É isso ai....
vou postar aqui a resolução de um problema que tive quando precisei habilitar o módulo "audit" no samba utilizando o openSuSE-10.2 .
1° O que é o audit?
Pois bem o audit é um módulo disponível no pacote principal do samba, que possibilita que os compartilhamentos sejam monitorados, sendo assim , é possível por exemplo saber quem deletou um determinado arquivo, quem criou, removeu ou alterou o mesmo.
Agora vamos à implementação.
1° Instale o pacote do samba, isso é simples, nem vou falar como faz.....
2° Crie um compartilhamento no samba que será analisado, ex:
[Financeiro]
path = /servidor/dados/Financeiro
comment = Financeiro
browseable = no
writeable = yes
create mask = 0770
directory mask = 0770
valid users = @financeiro
admin users = @financeiro
force group = financeiro
# Linha mágica que habilita o audit
vfs object = audit
Pronto galera, o audit está habilitado no samba..... agora, deveria ser possível ver os logs dos acessos, o interessante é que isso nem sempre é possível, isso ocorre devido às configurações do syslog-ng.Para resolver este simples problema vamos alterar as configurações do arquivo de configuração do syslog-ng (/etc/syslog-ng/syslog-ng.conf) :
1° Passo:
Adicione um filtro p/ o "facility user" :
#MEU FILTRO no SYSLOG-NG
filter f_audit { facility(user); };
2° "Aplique" o fitro ao arquivo de log
# Aplicando o Filtro
destination user { file("/var/log/samba/audit.log"); };
log { source(src); filter(f_audit); destination(user); };
Pronto, é só dar um restart na bagaça !!!
#rcsmb restart
#rcsyslog restart
Prontinho, olha como ficou !!!!
ar 12 13:42:04 xxx-server smbd_audit[15623]: opendir ./
Mar 12 13:42:07 xxx-server smbd_audit[15623]: opendir New Folder
Mar 12 13:42:07 xxx-server smbd_audit[15623]: unlink ./Arquivo HTML
Mar 12 13:42:07 xxx-server smbd_audit[15623]: unlink ./Arquivo Texto
Mar 12 13:42:07 xxx-server smbd_audit[15623]: unlink ./New Adobe Photoshop Image.psd
Mar 12 13:42:07 xxx-server smbd_audit[15623]: unlink ./New Documento do Microsoft Word.doc
Mar 12 13:42:07 xxx-server smbd_audit[15623]: unlink ./New Wave Sound.wav
Mar 12 13:42:07 xxx-server smbd_audit[15623]: rmdir New Folder
Mar 12 13:42:09 xxx-server smbd_audit[15315]: opendir ./
Mar 12 13:42:22 xxx-server smbd_audit[15315]: opendir .
Um comentário:
Já dei umas fuçadas com esse módulo vfs, mas nada em produção. Agora já sei que irei enfrentar um probleminha, e também como corrigi-lo.... :-)
É isso ae!
Falou!
Postar um comentário