Skip to content Skip to sidebar Skip to footer

Tracking File yang Terhapus pada Windows Server

File sharing pada windows banyak diterapkan pada jaringan komputer untuk berbagi data diantara pengguna dalam jaringan tersebut. Namun terkadang data yang di-sharing tersebut bisa saja terhapus secara tidak sengaja oleh seseorang dan kita tidak mengetahui siapa orang yang menghapus data itu. Karena alasan tertentu, sebagai seorang IT kita terkadang diminta untuk memeriksa kapan data dihapus, dari komputer mana data dihapus, dan siapa yang menghapus data tersebut bukan. Hal ini bukan karena penting tidak nya data yang terhapus namun untuk mengingatkan agar orang tersebut lebih berhati-hati dengan data-data yang disharing sehingga tidak terluang kembali dikemudian hari.

Oleh karena itu, pada tutorial kali ini kita akan membahas bagaimana cara melalukan tracking data yang terlah terhapus, siapa yang menghapus, kapan dan dari mana data tersebut terhapus menggunakan File and Folder Auditing dan Event Viewer yang ada pada Windows Server. Untuk mempermudah proses pengujian pada tutorial ini, kita memiliki sebuah server dengan sistem operasi Windows Server 2008 R2 yang akan menjalankan fungsi file server dan server ini juga akan berfungsi untuk menjalankan active directory user and computer,  dan rerdapat beberapa komputer klien yang akan mengakses file yang disharing pada file server. Dan pada tutorial ini, kita tidak akan membahas bagaimana cara melalukan file sharing pada sebuah server dan memunculkan file tersebut pada komputer klien, silahkan anda membaca tutorial mengenai file sharing ini pada link berikut.

Aktifkan File And Folder Audit Windows

Langkah pertama yang harus dilakukan adalah mengaktifkan file and folder auditing pada windows server melalui Start Menu → Administrative Tools → Group Policy Management.

Membuka Group Policy Management
Membuka Group Policy Management

Setelah group policy management terbuka, maka silahkan buka Group Policy Object seperti tampak pada gambar dibawah ini.

Group Policy Object
Group Policy Object

Seperti tampak pada gambar diatas, terdapat 2 buah group policy object, klik kanan pada Default Domain Policy → Edit

Group Policy
Edit Group Policy

Jika tidak mau mengedit group policy yang sudah ada, kita bisa saja membuat group policy baru kemudian di link kan dengan domain yang sudah kita miliki. Setelah itu, akan ditampilkan menu Group Policy Management Editor dan masuk ke Computer Configuration → Polices → Windows Setting →  Security Setting → Local Polices → Audit Policy, setelah itu pada sebelah kanan double klik pada Audit Object Access.

Menu Audit Policy
Menu Audit Policy

Setelah itu, maka berikan tanda centang pada bagian Define these policy setting, Success, dan Failure kemudian klik Ok, seperti pada gambar dibawah ini.

menu Audit Object Access
menu Audit Object Access

Sampai tahapan ini, silahkan ditutup group policy management editor serta Group Policy Management-nya.

Aktifkan Audit Pada Folder/File

Langkah berikutnya adalah melakukan konfigurasi audit pada file ataupun folder yang akan dimonitoring. Sebagai contoh, pada file server terdapat folder yang bernama Labkomputer dan didalam folder tersebut terdapat 3 folder lagi yang bernama HRD, IT, dan Public. Kita menginginkan supaya ketiga folder tersebut dapat dimonitoring ada tidaknya file yang dihapus oleh para user. Oleh karena itu, kita cukup aktifkan fungsi audit ini pada parent folder nya yaitu pada folder Labkomputer, klik kanan dan pilih properties, kemudian klik tab menu Security

Aktifkan Audit File
Aktifkan Audit File 

Selanjutnya, klik tombol Advanced → tab menu Auditing → Edit

aktifkan audit file

 Selanjutnya, akan ditampilkan menu baru seperti tampak pada gambar dibawah, dimana pada menu ini akan ditampilkan nama object yang akan dimonitoring (diaudit), perhatikan pada garis kotak merah pada gambar dibawah ini.

Menambahkan Daftar User
Menambahkan Daftar User

Dari menu diatas, klik tombol Add, kemudian tentukanlah siapa saja user yang akan dimonitoring pemakaiannya terhadap isi folder labkomputer tersebut. Apabila kita menginginkan untuk memonitoring aktifitas semua user yang ada pada domain controller, maka ketikkan Domain User dan klik tombol Ok

Menambahkan Daftar User
Menentukan user yang akan dimonitor

Setelah itu, akan ditampilkan menu auditing entry, dan silahkan centang pada bagian Delete, Delete Subfolder and Files pada keterangan Successful kemudian klik tombol OK.

Menambahkan Daftar User
memilih entry 

Pengujian Penghapusan Data dari Komputer Klient

Sekarang mari kita uji coba dengan menghapus sebuah file dari salah satu komputer klien, perhatikan gambar dibawah ini.

User dengan hak aksesnya

Dari gambar diatas, terlihat bahwa seorang user atas nama Ahmad Dani memiliki akses mapping drive untuk membuka folder Public pada file server. Didalam mapping drive ini terdapat beberapa file, dan salah satu file yang akan kita coba hapus adalah file gambar “Jellyfish.jpg” seperti pada gambar dibawah ini.

Menghapus File dari Komputer Klien
   Menghapus File dari Komputer Klien

Setelah gambar tersebut terhapus, maka langkah selanjutnya adalah melihat event viewer pada komputer File Server.

Melihat Log pada Event Viewer Server

Untuk membuka event viewer dapat dilakukan melalui Start → Administrative Tools → Event Viewer.

Membuka Event Viewer
Membuka Event Viewer 

Setelah event viewer terbuka, selanjutnya silahkan buka Windows Log → Security.

Daftar Log
Daftar Log

Dari gambar diatas, ditampilkan semua log yang tercatat pada server, termasuk log hapus file yang dilakukan dikomputer klien pun tercatat disini. Untuk mempercepat pencarian log, maka silahkan lakukan filter dan pada bagian Event ID ketikkan 4660,4663, 5140.

Filtering log
Filtering log

Setelah melakukan filter maka daftar log yang akan ditampilkan akan tampak seperti pada gambar dibawah ini.

Filtered Log
Filtered Log

Langkah pertama, dari daftar log yang ditampilkan silahan buka log dengan ID 4660. Dimana pada log 4660 ini akan menginformasikan bahwa telah terjadi delete pada sebuah objek, beserta ID Windows yang melakukan penghapusan pada objek tersebut.

ID Log 4660
ID Log 4660

Setelah mengetahui bahwa ada objek yang dihapus, maka langkah selanjutnya silahkan lihat pada log dengan ID 4663 untuk mengetahui objek apa yang dihapus.

ID Log 4663
ID Log 4663

Dari gambar diatas, kita bisa melihat bahwa objek yang terhapus tersebut adalah sebuah gambar dengan nama JellyFish.jpg, dimana log dengan ID 4663 ini memiliki catatan waktu (Logged), serta Security ID yang sama dengan log ID 4660. Adapun jika kita ingin mengetahui komputer mana yang digunakan untuk menghapus file foto tersebut maka dapat dilihat pada log ID 5140.

Log windows

Nah, demikian yang bisa kita sampaikan pada tutorial kali ini, terimakasih sudah berkunjung dan semoga bermanfaat.

Parman
Parman Hallo, salam kenal.

Post a Comment for "Tracking File yang Terhapus pada Windows Server"