Audit no samba [RESOLVIDO]

walber
(usa CentOS)

Enviado em 18/06/2008 - 19:29h

Olá galera do vol, estou com seguinte problema: gostaria de usar o audit do samba gerando o log dessa forma:


Sep 21 18:47:42 jupiter samba[23988]: uranus rollout jwall(514) sysadmin(233) jwall(192.168.1.50) SHAREOPEN
Sep 21 18:48:01 jupiter samba[23988]: jupiter home jwall(514) jwall(514) jwall(192.168.1.50) FILEDELETE file="jwall/New Text Document.txt"
Sep 21 18:49:08 jupiter samba[23989]: uranus rollout abakun(500) sysadmin(233) abakun(192.168.1.20) SHAREOPEN
Sep 21 18:49:52 jupiter samba[23988]: jupiter - - - jwall(192.168.1.50) LOGON interactive logon attempt for kdart
Sep 21 18:49:52 jupiter samba[23988]: jupiter - - - jwall(192.168.1.50) LOGONFAIL wrong password for kdart
Sep 21 18:49:55 jupiter samba[23988]: jupiter - - - jwall(192.168.1.50) LOGON interactive logon attempt for kdart
Sep 21 18:49:55 jupiter samba[23988]: jupiter - - - jwall(192.168.1.50) LOGON successful logon for kdart
Sep 21 18:49:59 jupiter samba[23988]: jupiter - - - jwall(192.168.1.50) LOGOFF user 100(100)
Sep 21 18:51:44 jupiter samba[23988]: uranus rollout jwall(514) sysadmin(233) jwall(192.168.1.50) SHARECLOSE
Sep 21 18:59:18 jupiter samba[23989]: uranus rollout abakun(500) sysadmin(233) abakun(192.168.1.20) SHARECLOSE


Mostrando tudo o que os usuarios realizaram e naõ dessa forma que o meu audit está gerando:


Jun 18 19:00:41 localhost last message repeated 5 times
Jun 18 19:00:41 localhost smbd_audit[3681]: opendir Nova pasta
Jun 18 19:00:42 localhost smbd_audit[3681]: opendir ./
Jun 18 19:00:42 localhost smbd_audit[3681]: opendir Nova pasta
Jun 18 19:00:42 localhost smbd_audit[3681]: rmdir Nova pasta
Jun 18 19:00:43 localhost smbd_audit[3681]: opendir ./
Jun 18 19:01:20 localhost smbd_audit[3681]: opendir ./
Jun 18 19:01:20 localhost smbd_audit[3681]: opendir .

E a configuração do meu samba está assim:

vfs object = audit


Pois assim ele não mostra os rastros dos usuarios, se alguém poder me ajudar?


Obrigado a todos.

fsei
(usa Debian)

Enviado em 24/06/2008 - 21:25h

Walber
Também uso auditoria do samba aqui na minha empresa, mas para isso utilizo um módulo do samba chamado full_audit, o mesmo gera um log semelhante a este:

Jun 24 17:50:18 nome_servidor smbd_audit: usuario|endereco_IP|nome_maquina|pread|ok|r|Nome_do_Arquivo
Jun 24 17:50:18 nome_servidor smbd_audit: usuario|endereco_IP|nome_maquina|write|ok|

Para habilitá-lo, necessita-se das seguintes configurações:

No smb.conf:
Pode-se colocar no [globals] caso queira ativar para todos os compartilhamentos ou somente em um compartilhamento específico:

vfs objects = full_audit
full_audit:prefix = %U|%I|%m
full_audit:success = all


No syslog.conf

user.*;user.!warn;authpriv.none;cron.none;mail.none;news.none -/diretorio/auditoria.log

Os parâmetros do full_audit:prefix são personalizáveis, no caso acima aparecerá usuario|ip|maquina.


Não é bem o formato de log que você queria, mas já é bem melhor que o outro.

Atenciosamente
Fernando

walber
(usa CentOS)

Enviado em 24/06/2008 - 21:38h

Muito obrigado fernando, vou testar e posto o resultado.

gutofunny
(usa Ubuntu)

Enviado em 01/12/2008 - 19:25h

Olá no ubuntu server fiz assim não funcionou. Testou? funcionou?

marcofarias
(usa Debian)

Enviado em 17/12/2008 - 12:24h

No meu funcionou, porém só me mostra os acesso das máquinas ruindows e não das máquinas linux, pois minha rede é hibrida. alguém sabe a solução.

cabralwms
(usa Debian)

Enviado em 22/06/2009 - 11:53h

Então eu consegui instalar rodou tudo perfeito, só tive um problema após um certo tempo e uso quando os logs chega a 2G ele para de funcionar. Alguem sabe o pq???