The OpenNET Project / Index page

[ новости /+++ | форум | теги | ]



"Тематический каталог: Модуль full_audit в samba (samba audit limit log debian)"
Вариант для распечатки  
Пред. тема | След. тема 
Форум Разговоры, обсуждение новостей
Изначальное сообщение [ Отслеживать ]

"Тематический каталог: Модуль full_audit в samba (samba audit limit log debian)"  +/
Сообщение от auto_topic (??), 27-Фев-08, 20:02 
Обсуждение статьи тематического каталога: Модуль full_audit в samba (samba audit limit log debian)

Ссылка на текст статьи: https://www.opennet.ru/base/net/samba_full_audit.txt.html

Ответить | Правка | Cообщить модератору

Оглавление

Сообщения [Сортировка по ответам | RSS]

1. Сообщение от _Wolf_ (??), 27-Фев-08, 20:02   +/
Как решить проблему русских названий в логах?
Ответить | Правка | Наверх | Cообщить модератору
Ответы: #2, #9

2. Сообщение от wertiemail (ok), 29-Фев-08, 15:19   +/
konsole + utf8
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #1

3. Сообщение от wolandemail (??), 21-Апр-08, 10:12   +/
Настраиваю как здесь написано. Пропадает конект с публичным ресурсом. Комментирую вот эту строку vfs objects = full_audit связь появляется. В чем может быть дело, подскажите, пожалуйста

smb.conf

[global]
workgroup = XXXX

dos charset = koi8-r
unix charset = koi8-r

security = share

syslog = 0
log level = 10 vfs:2
max log size = 50


[homes]
guest ok = no
read only = no
public = no


[pub]
comment = Public directory
path = /home/public
public = yes
browseable = yes
only guest = yes
guest ok =yes
read only = no
locking = no

vfs objects = full_audit
full_audit:prefix = %u|%I
full_audit:failure = none
full_audit:success = connect disconnect opendir mkdir rmdir write pwrite sendfile rename chmod fchmod lock
;closedir open close read pread unlink chown fchown chdir ftruncate symlink readlink link mknod realpath
full_audit:facility = local5
full_audit:priority = notice

Ответить | Правка | Наверх | Cообщить модератору

4. Сообщение от wolandemail (??), 21-Апр-08, 10:24   +/
Настраиваю как здесь показано. Пропадает конект с публичным ресурсом. Комментирую вот эту строку vfs objects = full_audit связь появляется. В чем может быть дело, подскажите, пожалуйста.
Ответить | Правка | Наверх | Cообщить модератору

5. Сообщение от dal (?), 30-Янв-09, 12:21   +/
Читать нужно а не повторять как обезьяны, модуль full_audit заменен на extd_audit
Ответить | Правка | Наверх | Cообщить модератору
Ответы: #7

6. Сообщение от light (??), 08-Мрт-09, 14:53   +/
большое спасибо, очень хорошая статья
Ответить | Правка | Наверх | Cообщить модератору

7. Сообщение от Alchemist (ok), 28-Апр-09, 23:50   +/
Ubuntu 9.04 - full_audit и все ок...
Автору спасибо за полноценную статью!
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #5

8. Сообщение от Alchemist (ok), 12-Май-09, 12:54   +/
[quote]
Чтобы сообщения записывались в заданный файл, нужно добавить в
syslog.conf такую строку:
local5.notice                   -/var/log/samba/log.audit[/quote]

Забыл поправить - тут минус нужно убрать, а то писаться в лог ничего не будет. ;)


Ответить | Правка | Наверх | Cообщить модератору
Ответы: #11

9. Сообщение от Vitaliyemail (??), 12-Май-09, 17:03   +/
>Как решить проблему русских названий в логах?

