Synology - Ursache für Datenverlust herausfinden

Nitschi66

Kreisklassenmeister Pro
Registriert
Nov. 2007
Beiträge
11.544
Hey Leute,

heute zwischen 08:50 und 09:10 Uhr sind Daten auf meinem Synology-NAS (DS214+) verschwunden.
Im Synology-eigenen Papierkorb (#recycle) konnte ich die Daten finden und kopiere sie gerade wieder an den richtigen Ort. Mein offsite Backup musste ich nicht anfassen.
Im Protokoll-Center (Überblick und Protokolle) habe ich zu der genannten Zeit keine Aktivitäten erkannt. 3 Computer waren im Netzwerk aber angeschaltet und auch per Netzwerkfreigabe "eingeloggt".

Habe ich noch eine möglichkeit der Ursache auf den Grund zu gehen? Es gab keinen Stromausfall, HDD-Zustand wird auch als "gut" gekennzeichnet und irgendwelche anderen Vorkommnisse habe ich auch nicht festgestellt.
 
Wenn die Dateien im Papierkorb sind dann wurden die aktiv gelöscht. Bei einem technischen Fehler wären die Daten nicht sauber im Papierkorb zu finden.

Ich würde also bei den Clients bzw. deren Nutzern ansetzen.
 
  • Gefällt mir
Reaktionen: TomH22, AB´solut SiD und Yesman9277
Nitschi66 schrieb:
Im Protokoll-Center (Überblick und Protokolle) habe ich zu der genannten Zeit keine Aktivitäten erkannt. 3 Computer waren im Netzwerk aber angeschaltet und auch per Netzwerkfreigabe "eingeloggt".
D.h. NAS wird noch von anderen Personen genutzt?

Wenn ja, hat jemand die Dateien gelöscht? Denn so landen die im Papierkorb. Wie war das Änderungdatum in Synology bei den gelöschten Dateien?
Nitschi66 schrieb:
Habe ich noch eine möglichkeit der Ursache auf den Grund zu gehen? Es gab keinen Stromausfall, HDD-Zustand wird auch als "gut" gekennzeichnet und irgendwelche anderen Vorkommnisse habe ich auch nicht festgestellt.
Wieso muss es die Synology sein und nicht irgendein der Computer für die Löschung verantwortlich?
 
  • Gefällt mir
Reaktionen: Yesman9277
Mojo1987 schrieb:
Ich würde also bei den Clients bzw. deren Nutzern ansetzen.
Mehr als deren Logins (gegen 08:20 und 07:40Uhr) kann ich im Protokoll aber nicht viel finden oder? Also mehr Aktivitäten werden nicht protokolliert?

oicfar schrieb:
D.h. NAS wird noch von anderen Personen genutzt?
Ja.

oicfar schrieb:
Wenn ja, hat jemand die Dateien gelöscht?
Antworten: nein. Menschlicher Fehler ist natürlich nie auszuschließen, aber vorher muss ich erstmal die technische Seite angucken.

oicfar schrieb:
Denn so landen die im Papierkorb. Wie war das Änderungdatum in Synology bei den gelöschten Dateien?
08:52 - 08:54 Uhr. Alles so sekundenweise zeitversetzt.

oicfar schrieb:
Wieso muss es die Synology sein und nicht irgendein der Computer für die Löschung verantwortlich?
Ich will nur die technische Seite ausschließen.
 
Nitschi66 schrieb:
08:52 - 08:54 Uhr. Alles so sekundenweise zeitversetzt.
Das spricht ebenfalls für eine aktive Löschung, je nach Menge der Daten sieht das genau so aus dann. Das NAS sehe ich hier nicht als Problem, es sei den dort gibts irgendwelche Bereinigungsjobs die zu der Zeit gelaufen sind.
 
  • Gefällt mir
Reaktionen: JumpingCat, LukS, AB´solut SiD und eine weitere Person
Mojo1987 schrieb:
. Das NAS sehe ich hier nicht als Problem, es sei den dort gibts irgendwelche Bereinigungsjobs die zu der Zeit gelaufen sind.
Solche Jobs habe ich nicht eingerichtet.

Kann ich im #recycling irgendwie sehen welcher Nutzer die Daten gelöscht hat? Ähnlich wie „Autor“ oder so?
 
