The OpenNET Project / Index page

[ новости/++ | форум | wiki | теги ]

форумы  помощь  поиск  регистрация  вход/выход  слежка  RSS
"Тематический каталог: Модуль full_audit в samba (samba audit..."
Вариант для распечатки  
Пред. тема | След. тема 
Форум Разговоры, обсуждение новостей
Изначальное сообщение [ Отслеживать ]

"Тематический каталог: Модуль full_audit в samba (samba audit..."  +/
Сообщение от auto_topic (??) on 27-Фев-08, 20:02 
Обсуждение статьи тематического каталога: Модуль full_audit в samba (samba audit limit log debian)

Ссылка на текст статьи: http://www.opennet.ru/base/net/samba_full_audit.txt.html

Ответить | Правка | Cообщить модератору

Оглавление

Сообщения по теме [Сортировка по времени | RSS]


1. "Модуль full_audit в samba (samba audit limit log debian)"  +/
Сообщение от _Wolf_ (??) on 27-Фев-08, 20:02 
Как решить проблему русских названий в логах?
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

2. "Модуль full_audit в samba (samba audit limit log debian)"  +/
Сообщение от werti email(ok) on 29-Фев-08, 15:19 
konsole + utf8
Ответить | Правка | ^ к родителю #1 | Наверх | Cообщить модератору

9. "Модуль full_audit в samba (samba audit limit log debian)"  +/
Сообщение от Vitaliy email(??) on 12-Май-09, 17:03 
>Как решить проблему русских названий в логах?

Помогите и мне пожалуйста, где писать "консоль + Utf8"??
Как сделать что-бы в журнале русские имена файлов отображались, а то как то стрёмно
May 12 16:43:38 SERVER smbd_audit: nobody|172.17.4.90|sendfile|ok|а\224аОаКб\203аМаЕаНб\202 Microsoft Word.doc
Это типа "Документ Microsoft Word.doc"


Ответить | Правка | ^ к родителю #1 | Наверх | Cообщить модератору

10. "Модуль full_audit в samba (samba audit limit log debian)"  +/
Сообщение от Alchemist (ok) on 12-Май-09, 19:50 
>>Как решить проблему русских названий в логах?
>
>Помогите и мне пожалуйста, где писать "консоль + Utf8"??
>Как сделать что-бы в журнале русские имена файлов отображались, а то как
>то стрёмно
>May 12 16:43:38 SERVER smbd_audit: nobody|172.17.4.90|sendfile|ok|а\224аОаКб\203аМаЕаНб\202 Microsoft Word.doc
>Это типа "Документ Microsoft Word.doc"

[global]
...
unix charset = UTF-8
dos charset = UTF-8
display charset = UTF-8
...

Ответить | Правка | ^ к родителю #9 | Наверх | Cообщить модератору

3. "Модуль full_audit в samba (samba audit limit log debian)"  +/
Сообщение от woland email(??) on 21-Апр-08, 10:12 
Настраиваю как здесь написано. Пропадает конект с публичным ресурсом. Комментирую вот эту строку vfs objects = full_audit связь появляется. В чем может быть дело, подскажите, пожалуйста

smb.conf

[global]
workgroup = XXXX

dos charset = koi8-r
unix charset = koi8-r

security = share

syslog = 0
log level = 10 vfs:2
max log size = 50


[homes]
guest ok = no
read only = no
public = no


[pub]
comment = Public directory
path = /home/public
public = yes
browseable = yes
only guest = yes
guest ok =yes
read only = no
locking = no

vfs objects = full_audit
full_audit:prefix = %u|%I
full_audit:failure = none
full_audit:success = connect disconnect opendir mkdir rmdir write pwrite sendfile rename chmod fchmod lock
;closedir open close read pread unlink chown fchown chdir ftruncate symlink readlink link mknod realpath
full_audit:facility = local5
full_audit:priority = notice

Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

4. "Модуль full_audit в samba (samba audit limit log debian)"  +/
Сообщение от woland email(??) on 21-Апр-08, 10:24 
Настраиваю как здесь показано. Пропадает конект с публичным ресурсом. Комментирую вот эту строку vfs objects = full_audit связь появляется. В чем может быть дело, подскажите, пожалуйста.
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

