Обсуждение статьи тематического каталога: Модуль full_audit в samba (samba audit limit log debian)Ссылка на текст статьи: https://www.opennet.ru/base/net/samba_full_audit.txt.html
Как решить проблему русских названий в логах?
konsole + utf8
>Как решить проблему русских названий в логах?Помогите и мне пожалуйста, где писать "консоль + Utf8"??
Как сделать что-бы в журнале русские имена файлов отображались, а то как то стрёмно
May 12 16:43:38 SERVER smbd_audit: nobody|172.17.4.90|sendfile|ok|а\224аОаКб\203аМаЕаНб\202 Microsoft Word.doc
Это типа "Документ Microsoft Word.doc"
>>Как решить проблему русских названий в логах?
>
>Помогите и мне пожалуйста, где писать "консоль + Utf8"??
>Как сделать что-бы в журнале русские имена файлов отображались, а то как
>то стрёмно
>May 12 16:43:38 SERVER smbd_audit: nobody|172.17.4.90|sendfile|ok|а\224аОаКб\203аМаЕаНб\202 Microsoft Word.doc
>Это типа "Документ Microsoft Word.doc"[global]
...
unix charset = UTF-8
dos charset = UTF-8
display charset = UTF-8
...
Настраиваю как здесь написано. Пропадает конект с публичным ресурсом. Комментирую вот эту строку vfs objects = full_audit связь появляется. В чем может быть дело, подскажите, пожалуйстаsmb.conf
[global]
workgroup = XXXXdos charset = koi8-r
unix charset = koi8-rsecurity = share
syslog = 0
log level = 10 vfs:2
max log size = 50
[homes]
guest ok = no
read only = no
public = no
[pub]
comment = Public directory
path = /home/public
public = yes
browseable = yes
only guest = yes
guest ok =yes
read only = no
locking = novfs objects = full_audit
full_audit:prefix = %u|%I
full_audit:failure = none
full_audit:success = connect disconnect opendir mkdir rmdir write pwrite sendfile rename chmod fchmod lock
;closedir open close read pread unlink chown fchown chdir ftruncate symlink readlink link mknod realpath
full_audit:facility = local5
full_audit:priority = notice
Настраиваю как здесь показано. Пропадает конект с публичным ресурсом. Комментирую вот эту строку vfs objects = full_audit связь появляется. В чем может быть дело, подскажите, пожалуйста.
Читать нужно а не повторять как обезьяны, модуль full_audit заменен на extd_audit
Ubuntu 9.04 - full_audit и все ок...
Автору спасибо за полноценную статью!
большое спасибо, очень хорошая статья
[quote]
Чтобы сообщения записывались в заданный файл, нужно добавить в
syslog.conf такую строку:
local5.notice -/var/log/samba/log.audit[/quote]Забыл поправить - тут минус нужно убрать, а то писаться в лог ничего не будет. ;)
Народ, скажите на милость, как сделать так, что бы записи smbd_audit не дублировались в massages и syslog, а лежали только в log.audit
Ни что так не стимулирует изучать принципы работы инструмента, как отладка из-за ошибок в HOWTO.Актуально для Debian 8
Для обеспечения ротации файлов журнала необходимо внести изменения
В /etc/rsyslog.conf заменить строку:
*.*;auth,authpriv.none -/var/log/syslog
на
*.*;local5.none,auth,authpriv.none -/var/log/syslog
чтобы предотвратить дублирование вывода данных в файл журнала syslog
и добавить строку:
local5.notice /var/log/samba/log.auditВ /etc/logrotate.d/samba заменить строку:
/var/log/samba/log.smbd {
на
/var/log/samba/log.smbd /var/log/samba/log.audit {
чтобы добавить в правило ротации дополнительный журнал log.auditНиже приведены команды для автоматизации редактирования:
sed -i 's|\*\.\*;auth,authpriv\.none\t|\*\.\*;local5.none,auth,authpriv\.none|' /etc/rsyslog.conf
sed -i '$a\\nlocal5\.notice\t\t/var/log/samba/log\.audit' /etc/rsyslog.conf
sed -i 's|log\.smbd|log\.smbd\ /var/log/samba/log.audit|' /etc/logrotate.d/sambaНе забудьте перезапустить сервисы:
service smbd restart
service rsyslog restart
Red Hat Ent. 5.1 - все работает
только например на событие open пишет по 100 раз одну и ту же строку!!!
лог быстро набирает массу!!
кто нить знает как с этим бороться?
Все сделал как тут, но нет IP адреса клиентови присутствуют сообщения о каких то точках, которые не пресоеденены - это можно убрать? Уровень логирования 1:
[2010/10/14 16:35:15, 0] smbd/server.c:1119(main)
smbd version 3.5.4-5.1.2-2426-SUSE-SL11.3 started.
Copyright Andrew Tridgell and the Samba Team 1992-2010
[2010/10/14 16:35:15.345447, 0] smbd/server.c:500(smbd_open_one_socket)
smbd_open_once_socket: open_socket_in: Адрес уже используется
[2010/10/14 16:35:15.345999, 0] smbd/server.c:500(smbd_open_one_socket)
smbd_open_once_socket: open_socket_in: Адрес уже используется
[2010/10/14 16:35:27.869580, 0] modules/vfs_extd_audit.c:148(audit_mkdir)
vfs_extd_audit: mkdir Новая папка
[2010/10/14 16:35:34.688144, 0] modules/vfs_extd_audit.c:168(audit_rmdir)
vfs_extd_audit: rmdir 12345
[2010/10/14 16:35:44.236012, 0] lib/util_sock.c:675(write_data)
[2010/10/14 16:35:44.236164, 0] lib/util_sock.c:1432(get_peer_addr_internal)
getpeername failed. Error was Конечная точка передачи не подсоединена
write_data: write failure in writing to client 0.0.0.0. Error Соединение сброшено другой стороной
[2010/10/14 16:35:44.236255, 0] smbd/process.c:79(srv_send_smb)
Error writing 4 bytes to client. -1. (Конечная точка передачи не подсоединена)
[2010/10/14 16:38:08.583898, 1] smbd/vfs.c:932(check_reduced_name)
check_reduced_name: couldn't get realpath for squid/*
[2010/10/14 16:38:08.588128, 1] smbd/vfs.c:932(check_reduced_name)
check_reduced_name: couldn't get realpath for squid/*
а можно ли указать конкретную папку для аудита
Направил логи в другую папку - все супер! Но в lockalmessages все равно идет запись! Как отключить запись в этот файл?
а перезапустить rsyslog ;) и smbd
invoke-rc.d samba restart && invoke-rc.d rsyslog restart
Может кто сталкивался. Запустил в тестовом режиме аудит самбы на SLES 10SP3. В принципе все работает. Но в лог файл пишутся одинаковые записи и самое интересное, что количество записей зависит от размера записываемого файла. Т.е. на файл 60Кб всего 2 записи, а на файл 8Мб уже 221 одинаковая запись. Как избавиться от этого?
На всякий случай конфиги.
smb.conf
[global]
# Audit settings
full_audit:prefix = %u|%I|%S
full_audit:failure = connect
full_audit:success = rename rmdir write mkdir read pwrite
full_audit:facility = local5
full_audit:priority = notice
[audit]
comment = smb audit test
inherit acls = Yes
path = /workzone/share
read only = No
vfs objects = full_audit
syslog-ng.conf
#AUDITfilter f_local5 {facility(local5);};
destination m_samba_audit { file("/var/log/samba/audit.log"); };
log { source(src); filter(f_local5);destination(m_samba_audit); flags(final); };
возможно к ним обращается антивирусник либо еще какая то программа
> возможно к ним обращается антивирусник либо еще какая то программаНикаких программ нет, антивирусник сносили для проверки. Создается впечатление, что данные записываются блоками и поэтому на каждый блок появляется своя запись(т.е. подсчитывали, приблизительно на каждые 61,5кб (т.е. считаем 64кб) одна запись)
В новых версиях самбы событие mkdir и некоторые другие переименованы (mkdir -> mkdirat). Теперь если указать операцию со старым или неправильным названием, то будут записываться все события. Полный список событий операций: https://www.samba.org/samba/docs/current/man-html/vfs_full_a...