OpenForum RSS: Тематический каталог: Модуль full_audit в samba (samba audit limit log debian) https://www.opennet.ru/openforum/vsluhforumID3/40383.html Обсуждение статьи тематического каталога: Модуль full_audit в samba (samba audit limit log debian)<br><br>Ссылка на текст статьи: http://www.opennet.ru/base/net/samba_full_audit.txt.html<br> Модуль full_audit в samba (samba audit limit log debian) (sdf) https://www.opennet.ru/openforum/vsluhforumID3/40383.html#21 Sat, 09 Apr 2022 18:47:45 GMT В новых версиях самбы событие mkdir и некоторые другие переименованы (mkdir -&gt; mkdirat). Теперь если указать операцию со старым или неправильным названием, то будут записываться все события. Полный список событий операций: https://www.samba.org/samba/docs/current/man-html/vfs_full_audit.8.html<br> Модуль full_audit в samba (samba audit limit log debian) (freeGHost) https://www.opennet.ru/openforum/vsluhforumID3/40383.html#20 Thu, 16 Feb 2017 17:24:10 GMT Ни что так не стимулирует изучать принципы работы инструмента, как отладка из-за ошибок в HOWTO.<br><br>Актуально для Debian 8<br><br>Для обеспечения ротации файлов журнала необходимо внести изменения<br>В /etc/rsyslog.conf заменить строку:<br>*.*;auth,authpriv.none -/var/log/syslog<br>на<br>*.*;local5.none,auth,authpriv.none -/var/log/syslog<br>чтобы предотвратить дублирование вывода данных в файл журнала syslog<br>и добавить строку:<br>local5.notice /var/log/samba/log.audit<br><br>В /etc/logrotate.d/samba заменить строку:<br>/var/log/samba/log.smbd {<br>на<br>/var/log/samba/log.smbd /var/log/samba/log.audit {<br>чтобы добавить в правило ротации дополнительный журнал log.audit<br><br>Ниже приведены команды для автоматизации редактирования:<br>sed -i 's&#124;\*\.\*;auth,authpriv\.none\t&#124;\*\.\*;local5.none,auth,authpriv\.none&#124;' /etc/rsyslog.conf<br>sed -i '$a\\nlocal5\.notice\t\t/var/log/samba/log\.audit' /etc/rsyslog.conf<br>sed -i 's&#124;log\.smbd&#124;log\.smbd\ /var/log/samba/log.audit&#124;' /etc Модуль full_audit в samba (samba audit limit log debian) (Sandman_VO) https://www.opennet.ru/openforum/vsluhforumID3/40383.html#19 Thu, 12 Apr 2012 08:38:45 GMT &gt; возможно к ним обращается антивирусник либо еще какая то программа <br><br>Никаких программ нет, антивирусник сносили для проверки. Создается впечатление, что данные записываются блоками и поэтому на каждый блок появляется своя запись(т.е. подсчитывали, приблизительно на каждые 61,5кб (т.е. считаем 64кб) одна запись)<br> Модуль full_audit в samba (samba audit limit log debian) (Alexsandr) https://www.opennet.ru/openforum/vsluhforumID3/40383.html#18 Thu, 12 Apr 2012 08:12:52 GMT возможно к ним обращается антивирусник либо еще какая то программа<br> Модуль full_audit в samba (samba audit limit log debian) (Sandman_VO) https://www.opennet.ru/openforum/vsluhforumID3/40383.html#17 Fri, 13 Jan 2012 07:22:49 GMT Может кто сталкивался. Запустил в тестовом режиме аудит самбы на SLES 10SP3. В принципе все работает. Но в лог файл пишутся одинаковые записи и самое интересное, что количество записей зависит от размера записываемого файла. Т.е. на файл 60Кб всего 2 записи, а на файл 8Мб уже 221 одинаковая запись. Как избавиться от этого?<br>На всякий случай конфиги.<br>smb.conf<br>[global]<br># Audit settings<br>full_audit:prefix = %u&#124;%I&#124;%S<br>full_audit:failure = connect<br>full_audit:success = rename rmdir write mkdir read pwrite<br>full_audit:facility = local5<br>full_audit:priority = notice<br>[audit]<br>comment = smb audit test<br>inherit acls = Yes<br>path = /workzone/share<br>read only = No<br>vfs objects = full_audit<br>syslog-ng.conf<br>#AUDIT<br><br>filter f_local5 {facility(local5);};<br>destination m_samba_audit { file("/var/log/samba/audit.log"); };<br>log { source(src); filter(f_local5);destination(m_samba_audit); flags(final); };<br> Модуль full_audit в samba (samba audit limit log debian) (netc) https://www.opennet.ru/openforum/vsluhforumID3/40383.html#16 Fri, 29 Jul 2011 05:06:00 GMT а перезапустить rsyslog ;) и smbd<br>[code]<br>invoke-rc.d samba restart && invoke-rc.d rsyslog restart<br>[/code]<br> Модуль full_audit в samba (samba audit limit log debian) (Vista) https://www.opennet.ru/openforum/vsluhforumID3/40383.html#15 Mon, 27 Jun 2011 12:16:32 GMT Направил логи в другую папку - все супер! Но в lockalmessages все равно идет запись! Как отключить запись в этот файл?<br> Модуль full_audit в samba (samba audit limit log debian) (Help) https://www.opennet.ru/openforum/vsluhforumID3/40383.html#14 Fri, 19 Nov 2010 18:21:30 GMT а можно ли указать конкретную папку для аудита <br> Модуль full_audit в samba (samba audit limit log debian) (Vista) https://www.opennet.ru/openforum/vsluhforumID3/40383.html#13 Thu, 14 Oct 2010 12:40:43 GMT Все сделал как тут, но нет IP адреса клиентови присутствуют сообщения о каких то точках, которые не пресоеденены - это можно убрать? Уровень логирования 1:<br><br><br>[2010/10/14 16:35:15, 0] smbd/server.c:1119(main)<br> smbd version 3.5.4-5.1.2-2426-SUSE-SL11.3 started.<br> Copyright Andrew Tridgell and the Samba Team 1992-2010<br>[2010/10/14 16:35:15.345447, 0] smbd/server.c:500(smbd_open_one_socket)<br> smbd_open_once_socket: open_socket_in: Адрес уже используется<br>[2010/10/14 16:35:15.345999, 0] smbd/server.c:500(smbd_open_one_socket)<br> smbd_open_once_socket: open_socket_in: Адрес уже используется<br>[2010/10/14 16:35:27.869580, 0] modules/vfs_extd_audit.c:148(audit_mkdir)<br> vfs_extd_audit: mkdir Новая папка <br>[2010/10/14 16:35:34.688144, 0] modules/vfs_extd_audit.c:168(audit_rmdir)<br> vfs_extd_audit: rmdir 12345 <br>[2010/10/14 16:35:44.236012, 0] lib/util_sock.c:675(write_data)<br>[2010/10/14 16:35:44.236164, 0] lib/util_sock.c:1432(get_peer_addr_internal)<br> getpeername failed. Error was Конечная точка перед