Помогите и мне пожалуйста, где писать "консоль + Utf8"??
Как сделать что-бы в журнале русские имена файлов отображались, а то как то стрёмно
May 12 16:43:38 SERVER smbd_audit: nobody|172.17.4.90|sendfile|ok|а\224аОаКб\203аМаЕаНб\202 Microsoft Word.doc
Это типа "Документ Microsoft Word.doc"


Ответить | Правка | Наверх | Cообщить модератору
Родитель: #1 Ответы: #10

10. Сообщение от Alchemist (ok), 12-Май-09, 19:50   +/
>>Как решить проблему русских названий в логах?
>
>Помогите и мне пожалуйста, где писать "консоль + Utf8"??
>Как сделать что-бы в журнале русские имена файлов отображались, а то как
>то стрёмно
>May 12 16:43:38 SERVER smbd_audit: nobody|172.17.4.90|sendfile|ok|а\224аОаКб\203аМаЕаНб\202 Microsoft Word.doc
>Это типа "Документ Microsoft Word.doc"

[global]
...
unix charset = UTF-8
dos charset = UTF-8
display charset = UTF-8
...

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #9

11. Сообщение от Hram (?), 29-Май-09, 14:57   +/
Народ, скажите на милость, как сделать так, что бы записи smbd_audit не дублировались в massages и syslog, а лежали только в log.audit

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #8 Ответы: #20

12. Сообщение от Сергейemail (??), 03-Июн-09, 13:21   +/
Red Hat Ent. 5.1 - все работает
только например на событие open пишет по 100 раз одну и ту же строку!!!
лог быстро набирает массу!!
кто нить знает как с этим бороться?
Ответить | Правка | Наверх | Cообщить модератору

13. Сообщение от Vistaemail (?), 14-Окт-10, 16:40   +/
Все сделал как тут, но нет IP адреса клиентови присутствуют сообщения о каких то точках, которые не пресоеденены - это можно убрать? Уровень логирования 1:


[2010/10/14 16:35:15,  0] smbd/server.c:1119(main)
  smbd version 3.5.4-5.1.2-2426-SUSE-SL11.3 started.
  Copyright Andrew Tridgell and the Samba Team 1992-2010
[2010/10/14 16:35:15.345447,  0] smbd/server.c:500(smbd_open_one_socket)
  smbd_open_once_socket: open_socket_in: Адрес уже используется
[2010/10/14 16:35:15.345999,  0] smbd/server.c:500(smbd_open_one_socket)
  smbd_open_once_socket: open_socket_in: Адрес уже используется
[2010/10/14 16:35:27.869580,  0] modules/vfs_extd_audit.c:148(audit_mkdir)
  vfs_extd_audit: mkdir Новая папка  
[2010/10/14 16:35:34.688144,  0] modules/vfs_extd_audit.c:168(audit_rmdir)
  vfs_extd_audit: rmdir 12345  
[2010/10/14 16:35:44.236012,  0] lib/util_sock.c:675(write_data)
[2010/10/14 16:35:44.236164,  0] lib/util_sock.c:1432(get_peer_addr_internal)
  getpeername failed. Error was Конечная точка передачи не подсоединена
  write_data: write failure in writing to client 0.0.0.0. Error Соединение сброшено другой стороной
[2010/10/14 16:35:44.236255,  0] smbd/process.c:79(srv_send_smb)
  Error writing 4 bytes to client. -1. (Конечная точка передачи не подсоединена)
[2010/10/14 16:38:08.583898,  1] smbd/vfs.c:932(check_reduced_name)
  check_reduced_name: couldn't get realpath for squid/*
[2010/10/14 16:38:08.588128,  1] smbd/vfs.c:932(check_reduced_name)
  check_reduced_name: couldn't get realpath for squid/*

Ответить | Правка | Наверх | Cообщить модератору

14. Сообщение от Help (??), 19-Ноя-10, 21:21   +/
а можно ли указать конкретную папку для аудита
Ответить | Правка | Наверх | Cообщить модератору

15. Сообщение от Vista (?), 27-Июн-11, 16:16   +/
Направил логи в другую папку - все супер! Но в lockalmessages все равно идет запись! Как отключить запись в этот файл?
Ответить | Правка | Наверх | Cообщить модератору

