Поиск (ключи):    ПРОГРАММЫ СТАТЬИ СОВЕТЫ ФОРУМ   WIKI НОВОСТИ (+) MAN'ы ДОКУМЕНТАЦИЯ

<< Предыдущая ИНДЕКС Исправить src / Печать Следующая >>

Ключевые слова: samba, audit, limit, log, debian,  (найти похожие документы)

From: Kirill Zabarniuk <reel_pub@ukr.net.>
Date: Mon, 26 Feb 2008 14:31:37 +0000 (UTC)
Subject: Модуль full_audit в samba

Ниже описывается настройка samba модуля full_audit, который позволяет
увидеть кто и к какому файлу обращался, кто создал, удалил или
переименовал конкретный файл или каталог.

В результате настройки необходимые данные будут записываться в лог-файл
/var/log/samba/log.audit. 

(Настройка производилась в дистрибутиве Debian Etch, версия Samba 3.0.24).

1. В секцию [global] добавляется строка

        syslog = 0


Данный параметр устанавливает приоритет сообщений, которые будут
направлены в syslog. Чем выше значение, тем большее количество сообщений
будет выводиться. Указав значение 0 можно отключить запись сообщений в
syslog.

2. Количество сообщений, записываемых в лог-файлы, для всех VFS модулей
может быть задано следующим параметром в секции [global]:

        log level = 0 vfs:2


3. Если планируется сохранять лог-файлы длительное время, может быть
полезным указание параметра

         max log size = 0


Размер лог-файла задается в килобайтах. При достижении указанного
значения файл будет переименован, путем добавления к имени файла
расширения .old. Значение 0 отключает проверку размера (в этом случае
необходимо самостоятельно позаботиться о размере лог-файла, к примеру,
настроив соответсвующим образом logrotate).

4. Для активации модуля аудита, в секции, которая описывает расшаренный
ресурс, добавляется строка

        vfs objects = full_audit


В результате данные о доступе к файлам будут записываться в syslog, либо
в лог-файл по умолчанию (log.smbd). Здесь же, через пробел, могут быть
заданы другие VFS модули.

5. Можно указать дополнительные параметры модулю full_audit.
Префикс, сообщений в лог-файле:

        full_audit:prefix = %u|%I


(каждая строка будет начинаться с user|ip_adress)
Какие ошибки должны отображаться в лог-файле:

        full_audit:failure = none


(не протоколируем ошибки)
Действия пользователей, которые записываются в лог-файл (для наглядности 
текст разбит на строки, в конфигурации нужно переписать в одну строку, убрав "\"):

        full_audit:success = connect disconnect opendir mkdir \
        rmdir closedir open close read pread write pwrite sendfile \
        rename unlink chmod fchmod chown fchown chdir ftruncate lock \
        symlink readlink link mknod realpath


Параметры, позволяющие управлять записью в журналы демоном syslogd:

        full_audit:facility = local5
        full_audit:priority = notice


Данные два параметра описывают селектор, он обозначает программу
("средство" в терминологии системы syslog), которая посылает
регистрационное сообщения и уровень серьезности этого сообщения.

Прим. Несмотря на опцию syslog = 0, samba направляет сообщения в syslog.
Возможно в других версиях samba такое поведение будет изменено.
Последние два параметра модуля full_audit позволят в дальнейшем
исключить попадание нежелательных сообщений в журанал syslog.

Собрав все вместе получим примерно следующее:

        [global]
        ...
                log level = 0 vfs:2
                max log size = 0
                syslog = 0
        ...
        [incomig]
                comment = Samba server''s incoming directory
                writable = yes
                locking = no
                path = /home/samba/incoming
                public = yes
                browseable = yes
                only guest = yes
                vfs objects = full_audit
                full_audit:prefix = %u|%I
                full_audit:failure = none
                full_audit:success = connect disconnect opendir mkdir rmdir closedir open close read pread write pwrite sendfile rename unlink chmod fchmod chown fchown chdir ftruncate lock symlink readlink link mknod realpath
                full_audit:facility = local5
                full_audit:priority = notice


После перечитывания конфигурации сервисами, строки лог-файла будут
выглядеть примерно следующим образом:

        ...
        Feb 23 18:13:31 kirill smbd_audit: nobody|192.168.4.2|connect|ok|incoming
        Feb 23 18:13:32 kirill smbd_audit: nobody|192.168.4.2|chdir|ok|chdir|/home/samba/incoming
        Feb 23 18:13:35 kirill smbd_audit: nobody|192.168.4.2|opendir|ok|.
        Feb 23 18:13:35 kirill smbd_audit: nobody|192.168.4.2|closedir|ok|
        Feb 23 18:13:35 kirill smbd_audit: nobody|192.168.4.2|opendir|ok|./
        Feb 23 18:13:48 kirill smbd_audit: nobody|192.168.4.2|opendir|ok|New Folder
        Feb 23 18:13:48 kirill smbd_audit: nobody|192.168.4.2|closedir|ok|
        Feb 23 18:13:48 kirill smbd_audit: nobody|192.168.4.2|rmdir|ok|New Folder
        Feb 24 11:45:10 kirill smbd_audit: root|192.168.4.2|disconnect|ok|incoming
        Feb 24 11:45:10 kirill smbd_audit: root|192.168.4.2|chdir|ok|chdir|/
        ...


7. Дополнительные настройки

Далее может понадобиться дополнительная настройка демонов syslogd и logrotate.
(Прим. В данном примере используются sysklogd 1.4.1 и logrotate 3.7.1)

7.1 В стандартном файле конфигурации syslog.conf демона syslogd имеется строка

        *.*;auth,authpriv.none           -/var/log/syslog


для того чтобы сообщения модуля full_audit не попадали в syslog, нужно
изменить эту строку следующим образом:

        *.*;local5,auth,authpriv.none           -/var/log/syslog


Чтобы сообщения записывались в заданный файл, нужно добавить в
syslog.conf такую строку:

        local5.notice                   -/var/log/samba/log.audit


7.2 Для того чтобы лог-файл не разрастался, в каталоге /etc/logrotate.d
можно изменить соответсвующую секцию конфигурационного файла samba,
чтобы она выглядела примерно так:

        /var/log/samba/log.smbd /var/log/samba/log.audit {
                weekly
                missingok
                rotate 7
                postrotate
                        invoke-rc.d --quiet samba reload > /dev/null
                endscript
                compress
                notifempty
        }