Nitschi66 schrieb:
Kann ich im #recycling irgendwie sehen welcher Nutzer die Daten gelöscht hat? Ähnlich wie „Autor“ oder so?
Uff keine Ahnung ich hab leider kein Syno-NAS. Typischerweise kann man das bei normalen SMB Freigaben nicht sehen, wenn nicht eine Protokollierung dafür eingerichtet wurde.
 
Ursache ... die Nutzer haben schreibrechte

wenn es bei Synology möglich ist mach eine Readonly zone mit allen Dateien die nicht gelöscht geändert werden können sollen, und eine Readwrite spielwiese... und ein Backup mit versionierung
 
Hast du das aktiviert? Wenn SMB genutzt wird.

1721119248103.png

1721119308713.png

Loggt dann aber viel, wenn man viel mit der Synology arbeitet.
 
  • Gefällt mir
Reaktionen: LukS
Man kann auch Malwarebefall auf einem Client nicht ganz ausschließen, auch wenn die Daten meist verschlüsselt werden.
 
  • Gefällt mir
Reaktionen: Nitschi66 und kieleich
Nitschi66 schrieb:
@oicfar
Das Übertragungsprotokoll war leider nicht abgehakt und damit nicht aktiviert.
OK. Aber vielleicht für die Zukunft. Ich hatte das letztes Jahr mal aktiviert. Aber es hat halt Auswirkungen auf das System.

Ich würde trotzdem erst die Nutzer als die Verursacher reinziehen. Würden auf der Synology Dateien einfach so gelöscht werden, dann hätte Synology schon richtige Probleme.
 
  • Gefällt mir
Reaktionen: Nitschi66
Mir fällt jetzt technikseitig auch nichts ein, das Dateien löscht und dann ganz korrekt in den Papierkorb verschiebt.

Entweder hat sie ein Benutzer aktiv gelöscht, oder ein Prozess der von einem der Client-PCs ausging (wie zum Beispiel Sync-Software, oder im schlimmsten Fall Schadsoftware).

Das kann man auf der DS214+ leider nur verhindern, indem man Zugriffsrechte beschränkt. Das ist natürlich nicht immer eine praktikable Lösung. Daher habe ich auf meinen NAS zum Beispiel die dort gelagerten PC Backups völlig von den Zugriffsrechten der PC-Benutzer abgeschottet. Active Backup for Business bekommt den Zugriff auf das NAS über den Sicherungsclient, und Software wie Macrium oder Veeam verbindet sich mit einem eigens dafür angelegten Backupbenutzer mit dem NAS.

Und zusätzlich wird stündlich auf dem NAS ein Snapshot auf allen Freigaben erstellt. Somit können zwar auf Freigaben auf denen Benutzer Schreibrechte haben Dateien gelöscht, geändert oder auch durch Ransomware verschlüsselt werden, sind aber wiederherstellbar. Im Fall von Ramsomware wird diese sogar ihr Werk nicht einmal vollenden können, weil durch das neu Schreiben der verschlüsselten Dateiversionen irgendwann der freie Platz aufgebraucht ist.

Leider bieten die kleineren Synologys nicht die Möglichkeit von Snapshots. Während jede QNAP inkl. der kleinsten das können. Allerdings finde ich es wiederum bei Synology besser und komfortabler umgesetzt. Aber wer nur ein relativ kleines günstiges NAS braucht, Snapshots aber haben möchte, der wäre dann mit QNAP besser dran.
 
Zuletzt bearbeitet:
  • Gefällt mir
Reaktionen: Nitschi66
Es sieht fast nach dem klassischen menschlichen Versagen aus... obwohl auf die Dateien eigentlich nur über Verknüpfungen zugegriffen wird. Naja... nächste Woche kommt das systemhaus und schaut mal drüber.
"Vielleicht lag ja eine Akte auf der Tastatur?" War die erste Frage nach der Problemdarstellung. Ja wer weiß... vielleicht war das so.

Hat jemand ne Software womit ich den Bildschirm der PCs aufzeichnen kann? :-P
 
wenn du synology drive benutzt, dann könntest du die gelöschten daten wiederherstellen, aus der historie heraus.
 

Ähnliche Themen

Zurück
Oben