Me pregunto como es posible averiguar si alguien que se conecta al servidor está robando datos o información de algún tipo.

Estuve viendo sobre la auditoria Samba y he observado que registra un log bastante detallado de lo que hace el usuario, el tema es que se haría una tarea demasiado engorrosa si hubiese muchos usuarios o si el dueño modificara muchos archivos en el día. Por esto me pregunto:

1 - Las empresas que tienen servidores donde se conectan miles/millones de usuarios, ¿cómo hacen saber si han sido vulnerados y la información que le han robado (base de datos, archivos o carpetas que han estado comprometidos después de subirse por FTP, etc)?

Me gustaría que me expliquen esto y me recomienden páginas, vídeos o cualquier recurso para aprender más sobre el tema.

Por otro lado pregunto:

2 - ¿A qué aplicación auditan los servidores para descubrir si han realizado determinadas acciones sobre un archivo o carpeta si no tienen instalado samba? ¿FTP? ¿se puede auditar FTP?

Gracias!!!

PD: Por si me pueden recomendar algún software, yo estoy usando Debian.

Contactame por privado y coordinamos un chat seguro y hablamos del tema, vas a tener que darnos información del objetivo. Caso contrario cerramos el tema.