Auditoria de Logs - SAMBA [RESOLVIDO]

edigarsousa
(usa Ubuntu)

Enviado em 28/12/2016 - 16:17h

Pessoal, tudo bem?

Implementei o sistema de logs do SAMBA ficando da seguinte forma.:

vfs objects = full_audit
full_audit:success = write, unlink, rename, mkdir, rmdir
full_audit:prefix = %u|%I|%S
full_audit:failure = /var/log/samba-failed.log.%m
full_audit:facility = local5
full_audit:priority = notice

Em menos de 24 horas já tenho mais de 7Mb, ao verificar os logs encontrei alguns logs informando erro.

Dec 28 15:05:26 zbx-bkp smbd[21589]: nobody|192.168.7.22|sevidores remotos|is_offline|fail (Operação não suportada)|Prosindico

Dec 28 15:05:26 zbx-bkp smbd[21589]: nobody|192.168.7.22|sevidores remotos|sys_acl_get_file|fail (Operação não suportada)|Prosindico

Dec 28 15:07:46 zbx-bkp smbd[21589]: gustavo.sobral|192.168.7.22|instaladores|is_offline|fail (Sucesso)|.

Dec 28 15:05:26 zbx-bkp smbd[21589]: nobody|192.168.7.22|sevidores remotos|aio_force|fail (Sucesso)|Prosindico/Prosindico.rdp

Pesquisei pelas informações do log "aio_force", "is_offline", "sys_acl_get_file" e não encontrei como poderia resolver o esse problema.

O cenário de acesso a este SAMBA é:
Ele está em domínio, que é gerenciado por outro SAMBA.
Tenho máquinas tanto com Windows quanto com Linux nos Desktops.
Tenho máquinas fora do domínio que acessa este SAMBA.
Tenho um serviço de RSYNC para backup dos arquivos deste SAMBA para outro servidor.

Pretendo implantar o LOGROTATE, mas mesmo com essa implantação os logs serão muito grandes.

edigarsousa
(usa Ubuntu)

Enviado em 29/12/2016 - 15:24h

Pessoal, depois de verificar os parâmetros do arquivo de configuração do SAMBA eu notei que o seguinte parâmetro estava errado:
full_audit:failure = /var/log/samba-failed.log.%m

Como não tenho interesse em salvar os logs de falha, então eu alterei o parâmetro para:
full_audit:failure = none

Agora está funcionando normalmente, salvando apenas os logs que preciso.