samba & full audit

[Nolf]

Подскажите пожалуйста, у меня есть 7 шар в samba. Настроен full audit для каждой шары и все падает в один файлик. Есть ли способ как разделить это на файлики для каждой шары?

[Хостинг HostFood.ru]

Тарифы на хостинг в России, от 12 рублей: https://www.host-food.ru/tariffs/hosting/
Тарифы на виртуальные сервера (VPS/VDS/KVM) в РФ, от 189 руб.: https://www.host-food.ru/tariffs/virtualny-server-vps/
Выделенные сервера, Россия, Москва, от 2000 рублей (HP Proliant G5, Intel Xeon E5430 (2.66GHz, Quad-Core, 12Mb), 8Gb RAM, 2x300Gb SAS HDD, P400i, 512Mb, BBU):
https://www.host-food.ru/tariffs/vydelennyi-server-ds/
Недорогие домены в популярных зонах: https://www.host-food.ru/domains/

[Nolf]

Нашел решения, а подскажите описание операций vfs_full_audit, а то часть понятна а часть нет, меня интересует следующие операции- создания удаления файлов и папок + редактирования файлов.:

Код: Выделить всё

chdir
chflags
chmod
chmod_acl
chown
close
closedir
connect
disconnect
disk_free
fchmod
fchmod_acl
fchown
fget_nt_acl
fgetxattr
flistxattr
fremovexattr
fset_nt_acl
fsetxattr
fstat
fsync
ftruncate
get_nt_acl
get_quota
get_shadow_copy_data
getlock
getwd
getxattr
kernel_flock
link
linux_setlease
listxattr
lock
lseek
lstat
mkdir
mknod
open
opendir
pread
pwrite
read
readdir
readlink
realpath
removexattr
rename
rewinddir
rmdir
seekdir
sendfile
set_nt_acl
set_quota
setxattr
stat
statvfs
symlink
sys_acl_delete_def_file
sys_acl_get_fd
sys_acl_get_file
sys_acl_set_fd
sys_acl_set_file
telldir
unlink
utime
write

[Nolf]

А по поводу разделения логов аудита по шарам, получилось только на половину, а именно
в пункте full_audit:facility прописал что ровно = local1....7 так работает но когда прописываешь local8 и так далее не работает почему то... а у меня 11 шар на samba... Есть еще варианты какие можно использовать значения?

[Nolf]

В общем ситуация на данный момент такая:
В глобале прописал:

Код: Выделить всё

        log level = 0 vfs:2
        syslog = 0

В шаре1

Код: Выделить всё

        vfs objects = full_audit
        full_audit:prefix = |%m|%a|%u|%I|%S
        full_audit:failure = none
        full_audit:success = mkdir rmdir pwrite rename unlink link
        full_audit:facility = local1
        full_audit:priority = notice

.
.
..шаре11

Код: Выделить всё

        vfs objects = full_audit
        full_audit:prefix = |%m|%a|%u|%I|%S
        full_audit:failure = none
        full_audit:success = mkdir rmdir pwrite rename unlink link
        full_audit:facility = local11
        full_audit:priority = notice

В syslog.conf прописно следующее:

Код: Выделить всё

*.notice;local1;local2;local3;local4;local5;local6;local7;local01;local9;local10;local11;authpriv.none;kern.debug;lpr.info;mail.crit;news.err   /var/log/messages
local1.notice                                   /var/log/samba/audit/share1.log
.
.
.
local11.notice                                  /var/log/samba/audit/share11.log

Все работает, но только до 7 шары включительно, так как вычитал что в syslog для определения пользователем типа программы, записывающей сообщений зарезервированы LOG_LOCAL0 до LOG_LOCAL7 (да можно еще использовать local0), но мне нужно будет все ровно разделить на 3 шары, в будущем возможно и больше. Подскажите есть ли какой то варианта как это сделать? Заранее спасибо.

[Alex Keda]

желание писать в отдельные файлы - оно принципиальное чтоле?

Код: Выделить всё

> tail -10 /etc/syslog.conf 
# news.crit                                     /var/log/news/news.crit
# news.err                                      /var/log/news/news.err
# news.notice                                   /var/log/news/news.notice
!smbd
*.*                                             /shares/logs/smbd_audit.log
!smartd
*.*                                             /var/log/smartd.log
!ppp
*.*                                             /var/log/ppp.log
!*
> 

[Nolf]

Тяжело будет просматривать даже за сутки файл, будет очень большой. Думаю что если разделить по шарам то будет проще.
А также подскажите можно как то побороть что бы отображались русские имена файлов или папок?

[Nolf]

Столкнулся с проблемой, на одной шаре нужно проводить аудит кто какой файл открывал... использую параметр pread, но он корректно отрабатывает с текстовыми файлами, а вот с видео пока оно проигрывается, он в логи пишет постоянно одну и туже строчку.
От аудита мне нужно монтировать следующие параметры:
- создание / удаления файлов ( ???/unlink)
- создание / удаления каталогов (mkdir / rmdir)
- чтения файлов. (????)
- переименование файлов / каталогов (rename / rename )

Буду благодарен за помощь.