Главная » Форум » Gentoo Linux » Общие вопросы

логи samba - как сделать их удобочитаемыми?

Гость 3 октября, 2008 - 00:52

Доброе время суток всем!

У меня такая проблема: поставил samba сервер, пользователи регистрируются на входе как гости, расшарил папку доступную для записи и теперь хотелось бы знать, кто, что и когда что либо делает в этой папке (записывает/изменяет/удаляет) В логах при loglevel = 0 пишутся только соединения и отключения, а при уровне лога >0 вообще какая то малопонятная ахинея среди которой даже после детального изучения не удалось найти какую-то нужную мне информацию, рытьё гугля навело на модуль extd_audit но после его включения "ахинея" в логах продолжается, единственное что становится видно это кто что и когда удалил, но эту информацию приходится буквально выуживать из лога (grep tail less и т.д.) да и потом этого недостаточно. Подскажите, каким образом можно было бы насторить, чтобы видеть кто, с каким ip, что удалил/записал/изменил и когда (дата и время) или посоветуйте какой-нибудь анализатор логов, чтобы можно было получать эту информацию. Заранее спасибо!

‹ WiFi [SOLVED]gentoo bug #218422 ›
»

Скачай

Автор wi, дата создания 3 октября, 2008 - 11:02.

Скачай Samba3-HOWTO.pdf.

loglevel в секции глобал smb.conf насколько я понял не совсем то что вам нужно. Это настройки уровня логов либо на всю систему

loglevel=3

либо на отделные классы событий

log level = 0 auth:10 winbind:2

К аудиту пользовательских действий с файлами не имеют практически никакого отношения, это делают модули audit или extd_audit

в секции шары должно быть нечто такое:

vfs object =extd_audit
extd_audit: log level=10

либо так
[global]
...
log level = 0 extd_audit:10

[шара]
...

vfs object = extd_audit

Уровни такие:
0 - создание -удаление директорий и удаление файлов
1 открытие директорий, переименование файлов, изменение прав/списков_доступа ,
2 открытие и закрытие файлов
10 максимальный уровень.

Можно писать в сислог (ежели параметр syslog не равен 0) и раскидывать по разным файлам к примеру через syslog_ng, можно раскидывать через параметр log file по хостам/пользователям и т.д

Готового анализатора не видел, может быть в swat есть(не поднимал ни разу). А вообще файло отдают чтоб с ним работали, а не чтоб админ логов почитал. Аудит, конечно, лучше включить ибо нужен иногда для разборок, но тогда греп рулит однозначно.

»

Спасибо, но не

Автор _Andrey (не зарегистрирован), дата создания 5 октября, 2008 - 00:52.

Спасибо, но не совсем помогает :) мусора в логах стало меньше, но вот желаемая информация логирутеся не вся:

При удалении самба еще выдает что-то удобочитаемое и понятное

[2008/10/05 00:43:02, 0] modules/vfs_extd_audit.c:audit_unlink(273)
  vfs_extd_audit: unlink проверка.txt

А вот при копировании файла в папку опять пишет ерунду:

[2008/10/05 00:42:13, 0] modules/vfs_extd_audit.c:audit_mkdir(182)
  vfs_extd_audit: mkdir . failed:  Файл существует
[2008/10/05 00:42:13, 0] smbd/nttrans.c:call_nt_transact_ioctl(2463)
  call_nt_transact_ioctl(0x90060): Currently not implemented.

Причем здесь mkdir, когда я создаю файл так и непонял...

Вообще главная моя цель это возможность определить кто куда когда и что записал, чтобы можно было бороться со злоумышленниками, пишущими в общую папку всякую гадость типа вирусов троянов червей и т.д.

»

Настройки просмотра комментариев

Выберите нужный метод показа комментариев и нажмите "Сохранить установки".