Geschäftsgrund für einen Analyst

390
JavaScripter007

Einer unserer IT-Sicherheitsanalysten ist in Mutterschaftsurlaub

Sie hatte die Windows-Ereignisanzeige-Protokolle von einem PC gelöscht. Bevor wir sie konfrontieren, wollten wir herausfinden, ob es einen geschäftlichen Grund gibt, diese Ereignisprotokolle zu löschen.

Ich bin keine IT-Person, daher bin ich nicht sicher, aber wir möchten sichergehen, dass wir ihr eine gute Chance geben, ihr Verhalten zu erklären, wenn sie wieder zur Arbeit kommt.

-4
Woher wissen Sie, dass diese Person die Ereignisprotokolle gelöscht hat? Gibt es ein Ereignis, bei dem dies passiert? Ramhound vor 5 Jahren 4
Ja, es gibt ein Ereignis, das darauf hinweist, dass sie die Protokolle gelöscht hat. JavaScripter007 vor 5 Jahren 0
Was wurde genau protokolliert? Ramhound vor 5 Jahren 1
Einfach nur hinzufügen. Das * Timing * dieser - basierend auf Ihrer Frage - ist faul. Seien Sie * sehr * vorsichtig bei dem, was Sie tun - wenn Sie versuchen, jemanden im Mutterschaftsurlaub zu entlassen, und nach Gründen suchen, die darauf zurückzuführen sind, dass dies in vielen Ländern recht illegal ist. Journeyman Geek vor 5 Jahren 6

2 Antworten auf die Frage

7
Ramhound

Sie hatte die Windows-Ereignisanzeige-Protokolle von einem PC gelöscht.

In einer typischen Unternehmensumgebung werden die Ereignisprotokolle nach Größe archiviert, wodurch eine Archivdatei erstellt wird. Bevor Sie sich also mit jemandem auseinandersetzen, über etwas, von dem Sie wenig wissen, dass Sie wissen, sollten Sie die Konfiguration des Computers überprüfen. Dieselbe Funktionalität kann Protokolle rotieren, so dass ein Archiv NICHT erstellt wird, was bedeutet, dass ältere Ereignisse durch neuere Aktivitäten überschrieben werden.

Ich bin keine IT-Person, daher bin ich nicht sicher, aber wir möchten sichergehen, dass wir ihr eine gute Chance geben, ihr Verhalten zu erklären, wenn sie wieder zur Arbeit kommt.

Allein aufgrund dieser Aussage sollten Sie sich nicht mit dem fraglichen Sicherheitsanalytiker auseinandersetzen, da Sie nicht wissen, wie das System tatsächlich konfiguriert ist. Wenn ich selbst Administrator bin, wenn jemand zu mir kam, der sich in seinen eigenen Worten als "keine IT-Person" bezeichnet, würde ich sofort zu seinem Manager gehen und sicherstellen, dass er diszipliniert ist.

Wenn ein anderer Administrator zu mir kam, würde ich meine Handlungen erklären und mit meinem Leben weitermachen. Als Administrator gibt es zahlreiche Situationen, in denen das Bereinigen der protokollierten Ereignisse ein akzeptables Verhalten darstellt.

@ JavaScripter007 - Nein; Es gibt viel zu viele, um eine Liste zu erstellen. Die Situationen, die ich mir vorstellen kann, wären weitaus spezifisch für das Netzwerk, für das ich Administrator bin. Die Liste wäre für niemanden außerhalb meiner Organisation hilfreich. Ich kann nicht darüber spekulieren, aus welchen Gründen dieser Administrator die fraglichen Ereignisse löschen musste. Ramhound vor 5 Jahren 4
Sie können nicht einmal 1 oder 2 Gründe angeben? @ Ramhound JavaScripter007 vor 5 Jahren 0
@ JavaScripter007 Das Ereignisprotokoll war beschädigt, und bis ich es löschte, wurden keine weiteren Ereignisse protokolliert. Twisty Impersonator vor 5 Jahren 1
@ JavaScripter007 - Kann ich 1 oder 2 Gründe angeben, ich könnte sie unbedingt angeben. Ich habe Ihre Frage beantwortet, wie sie geschrieben wurde, und werde diese Gründe nicht angeben. Ich werde auch nicht auf diese Frage zurückkommen. Ramhound vor 5 Jahren 2
-1
K7AAY

In einer Reihe verschiedener Bereinigungs-Apps wird vorgeschlagen, diese zu löschen, um Platz zu sparen. Möglicherweise hat sie eines davon installiert, um ein anderes Problem zu lösen, und hat nicht verstanden, welche Auswirkungen das Aufräumen einer solchen App in den Protokollen hat.

Das ist eine grobe Spekulation. Der Fragesteller gibt zu, sehr wenig über IT zu wissen, daher ist es höchst unwahrscheinlich, dass er Nachforschungen oder Untersuchungen durchführt, um festzustellen, ob jemand die Protokolle gelöscht hat oder ob es sich um eine Systemeinstellung wie das Drehen der Protokolle handelt. Nasir Riley vor 5 Jahren 4

Verwandte Probleme