Как узнать, кто удалил документы в 1С? #795442

База на SQL. Некий пользователь удалил много документов в 1С. Затем очистил журнал регистрации за определенный период. Можно ли каким-то образом выяснить, кто это сделал? Хранит ли журнал транзакций SQL данные об удаленных элементах. Или о том кто очистил жт. какие есть идеи?

В отдел кадров сходи, кого хотели уволить, и у кого права на удаление есть?

А какая разница? Тебе будет легче?

в то время у многих пользователей было право на удаление.

руководству компании будет гораздо легче. так как было своровано много денег

Ну тогда дай им послушать песню - Нас не догонишь!

Всех, кто работал (мог работать) в базе в тот день оштрафовать. Разделить сумму убытка на всех. Реально виноватого они сами потом найдут и растерзают. ))

эта идея мне нравится. так-то я понимаю, что уже никак не узнать?

Насчет узнать средствами SQL - я не могу сказать, не знаю. Подожди, может кто-нить еще выскажется.

Если лог файл был в режиме full тогда можно откатить транзакции (только лучше в копии сделать), но кто сделал узнать не получиться.

А разве права на удаление данных журнала регистрации есть у обычных пользователей?

146% все настроено по умолчанию - все админы, лог файл скуля в модели simple с автошринком. Так что только

что мне даст откат транзакций?

там полнейший бардак был. права админа были у нескольких юзеров

Не найдешь концов. Пусть уроком предводителям фирмешки будет.

В процессе удаления он не очищал журнал очевидно. То есть можно поймать тот момент когда документы УЖЕ удалены, а журнал ЕЩЕ не почищен. Если транзакции архивируются, модель фулл и архивы транзакций в наличии.

как раз если все настроено по умолчанию, тогда модель будет в full, а автошринка не будет никакого. удаленные документы восстановишь. журнал регистраций не храниться в sql.

в том то и дело, что было это месяцев 5 тому назад. и никаких архивов нет

цель не в восстановлении удаленных документов. нужно узнать, кто это сделал. все верно, по умолчанию модель full. журнал транзакций отдельно не архивировался

вы через 5 месяцев узнали что у вас МНОГО документы удалили. тут даже сочувствовать нечему.

не я, а заказчики.

Скупой платит дважды

Старо, как мир -  ищи кому это выгодно...

Тупой трижды, а лох всегда ;-)

Чо вы придумываете? берете пишете заяву в полицию, далее восстанавливаете по налоговым сверкам удаленные документы, далее ментам выдаете перечень документов и чтобы они провели разыскные мероприятия, далее уже выходите на заказчика удаления, далее он сам вам скажет кто и что удалил

А вообще я бы подозревал ГБ

Не заметить как у нее поменялась оборотка может только слепой человек

А потом внезапно окажется, что никто ничего не удалял. Просто захотелось поработать в копии базы вместо основной...

я думаю вариант один есть и вполне рабочий 1. по логам сервера установить всех кто в этот период входил в систему 2. всем этим юзерам всем устроить проверку на полиграфе

USR1CV8 виноват, однозначно!

объем базы очень большой. как раз-таки сложно обнаружить пропажу. но какие документы были удалены известно.

Вы не в курсе, каждый юзер перед авторизацией 1с авторизуется в винде... и для клиент серверного и для файлового варианта - все кто пытался получить доступ к 1с есть в логах винды сервера с событием авторизации...

кроме того если настроен файловый аудит то если лог удаляли не из 1с а напрямую - это событие можно поискать в виндовс логе.... то есть если лог удалили а не очистили - ищи в логах винды сервера...

лог удалили из 1с напрямую.

Точно-точно. Особенно, если сервер на линуксе. Ну, или в веб-клиенте. Обязательно, да.

Прям вот открытый для записи? Взяли и удалили?

в веб клиенте - логи веб сервера, на линуксе - то же есть логи... его нельзя удалить из 1с, только сократить...

Какая ценность в своровпнных документах в базе? Сперли или реальный товар или реальные деньги. И то и другое привидениями не делается. Следы физических действий остаются.

если журнала регистрации нет, то не узнаешь. Да и толку от этой возни ни какой. В журнале транзакций ты найдешь только дату и время удаления. Пользователя 1С там не будет. Ну, и, если достало прав и мозгов почистить журнал регистрации, значит хватило и делать это не под собой.

да, именно сократили до определенного периода.

именно это я и хотел узнать, будет ли информация о пользователе в жт. получается, что все бесполезно. если даже под другим пользователем, в журнале регистрации ведь хранится информация об устройстве, из которого были сделаны изменения. я подумал, может нечто подобное есть и в жт.

Используйте что-то типа: и не будет таких ситуаций.

Спасибо, товарищ капитан! А вода мокрая, потому что состоит из жидкости?

+1 Это не проблема программистов. Тем более с такими сроками обнаружения рецидива. ГБ наказать на весь ущерб. В следующий раз будет более требовательно относиться к своим обязанностям. Кроме того, электронные носители не являются первичными доками. Кстати, как с первичными доками на бумаге, они тоже исчезли?

Всю команду с правами админов сажайте вводить утерянную информацию. В своё личное время. У меня случай был. Стёрли вчистую 20-й счёт за год, со всеми субсчетами. Взял первичку с начала года. Прогнал через файнридер. (Виновник сидел 3 недели не отрывая задницу) Написал по. Восстановили. Так что, хватит искать виноватых, вперёд, вас ждут великие свершения.

нет, бумаги вроде на месте.