Synology - Ursache für Datenverlust herausfinden

[Nitschi66]

Hey Leute,

heute zwischen 08:50 und 09:10 Uhr sind Daten auf meinem Synology-NAS (DS214+) verschwunden.
Im Synology-eigenen Papierkorb (#recycle) konnte ich die Daten finden und kopiere sie gerade wieder an den richtigen Ort. Mein offsite Backup musste ich nicht anfassen.
Im Protokoll-Center (Überblick und Protokolle) habe ich zu der genannten Zeit keine Aktivitäten erkannt. 3 Computer waren im Netzwerk aber angeschaltet und auch per Netzwerkfreigabe "eingeloggt".

Habe ich noch eine möglichkeit der Ursache auf den Grund zu gehen? Es gab keinen Stromausfall, HDD-Zustand wird auch als "gut" gekennzeichnet und irgendwelche anderen Vorkommnisse habe ich auch nicht festgestellt.

 

[Mojo1987]

Wenn die Dateien im Papierkorb sind dann wurden die aktiv gelöscht. Bei einem technischen Fehler wären die Daten nicht sauber im Papierkorb zu finden.

Ich würde also bei den Clients bzw. deren Nutzern ansetzen.

 

[oicfar]

Im Protokoll-Center (Überblick und Protokolle) habe ich zu der genannten Zeit keine Aktivitäten erkannt. 3 Computer waren im Netzwerk aber angeschaltet und auch per Netzwerkfreigabe "eingeloggt".

D.h. NAS wird noch von anderen Personen genutzt?

Wenn ja, hat jemand die Dateien gelöscht? Denn so landen die im Papierkorb. Wie war das Änderungdatum in Synology bei den gelöschten Dateien?

Habe ich noch eine möglichkeit der Ursache auf den Grund zu gehen? Es gab keinen Stromausfall, HDD-Zustand wird auch als "gut" gekennzeichnet und irgendwelche anderen Vorkommnisse habe ich auch nicht festgestellt.

Wieso muss es die Synology sein und nicht irgendein der Computer für die Löschung verantwortlich?

 

[Anonymous209]

samba protoll aktiviert? da nachsehen

 

[H3llF15H]

samba protoll aktiviert?

Wo siehst du den Zusammenhang?

 

[Nitschi66]

Ich würde also bei den Clients bzw. deren Nutzern ansetzen.

Mehr als deren Logins (gegen 08:20 und 07:40Uhr) kann ich im Protokoll aber nicht viel finden oder? Also mehr Aktivitäten werden nicht protokolliert?

D.h. NAS wird noch von anderen Personen genutzt?

Ja.

Wenn ja, hat jemand die Dateien gelöscht?

Antworten: nein. Menschlicher Fehler ist natürlich nie auszuschließen, aber vorher muss ich erstmal die technische Seite angucken.

Denn so landen die im Papierkorb. Wie war das Änderungdatum in Synology bei den gelöschten Dateien?

08:52 - 08:54 Uhr. Alles so sekundenweise zeitversetzt.

Wieso muss es die Synology sein und nicht irgendein der Computer für die Löschung verantwortlich?

Ich will nur die technische Seite ausschließen.

 

[Mojo1987]

08:52 - 08:54 Uhr. Alles so sekundenweise zeitversetzt.

Das spricht ebenfalls für eine aktive Löschung, je nach Menge der Daten sieht das genau so aus dann. Das NAS sehe ich hier nicht als Problem, es sei den dort gibts irgendwelche Bereinigungsjobs die zu der Zeit gelaufen sind.

 

[Nitschi66]

. Das NAS sehe ich hier nicht als Problem, es sei den dort gibts irgendwelche Bereinigungsjobs die zu der Zeit gelaufen sind.

Solche Jobs habe ich nicht eingerichtet.

Kann ich im #recycling irgendwie sehen welcher Nutzer die Daten gelöscht hat? Ähnlich wie „Autor“ oder so?

 

[Mojo1987]

Kann ich im #recycling irgendwie sehen welcher Nutzer die Daten gelöscht hat? Ähnlich wie „Autor“ oder so?

Uff keine Ahnung ich hab leider kein Syno-NAS. Typischerweise kann man das bei normalen SMB Freigaben nicht sehen, wenn nicht eine Protokollierung dafür eingerichtet wurde.

