我们公司有一个文件服务器,一个 64 位的 Debian Squeeze,使用 NFSv2 将一些文件夹共享给 Linux 服务器,并使用 Samba 将一些文件夹共享给 Windows 工作站。
我想要记录对一组特定的共享文件的访问。
我安装并配置了全面审计Samba 模块,用于记录 Samba 操作,使用以下配置。
[MY_SHARE]
path = /share/directory_to_watch
vfs objects = full_audit
full_audit:prefix = %u|%I|%m|%S
full_audit:success = pread read
full_audit:failure = none
full_audit:facility = local7
full_audit:priority = warning
问题是日志中记录了用户未执行的操作:在 Windows 工作站中,单击文件夹进入文件夹并在此处停止,然后文件夹中的每个文件在日志中都标记为已读。因此,full_audit 显然不是一个可靠的工具。还是我做错了什么?
我尝试安装 Linux 工具审计在我的文件服务器上。此工具在安装它的机器上记录系统调用。但是当用户通过其他服务器上的 NFS 挂载访问我想要监控的文件时,系统调用发生在挂载共享的服务器上,而不是文件服务器上(这是 NFS 的工作方式)。我想避免出现必须到处部署监控工具的情况。
所以问题是:有没有人遇到过和我一样的问题全面审计Samba 模块?有人知道在 NFS 服务器上记录文件访问的好方法吗?