Тема: Samba extd_audit (Прочетена 4543 пъти)

anakinn · « -: Jan 07, 2008, 11:22 »

Здравейте.

Ползвам самба 3.0.23 + extd_audit модул.

В глобалния конфиг съм задал syslog = 0
за да не ползва sysloga и да записва информацията в log.smbd
За жалост, обаче продължава да записва във /var/log/messages

Порових насам - натам, пише че няма да стане, но все пак някаква идея или по някакъв друг начин да го накарам да не записва в messages ?

Благодаря !

k4BIG · « **Отговор #1 -:** Jan 07, 2008, 12:00 »

log file = /var/log/samba/log.%m
max log size = 1000
syslog = 0

maniac · « **Отговор #2 -:** Jan 07, 2008, 18:58 »

Цитат

Logging can take place to the default log file (log.smbd) for all loaded VFS modules just by setting in the smb.conf file log level = 0 vfs:x, where x is the log level. This will disable general logging while activating all logging of VFS module activity at the log level specified

[Тук] е описано подробно.

Провери си конфиг-а с
#testparm -s
да видим дали самбата ти интерпретира smb.conf, както ти се иска

'>

anakinn · « **Отговор #3 -:** Jan 08, 2008, 14:02 »

При мене ли нещо не се получава...
[global]
   workgroup = CENTRAL
   server string = kar1
   smb passwd file = /usr/local/etc/usrpass
   log level = 0 vfs:2
   syslog = 0
   log file = /var/log/samba/log.%m
   max log size = 1000
   name resolve order = wins bcast
   lpq cache time = 10
   socket options = TCP_NODELAY, SO_RCVBUF=8192 SO_SNDBUF=8192
   load printers = No
   printcap name = /etc/printcap
   show add printer wizard = No
   os level = 22
   preferred master = No
   local master = No
   passdb expand explicit = No
   admin users = niki, root
   read only = No
   hosts allow = 192.168.1., 127., 192.168.2., 10.

Пробвах и без :
log level = 0 vfs:2 в global

надолу са вече са описаните шеъри, но като дам
tail -f /var/log/messages продължата да пише в messages

Jan 8 13:54:56 KAR1 smbd_audit[19120]: opendir ./
Jan 8 13:54:56 KAR1 smbd_audit[19120]: opendir .
Jan 8 13:54:56 KAR1 last message repeated 3 times
Jan 8 13:54:57 KAR1 smbd_audit[19120]: opendir Rush Hour 3
Jan 8 13:54:58 KAR1 last message repeated 4 times
Jan 8 13:54:58 KAR1 smbd_audit[19120]: open Rush Hour 3/Rush Hour 3.srt (fd 19)
Jan 8 13:54:58 KAR1 smbd_audit[19120]: opendir Rush Hour 3

Докато:
KAR1# tail -f /var/log/samba/log.smbd
  Copyright Andrew Tridgell and the Samba Team 1992-2006
[2008/01/08 13:49:21, 0] smbd/server.c:main(805)
  smbd version 3.0.22 started.
  Copyright Andrew Tridgell and the Samba Team 1992-2006
[2008/01/08 13:51:30, 0] smbd/server.c:main(805)
  smbd version 3.0.22 started.
  Copyright Andrew Tridgell and the Samba Team 1992-2006
[2008/01/08 13:51:31, 0] smbd/server.c:main(805)
  smbd version 3.0.22 started.
  Copyright Andrew Tridgell and the Samba Team 1992-2006

KAR1# tail -f /var/log/samba/log.nmbd
[2008/01/08 13:51:28, 0] nmbd/nmbd.c:terminate(58)
  Got SIGTERM: going down...
[2008/01/08 13:51:30, 0] nmbd/nmbd.c:main(727)
  Netbios nameserver version 3.0.22 started.
  Copyright Andrew Tridgell and the Samba Team 1992-2006
[2008/01/08 13:51:30, 0] nmbd/nmbd.c:terminate(58)
  Got SIGTERM: going down...
[2008/01/08 13:51:31, 0] nmbd/nmbd.c:main(727)
  Netbios nameserver version 3.0.22 started.
  Copyright Andrew Tridgell and the Samba Team 1992-2006