16. Сообщение от netcemail (ok), 29-Июл-11, 09:06   +/
а перезапустить rsyslog ;) и smbd

invoke-rc.d samba restart && invoke-rc.d rsyslog restart

Ответить | Правка | Наверх | Cообщить модератору

17. Сообщение от Sandman_VOemail (ok), 13-Янв-12, 11:22   +/
Может кто сталкивался. Запустил в тестовом режиме аудит самбы на SLES 10SP3. В принципе все работает. Но в лог файл пишутся одинаковые записи и самое интересное, что количество записей зависит от размера записываемого файла. Т.е. на файл 60Кб всего 2 записи, а на файл 8Мб уже 221 одинаковая запись. Как избавиться от этого?
На всякий случай конфиги.
smb.conf
[global]
# Audit settings
    full_audit:prefix = %u|%I|%S
    full_audit:failure = connect
    full_audit:success = rename rmdir write mkdir read pwrite
    full_audit:facility = local5
    full_audit:priority = notice
[audit]
    comment = smb audit test
    inherit acls = Yes
    path = /workzone/share
    read only = No
    vfs objects = full_audit
syslog-ng.conf
#AUDIT

filter f_local5 {facility(local5);};
destination m_samba_audit { file("/var/log/samba/audit.log"); };
log { source(src); filter(f_local5);destination(m_samba_audit); flags(final); };

Ответить | Правка | Наверх | Cообщить модератору
Ответы: #18

18. Сообщение от Alexsandremail (??), 12-Апр-12, 12:12   +/
возможно к ним обращается антивирусник либо еще какая то программа
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #17 Ответы: #19

19. Сообщение от Sandman_VOemail (ok), 12-Апр-12, 12:38   +/
> возможно к ним обращается антивирусник либо еще какая то программа

Никаких программ нет, антивирусник сносили для проверки. Создается впечатление, что данные записываются блоками и поэтому на каждый блок появляется своя запись(т.е. подсчитывали, приблизительно на каждые 61,5кб (т.е. считаем 64кб) одна запись)

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #18

20. Сообщение от freeGHost (??), 16-Фев-17, 20:24   +/
Ни что так не стимулирует изучать принципы работы инструмента, как отладка из-за ошибок в HOWTO.

Актуально для Debian 8

Для обеспечения ротации файлов журнала необходимо внести изменения
В /etc/rsyslog.conf заменить строку:
*.*;auth,authpriv.none                -/var/log/syslog
на
*.*;local5.none,auth,authpriv.none    -/var/log/syslog
чтобы предотвратить дублирование вывода данных в файл журнала syslog
и добавить строку:
local5.notice                         /var/log/samba/log.audit

В /etc/logrotate.d/samba заменить строку:
/var/log/samba/log.smbd {
на
/var/log/samba/log.smbd /var/log/samba/log.audit {
чтобы добавить в правило ротации дополнительный журнал log.audit

Ниже приведены команды для автоматизации редактирования:
sed -i 's|\*\.\*;auth,authpriv\.none\t|\*\.\*;local5.none,auth,authpriv\.none|' /etc/rsyslog.conf
sed -i '$a\\nlocal5\.notice\t\t/var/log/samba/log\.audit' /etc/rsyslog.conf
sed -i 's|log\.smbd|log\.smbd\ /var/log/samba/log.audit|' /etc/logrotate.d/samba

Не забудьте перезапустить сервисы:
service smbd restart
service rsyslog restart

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #11

21. Сообщение от sdf (?), 09-Апр-22, 21:47   +/
В новых версиях самбы событие mkdir и некоторые другие переименованы (mkdir -> mkdirat). Теперь если указать операцию со старым или неправильным названием, то будут записываться все события. Полный список событий операций: https://www.samba.org/samba/docs/current/man-html/vfs_full_a...
Ответить | Правка | Наверх | Cообщить модератору


Архив | Удалить

Рекомендовать для помещения в FAQ | Индекс форумов | Темы | Пред. тема | След. тема




Партнёры:
PostgresPro
Inferno Solutions
Hosting by Hoster.ru
Хостинг:

Закладки на сайте
Проследить за страницей
Created 1996-2024 by Maxim Chirkov
Добавить, Поддержать, Вебмастеру