|
v7: Как отследить пометки на удаление в справочнике? | ||
|---|---|---|---|
|
0
squid
27.05.14
✎
14:02
|
Есть сильно переписанная конфигурация. Проблема возникает периодами, без какой-то определенной системы. В справочнике "Номенклатура" в одной и той же директории проставляется пометка на удаление на некоторые папки со всем содержимым. Иногда это может быть 1-2 группы, иногда 3-4.
Естественно никакой информации по этим изменениям в журнале регистрации нет. В системе есть справочник, который регистрирует подобные изменения по самому справочнику, так же по подчиненным справочникам, там так же нет информации по этим изменениям. Есть подозрение, что удаление происходит программно, но при каких условиях и как это происходит, не понятно, т.к. не обнаружено никаких подозрительных процедур и функций в модулях справочников. Как вычислить, хотя бы, под каким пользователем это происходит? |
||
|
1
КонецЦикла
27.05.14
✎
14:03
|
урбд есть?
триггер можно зафигачить |
||
|
2
squid
27.05.14
✎
14:12
|
урбд нет
|
||
|
3
kobzon
27.05.14
✎
14:17
|
Странно что в журнале регистрации ничего не пишется. Помнится была самописная конфа и на форме справочника номенклатура кнопочка, удаляющая все элементы справочника, которые в данный момент без остатка. Вот периодически на нее кто-то и нажимал.
|
||
|
4
Mikeware
27.05.14
✎
14:18
|
(2) sql ?
|
||
|
5
oslokot
27.05.14
✎
14:21
|
(3) [Странно что в журнале регистрации ничего не пишется]
программные терки в ЖР не пишутся |
||
|
6
squid
27.05.14
✎
14:23
|
Да, sql. Все происходит в одной и той-же директории, которая находится на 2-м уровне от корня справочник. Удаляются первые группы, обычно 1-2, сегодня вот пять первых групп
|
||
|
7
Borometr
27.05.14
✎
14:25
|
Может попробовать на время в событии "ПередЗаписью" добавить ЗаписьЖурналРегистрации, пока не будет вычислен источник
|
||
|
8
Mikeware
27.05.14
✎
14:26
|
(6) ну вот и вешай триггер.
|
||
|
9
kobzon
27.05.14
✎
14:29
|
(0) ПриУдаленииЭлемента() и пусть ченить пишется в ЖР.
|
||
|
10
ДенисЧ
27.05.14
✎
14:31
|
(9) если не интерактив - не поймается.
А интересно - в триггере можно поймать, откуда пришло? |
||
|
11
squid
27.05.14
✎
14:39
|
Все-таки триггером не вычислить не интерактивное удаление?
Такие инциденты происходят раз в 1-2 месяца, к примеру, в 10-00 часов все нормально, а в 11-00 произошел такой косяк. И как искать, не понятно |
||
|
12
Mikeware
27.05.14
✎
14:46
|
(10) только если софтпойнтовский мониторинг ставить
|
||
|
13
Mikeware
27.05.14
✎
14:48
|
(11) триггером можно вычислить - кто и когда. ну а дальше терморектальный криптоанализ...
зы. если извратиться, то можно заставить с помощью триггера скриншот делать (я не пробовал, но где-то описание встречал)... |
||
|
14
ДенисЧ
27.05.14
✎
14:49
|
(13) Триггером? Скрин?
Штататы гонишишь.... |
||
|
15
Mikeware
27.05.14
✎
14:51
|
(14) триггером генерится сообщение на порт компа, а софтина, слушающая порт, по сообщению делает скрин.
|
||
|
16
Mikeware
27.05.14
✎
14:52
|
+(15) по-моему это было на дельфикингдом или типа того.
|
||
|
17
NikVars
27.05.14
✎
15:30
|
(0) Можно попробовать так.
1) Исследуй каталог базы, где лежат внешние обработки, которые вызываются через Сервис - ДопВозможности на возможность установки таких пометок, если какой-то обработкой это возможно сделать, добавить нужный код. Надеюсь МД базы ты уже проверил на наличие возможности удалить/пометить на удаление. 2) Можно дать поиск по всем пользовательским компам на поиск всех файлов *.ert. Найдешь - собери их себе - проанализируй. 3) Если кто-то открывает внешние обработки и используется ими, то частичные следы видны в пользовательском режиме в меню Файл. При начале работе системы добавляешь код (конфа все равно изменена) и проверяешь помечена твоя нужная папка на удаление в Номенклатуре или нет, и логируешь нужное инфо в файл (дата-время, пользователь и тд и тп), который проверяешь в ежедневном режиме. Пасешь, в общем. Далее как только факт произошел пометки произошел, беги по пользователям - смотри последние открытые файлы в меню Файл. |
||
|
18
Mikeware
27.05.14
✎
15:37
|
(17) тогда уж через перехватчик перехватывать ПриОткрытии и логировать... даже через ЗаписьЖкрналаРегистрации
проще, и менее геморно. А вместо проверки ПриНачалеРаботыСистемы проще написать робота, который будет каждую секунду считать количесство удаленных папок, и пищать, если количество увеличилось... |
||
|
19
NikVars
27.05.14
✎
15:51
|
(18) Перехватчик в ПриОткрытии сработает, если я буду рубать внешней обработкой?
|
||
|
20
Mikeware
27.05.14
✎
15:54
|
(19) Да
|
||
|
21
an-korot
28.05.14
✎
09:54
|
я бы для начала блокировку пометки удаления пользователям поставил )))
|
||
|
22
Azverin
28.05.14
✎
10:26
|
запасся поп-корном!
|
||
|
23
varelchik
28.05.14
✎
12:23
|
Лови триггером событие и фиксируй дату и время.
При входе сделай таблицу поключений и туда пише всю инфу о пользователе впродь до id процесса подключнния и логина пользователя. тригером пиши какую нить табличку когда и кто дергал справочник ну а потом простейший анализ. Все. |
||
|
24
varelchik
28.05.14
✎
12:24
|
в мене так работает журнал регистрации и журнал изменений.
ток я реагирую а все сразу не только на таблицы справочников но и на все таблицы что есть в 1С кроме регистров конечно. |
| Форум | Правила | Описание | Объявления | Секции | Поиск | Книга знаний | Вики-миста |
|