Samba - Auditoria de logs

Publicado por dalveson sanches em 17/12/2012

[ Hits: 29.119 ]

Blog: http://www.vivaolinux.com.br/~dalveson

 


Samba - Auditoria de logs



Fala galera.

Segui algumas dicas aqui do Viva o Linux, porém não consegui colocar para funcionar o módulo "full_audito" no Samba.

Após dar uma lida em alguns materiais na Internet, encontrei a solução, então resolvi postar aqui para ajudar quem possa ter estes problemas futuramente.

Vamos lá.

1. Vale lembrar que, se por acaso você queira usar mais de um módulo "VFS objects" no Samba, deverá adicioná-los em uma única linha, da seguinte maneira:

# Ativa os modulos lixeira e auditoria
vfs object = recycle, full_audit

2. É importante observar se a sintaxe está correta, pois se você estiver digitado uma letra errada e reinicia o serviço do Samba, o mesmo não dará erro. A maneira correta de fazer é usar o comando testparm e observar se a nova linha que você adicionou aparecerá no resultado. Para tanto execute:

# testparm

3. Se na configuração do seu Samba você adicionou as seguintes linhas:

full_audit:facility = local5
full_audit:priority = notice

Quando você for editar o "syslog.conf" para redirecionar os seu logs, ele também deverá obedecer à mesma sintaxe:

# nano /etc/syslog.conf

E deverá adicionar a seguinte linha:

local5.notice /var/log/samba-full_audit.log

* Note que o "local5.notice" corresponde aos valores informados nas opções "full_audit:facility" e "full_audit:priority". Enquanto o /var/log/samba-full_audit.log é o arquivo de log que será gerado - aqui foi onde ocorreu o meu erro, eu havia informado o local1 no arquivo de configuração do Samba e adicionei local5 no arquivo de configuração do "syslog.conf", por isso meus logs estavam sendo salvos no caminho padrão, que é /var/log/syslog.log.

4. Como ver logs:

Ver logs de um usuário:

# cat /var/log/samba-full_audit.log | grep junior

Ver logs do usuário joao e com o IP 192.168.1.23:

# cat /var/log/samba-full_audit.log | grep joao | grep 192.168.1.23

Ver logs de um determinado usuário que abriu pastas:

# cat /var/log/samba-full_audit.log | grep junior | grep opendir

Ver logs de um determinado usuário que abriu a pasta lixo:

# cat /var/log/samba-full_audit.log | grep junior | grep opendir | grep lixo

Direcionar logs de um usuário que abriu a pasta lixo para um arquivo específico:

# cat /var/log/samba-full_audit.log | grep junior | grep opendir | grep lixo >> arquivos.log

É isso aí, espero que possa ajudar alguém.

Outras dicas deste autor

Bloquear Facebook HTTPS liberando apenas alguns usuários

Leitura recomendada

Ativando placa wireless Broadcom BCM4311 no Ubuntu

Associar uma extensão a um programa no Ubuntu

Pepper Flash no Slackware

Grub2 em 4 comandos

Notificação de e-mail (Gmail) com notify-send

  

Comentários
[1] Comentário enviado por josehenriquerj em 17/12/2012 - 12:23h

Boa dica, só faltou infprmar onde (em qe arquivos) colcoar as linahs abaixo:

full_audit:facility = local5
full_audit:priority = notice

# Ativa os modulos lixeira e auditoria
vfs object = recycle, full_audit

[2] Comentário enviado por dalveson em 17/12/2012 - 12:30h


[1] Comentário enviado por josehenriquerj em 17/12/2012 - 12:23h:

Boa dica, só faltou infprmar onde (em qe arquivos) colcoar as linahs abaixo:

full_audit:facility = local5
full_audit:priority = notice

# Ativa os modulos lixeira e auditoria
vfs object = recycle, full_audit


todas as linhas devem ser inseridas dentro do arquivo de configuração do samba localizado em /etc/samba/smb.conf
vlw

[3] Comentário enviado por josehenriquerj em 17/12/2012 - 14:59h

Eu imaginei, mas não podia perder tempo.
Abraço!

[4] Comentário enviado por danielviolin em 27/05/2013 - 16:16h

Fiz a configuração acima, tanto no Recurso de Rede e tanto no syslog.conf.

Restartei os dois serviços SMB e SYSLOGD porém meu logs continuam sendo gravados em /etc/log/messages e não no arquivo que eu setei no syslog.conf.

Alguma idéia do que pode ser?

[5] Comentário enviado por lafiera em 04/06/2014 - 16:44h

estou com a mesma duvida danielviolin rs

[6] Comentário enviado por luanxr em 19/01/2015 - 15:54h


E quando o syslog.conf não está presente? Apenas o rsyslog.conf, como proceder?
Ubuntu 12.04.5 LTS - Samba 3.6.3



Contribuir com comentário




Patrocínio

Site hospedado pelo provedor RedeHost.
Linux banner

Destaques

Artigos

Dicas

Tópicos

Top 10 do mês

Scripts