Ну вот и дошли у меня руки сделать инструкцию по настройке аудита в samba (детализированного лога о доступе пользователей к файлам и папкам на сервере, а так же действиям с ними).
1. Итак, решаем куда мы будем писать наши логи. Пусть это будет /var/log/samba_audit.log (можно любое другое место).
2. Решаем что из действий пользователя мы хотим отслеживать.
3. В /etc/samba/smb.conf прописываем либо в глобальную секцию [global] (тогда аудит будет все шары проверять), либо в конкретную секцию (например, [Shared]) следующие команды:
1 2 3 4 5 6 7 8 9 10 11 12 |
vfs objects = full_audit #Префикс - описание пользователя. %u - имя %I - IPадрес, [home] - раздел, в котором юзер что-то открывал. full_audit:prefix = [home] %u|%I #запись об ошибках. В нашем случае - ошибки не записываем. full_audit:failure = none #запись о действиях: создать папку, удалить папку, открыть файл, ...., записать файл, перезаписать файл, #...., переименовать файл, разблокировать доступ к файлу, заблокировать доступ к файлу. full_audit:success = mkdir rmdir open read pread write pwrite sendfile rename unlink lock #механизм записи в лог full_audit:facility = local5 #уровень записи. <strong>Может быть debug или notice </strong> full_audit:priority = debug |
Оставляем только те параметры, которые нужны. И запоминаем что мы написали в параметре уровня записи debug или notice, оно нам понадобится дальше.