Samba audit или логирование работы в каталогах samba

Дано

  • Ubuntu 16.04.3 LTS
  • Samba 4.3.11
  • Какой-то недобросовестный пользователь, который часто по ошибке удаляет или меняет файлы и не признается в этом.

Решение

Решением может стать настроенный аудит для samba. Настройки не сложные и если у вас относительно новые дистрибутив Ubuntu и Samba, то вам даже не придется перезагружать сервер (вопреки многим мануалам в сети, в которых пишут что настройки применятся только при перезагрузке)

Во первых: настраиваем саму Samba, для этого в /etc/samba/smb.conf дописываем в секцию [global] строки:

Добавлю для более детального понимания проблемы: если нужно логировать только один каталог, то вы можете указать эти параметры только для одного каталога и тогда они должны быть указаны в соответствующей секции (например [home]) описания этого каталога, а не в разделе [global]. Вы даже можете указать в префиксе имя этой секции, если таких каталогов у вас более одного

Во вторых, чтобы лог писался не в /var/log/syslog, а в отдельный файл делаем следующее:

Чтобы исключить запись наших событий в /var/log/syslog необходимо в файле /etc/rsyslog.d/50-default.conf отредактировать строку как показано ниже

Оригинал настройки в комментарий, чтобы была возможность отката изменений.

Создайте сам файл и назначьте на него права соответствующие для доступа syslog:

Далее есть 2 варианта, чтобы заставить rsyslog писать лог в нужный вам файл (для примера этот файл /var/log/samba/audit.log):

Или добавить все в том же файле /etc/rsyslog.d/50-default.conf строку

или же создать отдельный файл настройки для rsyslog:

Для красоты и компактности добавляем ротацию логов для чего в файл /etc/logrotate.d/samba добавляем строки

 

В третьих перегрузить настройки samba и перезапустить rsyslog

После всех проделанных настроек в файле лога /var/log/samba/audit.log должны начать появляться записи лога, конечно же после каких-либо действий в соответствующих каталогах Samba.

 

P.S. описан просто рабочий пример, вдаваться в подробности значений всех  настроек не вижу смысла в гугле полно данных на эту тему. Но этот рабочий минимум надо было записать, чтобы не забыть )))

Добавить комментарий

Ваш e-mail не будет опубликован.