|
2.9, Vitaliy (??), 17:03, 12/05/2009 [^] [^^] [^^^] [ответить]
| +/– |
>Как решить проблему русских названий в логах?
Помогите и мне пожалуйста, где писать "консоль + Utf8"??
Как сделать что-бы в журнале русские имена файлов отображались, а то как то стрёмно
May 12 16:43:38 SERVER smbd_audit: nobody|172.17.4.90|sendfile|ok|а\224аОаКб\203аМаЕаНб\202 Microsoft Word.doc
Это типа "Документ Microsoft Word.doc"
| |
|
3.10, Alchemist (ok), 19:50, 12/05/2009 [^] [^^] [^^^] [ответить]
| +/– |
>>Как решить проблему русских названий в логах?
>
>Помогите и мне пожалуйста, где писать "консоль + Utf8"??
>Как сделать что-бы в журнале русские имена файлов отображались, а то как
>то стрёмно
>May 12 16:43:38 SERVER smbd_audit: nobody|172.17.4.90|sendfile|ok|а\224аОаКб\203аМаЕаНб\202 Microsoft Word.doc
>Это типа "Документ Microsoft Word.doc"
[global]
...
unix charset = UTF-8
dos charset = UTF-8
display charset = UTF-8
...
| |
|
|
1.3, woland (??), 10:12, 21/04/2008 [ответить] [﹢﹢﹢] [ · · · ]
| +/– |
Настраиваю как здесь написано. Пропадает конект с публичным ресурсом. Комментирую вот эту строку vfs objects = full_audit связь появляется. В чем может быть дело, подскажите, пожалуйста
smb.conf
[global]
workgroup = XXXX
dos charset = koi8-r
unix charset = koi8-r
security = share
syslog = 0
log level = 10 vfs:2
max log size = 50
[homes]
guest ok = no
read only = no
public = no
[pub]
comment = Public directory
path = /home/public
public = yes
browseable = yes
only guest = yes
guest ok =yes
read only = no
locking = no
vfs objects = full_audit
full_audit:prefix = %u|%I
full_audit:failure = none
full_audit:success = connect disconnect opendir mkdir rmdir write pwrite sendfile rename chmod fchmod lock
;closedir open close read pread unlink chown fchown chdir ftruncate symlink readlink link mknod realpath
full_audit:facility = local5
full_audit:priority = notice
| |
1.4, woland (??), 10:24, 21/04/2008 [ответить] [﹢﹢﹢] [ · · · ]
| +/– |
Настраиваю как здесь показано. Пропадает конект с публичным ресурсом. Комментирую вот эту строку vfs objects = full_audit связь появляется. В чем может быть дело, подскажите, пожалуйста.
| |
1.5, dal (?), 12:21, 30/01/2009 [ответить] [﹢﹢﹢] [ · · · ]
| +/– |
Читать нужно а не повторять как обезьяны, модуль full_audit заменен на extd_audit
| |
|
2.7, Alchemist (ok), 23:50, 28/04/2009 [^] [^^] [^^^] [ответить]
| +/– |
Ubuntu 9.04 - full_audit и все ок...
Автору спасибо за полноценную статью!
| |
|
1.8, Alchemist (ok), 12:54, 12/05/2009 [ответить] [﹢﹢﹢] [ · · · ]
| +/– |
[quote]
Чтобы сообщения записывались в заданный файл, нужно добавить в
syslog.conf такую строку:
local5.notice -/var/log/samba/log.audit[/quote]
Забыл поправить - тут минус нужно убрать, а то писаться в лог ничего не будет. ;)
| |
|
2.11, Hram (?), 14:57, 29/05/2009 [^] [^^] [^^^] [ответить]
| +/– |
Народ, скажите на милость, как сделать так, что бы записи smbd_audit не дублировались в massages и syslog, а лежали только в log.audit
| |
|
3.20, freeGHost (??), 20:24, 16/02/2017 [^] [^^] [^^^] [ответить]
| +/– |
Ни что так не стимулирует изучать принципы работы инструмента, как отладка из-за ошибок в HOWTO.
Актуально для Debian 8
Для обеспечения ротации файлов журнала необходимо внести изменения
В /etc/rsyslog.conf заменить строку:
*.*;auth,authpriv.none -/var/log/syslog
на
*.*;local5.none,auth,authpriv.none -/var/log/syslog
чтобы предотвратить дублирование вывода данных в файл журнала syslog
и добавить строку:
local5.notice /var/log/samba/log.audit
В /etc/logrotate.d/samba заменить строку:
/var/log/samba/log.smbd {
на
/var/log/samba/log.smbd /var/log/samba/log.audit {
чтобы добавить в правило ротации дополнительный журнал log.audit
Ниже приведены команды для автоматизации редактирования:
sed -i 's|\*\.\*;auth,authpriv\.none\t|\*\.\*;local5.none,auth,authpriv\.none|' /etc/rsyslog.conf
sed -i '$a\\nlocal5\.notice\t\t/var/log/samba/log\.audit' /etc/rsyslog.conf
sed -i 's|log\.smbd|log\.smbd\ /var/log/samba/log.audit|' /etc/logrotate.d/samba
Не забудьте перезапустить сервисы:
service smbd restart
service rsyslog restart
| |
|
|
1.12, Сергей (??), 13:21, 03/06/2009 [ответить] [﹢﹢﹢] [ · · · ]
| +/– |
Red Hat Ent. 5.1 - все работает
только например на событие open пишет по 100 раз одну и ту же строку!!!
