Страница 1 из 1
samba & full audit
Добавлено: 2013-06-13 19:11:50
Nolf
Подскажите пожалуйста, у меня есть 7 шар в samba. Настроен full audit для каждой шары и все падает в один файлик. Есть ли способ как разделить это на файлики для каждой шары?
Re: samba & full audit
Добавлено: 2013-06-13 20:06:46
Nolf
Нашел решения, а подскажите описание операций vfs_full_audit, а то часть понятна а часть нет, меня интересует следующие операции- создания удаления файлов и папок + редактирования файлов.:
Код: Выделить всё
chdir
chflags
chmod
chmod_acl
chown
close
closedir
connect
disconnect
disk_free
fchmod
fchmod_acl
fchown
fget_nt_acl
fgetxattr
flistxattr
fremovexattr
fset_nt_acl
fsetxattr
fstat
fsync
ftruncate
get_nt_acl
get_quota
get_shadow_copy_data
getlock
getwd
getxattr
kernel_flock
link
linux_setlease
listxattr
lock
lseek
lstat
mkdir
mknod
open
opendir
pread
pwrite
read
readdir
readlink
realpath
removexattr
rename
rewinddir
rmdir
seekdir
sendfile
set_nt_acl
set_quota
setxattr
stat
statvfs
symlink
sys_acl_delete_def_file
sys_acl_get_fd
sys_acl_get_file
sys_acl_set_fd
sys_acl_set_file
telldir
unlink
utime
write
Re: samba & full audit
Добавлено: 2013-06-13 20:52:07
Nolf
А по поводу разделения логов аудита по шарам, получилось только на половину, а именно
в пункте full_audit:facility прописал что ровно = local1....7 так работает но когда прописываешь local8 и так далее не работает почему то... а у меня 11 шар на samba... Есть еще варианты какие можно использовать значения?
Re: samba & full audit
Добавлено: 2013-06-17 11:04:07
Nolf
В общем ситуация на данный момент такая:
В глобале прописал:
В шаре1
Код: Выделить всё
vfs objects = full_audit
full_audit:prefix = |%m|%a|%u|%I|%S
full_audit:failure = none
full_audit:success = mkdir rmdir pwrite rename unlink link
full_audit:facility = local1
full_audit:priority = notice
.
.
..шаре11
Код: Выделить всё
vfs objects = full_audit
full_audit:prefix = |%m|%a|%u|%I|%S
full_audit:failure = none
full_audit:success = mkdir rmdir pwrite rename unlink link
full_audit:facility = local11
full_audit:priority = notice
В syslog.conf прописно следующее:
Код: Выделить всё
*.notice;local1;local2;local3;local4;local5;local6;local7;local01;local9;local10;local11;authpriv.none;kern.debug;lpr.info;mail.crit;news.err /var/log/messages
local1.notice /var/log/samba/audit/share1.log
.
.
.
local11.notice /var/log/samba/audit/share11.log
Все работает, но только до 7 шары включительно, так как вычитал что в syslog для определения пользователем типа программы, записывающей сообщений зарезервированы LOG_LOCAL0 до LOG_LOCAL7 (да можно еще использовать local0), но мне нужно будет все ровно разделить на 3 шары, в будущем возможно и больше. Подскажите есть ли какой то варианта как это сделать? Заранее спасибо.
Re: samba & full audit
Добавлено: 2013-06-17 16:41:06
Alex Keda
желание писать в отдельные файлы - оно принципиальное чтоле?
Код: Выделить всё
> tail -10 /etc/syslog.conf
# news.crit /var/log/news/news.crit
# news.err /var/log/news/news.err
# news.notice /var/log/news/news.notice
!smbd
*.* /shares/logs/smbd_audit.log
!smartd
*.* /var/log/smartd.log
!ppp
*.* /var/log/ppp.log
!*
>
Re: samba & full audit
Добавлено: 2013-06-18 9:46:34
Nolf
Тяжело будет просматривать даже за сутки файл, будет очень большой. Думаю что если разделить по шарам то будет проще.
А также подскажите можно как то побороть что бы отображались русские имена файлов или папок?
Re: samba & full audit
Добавлено: 2014-04-22 13:49:49
Nolf
Столкнулся с проблемой, на одной шаре нужно проводить аудит кто какой файл открывал... использую параметр pread, но он корректно отрабатывает с текстовыми файлами, а вот с видео пока оно проигрывается, он в логи пишет постоянно одну и туже строчку.
От аудита мне нужно монтировать следующие параметры:
- создание / удаления файлов ( ???/unlink)
- создание / удаления каталогов (mkdir / rmdir)
- чтения файлов. (????)
- переименование файлов / каталогов (rename / rename )
Буду благодарен за помощь.