LINUX.ORG.RU
ФорумAdmin

Samba AUDIT

 , ,


0

2

Товарищи и коллеги

Может кто имеет опыт настройки сервера Samba для папок и аудит на них?

Сложность не в самой настройке, но не могу понять одного в лог попадает строка:

Mar 29 18:44:55 FSRV smbd_audit[224977]: DOMAIN\pupok|192.168.32.73|Общая|closedir|ok|

Всё отлично и по префиксам и всем остальным, но для отправки этого лога и его фильтрации нормально в том же logstash надо как то убрать значение [224977] Что это и откуда берётся никак не могу понять? Подскажите пожалуйста кто знает, куда копать.

Smbd Version 4.17

CentOS Stream release 8

smb.conf

  • vfs objects = full_audit
  • full_audit:prefix = %u|%I|%S
  • full_audit:failure = none
  • full_audit:success = mkdirat closedir mknodat read pread pwrite write pwrite renameat unlinkat rewinddir
  • full_audit:facility = local5
  • full_audit:priority = notice

Перемещено hobbit из general



Последнее исправление: Evgen-Son (всего исправлений: 1)

Ответ на: комментарий от Bloody

Я понимаю что это PID

Как его убрать чтобы можно было тем же grok его разобрать?

Попытался в фильтре gsub настроить не получилось вырезать т.к. он не принимает [](

Evgen-Son
() автор топика