лог быстро набирает массу!!
кто нить знает как с этим бороться?
| |
1.13, Vista (?), 16:40, 14/10/2010 [ответить] [﹢﹢﹢] [ · · · ]
| +/– |
Все сделал как тут, но нет IP адреса клиентови присутствуют сообщения о каких то точках, которые не пресоеденены - это можно убрать? Уровень логирования 1:
[2010/10/14 16:35:15, 0] smbd/server.c:1119(main)
smbd version 3.5.4-5.1.2-2426-SUSE-SL11.3 started.
Copyright Andrew Tridgell and the Samba Team 1992-2010
[2010/10/14 16:35:15.345447, 0] smbd/server.c:500(smbd_open_one_socket)
smbd_open_once_socket: open_socket_in: Адрес уже используется
[2010/10/14 16:35:15.345999, 0] smbd/server.c:500(smbd_open_one_socket)
smbd_open_once_socket: open_socket_in: Адрес уже используется
[2010/10/14 16:35:27.869580, 0] modules/vfs_extd_audit.c:148(audit_mkdir)
vfs_extd_audit: mkdir Новая папка
[2010/10/14 16:35:34.688144, 0] modules/vfs_extd_audit.c:168(audit_rmdir)
vfs_extd_audit: rmdir 12345
[2010/10/14 16:35:44.236012, 0] lib/util_sock.c:675(write_data)
[2010/10/14 16:35:44.236164, 0] lib/util_sock.c:1432(get_peer_addr_internal)
getpeername failed. Error was Конечная точка передачи не подсоединена
write_data: write failure in writing to client 0.0.0.0. Error Соединение сброшено другой стороной
[2010/10/14 16:35:44.236255, 0] smbd/process.c:79(srv_send_smb)
Error writing 4 bytes to client. -1. (Конечная точка передачи не подсоединена)
[2010/10/14 16:38:08.583898, 1] smbd/vfs.c:932(check_reduced_name)
check_reduced_name: couldn't get realpath for squid/*
[2010/10/14 16:38:08.588128, 1] smbd/vfs.c:932(check_reduced_name)
check_reduced_name: couldn't get realpath for squid/*
| |
1.15, Vista (?), 16:16, 27/06/2011 [ответить] [﹢﹢﹢] [ · · · ]
| +/– |
Направил логи в другую папку - все супер! Но в lockalmessages все равно идет запись! Как отключить запись в этот файл?
| |
1.16, netc (ok), 09:06, 29/07/2011 [ответить] [﹢﹢﹢] [ · · · ]
| +/– |
а перезапустить rsyslog ;) и smbd
invoke-rc.d samba restart && invoke-rc.d rsyslog restart
| |
1.17, Sandman_VO (ok), 11:22, 13/01/2012 [ответить] [﹢﹢﹢] [ · · · ]
| +/– |
Может кто сталкивался. Запустил в тестовом режиме аудит самбы на SLES 10SP3. В принципе все работает. Но в лог файл пишутся одинаковые записи и самое интересное, что количество записей зависит от размера записываемого файла. Т.е. на файл 60Кб всего 2 записи, а на файл 8Мб уже 221 одинаковая запись. Как избавиться от этого?
На всякий случай конфиги.
smb.conf
[global]
# Audit settings
full_audit:prefix = %u|%I|%S
full_audit:failure = connect
full_audit:success = rename rmdir write mkdir read pwrite
full_audit:facility = local5
full_audit:priority = notice
[audit]
comment = smb audit test
inherit acls = Yes
path = /workzone/share
read only = No
vfs objects = full_audit
syslog-ng.conf
#AUDIT
filter f_local5 {facility(local5);};
destination m_samba_audit { file("/var/log/samba/audit.log"); };
log { source(src); filter(f_local5);destination(m_samba_audit); flags(final); };
| |
|
|
3.19, Sandman_VO (ok), 12:38, 12/04/2012 [^] [^^] [^^^] [ответить]
| +/– |
> возможно к ним обращается антивирусник либо еще какая то программа
Никаких программ нет, антивирусник сносили для проверки. Создается впечатление, что данные записываются блоками и поэтому на каждый блок появляется своя запись(т.е. подсчитывали, приблизительно на каждые 61,5кб (т.е. считаем 64кб) одна запись)
| |
|
|
|