LINUX.ORG.RU

smb audit

 


0

2

Всем привет, решил реализовать аудит самбы, подскажите как поймать что пользователь переименовал файл? то есть что было и что стало,

    log level = 1 vfs:1
    full_audit:prefix = %u|%S
    full_audit:success = mkdirat mknodat ntimes open read pwrite sendfile unlinkat unlink write rename

я в audit.log не вижу такого чтоб я видел что файл А был переименовал в файл Б Версия Version 4.13.13-Debian



Последнее исправление: ruin392 (всего исправлений: 1)

Ответ на: комментарий от oS_a

Спасибо за подсказку, но я не вижу все равно информации по переименованию вот я переименовывал файл в файл в 123123123 и я не вижу ничего с renameat

root@fileserver:~# cat /var/log/samba/audit.log | grep ‘123123123’ Oct 25 09:03:37 fileserver smbd_audit: TEST/bb|bb|connectpath|ok|/share/domain/bb/123123123.txt Oct 25 09:03:37 fileserver smbd_audit: TEST/bb|bb|connectpath|ok|/share/domain/bb/123123123.txt Oct 25 09:03:37 fileserver smbd_audit: TEST/bb|bb|stat|ok|/share/domain/bb/123123123.txt Oct 25 09:03:37 fileserver smbd_audit: TEST/bb|bb|getxattr|ok|/share/domain/bb/123123123.txt|user.DOSATTRIB Oct 25 09:03:37 fileserver smbd_audit: TEST/bb|bb|get_dos_attributes|ok|/share/domain/bb/123123123.txt Oct 25 09:03:37 fileserver smbd_audit: TEST/bb|bb|sys_acl_get_file|ok|/share/domain/bb/123123123.txt Oct 25 09:03:37 fileserver smbd_audit: TEST/bb|bb|setxattr|ok|/share/domain/bb/123123123.txt|user.DOSATTRIB Oct 25 09:03:37 fileserver smbd_audit: TEST/bb|bb|set_dos_attributes|ok|/share/domain/bb/123123123.txt Oct 25 09:03:37 fileserver smbd_audit: TEST/bb|bb|stat|ok|/share/domain/bb/123123123.txt Oct 25 09:03:37 fileserver smbd_audit: TEST/bb|bb|getxattr|ok|/share/domain/bb/123123123.txt|user.DOSATTRIB Oct 25 09:03:37 fileserver smbd_audit: TEST/bb|bb|get_dos_attributes|ok|/share/domain/bb/123123123.txt Oct 25 09:03:37 fileserver smbd_audit: TEST/bb|bb|stat|ok|/share/domain/bb/123123123.txt Oct 25 09:03:37 fileserver smbd_audit: TEST/bb|bb|getxattr|ok|/share/domain/bb/123123123.txt|user.DOSATTRIB Oct 25 09:03:37 fileserver smbd_audit: TEST/bb|bb|get_dos_attributes|ok|/share/domain/bb/123123123.txt Oct 25 09:03:37 fileserver smbd_audit: TEST/bb|bb|getxattr|ok|/share/domain/bb/123123123.txt|user.DOSATTRIB Oct 25 09:03:37 fileserver smbd_audit: TEST/bb|bb|get_dos_attributes|ok|/share/domain/bb/123123123.txt Oct 25 09:03:37 fileserver smbd_audit: TEST/bb|bb|listxattr|ok|/share/domain/bb/123123123.txt

ruin392
() автор топика
Ответ на: комментарий от oS_a

Вот smb.conf

# Change this to the workgroup/NT-domain name your Samba server will part of
        workgroup = TEST
        realm = TEST.LOCAL
        security = ADS
#       auth methods = winbind
        winbind enum users = yes
        winbind enum groups = yes
        winbind use default domain = yes
        winbind separator = /
        winbind cache time = 30
        template homedir = /share/domain/%U
        template shell = /bin/sh
        idmap config * : backend = tdb
        idmap config * : range   = 10000-30000
        vfs objects = recycle crossrename full_audit
#       log level = 1 vfs:1
        full_audit:prefix = %u|%S
        full_audit:success = renameat mkdirat mknodat ntimes open read pwrite sendfile unlinkat unlink write
#       full_audit:failure = rmdir rename delete open close mkdir closedir write unlink create_file !opendir !readdir
        full_audit:facility = local5
        full_audit:priority = notice

        recycle:touch = yes
        recycle:touch_mtime = yes
        recycle:exclude = *.tmp *.TMP ~* Thumbs.db USB001
        recycle:directory_mode = 0777
        recycle:keeptree = yes

ruin392
() автор топика
Ответ на: комментарий от ruin392

# log level = 1 vfs:1

попробуй раскоментировать, значение выставить на 0 vfs:2 и сервис не забудь перезапустить

еще. не знаю на сколько это критично, но обычно конфиг разделается на блоки, типо [global] [printers] и пр. testparm что говорит?

oS_a
()
Последнее исправление: oS_a (всего исправлений: 3)
Ответ на: комментарий от ruin392

Гут. Описание параметров для full_audit в официальной документации отдельный вид искусства. И кстати, погуглив пару минут так и не нашел развернутого описания для этих параметров.

oS_a
()