du Deinen richtigen Namen, oder wenigstens Deinen richtigen Vornamen verwendest.

[Lugo]

Hallo Klaus,

hmm...macht für mich wenig Sinn. Wie sollte dieser "unberechtigte" User unter dem Namen des berechtigten Users fungieren?
Ich habe ja wie gesagt keine Agenten gefunden, die nicht aus dem Template wären und die hatten dann auch den Server als Signer.
 

Gruß
Lugo => Ingo

[koehlerbv]

Hallo Ingo,

mir ist bislang noch nie ein Zugriff unter die Augen gekommen, der sich dann nicht doch erklären liesse.
Kannst Du einfach mal an einem konkreten (anonymisierten) Beispiel einen solchen Fall schildern? Was für eine DB, welche Rechte hat dort der inkrementierte Benutzer etc. pp.

Bernhard

[Lugo]

Hallo Bernhard,

es handelt sich um eine Mail-IN DB, genauer um einen Fachgruppenpostkorb auf den mehrere User berechtigt sind.
Der Mail-File-Owner ist der Postkorb selbst, d.h. der Postkorb hat auch einen hierarchischen Namen im NAB ("Postkorb/Org"). So können Mails aus dem PK diesem auch zugeordnet werden und RRs gehen ebenfalls dorthin, macht bei uns Sinn.
Die Userin ist Manager auf der DB, alle anderen sind Editoren oder Leser, Default kein Zugriff.

Was eben auch verwirrt ist, daß die Userin vor meinen Augen eine Mail aus dem PK versendete, was einen Schreibzugriff auf der DB bedeuten würde, davon ist in dem UA-Log nichts zu sehen.
Das richtig blöde dabei ist, daß Sie in der IT-Sicherheit ist   .

2 andere User die Editoren auf der DB sind, sollen ebenfalls zu einem Zeitpunkt 09:xx Uhr Lese- und Schreibzugriffe initialisiert haben, obwohl Sie nachweisbar nicht auf der DB arbeiteten.

Kann das UA-Log defekt sein
Kommt mir alles spanisch vor.

Gruß Ingo

PS: Server 7.04 FP2, Client 7.04, Template editiertes MailR5 ... nein nicht die BW 

[Wolfgang]

Was eben auch verwirrt ist, daß die Userin vor meinen Augen eine Mail aus dem PK versendete, was einen Schreibzugriff auf der DB bedeuten würde, davon ist in dem UA-Log nichts zu sehen.

... den Schreibzugriff gibts aber wohl erst, wenn die Mail auch in der Mail-In-DB gespeichert wird, oder?

Gruß
Wolfgang

[Lugo]

... den Schreibzugriff gibts aber wohl erst, wenn die Mail auch in der Mail-In-DB gespeichert wird, oder?

Sie hat die Mail nicht weitergeleitet, daher taucht sie dort auch in der "gesendet" Ansicht auf, d.h. es wurde ein neues Doc in der Mail-In DB erzeugt, was ja einem Schreibzugriff zuzuordnen wäre.

Ingo

[Lugo]

Hmm...also das mit dem Schreibzugriff beim erstellen einer Mail war wohl nix. Trotz dem erzeugten Dokument auf der DB wird dies nicht aufgeführt.
Naja, obwohl ich das nicht verstehe würde es zumindest den "fehlerhaften" Test erklären.

Generell hat sich das relativiert (danke Bernhard), die Kollegen hatten nur Lesezugriffe und keine Schreibzugriffe *hust*.
Leider finde ich trotzdem keinen Ansatzpunkt für die Zugriffe, zu einem Zeiptunkt wo keiner der Kollegen am PC war.

Also nochmal:

- Eine Mail-In DB
- 8 Kollegen
- 1 Manager
- 3 Editoren (darunter die 2 ominösen)
- 4 Leser

- User1 hatte 4 und User2 hatte 8 Lesezugriffe zu einem Zeitpunkt an dem die User definitiv nicht am Rechner waren
- DB war am LN-Client geöffnet
- der Rechner war gesperrt (Token gezogen)

--> die beiden User haben nicht zugegriffen
--> zu 99,9% ist auch kein anderer User im Besitz der 2 IDs (wäre natürlich der bösartige Fall, mit entsprechenden Folgen)

Was kann diese Lesezugriffe auslösen Welche Standardagenten der MailR5-Schablone kreieren ggf. Lesezugriffe

Grüße,
Ingo

[klaussal]

Ich würde alle User aus der ACL (bis auf den Manager) löschen. Und dann abwarten, wer sich beschwert oder ein Agent meckert.

PS:

Welche Standardagenten der MailR5-Schablone

R5 ? Vielleicht mal ein Update machen ?

PS2:
Ich weiß es nicht genau: Könnten das gelöschte (aber noch aktive Regeln) ehemaliger Benutzer sein ?