 

[kieleich]

Ursache ... die Nutzer haben schreibrechte

wenn es bei Synology möglich ist mach eine Readonly zone mit allen Dateien die nicht gelöscht geändert werden können sollen, und eine Readwrite spielwiese... und ein Backup mit versionierung

 

[oicfar]

Hast du das aktiviert? Wenn SMB genutzt wird.

Loggt dann aber viel, wenn man viel mit der Synology arbeitet.

 

[Nitschi66]

@oicfar
Das Übertragungsprotokoll war leider nicht abgehakt und damit nicht aktiviert.

 

[IBISXI]

Ich will nur die technische Seite ausschließen.

Mir fällt kein technische Ereignis ein, bei dem Dateien unprotokolliert im Papierkorb landen.

 

[Nitschi66]

Hmm.. kacke.
Leider fällt mir jetzt auch auf, das eine datei nicht im #recycling ordner ist und ich diese nicht wiederherstellen kann bzw nur veraltete versionen die keine dateigröße haben.

 

[Helge01]

Man kann auch Malwarebefall auf einem Client nicht ganz ausschließen, auch wenn die Daten meist verschlüsselt werden.

 

[oicfar]

@oicfar
Das Übertragungsprotokoll war leider nicht abgehakt und damit nicht aktiviert.

OK. Aber vielleicht für die Zukunft. Ich hatte das letztes Jahr mal aktiviert. Aber es hat halt Auswirkungen auf das System.

Ich würde trotzdem erst die Nutzer als die Verursacher reinziehen. Würden auf der Synology Dateien einfach so gelöscht werden, dann hätte Synology schon richtige Probleme.

 

[NobodysFool]

Mir fällt jetzt technikseitig auch nichts ein, das Dateien löscht und dann ganz korrekt in den Papierkorb verschiebt.

Entweder hat sie ein Benutzer aktiv gelöscht, oder ein Prozess der von einem der Client-PCs ausging (wie zum Beispiel Sync-Software, oder im schlimmsten Fall Schadsoftware).

Das kann man auf der DS214+ leider nur verhindern, indem man Zugriffsrechte beschränkt. Das ist natürlich nicht immer eine praktikable Lösung. Daher habe ich auf meinen NAS zum Beispiel die dort gelagerten PC Backups völlig von den Zugriffsrechten der PC-Benutzer abgeschottet. Active Backup for Business bekommt den Zugriff auf das NAS über den Sicherungsclient, und Software wie Macrium oder Veeam verbindet sich mit einem eigens dafür angelegten Backupbenutzer mit dem NAS.

Und zusätzlich wird stündlich auf dem NAS ein Snapshot auf allen Freigaben erstellt. Somit können zwar auf Freigaben auf denen Benutzer Schreibrechte haben Dateien gelöscht, geändert oder auch durch Ransomware verschlüsselt werden, sind aber wiederherstellbar. Im Fall von Ramsomware wird diese sogar ihr Werk nicht einmal vollenden können, weil durch das neu Schreiben der verschlüsselten Dateiversionen irgendwann der freie Platz aufgebraucht ist.

Leider bieten die kleineren Synologys nicht die Möglichkeit von Snapshots. Während jede QNAP inkl. der kleinsten das können. Allerdings finde ich es wiederum bei Synology besser und komfortabler umgesetzt. Aber wer nur ein relativ kleines günstiges NAS braucht, Snapshots aber haben möchte, der wäre dann mit QNAP besser dran.

 

[Nitschi66]

Es sieht fast nach dem klassischen menschlichen Versagen aus... obwohl auf die Dateien eigentlich nur über Verknüpfungen zugegriffen wird. Naja... nächste Woche kommt das systemhaus und schaut mal drüber.
"Vielleicht lag ja eine Akte auf der Tastatur?" War die erste Frage nach der Problemdarstellung. Ja wer weiß... vielleicht war das so.

Hat jemand ne Software womit ich den Bildschirm der PCs aufzeichnen kann? :-P

 

[Anonymous209]

wenn du synology drive benutzt, dann könntest du die gelöschten daten wiederherstellen, aus der historie heraus.

 

[Nitschi66]

zwischenzeitlich ist nun auch eine Datei auf einem USB-Stick „kaputt“ gegangen, der an einem der zwei PCs eingesteckt war, der auch damals an war als die Daten auf dem NAS gelöscht wurden.