Для настройки логгирования удаления файлов (кто, откуда и какие файлы удалял), нужно включить и настроить VFS модуль «Full audit», затем настроить Syslog-демон rsyslog. Сначала нужно установить модули VFS:
apt install samba-vfs-modules
Затем включить аудит в основном кофигурационном файле Samba: 1)
[global] # Audit Activity Settings vfs objects = full_audit full_audit:prefix = %u|%I|%m|%S full_audit:success = mkdir rename unlink rmdir pwrite full_audit:failure = none full_audit:facility = local5 full_audit:priority = NOTICE ...
Логгирование ведётся с приоритетом Notice в раздел Local5, теперь можно выделить это в отдельный файл журнала средствами Rsyslog и исключить из записи в /var/log/messages: 2)
local5.* /var/log/smb_audit.log *.=info;*.=notice;*.=warn;\ auth,authpriv.none;\ cron,daemon.none;\ mail,news.none,local5.none -/var/log/messages
Чтобы изменения вступили в силу:
systemctl reload smbd.service systemctl restart rsyslog.service