Samba

Логгирование

Для настройки логгирования удаления файлов (кто, откуда и какие файлы удалял), нужно включить и настроить VFS модуль «Full audit», затем настроить Syslog-демон rsyslog. Сначала нужно установить модули VFS:

apt install samba-vfs-modules

Затем включить аудит в основном кофигурационном файле Samba: ¹⁾

/etc/samba/smb.conf

[global]
# Audit Activity Settings
vfs objects = full_audit
full_audit:prefix = %u|%I|%m|%S
full_audit:success = mkdir rename unlink rmdir pwrite
full_audit:failure = none
full_audit:facility = local5
full_audit:priority = NOTICE
...

Логгирование ведётся с приоритетом Notice в раздел Local5, теперь можно выделить это в отдельный файл журнала средствами Rsyslog и исключить из записи в /var/log/messages: ²⁾

/etc/rsyslog.conf

local5.* /var/log/smb_audit.log
 
*.=info;*.=notice;*.=warn;\
        auth,authpriv.none;\
        cron,daemon.none;\
        mail,news.none,local5.none              -/var/log/messages

Чтобы изменения вступили в силу:

systemctl reload smbd.service
systemctl restart rsyslog.service

¹⁾

https://www.samba.org/samba/docs/current/man-html/vfs_full_audit.8.html

²⁾

https://stackoverflow.com/questions/55252871/monitoring-samba-activity-with-full-audit