SUSE LINUX Enterprise & openSUSE Community
มีนาคม 19, 2019, 05:09:08 AM *
ยินดีต้อนรับคุณ, บุคคลทั่วไป กรุณา เข้าสู่ระบบ หรือ ลงทะเบียน
ส่งอีเมล์ยืนยันการใช้งาน?

เข้าสู่ระบบด้วยชื่อผู้ใช้ รหัสผ่าน และระยะเวลาในเซสชั่น
ข่าว:
 
   หน้าแรก   ช่วยเหลือ ค้นหา เข้าสู่ระบบ สมัครสมาชิก  

[Why we need your support] SUSE and openSUSE are trademarks of Attachmate Group, Inc. - WE ARE NOT IN ANY WAY ASSOCIATED WITH SUSE AND ATTACHMATE GROUP. SUSEThailand.com is a SUSE Linux user and community found in Thailand but not limited to other country suse linux user to join in. Currently active contents (How to's, Scripts, Tips, Tricks, Tutorials, Linux Command Line, and Troubleshooting) this suse linux how to's and expert support are SUSE Linux.
หน้า: [1]   ลงล่าง
  พิมพ์  
ผู้เขียน
หัวข้อ: How to Samba audit file access to the syslog (บันทึกการตรวจสอบพฤติกรรมการใช้งานของยูสเซอร์)  (อ่าน 1860 ครั้ง)
0 สมาชิก และ 1 บุคคลทั่วไป กำลังดูหัวข้อนี้
Sontaya
Administrator
Expert : ผู้เชี่ยวชาญ
*****

Karma: +1/-0
ออฟไลน์ ออฟไลน์

กระทู้: 1931


Administrator


เว็บไซต์
« เมื่อ: ธันวาคม 26, 2012, 12:08:00 PM »


How to Samba audit file access to the syslog (บันทึกการตรวจสอบพฤติกรรมการใช้งานของยูสเซอร์)

ขั้นตอนการคอนฟิก Samba + VFS โมดูล
สำหรับบันทึกการตรวจสอบพฤติกรรมการใช้งานของผู้ใช้งาน เช่น สร้างไฟล์, เปลี่ยนชื่อไฟล์ และ ลบไฟล์

- Verify Samba version:

โค๊ด:
rpm -q samba
samba-3.6.3


[1] Add to samba config: (Using the Full_audit VFS module)

โค๊ด:
vi /etc/samba/smb.conf

โค๊ด:
...
[share]
        comment = Public Data
        path = /publicdata/
        browseable = Yes
        inherit acls = Yes
        read only = No
#log audit
        vfs objects = full_audit
        full_audit:prefix = %u|%I|%m|%S
        full_audit:success = mkdir rename unlink rmdir pwrite open opendir
        full_audit:failure = none
        full_audit:facility = LOCAL7
        full_audit:priority = NOTICE
#end audit

หรือหากต้องการรายละเอียด ก็กำหนด prefix เพิ่มดังด้านล่างนี้

   full_audit:prefix = |%h|%T|%u|%g|%U|%G|%D|%I|%m|%M|%S
   full_audit:success = mkdir rename unlink rmdir open close chmod chown
   full_audit:failure = mkdir rename unlink rmdir open close chmod chown

- Save and restart samba service:

โค๊ด:
rcsmbd restart


[3] Creating a Syslogd Facility:

โค๊ด:
/etc/syslog-ng/syslog-ng.conf

โค๊ด:
...
filter f_local      { facility(local0, local1, local2, local3,
                               local4, local5, local6, local7); };

#########################################
#added lines:
filter f_smbd       { facility(local7) and program("smbd"); };
#########################################
...
#
# Some boot scripts use/require local[1-7]:
#
destination localmessages { file("/var/log/localmessages"); };
log { source(src); filter(f_local); destination(localmessages); };

##########################################
# added lines:
#
# Samba log audit
#
destination samba_audit { file("/var/log/samba/log.audit"); };
log { source(src); filter(f_smbd); destination(samba_audit); };
###########################################


- Save and restart syslog service:

โค๊ด:
rcsyslog restart


[3] Verify Samba configuration:

โค๊ด:
testparm


Output Example:

โค๊ด:
tail -f /var/log/samba/log.audit

โค๊ด:
Dec 12 12:01:24 it01 smbd[4750]: user123|192.168.20.8|bcteramd|backup2|opendir|ok|.
Dec 12 12:01:28 it01 smbd[4750]: user123|192.168.20.8|bcteramd|backup2|open|ok|r|.
Dec 12 12:01:30 it01 smbd[4750]: user123|192.168.20.8|bcteramd|backup2|opendir|ok|.
Dec 12 12:01:30 it01 smbd[4750]: user123|192.168.20.8|bcteramd|backup2|opendir|ok|ZZZZZ
Dec 12 12:01:32 it01 smbd[4750]: user123|192.168.20.8|bcteramd|backup2|opendir|ok|ZZZZZ
Dec 12 12:01:32 it01 smbd[4750]: user123|192.168.20.8|bcteramd|backup2|open|ok|r|ZZZZZ
Dec 12 12:01:32 it01 smbd[4750]: user123|192.168.20.8|bcteramd|backup2|opendir|ok|ZZZZZ
Dec 12 12:01:32 it01 smbd[4750]: user123|192.168.20.8|bcteramd|backup2|rmdir|ok|ZZZZZ
แจ้งลบกระทู้นี้หรือติดต่อผู้ดูแล   บันทึกการเข้า

ageLOC Technology
หน้า: [1]   ขึ้นบน
  พิมพ์  
 
กระโดดไป:  

(@)2007 SUSE Linux user community found in Thailand. This site is not an official openSUSE and SUSE website, and is not in any way affiliated with or endorsed by SUSE Linux GmbH or Novell. openSUSE and SUSE are trademarks of Novell, Inc. in the United States and other countries.
Powered by MySQL Powered by PHP Powered by SMF 1.1.21 | SMF © 2006-2009, Simple Machines Valid XHTML 1.0! Valid CSS!
หน้านี้ถูกสร้างขึ้นภายในเวลา 0.031 วินาที กับ 20 คำสั่ง (Pretty URLs adds 0.007s, 2q)