Samba - Auditoria de logs

Publicado por dalveson sanches em 17/12/2012

[ Hits: 29.396 ]

Blog: http://www.vivaolinux.com.br/~dalveson

0 0

 

Denuncie   Favoritos   Indicar   Impressora

Samba - Auditoria de logs



Fala galera.

Segui algumas dicas aqui do Viva o Linux, porém não consegui colocar para funcionar o módulo "full_audito" no Samba.

Após dar uma lida em alguns materiais na Internet, encontrei a solução, então resolvi postar aqui para ajudar quem possa ter estes problemas futuramente.

Vamos lá.

1. Vale lembrar que, se por acaso você queira usar mais de um módulo "VFS objects" no Samba, deverá adicioná-los em uma única linha, da seguinte maneira:

# Ativa os modulos lixeira e auditoria
vfs object = recycle, full_audit

2. É importante observar se a sintaxe está correta, pois se você estiver digitado uma letra errada e reinicia o serviço do Samba, o mesmo não dará erro. A maneira correta de fazer é usar o comando testparm e observar se a nova linha que você adicionou aparecerá no resultado. Para tanto execute:

# testparm

3. Se na configuração do seu Samba você adicionou as seguintes linhas:

full_audit:facility = local5
full_audit:priority = notice

Quando você for editar o "syslog.conf" para redirecionar os seu logs, ele também deverá obedecer à mesma sintaxe:

# nano /etc/syslog.conf

E deverá adicionar a seguinte linha:

local5.notice /var/log/samba-full_audit.log

* Note que o "local5.notice" corresponde aos valores informados nas opções "full_audit:facility" e "full_audit:priority". Enquanto o /var/log/samba-full_audit.log é o arquivo de log que será gerado - aqui foi onde ocorreu o meu erro, eu havia informado o local1 no arquivo de configuração do Samba e adicionei local5 no arquivo de configuração do "syslog.conf", por isso meus logs estavam sendo salvos no caminho padrão, que é /var/log/syslog.log.

4. Como ver logs:

Ver logs de um usuário:

# cat /var/log/samba-full_audit.log | grep junior

Ver logs do usuário joao e com o IP 192.168.1.23:

# cat /var/log/samba-full_audit.log | grep joao | grep 192.168.1.23

Ver logs de um determinado usuário que abriu pastas:

# cat /var/log/samba-full_audit.log | grep junior | grep opendir

Ver logs de um determinado usuário que abriu a pasta lixo:

# cat /var/log/samba-full_audit.log | grep junior | grep opendir | grep lixo

Direcionar logs de um usuário que abriu a pasta lixo para um arquivo específico:

# cat /var/log/samba-full_audit.log | grep junior | grep opendir | grep lixo >> arquivos.log

É isso aí, espero que possa ajudar alguém.

Outras dicas deste autor

Bloquear Facebook HTTPS liberando apenas alguns usuários

Leitura recomendada

Openbox encerrando ao executar programas GTK+ 3 [Resolvido]

Configurando diretório com os dados de /home

Instalando o RealPlayer 10 Gold no seu Linux

Compiz no Debian com XFCE4, LXDE, Gnome2 ou MATE (Squeeze e Wheezy)

Instalar o Firefox 3.0 no Linux Slackware 12.1

  

Comentários
[1] Comentário enviado por josehenriquerj em 17/12/2012 - 12:23h

Boa dica, só faltou infprmar onde (em qe arquivos) colcoar as linahs abaixo:

full_audit:facility = local5
full_audit:priority = notice

# Ativa os modulos lixeira e auditoria
vfs object = recycle, full_audit

[2] Comentário enviado por dalveson em 17/12/2012 - 12:30h


[1] Comentário enviado por josehenriquerj em 17/12/2012 - 12:23h:

Boa dica, só faltou infprmar onde (em qe arquivos) colcoar as linahs abaixo:

full_audit:facility = local5
full_audit:priority = notice

# Ativa os modulos lixeira e auditoria
vfs object = recycle, full_audit


todas as linhas devem ser inseridas dentro do arquivo de configuração do samba localizado em /etc/samba/smb.conf
vlw

[3] Comentário enviado por josehenriquerj em 17/12/2012 - 14:59h

Eu imaginei, mas não podia perder tempo.
Abraço!

[4] Comentário enviado por danielviolin em 27/05/2013 - 16:16h

Fiz a configuração acima, tanto no Recurso de Rede e tanto no syslog.conf.

Restartei os dois serviços SMB e SYSLOGD porém meu logs continuam sendo gravados em /etc/log/messages e não no arquivo que eu setei no syslog.conf.

Alguma idéia do que pode ser?

[5] Comentário enviado por lafiera em 04/06/2014 - 16:44h

estou com a mesma duvida danielviolin rs

[6] Comentário enviado por luanxr em 19/01/2015 - 15:54h


E quando o syslog.conf não está presente? Apenas o rsyslog.conf, como proceder?
Ubuntu 12.04.5 LTS - Samba 3.6.3



Contribuir com comentário




Patrocínio

Site hospedado pelo provedor RedeHost.
Linux banner

Destaques

Artigos

Passkeys: A Evolução da Autenticação Digital

Instalação de distro Linux em computadores, netbooks, etc, em rede com o Clonezilla

Título: Descobrindo o IP externo da VPN no Linux

Armazenando a senha de sua carteira Bitcoin de forma segura no Linux

Enviar mensagem ao usuário trabalhando com as opções do php.ini

Dicas

Como configurar posicionamento e movimento de janelas no Lubuntu (Openbox) com atalhos de teclado

Máquinas Virtuais com IP estático acessando Internet no Virtualbox

Instalar o Microsoft Edge no Slackware 15

Instalando Brave Browser no Linux Mint 22

vídeo pra quem quer saber como funciona Proteção de Memória:

Tópicos

Problema com nome composto e organização na tela do yad (0)

Formatando cartão de memoria que nao formata[AJUDA] (18)

Primeira vez utilizando Linux Ubuntu 22.04 e já tenho problemas… (5)

warsaw parou de funcionar após atualização do sistema (solução) (1)

Separar trafego da VPN da VPS (0)

Top 10 do mês

Scripts

[Outros] Dicas e truques Matematica Básica

[C/C++] reverse shell na marra!

[C/C++] criptografia de modo simples

[C/C++] intdb - gerador de wordlist numerica

[C/C++] genpass - gerador de senhas seguras

A maior comunidade GNU/Linux da América Latina! Artigos, dicas, tutoriais, fórum, scripts e muito mais. Ideal para quem busca auto-ajuda.

Site hospedado por: