The OpenNET Project / Index page

[ новости/++ | форум | wiki | теги ]

Модуль full_audit в samba (samba audit limit log debian)


<< Предыдущая ИНДЕКС Исправить src / Печать Следующая >>
Ключевые слова: samba, audit, limit, log, debian,  (найти похожие документы)
From: Kirill Zabarniuk <reel_pub@ukr.net.> Date: Mon, 26 Feb 2008 14:31:37 +0000 (UTC) Subject: Модуль full_audit в samba Ниже описывается настройка samba модуля full_audit, который позволяет увидеть кто и к какому файлу обращался, кто создал, удалил или переименовал конкретный файл или каталог. В результате настройки необходимые данные будут записываться в лог-файл /var/log/samba/log.audit. (Настройка производилась в дистрибутиве Debian Etch, версия Samba 3.0.24). 1. В секцию [global] добавляется строка syslog = 0 Данный параметр устанавливает приоритет сообщений, которые будут направлены в syslog. Чем выше значение, тем большее количество сообщений будет выводиться. Указав значение 0 можно отключить запись сообщений в syslog. 2. Количество сообщений, записываемых в лог-файлы, для всех VFS модулей может быть задано следующим параметром в секции [global]: log level = 0 vfs:2 3. Если планируется сохранять лог-файлы длительное время, может быть полезным указание параметра max log size = 0 Размер лог-файла задается в килобайтах. При достижении указанного значения файл будет переименован, путем добавления к имени файла расширения .old. Значение 0 отключает проверку размера (в этом случае необходимо самостоятельно позаботиться о размере лог-файла, к примеру, настроив соответсвующим образом logrotate). 4. Для активации модуля аудита, в секции, которая описывает расшаренный ресурс, добавляется строка vfs objects = full_audit В результате данные о доступе к файлам будут записываться в syslog, либо в лог-файл по умолчанию (log.smbd). Здесь же, через пробел, могут быть заданы другие VFS модули. 5. Можно указать дополнительные параметры модулю full_audit. Префикс, сообщений в лог-файле: full_audit:prefix = %u|%I (каждая строка будет начинаться с user|ip_adress) Какие ошибки должны отображаться в лог-файле: full_audit:failure = none (не протоколируем ошибки) Действия пользователей, которые записываются в лог-файл (для наглядности текст разбит на строки, в конфигурации нужно переписать в одну строку, убрав "\"): full_audit:success = connect disconnect opendir mkdir \ rmdir closedir open close read pread write pwrite sendfile \ rename unlink chmod fchmod chown fchown chdir ftruncate lock \ symlink readlink link mknod realpath Параметры, позволяющие управлять записью в журналы демоном syslogd: full_audit:facility = local5 full_audit:priority = notice Данные два параметра описывают селектор, он обозначает программу ("средство" в терминологии системы syslog), которая посылает регистрационное сообщения и уровень серьезности этого сообщения. Прим. Несмотря на опцию syslog = 0, samba направляет сообщения в syslog. Возможно в других версиях samba такое поведение будет изменено. Последние два параметра модуля full_audit позволят в дальнейшем исключить попадание нежелательных сообщений в журанал syslog. Собрав все вместе получим примерно следующее: [global] ... log level = 0 vfs:2 max log size = 0 syslog = 0 ... [incomig] comment = Samba server''s incoming directory writable = yes locking = no path = /home/samba/incoming public = yes browseable = yes only guest = yes vfs objects = full_audit full_audit:prefix = %u|%I full_audit:failure = none full_audit:success = connect disconnect opendir mkdir rmdir closedir open close read pread write pwrite sendfile rename unlink chmod fchmod chown fchown chdir ftruncate lock symlink readlink link mknod realpath full_audit:facility = local5 full_audit:priority = notice После перечитывания конфигурации сервисами, строки лог-файла будут выглядеть примерно следующим образом: ... Feb 23 18:13:31 kirill smbd_audit: nobody|192.168.4.2|connect|ok|incoming Feb 23 18:13:32 kirill smbd_audit: nobody|192.168.4.2|chdir|ok|chdir|/home/samba/incoming Feb 23 18:13:35 kirill smbd_audit: nobody|192.168.4.2|opendir|ok|. Feb 23 18:13:35 kirill smbd_audit: nobody|192.168.4.2|closedir|ok| Feb 23 18:13:35 kirill smbd_audit: nobody|192.168.4.2|opendir|ok|./ Feb 23 18:13:48 kirill smbd_audit: nobody|192.168.4.2|opendir|ok|New Folder Feb 23 18:13:48 kirill smbd_audit: nobody|192.168.4.2|closedir|ok| Feb 23 18:13:48 kirill smbd_audit: nobody|192.168.4.2|rmdir|ok|New Folder Feb 24 11:45:10 kirill smbd_audit: root|192.168.4.2|disconnect|ok|incoming Feb 24 11:45:10 kirill smbd_audit: root|192.168.4.2|chdir|ok|chdir|/ ... 7. Дополнительные настройки Далее может понадобиться дополнительная настройка демонов syslogd и logrotate. (Прим. В данном примере используются sysklogd 1.4.1 и logrotate 3.7.1) 7.1 В стандартном файле конфигурации syslog.conf демона syslogd имеется строка *.*;auth,authpriv.none -/var/log/syslog для того чтобы сообщения модуля full_audit не попадали в syslog, нужно изменить эту строку следующим образом: *.*;local5,auth,authpriv.none -/var/log/syslog Чтобы сообщения записывались в заданный файл, нужно добавить в syslog.conf такую строку: local5.notice -/var/log/samba/log.audit 7.2 Для того чтобы лог-файл не разрастался, в каталоге /etc/logrotate.d можно изменить соответсвующую секцию конфигурационного файла samba, чтобы она выглядела примерно так: /var/log/samba/log.smbd /var/log/samba/log.audit { weekly missingok rotate 7 postrotate invoke-rc.d --quiet samba reload > /dev/null endscript compress notifempty }

<< Предыдущая ИНДЕКС Исправить src / Печать Следующая >>

Обсуждение [ Линейный режим | Показать все | RSS ]
 
  • 1.1, _Wolf_, 20:02, 27/02/2008 [ответить] [смотреть все]
  • +/
    Как решить проблему русских названий в логах?
     
     
  • 2.2, werti, 15:19, 29/02/2008 [^] [ответить] [смотреть все]
  • +/
    konsole + utf8
     
  • 2.9, Vitaliy, 17:03, 12/05/2009 [^] [ответить] [смотреть все]
  • +/
    >Как решить проблему русских названий в логах?

    Помогите и мне пожалуйста, где писать "консоль + Utf8"??
    Как сделать что-бы в журнале русские имена файлов отображались, а то как то стрёмно
    May 12 16:43:38 SERVER smbd_audit: nobody|172.17.4.90|sendfile|ok|а\224аОаКб\203аМаЕаНб\202 Microsoft Word.doc
    Это типа "Документ Microsoft Word.doc"


     
     
  • 3.10, Alchemist, 19:50, 12/05/2009 [^] [ответить] [смотреть все]
  • +/
    >>Как решить проблему русских названий в логах?
    >
    >Помогите и мне пожалуйста, где писать "консоль + Utf8"??
    >Как сделать что-бы в журнале русские имена файлов отображались, а то как
    >то стрёмно
    >May 12 16:43:38 SERVER smbd_audit: nobody|172.17.4.90|sendfile|ok|а\224аОаКб\203аМаЕаНб\202 Microsoft Word.doc
    >Это типа "Документ Microsoft Word.doc"

    [global]
    ...
    unix charset = UTF-8
    dos charset = UTF-8
    display charset = UTF-8
    ...

     
  • 1.3, woland, 10:12, 21/04/2008 [ответить] [смотреть все]
  • +/
    Настраиваю как здесь написано. Пропадает конект с публичным ресурсом. Комментирую вот эту строку vfs objects = full_audit связь появляется. В чем может быть дело, подскажите, пожалуйста

    smb.conf

    [global]
    workgroup = XXXX

    dos charset = koi8-r
    unix charset = koi8-r

    security = share

    syslog = 0
    log level = 10 vfs:2
    max log size = 50


    [homes]
    guest ok = no
    read only = no
    public = no


    [pub]
    comment = Public directory
    path = /home/public
    public = yes
    browseable = yes
    only guest = yes
    guest ok =yes
    read only = no
    locking = no

    vfs objects = full_audit
    full_audit:prefix = %u|%I
    full_audit:failure = none
    full_audit:success = connect disconnect opendir mkdir rmdir write pwrite sendfile rename chmod fchmod lock
    ;closedir open close read pread unlink chown fchown chdir ftruncate symlink readlink link mknod realpath
    full_audit:facility = local5
    full_audit:priority = notice

     
  • 1.4, woland, 10:24, 21/04/2008 [ответить] [смотреть все]  
  • +/
    Настраиваю как здесь показано. Пропадает конект с публичным ресурсом. Комментирую вот эту строку vfs objects = full_audit связь появляется. В чем может быть дело, подскажите, пожалуйста.
     
