Samba_Audit

Настройка Аудита на Самбе

Очень часто возникают вопросы кто создал или же кто удалил файл или каталог на сетевом ресурсе, т.к. у пользователей этого не узнаешь ( да и не зачем тратить свое драгоценное время), умные люди придумали такую штуку как АУДИТ. В Samba он также есть и вот ниже я опишу как это настроить.
Для начала редактируем конфиг самбы /etc/samba/smb.conf а именно добавляем или изменяем следующие строчки

log level = o vfs:2
где 2 - уровень vfs - логирования
syslog = 0

И в шаре

vfs objects = full_audit
full_audit:prefix = %u|%I --чтоб в Логе отображалось имя пользователя и его IP-адрес
full_audit:success = mkdir rmdir и т.д. --в зависимости что хотим отслеживать (возможные ключи connect disconnect opendir mkdir rmdir closedir open close read pread write pwrite sendfile rename unlink chmod fchmod chown fchown chdir ftruncate lock symlink readlink link mknod realpath)
full_audit:failure = none --чтоб при неудачных обращениях к файлам (доступ и т.п.) ничего в лог не писалось
full_audit:facility = local5
full_audit:priority = notice

А также редактируем файл /etc/syslog.conf -- Привожу пример моего файла, красными буквами обозначено то что добавлял...

# /etc/syslog.conf - Configuration file for syslogd(8)
#
# For info about the format of this file, see "man syslog.conf".
#

#
#
# print most on tty10 and on the xconsole pipe
#
kern.warning;*.err;authpriv.none /dev/tty10
kern.warning;*.err;authpriv.none |/dev/xconsole
*.emerg *

# enable this, if you want that root is informed
# immediately, e.g. of logins
#*.alert root


#
# all email-messages in one file
#
mail.* -/var/log/mail
mail.info -/var/log/mail.info
mail.warning -/var/log/mail.warn
mail.err /var/log/mail.erar/

#
# all news-messages
#
# these files are rotated and examined by "news.daily"
news.crit -/var/log/news/news.crit
news.err -/var/log/news/news.err
news.notice -/var/log/news/news.notice
# enable this, if you want to keep all news messages
# in one file
#news.* -/var/log/news.all

#
# Warnings in one file
#
*.=warning;*.=err -/var/log/warn
*.crit /var/log/warn

#
# save the rest in one file
#
#*.*;mail.none;news.none -/var/log/messages
mail.none;news.none -/var/log/messages

#
# enable this, if you want to keep all messages
# in one file
#*.* -/var/log/allmessages

#
# Some foreign boot scripts require local7
#
local0,local1.* -/var/log/localmessages
local2,local3.* -/var/log/localmessages
local4,local5.* -/var/log/localmessages
local6,local7.* -/var/log/localmessages
#########################################################
local5.notice -/var/log/samba/log.audit
*.warning;*.=err;daemon.!* -/var/log/warn
*.crit;daemon.!* -/var/log/warn
mail.none;news.none.daemon.!* -/var/log/messages
daemon.* -/var/log/daemon
*.*;local5,auth,authpriv.none -/var/log/samba/log.audit


Затем настраиваем ротацию логов чтоб Лог не разрастался и был удобен для поиска нужного события
Создаем в /etc/logrotate.d файл где прописываем настройки ротациии, допустим это будет samba-audit
/var/log/samba/log.audit {
dateext
compress
copytruncate
daily
missingok
notifempty
olddir /var/log/arhiv/samba_audit
rotate 300
}

Чтобы вручну запустить ротацию, нужно выполнить
logrotate /etc/logrotate.d/samba-audit
Также для удобства лучше эти архивные файлы хранить в другом месте, ну например
/var/log/arhiv/samba_audit