5. "Модуль full_audit в samba (samba audit limit log debian)"  +/
Сообщение от dal on 30-Янв-09, 12:21 
Читать нужно а не повторять как обезьяны, модуль full_audit заменен на extd_audit
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

7. "Модуль full_audit в samba (samba audit limit log debian)"  +/
Сообщение от Alchemist (ok) on 28-Апр-09, 23:50 
Ubuntu 9.04 - full_audit и все ок...
Автору спасибо за полноценную статью!
Ответить | Правка | ^ к родителю #5 | Наверх | Cообщить модератору

6. "Модуль full_audit в samba (samba audit limit log debian)"  +/
Сообщение от light (??) on 08-Мрт-09, 14:53 
большое спасибо, очень хорошая статья
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

8. "Модуль full_audit в samba (samba audit limit log debian)"  +/
Сообщение от Alchemist (ok) on 12-Май-09, 12:54 
[quote]
Чтобы сообщения записывались в заданный файл, нужно добавить в
syslog.conf такую строку:
local5.notice                   -/var/log/samba/log.audit[/quote]

Забыл поправить - тут минус нужно убрать, а то писаться в лог ничего не будет. ;)


Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

11. "Модуль full_audit в samba (samba audit limit log debian)"  +/
Сообщение от Hram on 29-Май-09, 14:57 
Народ, скажите на милость, как сделать так, что бы записи smbd_audit не дублировались в massages и syslog, а лежали только в log.audit

Ответить | Правка | ^ к родителю #8 | Наверх | Cообщить модератору

20. "Модуль full_audit в samba (samba audit limit log debian)"  +/
Сообщение от freeGHost (??) on 16-Фев-17, 20:24 
Ни что так не стимулирует изучать принципы работы инструмента, как отладка из-за ошибок в HOWTO.

Актуально для Debian 8

Для обеспечения ротации файлов журнала необходимо внести изменения
В /etc/rsyslog.conf заменить строку:
*.*;auth,authpriv.none                -/var/log/syslog
на
*.*;local5.none,auth,authpriv.none    -/var/log/syslog
чтобы предотвратить дублирование вывода данных в файл журнала syslog
и добавить строку:
local5.notice                         /var/log/samba/log.audit

В /etc/logrotate.d/samba заменить строку:
/var/log/samba/log.smbd {
на
/var/log/samba/log.smbd /var/log/samba/log.audit {
чтобы добавить в правило ротации дополнительный журнал log.audit

Ниже приведены команды для автоматизации редактирования:
sed -i 's|\*\.\*;auth,authpriv\.none\t|\*\.\*;local5.none,auth,authpriv\.none|' /etc/rsyslog.conf
sed -i '$a\\nlocal5\.notice\t\t/var/log/samba/log\.audit' /etc/rsyslog.conf
sed -i 's|log\.smbd|log\.smbd\ /var/log/samba/log.audit|' /etc/logrotate.d/samba

Не забудьте перезапустить сервисы:
service smbd restart
service rsyslog restart

Ответить | Правка | ^ к родителю #11 | Наверх | Cообщить модератору

12. "Модуль full_audit в samba (samba audit limit log debian)"  +/
Сообщение от Сергей email(??) on 03-Июн-09, 13:21 
Red Hat Ent. 5.1 - все работает
только например на событие open пишет по 100 раз одну и ту же строку!!!
лог быстро набирает массу!!
кто нить знает как с этим бороться?
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

13. "Модуль full_audit в samba (samba audit limit log debian)"  +/
Сообщение от Vista email on 14-Окт-10, 16:40 
Все сделал как тут, но нет IP адреса клиентови присутствуют сообщения о каких то точках, которые не пресоеденены - это можно убрать? Уровень логирования 1:


