SCROLL

Посты с тэгом: logrotate

Для логирования/аудита действий пользователей на файловом сервере предусмотрен модуль VFS (Virtual File System) — full_audit, рассмотрим его применение.

 

В файле конфигурации samba (/etc/samba/smb.conf) в секцию [global] добавим следующие параметры:

#       ПАРАМЕНТЫ ЛОГИРОВАНИЯ
        log level = 0 vfs:1

#       ПОДКЛЮЧЕНИЕ МОДУЛЕЙ VFS (Virtual File System)
        vfs objects = full_audit
		
#       АУДИТ СЕТЕВЫХ ПАПОК
        full_audit:prefix = %S|%u|%I
        full_audit:success = mkdir rmdir pwrite rename unlink
        full_audit:failure = none
        full_audit:facility = local5
        full_audit:priority = notice

[stextbox id=’info’]Пояснения по параметрам full_audit:

full_audit:prefix — Запись сообщений в системный журнал с префиксом: %S — название шары, %u — имя пользователя, %I — ip-адрес пользователя.
full_audit:success/full_audit:failure — Фиксирование удачных/неудачных событий (создание, удаление каталога, запись файла, переименование, удаление). Полный список возможных команд
full_audit:facility/full_audit:priority — Параметры системного журнала (syslog), с помощью которых мы идентифицируем наши сообщения от samba[/stextbox]

[stextbox id=’info’]Если уже используется какой-то модуль VFS, то перечисляем все объекты через пробел, например:
vfs object = acl_xattr full_audit[/stextbox]

 

Если необходимо вести логирование пользовательский действий по какой то определенной общей папке, то тогда выше описанные параметры необходимо прописывать в секцию описания общей папки.

 

После изменения конфигурации, перезапускаем samba, командой:

/etc/init.d/smbd restart

Развернутый мною Squid по данной статье, успешно работает. Но столкнулся с такой ситуацией что сразу не понял почему логи Squid хранятся крайне мало и для детального анализа трафика проходящего в компании не достаточно.