[samba-jp:19072] Re: ログに関する資料について

2006年 12月 11日 (月) 14:40:53 JST

smb.confに
        vfs objects = recycle, full_audit
        full_audit:failure = all
        full_audit:success = all
syslog.confに
user.*;user.!warn                       -/var/log/samba/audit.log

を仕掛けて/var/log/samba/audit.logに以下のようなログを得ています。削除がゴ
ミ箱機能のためにunlinkではなくrenameになっているのはご愛敬として見逃してく
ださい。ログすべきイベントをallではなく絞れば見やすくなると思います。

Dec 11 14:27:44 hhhhhh smbd_audit: 
tyano|xx.xx.xx.xx|opendir|ok|tmp/bbb/META-INF
Dec 11 14:27:44 hhhhhh smbd_audit: tyano|xx.xx.xx.xx|readdir|ok|
Dec 11 14:27:44 hhhhhh last message repeated 2 times
Dec 11 14:27:44 hhhhhh smbd_audit: tyano|xx.xx.xx.xx|telldir|ok|
Dec 11 14:27:44 hhhhhh smbd_audit: tyano|xx.xx.xx.xx|closedir|ok|
Dec 11 14:27:44 hhhhhh smbd_audit: 
tyano|xx.xx.xx.xx|stat|ok|tmp/bbb/META-INF/application.
xml
Dec 11 14:27:44 hhhhhh smbd_audit: 
tyano|xx.xx.xx.xx|lstat|ok|tmp/bbb/META-INF/application
.xml
Dec 11 14:27:44 hhhhhh smbd_audit: 
tyano|xx.xx.xx.xx|stat|ok|tmp/bbb/META-INF
Dec 11 14:27:44 hhhhhh smbd_audit: 
tyano|xx.xx.xx.xx|stat|ok|tmp/bbb/META-INF
Dec 11 14:27:44 hhhhhh smbd_audit: 
tyano|xx.xx.xx.xx|stat|ok|tmp/bbb/META-INF/application.
xml
Dec 11 14:27:44 hhhhhh last message repeated 4 times
Dec 11 14:27:44 hhhhhh smbd_audit: 
tyano|xx.xx.xx.xx|stat|ok|.recycle/tmp/bbb/META-INF
Dec 11 14:27:44 hhhhhh smbd_audit: tyano|xx.xx.xx.xx|stat|fail (No such 
file or directory)
|.recycle/tmp/bbb/META-INF/application.xml
Dec 11 14:27:44 hhhhhh smbd_audit: tyano|xx.xx.xx.xx|stat|fail (No such 
file or directory)
|.recycle/tmp/bbb/META-INF/application.xml
Dec 11 14:27:44 hhhhhh smbd_audit: 
tyano|xx.xx.xx.xx|rename|ok|tmp/bbb/META-INF/applicatio
n.xml|.recycle/tmp/bbb/META-INF/application.xml
Dec 11 14:27:44 hhhhhh smbd_audit: tyano|xx.xx.xx.xx|stat|ok|.

YANO Takashi
Internet: tyano ＠ jp.ibm.com

Yasuma Takeda <yasuma ＠ osstech.co.jp> 
Sent by: samba-jp-bounces ＠ samba.gr.jp
2006/12/11 14:05
Please respond to
Samba のインストールから使い方、様々な質疑応答など (参加自由) 
<samba-jp ＠ samba.gr.jp>

To
"Samba のインストールから使い方、様々な質疑応答など (参加自由)" 
<samba-jp ＠ samba.gr.jp>
cc

Subject
[samba-jp:19071] Re: ログに関する資料について

武田＠OSSテクノロジです。
こんにちは。

今藤義信 wrote:
> 今藤です。
> 
> たかはしさん、長沢さんありがとうございました。
> 
>> 基本的には出力されているメッセージから解読していくことになると思います
が、
>> どのような内容を期待されているのでしょうか。
> 期待しているログは主に
> ・ファイルにアクセスしたというログ
> ・ファイルを作成したというログ
> ・ファイルを削除したというログ
> ・ファイルを更新したというログ
> になります。
> ログレベルを３にすると上記ログが記録できると認識しています。
> 
今藤さんが期待されているログの内容は、sambaのauditモジュールを
使うと、出力されるはずです。

http://www.samba.org/samba/docs/man/Samba-HOWTO-Collection/VFS.html#id2653937

smb.confは次のような設定をします。

[share]
  path=/opt/share
  read only = no
  browseable = yes
  vfs object = audit

ログは、syslogに下記のように出力されます。

Dec  5 20:54:44 cent4 smbd_audit[5361]: open 新規テキスト ドキュメント
(2).txt (fd 27) for writing

ただし、connectからopenに至るまで、別々にログに出力されますので、
誰がどのファイルを開いたか確認するには、プロセスIDとログ内容を
付き合わせる必要があります。

Yasuma Takeda <yasuma ＠ osstech.co.jp>