Настройка аудита Samba

Ну вот и дошли у меня руки сделать инструкцию по настройке аудита в samba (детализированного лога о доступе пользователей к файлам и папкам на сервере, а так же действиям с ними).
1. Итак, решаем куда мы будем писать наши логи. Пусть это будет /var/log/samba_audit.log (можно любое другое место).
2. Решаем что из действий пользователя мы хотим отслеживать.
3. В /etc/samba/smb.conf прописываем либо в глобальную секцию [global] (тогда аудит будет все шары проверять), либо в конкретную секцию (например, [Shared]) следующие команды:

Оставляем только те параметры, которые нужны. И запоминаем что мы написали в параметре уровня записи debug или notice, оно нам понадобится дальше.

4. В секцию [global] добавляем строчки:

Это собственно, указание на разрешение аудита.
5. Теперь настроим системное логирование. Для этого в настройки демона в файле /etc/rsyslog.d/50-default.conf в конец допишем:

Причём, уровень логирования (debug или notice должен соответствовать указанному в конфиге самбы). При этом в некоторых руководствах вместо local5 предлагают local7, не знаю, чем они отличаются, но тоже должны совпадать. Знак «-» перед каталогом позволяет ускорить запись в него но при этом часть данных может теряться.
Если нет желания дублировать запись аудита в syslog изменим в этом же конфиге строчку

На

Другой рекомендуемый вариант — заменить эту строчку на:

6. Ещё один вариант подключения логирования — добавить в этот же файл строчку:

Опять же, надо убедиться, что debug или notice соответствуют настройкам самбы.

7. Перезапустить демоны самбы и лога:

Данная инструкция написана на основе советов и инструкций с русскоязычного форума Ubuntu.ubuntu P.S. Список параметров  vfs_full_audit VFS operations:

 


Вы можете пропустить чтение записи и оставить комментарий. Размещение ссылок запрещено.