为了回答这个问题,我有一个名为的服务器,它在我的本地网络上server1托管 samba 网络共享。可以以读写权限访问该共享。share1User1
我希望能够以简单、朴素的基本格式记录共享中发生的每一项活动。
下面是我所寻找的示例:
[DATESTAMP][TIMESTAMP] User1 accessed share1 from device1
[DATESTAMP][TIMESTAMP] User1 opened folder1
[DATESTAMP][TIMESTAMP] User1 deleted file 'filename'
[DATESTAMP][TIMESTAMP] User1 created folder 'folder2'
[DATESTAMP][TIMESTAMP] User1 created file 'file1'
等等。
以一种非常简单易读的格式记录所有类型的活动,例如创建和删除文件和文件夹、访问文件和文件夹、重命名、删除、移动、权限更改等(甚至可能是执行文件)
感谢所有帮助!
答案1
换句话说,您想设置审计吗?
很好,支持以下功能:vfs objects = full_audit在您的smb.conf配置文件中。事件将记录到 syslog(调整 smb.conf 和 syslog 中的 syslog 设置,以将正确的事件记录到特定文件中。)
使用 full_audit:success 和 failed 设置调整您想要记录的具体事件。
您可以通过调整前缀来稍微调整格式。示例中的前缀%u|%I使用变量替换并将记录以 分隔的用户名和客户端 IP 地址|。
[records]
path = /data/records
vfs objects = full_audit
full_audit:prefix = %u|%I
full_audit:success = open opendir
full_audit:failure = all !open
full_audit:facility = LOCAL7
full_audit:priority = ALERT