logowanie samby

ZyTeK zytek-pld w abomb.one.pl
Wto, 9 Gru 2003, 22:01:08 CET 

On wto 09. grudnia 2003 21:51, pbern w pbern.biz wrote:
> On Tue, 9 Dec 2003, ZyTeK wrote:
> > niby działa.. ale.. nie pokazuje mi KTO wykonuje operacje na plikach,
> > tylko np.
> > gru  9 18:09:07 azazel smbd_audit[20965]: open Propozycje/nowy_plik (fd
> > 26) for writing
> > gru  9 18:09:07 azazel smbd_audit[20965]: fchmod_acl
> > Propozycje/nowy_plik mode 0x180 failed: Brak danych
> > gru  9 18:09:07 azazel smbd_audit[20965]: close fd 26
> > gru  9 18:09:13 azazel smbd_audit[20965]: opendir Propozycje
> > gru  9 18:09:14 azazel smbd_audit[20965]: unlink Propozycje/nowy_plik
> >
> > to mi nie mówi kto dodał i usunął "nowy_plik" a o to mi właśnie chodzi..
>
> bo przegladasz glowny log,
> looknij w loh per IP.. i juz wiesz kto.. chyba ze sa to stanowiska do
> ktorych maja dostep rozni userowi.. wtedy to juz nie wyglada kolorowo :<

ale logi z audit trafiają do sysloga a nie do logować samby! ja tylko sobie 
je przekierowałem do osobnego pliku..

[root w azazel samba]# cat 10.0.0.100.log | grep audit
  Initialising custom vfs hooks from [audit]
  Module '/usr/lib/samba/vfs/audit.so' loaded

[root w azazel samba]# tail smbd_audit
gru  9 21:55:41 azazel smbd_audit[25090]: opendir ./
gru  9 21:55:41 azazel smbd_audit[25090]: open Propozycje/Filmy (fd 25)
gru  9 21:55:41 azazel smbd_audit[25090]: close fd 25
gru  9 21:55:41 azazel smbd_audit[25090]: open Propozycje/Filmy (fd 25)
gru  9 21:55:41 azazel smbd_audit[25090]: close fd 25
gru  9 21:55:41 azazel smbd_audit[25090]: opendir ./
gru  9 21:55:41 azazel smbd_audit[25090]: open Propozycje/Filmy (fd 25)
gru  9 21:55:41 azazel smbd_audit[25090]: close fd 25
gru  9 21:57:25 azazel smbd_audit[25404]: connect to service Upload by user 
samba
gru  9 21:58:05 azazel smbd_audit[25404]: opendir ./

wszystko po syslogowemu idzie globalnie do 1 pliku.. nie łapnę tych logów 
przez np. log file = /var/log/samba/%I.log (taka opcję mam ustawioną w 
[global] pliku smb.conf a dodatkowo dla [Upload] jest właśnie 
vfs objects = audit

-- 
.: Jakub Głazik - [zytek] - zytek[at]pld-linux.org
.: http://www.misiaj.sie.pl [obsolete]
.: PLD Linux. Bocian fetish team.
.: per aspera ad astra.

Więcej informacji o liście dyskusyjnej pld-users-pl