.......

anakinn · « **Отговор #4 -:** Jan 11, 2008, 09:05 »

Някой пробвал ли го реално дали се получава ?

maniac · « **Отговор #5 -:** Jan 11, 2008, 13:08 »

Интересното е, защо самбата ти игнорира тези двете

Примерен код

log level = 0 vfs:2
syslog = 0

Дай си, моля те, целия smb.conf, да погледнем как зареждаш vfs-а.

anakinn · « **Отговор #6 -:** Jan 11, 2008, 13:49 »

[global]
   workgroup = CENTRAL
   server string = kar1
   smb passwd file = /usr/local/etc/usrpass
   log level = 0 vfs:2
   log file = /var/log/samba/log.%m
   max log size = 1000
   syslog = 0
   #include = /usr/local/etc/smb.conf.%m
   #syslog auditing = true
   #syslog audit format = $action $user
   socket options = TCP_NODELAY, SO_RCVBUF=8192 SO_SNDBUF=8192
   name resolve order = wins bcast
   lpq cache time = 10
   printcap name = /etc/printcap
   load printers = No
   show add printer wizard = No
   os level = 22
   preferred master = No
   local master = No
   passdb expand explicit = No
   admin users = root
   read only = No
   hosts allow = 192.168.1., 127., 192.168.2., 10.

[data1]
   comment = Data1
   path = /data1
   admin users = root
   read list = all
   write list = root
   guest ok = Yes
   vfs object = extd_audit recycle
   recycle: config-files = /usr/local/etc/samba-recycle.conf
   #syslog audit actions = FILEDELETE FILEMOVE FILECOPY
   #syslog audit facility = LOG_LOCAL1
   #vfs object = /usr/local/lib/samba/vfs/recycle.so
   #vfs options = /usr/local/etc/samba-recycle.conf

maniac · « **Отговор #7 -:** Jan 11, 2008, 20:06 »

Пробвах я тази схема на една машинка, без да гледам твоя конфиг.
Ефекта беше същия ':crazy:'

В нета не намерих никаква смислена информация по въпроса, освен някакъв стар [бъгрепорт]
Ако нищо друго не помогне, виж [това] дали ще ти свърши работа.

anakinn · « **Отговор #8 -:** Jan 14, 2008, 10:30 »

И аз стигнах до същото място преди половин година някъде.
Дори бях писал до самбите, но нямаше отговор - те ме препратиха към същия репорт.

Това, което ти ми предложи е за "X" а аз не ползвам такива...
дали има някакъв друг вариант ?

anakinn · « **Отговор #9 -:** Jan 15, 2008, 17:34 »

Друг вариант за аудит има ли изобщо ?

Примерно да не използвам това на самбата, а може би ако може да се добави нещо към сислога или знам ли и аз...

rpetrov · « **Отговор #10 -:** Jan 16, 2008, 00:14 »

Един поглед в кода на vfs_extd_audit ми подсказа, че може да се зададе facility и priority за extd_audit, чак във версия 3.2.x - не става за 3.0.x

'> .

Като подсистема за контрол vfs_audit(

и vfs_full_audit(

не ти вършат ли работа ?

Например:
в smb.conf:

Примерен код

audit:facility = LOCAL7

в syslog.conf:

Примерен код

...
*.info;*.!warn;\
...\
local7.!* -/var/log/messages
...
local7.* -/var/log/local7

anakinn · « **Отговор #11 -:** Jan 17, 2008, 10:31 »

Доколкото разбирам трябва в smb.conf да сложа
audit:facility = LOCAL7

Като дам testparm -s
и не се появява в конфига. Другите - syslog, vfs object....
да останат ли включени или ?

