Warning: Undefined array key 3 in /home/virtwww/w_linko22-ru_c0d3353b/http/inc/html.php on line 1453 Warning: Undefined array key -1 in /home/virtwww/w_linko22-ru_c0d3353b/http/inc/html.php on line 1458

Различия

Показаны различия между двумя версиями страницы.

Ссылка на это сравнение

--- linux:samba:audit [2012/02/17 11:24]
linko22@gmail.com создано
+++ linux:samba:audit [2012/02/17 11:34] (текущий)
linko22@gmail.com
@@ Строка 39: / Строка 39: @@
 </code>
-If to look careful at full_audit:success, it contains a lot events, this list may be cut a little bit, because on busy server it will generate a lots of junk.
+Нада быть острожным с full_audit:success, оно выводит много событий на каждый чих, поэтому надо указывать необходимые нам параметры, иначе лог-файл быстро вырастет, забьет систему и все начнет тормозить
-full_audit:prefix = %u|%I|%S - adds additional useful information to audit log file
+**full_audit:prefix = %u|%I|%S** - добавляет дополнительную полезную информацию в лог-файл аудита.
-%u - User
+**%u** - Пользователь
-%I - User IP address
+**%I** - IP адрес пользователя
-%S - Server share name
+**%S** - Расшареная папка на сервере
-for full list of substitutions see this page:
+Полный список переменных можно будет найти на этой странице [[http://www.samba.org/samba/docs/man/manpages-3/smb.conf.5.html]] в разделе VARIABLE SUBSTITUTIONS
-http://www.samba.org/samba/docs/man/manpages-3/smb.conf.5.html
+Для включения аудита на каждую расшаренную папку надо добавить эту строку:
-section VARIABLE SUBSTITUTIONS
+**vfs objects = full_audit
+**
-To each share where file audit is needed add this line:
+Пример:
-vfs objects = full_audit
-like this:
+<code>
 [public]
   comment = Public Stuff
@@ Строка 66: / Строка 65: @@
   writable = no
   write list = @staff
- vfs object = full_audit
+  vfs object = full_audit
+</code>
 That's all about samba. So where all this audit logs are going now ? As you can see from these lines:
@@ Строка 81: / Строка 82: @@
 Add these lines:
+<code>
 filter f_local5 {facility(local5);};
 destination m_samba_audit { file("/var/log/samba/audit.log"); };
 log { source(src); filter(f_local5);destination(m_samba_audit); flags(final); };
+</code>
 BEFORE line
+<code>
 log { source(src); destination(messages); };
+</code>
-This will tell syslog-ng to filter only LOCAL5 message and write them to
+This will tell syslog-ng to filter only LOCAL5 message and write them to **/var/log/samba/audit.log** and skip this audit records from being recorded in **/var/log/messages**
-/var/log/samba/audit.log
-and skip this audit records from being recorded in /var/log/messages
 Configuring  syslogd
@@ Строка 97: / Строка 98: @@
 In standard configuration of syslogd there is a line in file syslog.conf :
+<code>
 *.*;auth,authpriv.none           -/var/log/syslog
+</code>
 To filter audit messages away from main syslog file, change this line to:
+<code>
 *.*;local5,auth,authpriv.none           -/var/log/syslog
-Add following line after
+</code>
+Add following line after
+<code>
 local5.notice /var/log/samba/audit.log
+</code>
 Restaring
@@ Строка 109: / Строка 116: @@
 Restart samba
-# /etc/init.d/samba restart
+  # /etc/init.d/samba restart
 and syslog, ususally this is done via this command
-# /etc/init.d/syslogd restart
+  # /etc/init.d/syslogd restart
 However in your distro may be different way.
@@ Строка 124: / Строка 131: @@
 Create new file /etc/logrotate.d/samba.audit
+<code>
 /var/log/samba/audit.log {
    weekly
@@ Строка 134: / Строка 142: @@
    notifempty
 }
+</code>
 References
-http://www.opennet.ru/base/net/samba_full_audit.txt.html
+[[http://www.opennet.ru/base/net/samba_full_audit.txt.html]]
-The syslog-ng 3.0 Administrator Guide
+[[http://www.balabit.com/dl/html/syslog-ng-v3.0-guide-admin-en.html/bk01-toc.html|The syslog-ng 3.0 Administrator Guide]]

Linko22's Wiki

Инструменты пользователя

Инструменты сайта

Различия

Инструменты страницы