Samba - Auditoria de logs

Publicado por dalveson sanches em 17/12/2012

[ Hits: 29.132 ]

Blog: http://www.vivaolinux.com.br/~dalveson

0 0

 

Denuncie   Favoritos   Indicar   Impressora

Samba - Auditoria de logs



Fala galera.

Segui algumas dicas aqui do Viva o Linux, porém não consegui colocar para funcionar o módulo "full_audito" no Samba.

Após dar uma lida em alguns materiais na Internet, encontrei a solução, então resolvi postar aqui para ajudar quem possa ter estes problemas futuramente.

Vamos lá.

1. Vale lembrar que, se por acaso você queira usar mais de um módulo "VFS objects" no Samba, deverá adicioná-los em uma única linha, da seguinte maneira:

# Ativa os modulos lixeira e auditoria
vfs object = recycle, full_audit

2. É importante observar se a sintaxe está correta, pois se você estiver digitado uma letra errada e reinicia o serviço do Samba, o mesmo não dará erro. A maneira correta de fazer é usar o comando testparm e observar se a nova linha que você adicionou aparecerá no resultado. Para tanto execute:

# testparm

3. Se na configuração do seu Samba você adicionou as seguintes linhas:

full_audit:facility = local5
full_audit:priority = notice

Quando você for editar o "syslog.conf" para redirecionar os seu logs, ele também deverá obedecer à mesma sintaxe:

# nano /etc/syslog.conf

E deverá adicionar a seguinte linha:

local5.notice /var/log/samba-full_audit.log

* Note que o "local5.notice" corresponde aos valores informados nas opções "full_audit:facility" e "full_audit:priority". Enquanto o /var/log/samba-full_audit.log é o arquivo de log que será gerado - aqui foi onde ocorreu o meu erro, eu havia informado o local1 no arquivo de configuração do Samba e adicionei local5 no arquivo de configuração do "syslog.conf", por isso meus logs estavam sendo salvos no caminho padrão, que é /var/log/syslog.log.

4. Como ver logs:

Ver logs de um usuário:

# cat /var/log/samba-full_audit.log | grep junior

Ver logs do usuário joao e com o IP 192.168.1.23:

# cat /var/log/samba-full_audit.log | grep joao | grep 192.168.1.23

Ver logs de um determinado usuário que abriu pastas:

# cat /var/log/samba-full_audit.log | grep junior | grep opendir

Ver logs de um determinado usuário que abriu a pasta lixo:

# cat /var/log/samba-full_audit.log | grep junior | grep opendir | grep lixo

Direcionar logs de um usuário que abriu a pasta lixo para um arquivo específico:

# cat /var/log/samba-full_audit.log | grep junior | grep opendir | grep lixo >> arquivos.log

É isso aí, espero que possa ajudar alguém.

Outras dicas deste autor

Bloquear Facebook HTTPS liberando apenas alguns usuários

Leitura recomendada

Til (~) no modo console do Slackware

Configurando modo grafico no Debian

Migrando todos os pacotes DEB de uma instalação para outra

bash_completion

O que fazer após instalar LMDE 2

  

Comentários
[1] Comentário enviado por josehenriquerj em 17/12/2012 - 12:23h

Boa dica, só faltou infprmar onde (em qe arquivos) colcoar as linahs abaixo:

full_audit:facility = local5
full_audit:priority = notice

# Ativa os modulos lixeira e auditoria
vfs object = recycle, full_audit

[2] Comentário enviado por dalveson em 17/12/2012 - 12:30h


[1] Comentário enviado por josehenriquerj em 17/12/2012 - 12:23h:

Boa dica, só faltou infprmar onde (em qe arquivos) colcoar as linahs abaixo:

full_audit:facility = local5
full_audit:priority = notice

# Ativa os modulos lixeira e auditoria
vfs object = recycle, full_audit


todas as linhas devem ser inseridas dentro do arquivo de configuração do samba localizado em /etc/samba/smb.conf
vlw

[3] Comentário enviado por josehenriquerj em 17/12/2012 - 14:59h

Eu imaginei, mas não podia perder tempo.
Abraço!

[4] Comentário enviado por danielviolin em 27/05/2013 - 16:16h

Fiz a configuração acima, tanto no Recurso de Rede e tanto no syslog.conf.

Restartei os dois serviços SMB e SYSLOGD porém meu logs continuam sendo gravados em /etc/log/messages e não no arquivo que eu setei no syslog.conf.

Alguma idéia do que pode ser?

[5] Comentário enviado por lafiera em 04/06/2014 - 16:44h

estou com a mesma duvida danielviolin rs

[6] Comentário enviado por luanxr em 19/01/2015 - 15:54h


E quando o syslog.conf não está presente? Apenas o rsyslog.conf, como proceder?
Ubuntu 12.04.5 LTS - Samba 3.6.3



Contribuir com comentário




Patrocínio

Site hospedado pelo provedor RedeHost.
Linux banner

Destaques

Artigos

Compartilhando a tela do Computador no Celular via Deskreen

Como Configurar um Túnel SSH Reverso para Acessar Sua Máquina Local a Partir de uma Máquina Remota

Configuração para desligamento automatizado de Computadores em um Ambiente Comercial

O mínimo que você precisa saber sobre o terminal (parte 2)

O mínimo que você precisa saber sobre o terminal (parte 1)

Dicas

Como renomear arquivos de letras maiúsculas para minúsculas

Imprimindo no formato livreto no Linux

Vim - incrementando números em substituição

Efeito "livro" em arquivos PDF

Como resolver o erro no CUPS: Unable to get list of printer drivers

Tópicos

É cada coisa que me aparece! - não é só 3% (3)

Melhorando a precisão de valores flutuantes em python[AJUDA] (5)

Distro Tiger OS (2)

Instalação Uefi com o instalador clássico do Mageia (1)

Vou voltar moderar conteúdos de Dicas e Artigos (0)

Top 10 do mês

Scripts

[Python] Automação de scan de vulnerabilidades

[Python] Script para analise de superficie de ataque

[Shell Script] Novo script para redimensionar, rotacionar, converter e espelhar arquivos de imagem

[Shell Script] Iniciador de DOOM (DSDA-DOOM, Doom Retro ou Woof!)

[Shell Script] Script para adicionar bordas às imagens de uma pasta

A maior comunidade GNU/Linux da América Latina! Artigos, dicas, tutoriais, fórum, scripts e muito mais. Ideal para quem busca auto-ajuda.

Site hospedado por: