Samba
Defaultní logování Samba zapisuje informace o ladění a datech událostí (například uživatelé připojující se ke sdílené položce) do souborů určených parametrem v konfiguračním souboru smb.conf
. Například: - log file = /var/log/samba/%m.log
Základní logy Samba mají omezené použití. Jsou velmi hlučné, obsahují spoustu nadbytečných informací a jsou generovány ve víceřádkovém formátu, což ztěžuje jejich analýzu. Z těchto důvodů byl vytvořen analyzátor |ln| Samba pouze pro protokoly File Access a nebude fungovat s výchozími protokoly Samba.
Povolení přístupu k souborům při logování může potenciálně přetížit váš systém - zejména pokud jsou vaše sdílené složky vysoce využívány. Vždy se ujistěte, že jste nakonfigurovali správné střídání protokolů.
Pro audit operací se soubory na sdílené položce Samba, musíte mít k dispozici modul VFS Full Audit. Měl by se automaticky nainstalovat se Sambou, ale můžete vše zkontrolovat spuštěním níže uvedeného příkazu:
[Ubuntu/Debian example]: dpkg -s samba-vfs-modules:
Pokud balíček ve vašem systému není, můžete jej nainstalovat spuštěním:
[Ubuntu/Debian example]: apt-get install samba-vfs-modules:
Po potvrzení, že je k dispozici modul VFS Full Audit, upravte konfigurační soubor samba smb.conf
(usually in /etc/samba/smb.conf
)
Poté přidejte následující řádky ke kterékoli sdílené položce, kterou chcete sledovat:
vfs objects = full_audit
full_audit:failure = none
full_audit:success = mkdir rename unlink rmdir open pwrite connect
full_audit:prefix = %u|%I|%m|%S
full_audit:facility = local7
full_audit:priority = NOTICE
Příklad:
[Logmanager]
path = /home/logmanager/
browseable = yes
read only = no
writable = yes
guest ok = yes
vfs objects = full_audit
full_audit:failure = none
full_audit:success = mkdir rename unlink rmdir open pwrite connect
full_audit:prefix = %u|%I|%m|%S
full_audit:facility = local7
full_audit:priority = NOTICE
Chcete-li, aby se změny projevily, znovu načtěte Sambu:
[ubunut/debian]: systemctl restart smbd:
Nyní bude při jakékoli akci provedené se souborem ve výše uvedené sdílené položce vytvořen výchozí soubor protokolu (logu) systému /var/log/messages
.
zařízení protokolu je nastaveno na LOCAL7 v řádku full_audit: facility = local7. Tato hodnota je vyžadována pro přesměrování souborů popsaných níže. Pokud již tento zdroj používá jiný zdroj protokolu ve vašem systému, ujistěte se, že používáte pro Sambu jinou hodnotu.
Můžete odeslat celé /var/log/messages
do Logmanager, ale kromě logů Samba bude obsahovat také další systémové zprávy. Takže pokud nemáte zájem o jejich monitorování, doporučujeme psát protokoly Samba do samostatnéhu souboru a odeslat jej nezávisle na systémových zprávách.
Pro přesměrování protokolů Samba File Access do jiného souboru, musíte nakonfigurovat svého syslog deamona.
Příklad pro Syslog-ng:
Přidejte následující řádky do /etc/syslog-ng/syslog-ng.conf
:
#Set output file
destination d_samba { file("/var/log/samba.log"); };
#Set filter based on facility equal to local7
filter f_samba { facility(local7); };
#Combine above: take source (system messages) -> filter it by facility -> save to destination file
log { source(s_src); filter(f_samba); destination(d_samba); };
Nezapomeňte znovu načíst syslog deamon, aby se změny projevily.
Příklad pro Syslog-ng:
[ubunut/Debian]: systemctl restart syslog-ng:
Všechny protokoly z aplikace Samba File Access budou nyní přesměrovány do /var/log/samba.log
.
Ujistěte se, že jste nakonfigurovali syslog deamon, aby tento soubor předal do Logmanager, protože se to ve výchozím nastavení nestane. Pokyny k předávání souborů pro Linux Syslog-NG a Linux Rsyslog jsou k dispozici v dokumentaci Logmanager.