faq:linux:samba
Samba
Логгирование
Для настройки логгирования удаления файлов (кто, откуда и какие файлы удалял), нужно включить и настроить VFS модуль «Full audit», затем настроить Syslog-демон rsyslog. Сначала нужно установить модули VFS:
apt install samba-vfs-modules
Затем включить аудит в основном кофигурационном файле Samba: 1)
- /etc/samba/smb.conf
[global] # Audit Activity Settings vfs objects = full_audit full_audit:prefix = %u|%I|%m|%S full_audit:success = mkdir rename unlink rmdir pwrite full_audit:failure = none full_audit:facility = local5 full_audit:priority = NOTICE ...
Логгирование ведётся с приоритетом Notice в раздел Local5, теперь можно выделить это в отдельный файл журнала средствами Rsyslog и исключить из записи в /var/log/messages: 2)
- /etc/rsyslog.conf
local5.* /var/log/smb_audit.log *.=info;*.=notice;*.=warn;\ auth,authpriv.none;\ cron,daemon.none;\ mail,news.none,local5.none -/var/log/messages
Чтобы изменения вступили в силу:
systemctl reload smbd.service systemctl restart rsyslog.service
faq/linux/samba.txt · Последнее изменение: 2022-02-19 18:16 — 127.0.0.1