[2010/10/14 16:35:15,  0] smbd/server.c:1119(main)
  smbd version 3.5.4-5.1.2-2426-SUSE-SL11.3 started.
  Copyright Andrew Tridgell and the Samba Team 1992-2010
[2010/10/14 16:35:15.345447,  0] smbd/server.c:500(smbd_open_one_socket)
  smbd_open_once_socket: open_socket_in: Адрес уже используется
[2010/10/14 16:35:15.345999,  0] smbd/server.c:500(smbd_open_one_socket)
  smbd_open_once_socket: open_socket_in: Адрес уже используется
[2010/10/14 16:35:27.869580,  0] modules/vfs_extd_audit.c:148(audit_mkdir)
  vfs_extd_audit: mkdir Новая папка  
[2010/10/14 16:35:34.688144,  0] modules/vfs_extd_audit.c:168(audit_rmdir)
  vfs_extd_audit: rmdir 12345  
[2010/10/14 16:35:44.236012,  0] lib/util_sock.c:675(write_data)
[2010/10/14 16:35:44.236164,  0] lib/util_sock.c:1432(get_peer_addr_internal)
  getpeername failed. Error was Конечная точка передачи не подсоединена
  write_data: write failure in writing to client 0.0.0.0. Error Соединение сброшено другой стороной
[2010/10/14 16:35:44.236255,  0] smbd/process.c:79(srv_send_smb)
  Error writing 4 bytes to client. -1. (Конечная точка передачи не подсоединена)
[2010/10/14 16:38:08.583898,  1] smbd/vfs.c:932(check_reduced_name)
  check_reduced_name: couldn't get realpath for squid/*
[2010/10/14 16:38:08.588128,  1] smbd/vfs.c:932(check_reduced_name)
  check_reduced_name: couldn't get realpath for squid/*

Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

14. "Модуль full_audit в samba (samba audit limit log debian)"  +/
Сообщение от Help (??) on 19-Ноя-10, 21:21 
а можно ли указать конкретную папку для аудита
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

15. "Модуль full_audit в samba (samba audit limit log debian)"  +/
Сообщение от Vista on 27-Июн-11, 16:16 
Направил логи в другую папку - все супер! Но в lockalmessages все равно идет запись! Как отключить запись в этот файл?
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

16. "Модуль full_audit в samba (samba audit limit log debian)"  +/
Сообщение от netc email(ok) on 29-Июл-11, 09:06 
а перезапустить rsyslog ;) и smbd

invoke-rc.d samba restart && invoke-rc.d rsyslog restart

Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

17. "Модуль full_audit в samba (samba audit limit log debian)"  +/
Сообщение от Sandman_VO email(ok) on 13-Янв-12, 11:22 
Может кто сталкивался. Запустил в тестовом режиме аудит самбы на SLES 10SP3. В принципе все работает. Но в лог файл пишутся одинаковые записи и самое интересное, что количество записей зависит от размера записываемого файла. Т.е. на файл 60Кб всего 2 записи, а на файл 8Мб уже 221 одинаковая запись. Как избавиться от этого?
На всякий случай конфиги.
smb.conf
[global]
# Audit settings
    full_audit:prefix = %u|%I|%S
    full_audit:failure = connect
    full_audit:success = rename rmdir write mkdir read pwrite
    full_audit:facility = local5
    full_audit:priority = notice
[audit]
    comment = smb audit test
    inherit acls = Yes
    path = /workzone/share
    read only = No
    vfs objects = full_audit
syslog-ng.conf
#AUDIT

filter f_local5 {facility(local5);};
destination m_samba_audit { file("/var/log/samba/audit.log"); };
log { source(src); filter(f_local5);destination(m_samba_audit); flags(final); };

Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

18. "Модуль full_audit в samba (samba audit limit log debian)"  +/
Сообщение от Alexsandr email(??) on 12-Апр-12, 12:12 
возможно к ним обращается антивирусник либо еще какая то программа
Ответить | Правка | ^ к родителю #17 | Наверх | Cообщить модератору

19. "Модуль full_audit в samba (samba audit limit log debian)"  +/
Сообщение от Sandman_VO email(ok) on 12-Апр-12, 12:38 
> возможно к ним обращается антивирусник либо еще какая то программа

Никаких программ нет, антивирусник сносили для проверки. Создается впечатление, что данные записываются блоками и поэтому на каждый блок появляется своя запись(т.е. подсчитывали, приблизительно на каждые 61,5кб (т.е. считаем 64кб) одна запись)

Ответить | Правка | ^ к родителю #18 | Наверх | Cообщить модератору

Архив | Удалить

Рекомендовать для помещения в FAQ | Индекс форумов | Темы | Пред. тема | След. тема


  Закладки на сайте
  Проследить за страницей
Created 1996-2017 by Maxim Chirkov  
ДобавитьРекламаВебмастеруГИД  
Hosting by Ihor