  • 1.5, dal, 12:21, 30/01/2009 [ответить] [смотреть все]  
  • +/
    Читать нужно а не повторять как обезьяны, модуль full_audit заменен на extd_audit
     
     
  • 2.7, Alchemist, 23:50, 28/04/2009 [^] [ответить] [смотреть все]  
  • +/
    Ubuntu 9.04 - full_audit и все ок...
    Автору спасибо за полноценную статью!
     
  • 1.6, light, 14:53, 08/03/2009 [ответить] [смотреть все]  
  • +/
    большое спасибо, очень хорошая статья
     
  • 1.8, Alchemist, 12:54, 12/05/2009 [ответить] [смотреть все]  
  • +/
    [quote]
    Чтобы сообщения записывались в заданный файл, нужно добавить в
    syslog.conf такую строку:
    local5.notice                   -/var/log/samba/log.audit[/quote]

    Забыл поправить - тут минус нужно убрать, а то писаться в лог ничего не будет. ;)


     
     
  • 2.11, Hram, 14:57, 29/05/2009 [^] [ответить] [смотреть все]  
  • +/
    Народ, скажите на милость, как сделать так, что бы записи smbd_audit не дублировались в massages и syslog, а лежали только в log.audit

     
     
  • 3.20, freeGHost, 20:24, 16/02/2017 [^] [ответить] [смотреть все]  
  • +/
    Ни что так не стимулирует изучать принципы работы инструмента, как отладка из-за... весь текст скрыт [показать]
     
  • 1.12, Сергей, 13:21, 03/06/2009 [ответить] [смотреть все]  
  • +/
    Red Hat Ent. 5.1 - все работает
    только например на событие open пишет по 100 раз одну и ту же строку!!!
    лог быстро набирает массу!!
    кто нить знает как с этим бороться?
     
  • 1.13, Vista, 16:40, 14/10/2010 [ответить] [смотреть все]  
  • +/
    Все сделал как тут, но нет IP адреса клиентови присутствуют сообщения о каких то... весь текст скрыт [показать]
     
  • 1.14, Help, 21:21, 19/11/2010 [ответить] [смотреть все]  
  • +/
    а можно ли указать конкретную папку для аудита
     
  • 1.15, Vista, 16:16, 27/06/2011 [ответить] [смотреть все]  
  • +/
    Направил логи в другую папку - все супер! Но в lockalmessages все равно идет запись! Как отключить запись в этот файл?
     
  • 1.16, netc, 09:06, 29/07/2011 [ответить] [смотреть все]  
  • +/
    а перезапустить rsyslog ;) и smbd
    [code]
    invoke-rc.d samba restart && invoke-rc.d rsyslog restart
    [/code]
     
  • 1.17, Sandman_VO, 11:22, 13/01/2012 [ответить] [смотреть все]  
  • +/
    Может кто сталкивался. Запустил в тестовом режиме аудит самбы на SLES 10SP3. В принципе все работает. Но в лог файл пишутся одинаковые записи и самое интересное, что количество записей зависит от размера записываемого файла. Т.е. на файл 60Кб всего 2 записи, а на файл 8Мб уже 221 одинаковая запись. Как избавиться от этого?
    На всякий случай конфиги.
    smb.conf
    [global]
    # Audit settings
    full_audit:prefix = %u|%I|%S
    full_audit:failure = connect
    full_audit:success = rename rmdir write mkdir read pwrite
    full_audit:facility = local5
    full_audit:priority = notice
    [audit]
    comment = smb audit test
    inherit acls = Yes
    path = /workzone/share
    read only = No
    vfs objects = full_audit
    syslog-ng.conf
    #AUDIT

    filter f_local5 {facility(local5);};
    destination m_samba_audit { file("/var/log/samba/audit.log"); };
    log { source(src); filter(f_local5);destination(m_samba_audit); flags(final); };

     
     
  • 2.18, Alexsandr, 12:12, 12/04/2012 [^] [ответить] [смотреть все]  
  • +/
    возможно к ним обращается антивирусник либо еще какая то программа
     
     
  • 3.19, Sandman_VO, 12:38, 12/04/2012 [^] [ответить] [смотреть все]  
  • +/
    > возможно к ним обращается антивирусник либо еще какая то программа

    Никаких программ нет, антивирусник сносили для проверки. Создается впечатление, что данные записываются блоками и поэтому на каждый блок появляется своя запись(т.е. подсчитывали, приблизительно на каждые 61,5кб (т.е. считаем 64кб) одна запись)

     

    Ваш комментарий
    Имя:         
    E-Mail:      
    Заголовок:
    Текст:





      Закладки на сайте
      Проследить за страницей
    Created 1996-2017 by Maxim Chirkov  
    ДобавитьРекламаВебмастеруГИД  
    Hosting by Ihor