Обаче в syslog-а нещо не можах да се оправя...

cat /etc/syslog.conf
# $FreeBSD: src/etc/syslog.conf,v 1.28 2005/03/12 12:31:16 glebius Exp $
#
# Spaces ARE valid field separators in this file. However,
# other *nix-like systems still insist on using tabs as field
# separators. If you are sharing this file between systems, you
# may want to use only tabs as field separators here.
# Consult the syslog.conf(5) manpage.
*.err;kern.warning;auth.notice;mail.crit /dev/console
*.notice;authpriv.none;kern.debug;lpr.info;mail.crit;news.err /var/log/messages
security.* /var/log/security
auth.info;authpriv.info /var/log/auth.log
mail.info /var/log/maillog
lpr.info /var/log/lpd-errs
ftp.info /var/log/xferlog
cron.* /var/log/cron
*.=debug /var/log/debug.log
*.emerg *
# uncomment this to log all writes to /dev/console to /var/log/console.log
#console.info /var/log/console.log
# uncomment this to enable logging of all log messages to /var/log/all.log
# touch /var/log/all.log and chmod it to mode 600 before it will work
#*.* /var/log/all.log
# uncomment this to enable logging to a remote loghost named loghost
#*.* @loghost
# uncomment these if you're running inn
# news.crit /var/log/news/news.crit
# news.err /var/log/news/news.err
# news.notice /var/log/news/news.notice
!startslip
*.* /var/log/slip.log
!ppp
*.* /var/log/ppp.log
#local0.info /var/log/audit.samba
#user.*;user.!warn /var/log/audit.log
#*.info;mail.none;local5.none;authpriv.none;cron.none;auth.!=info /var/log/messages
#user.*;user.!warn;authpriv.none;cron.none;mail.none;news.none /var/log/samba/audit.log

tmcdos · « **Отговор #12 -:** Jan 21, 2008, 14:16 »

Ако искаш някое facility да отива в друг файл, а не в /var/log/messages - не е достатъчно да го добавиш като ред в /etc/syslog.conf. Трябва също така и да го изключиш от /var/log/messages.
За какво говоря ?
Ако просто напиша така:

Примерен код

# Log anything (except mail) of level info or higher.
# Don't log private authentication messages!
*.info;mail.none;authpriv.none;cron.none    /var/log/messages

# The authpriv file has restricted access.
authpriv.*                  /var/log/secure

# Log all the mail messages in one place.
mail.*                     -/var/log/maillog

# Log cron stuff
cron.*                     -/var/log/cron

# Everybody gets emergency messages
*.emerg                     *

# Save news errors of level crit and higher in a special file.
uucp,news.crit                  /var/log/spooler

# Pure FTP
ftp.*                     /var/log/pureftp.log

ще получа съобщенията на PureFTP в /var/log/pureftp.log, но ще ги имам също и в /var/log/messages. За да ги махна от там, трябва да напиша следното:

Примерен код

# Log anything (except mail) of level info or higher.
# Don't log private authentication messages!
*.info;mail.none;authpriv.none;cron.none;ftp.none /var/log/messages

ftp.none означава, че никакви съобщения за facility ftp няма да се записват в /var/log/messages

maniac · « **Отговор #13 -:** Jan 21, 2008, 18:27 »

Цитат

Това, което ти ми предложи е за "X" а аз не ползвам такива...
дали има някакъв друг вариант ?

Иска само Апач, PHP, и PG/MySQL. Работи добре,
но не съм го пускал още под пара. ':crazy:'

anakinn · « **Отговор #14 -:** Jan 22, 2008, 14:49 »

Пфууууууу
нещо не мога да се оправя

Създадох /var/log/local7
В syslog-а какво ли не пробвах

Мисля, че бъркам словореда, не че съм много наясно
*.info;*.!warn;local7.!* /var/log/local7
local7.* /var/log/local7

на прав път ли съм ?

tmcdos@
даде пример за фтп, а за аудит на самбата ?

Подобни теми
	Заглавие	Започната от	Отговора	Прегледи	Последна публикация
	Samba Настройка на програми	mozly	4	4538	Sep 24, 2002, 18:18 от mozly
	Samba Настройка на програми	mozly	9	4787	Oct 05, 2002, 17:17 от ShAnTaV
	Samba Настройка на програми	tzarew	1	2875	Nov 12, 2002, 23:36 от brady
	Samba Настройка на програми	tzarew	2	3141	Nov 09, 2002, 21:07 от CaBA
	samba Настройка на програми	mozly	1	2644	Nov 25, 2002, 23:22 от n_antonov

Автор Тема: Samba extd_audit (Прочетена 4543 пъти)