<< Предыдущая ИНДЕКС Исправить src / Печать Следующая >>

Обсуждение [ Линейный режим | Показать все | RSS ]   1.1, _Wolf_, 20:02, 27/02/2008 [ответить] [смотреть все] +/– Как решить проблему русских названий в логах?     2.2, werti, 15:19, 29/02/2008 [^] [ответить] [смотреть все] +/– konsole + utf8   2.9, Vitaliy, 17:03, 12/05/2009 [^] [ответить] [смотреть все] +/– >Как решить проблему русских названий в логах? Помогите и мне пожалуйста, где писать "консоль + Utf8"?? Как сделать что-бы в журнале русские имена файлов отображались, а то как то стрёмно May 12 16:43:38 SERVER smbd_audit: nobody|172.17.4.90|sendfile|ok|а\224аОаКб\203аМаЕаНб\202 Microsoft Word.doc Это типа "Документ Microsoft Word.doc"     3.10, Alchemist, 19:50, 12/05/2009 [^] [ответить] [смотреть все] +/– >>Как решить проблему русских названий в логах? > >Помогите и мне пожалуйста, где писать "консоль + Utf8"?? >Как сделать что-бы в журнале русские имена файлов отображались, а то как >то стрёмно >May 12 16:43:38 SERVER smbd_audit: nobody|172.17.4.90|sendfile|ok|а\224аОаКб\203аМаЕаНб\202 Microsoft Word.doc >Это типа "Документ Microsoft Word.doc" [global] ... unix charset = UTF-8 dos charset = UTF-8 display charset = UTF-8 ...   1.3, woland, 10:12, 21/04/2008 [ответить] [смотреть все] +/– Настраиваю как здесь написано. Пропадает конект с публичным ресурсом. Комментирую вот эту строку vfs objects = full_audit связь появляется. В чем может быть дело, подскажите, пожалуйста smb.conf [global] workgroup = XXXX dos charset = koi8-r unix charset = koi8-r security = share syslog = 0 log level = 10 vfs:2 max log size = 50 [homes] guest ok = no read only = no public = no [pub] comment = Public directory path = /home/public public = yes browseable = yes only guest = yes guest ok =yes read only = no locking = no vfs objects = full_audit full_audit:prefix = %u|%I full_audit:failure = none full_audit:success = connect disconnect opendir mkdir rmdir write pwrite sendfile rename chmod fchmod lock ;closedir open close read pread unlink chown fchown chdir ftruncate symlink readlink link mknod realpath full_audit:facility = local5 full_audit:priority = notice   1.4, woland, 10:24, 21/04/2008 [ответить] [смотреть все]   +/– Настраиваю как здесь показано. Пропадает конект с публичным ресурсом. Комментирую вот эту строку vfs objects = full_audit связь появляется. В чем может быть дело, подскажите, пожалуйста.   1.5, dal, 12:21, 30/01/2009 [ответить] [смотреть все]   +/– Читать нужно а не повторять как обезьяны, модуль full_audit заменен на extd_audit     2.7, Alchemist, 23:50, 28/04/2009 [^] [ответить] [смотреть все]   +/– Ubuntu 9.04 - full_audit и все ок... Автору спасибо за полноценную статью!   1.6, light, 14:53, 08/03/2009 [ответить] [смотреть все]   +/– большое спасибо, очень хорошая статья   1.8, Alchemist, 12:54, 12/05/2009 [ответить] [смотреть все]   +/– [quote] Чтобы сообщения записывались в заданный файл, нужно добавить в syslog.conf такую строку: local5.notice                   -/var/log/samba/log.audit[/quote] Забыл поправить - тут минус нужно убрать, а то писаться в лог ничего не будет. ;)     2.11, Hram, 14:57, 29/05/2009 [^] [ответить] [смотреть все]   +/– Народ, скажите на милость, как сделать так, что бы записи smbd_audit не дублировались в massages и syslog, а лежали только в log.audit   1.12, Сергей, 13:21, 03/06/2009 [ответить] [смотреть все]   +/– Red Hat Ent. 5.1 - все работает только например на событие open пишет по 100 раз одну и ту же строку!!! лог быстро набирает массу!! кто нить знает как с этим бороться?   1.13, Vista, 16:40, 14/10/2010 [ответить] [смотреть все]   +/– Все сделал как тут, но нет IP адреса клиентови присутствуют сообщения о каких то... весь текст скрыт [показать]   1.14, Help, 21:21, 19/11/2010 [ответить] [смотреть все]   +/– а можно ли указать конкретную папку для аудита   1.15, Vista, 16:16, 27/06/2011 [ответить] [смотреть все]   +/– Направил логи в другую папку - все супер! Но в lockalmessages все равно идет запись! Как отключить запись в этот файл?   1.16, netc, 09:06, 29/07/2011 [ответить] [смотреть все]   +/– а перезапустить rsyslog ;) и smbd [code] invoke-rc.d samba restart && invoke-rc.d rsyslog restart [/code]   1.17, Sandman_VO, 11:22, 13/01/2012 [ответить] [смотреть все]   +/– Может кто сталкивался. Запустил в тестовом режиме аудит самбы на SLES 10SP3. В принципе все работает. Но в лог файл пишутся одинаковые записи и самое интересное, что количество записей зависит от размера записываемого файла. Т.е. на файл 60Кб всего 2 записи, а на файл 8Мб уже 221 одинаковая запись. Как избавиться от этого? На всякий случай конфиги. smb.conf [global] # Audit settings full_audit:prefix = %u|%I|%S full_audit:failure = connect full_audit:success = rename rmdir write mkdir read pwrite full_audit:facility = local5 full_audit:priority = notice [audit] comment = smb audit test inherit acls = Yes path = /workzone/share read only = No vfs objects = full_audit syslog-ng.conf #AUDIT filter f_local5 {facility(local5);}; destination m_samba_audit { file("/var/log/samba/audit.log"); }; log { source(src); filter(f_local5);destination(m_samba_audit); flags(final); };   Ваш комментарий Имя:          E-Mail:       Заголовок: Текст:

АКЦИЯ! ПОДПИШИСЬ на журнал Linux Format до 31 января 2012 года и выиграй СУПЕРПРИЗ! Журнал "Linux Format" (Линукс Формат)- Единственный в России и странах СНГ журнал на русском языке, посвящённый Linux и свободному ПО. Журнал для IT-директоров, IT-менеджеров, программистов, системных администраторов, учителей школ и преподавателей ВУЗов и всех пользователей ПК. В каждом выпуске: Новости индустрии OpenSource, обзоры новинок свободного ПО, обучающие и методические статьи. Каждый, кто оформит подписку, получает бонус- объёмные наклейки на системный блок и подарки: с одним из первых выпусков журнала в 2012 году- диск с архивом номеров за 2005-2011 г.г. и ежемесячно электронную версию журнала в pdf-формате. Подробнее о проведении акции вы можете прочитать на странице сайта.