[samba-jp:19074] Re: ログに関する資料について

Takashi Yano TYANO @ jp.ibm.com
2006年 12月 11日 (月) 15:20:18 JST


ソースコード(vfs_full_audit.c)を当たったところ、ログするイベントは以下の通
りのようです。

    529         { SMB_VFS_OP_CONNECT,   "connect" },
    530         { SMB_VFS_OP_DISCONNECT,        "disconnect" },
    531         { SMB_VFS_OP_DISK_FREE, "disk_free" },
    532         { SMB_VFS_OP_GET_QUOTA, "get_quota" },
    533         { SMB_VFS_OP_SET_QUOTA, "set_quota" },
    534         { SMB_VFS_OP_GET_SHADOW_COPY_DATA, "get_shadow_copy_data" 
},
    535         { SMB_VFS_OP_STATVFS,   "statvfs" },
    536         { SMB_VFS_OP_OPENDIR,   "opendir" },
    537         { SMB_VFS_OP_READDIR,   "readdir" },
    538         { SMB_VFS_OP_SEEKDIR,   "seekdir" },
    539         { SMB_VFS_OP_TELLDIR,   "telldir" },
    540         { SMB_VFS_OP_REWINDDIR, "rewinddir" },
    541         { SMB_VFS_OP_MKDIR,     "mkdir" },
    542         { SMB_VFS_OP_RMDIR,     "rmdir" },
    543         { SMB_VFS_OP_CLOSEDIR,  "closedir" },
    544         { SMB_VFS_OP_OPEN,      "open" },
    545         { SMB_VFS_OP_CLOSE,     "close" },
    546         { SMB_VFS_OP_READ,      "read" },
    547         { SMB_VFS_OP_PREAD,     "pread" },
    548         { SMB_VFS_OP_WRITE,     "write" },
    549         { SMB_VFS_OP_PWRITE,    "pwrite" },
    550         { SMB_VFS_OP_LSEEK,     "lseek" },
    551         { SMB_VFS_OP_SENDFILE,  "sendfile" },
    552         { SMB_VFS_OP_RENAME,    "rename" },
    553         { SMB_VFS_OP_FSYNC,     "fsync" },
    554         { SMB_VFS_OP_STAT,      "stat" },
    555         { SMB_VFS_OP_FSTAT,     "fstat" },
    556         { SMB_VFS_OP_LSTAT,     "lstat" },
    557         { SMB_VFS_OP_UNLINK,    "unlink" },
    558         { SMB_VFS_OP_CHMOD,     "chmod" },
    559         { SMB_VFS_OP_FCHMOD,    "fchmod" },
    560         { SMB_VFS_OP_CHOWN,     "chown" },
    561         { SMB_VFS_OP_FCHOWN,    "fchown" },
    562         { SMB_VFS_OP_CHDIR,     "chdir" },
    563         { SMB_VFS_OP_GETWD,     "getwd" },
    564         { SMB_VFS_OP_UTIME,     "utime" },
    565         { SMB_VFS_OP_FTRUNCATE, "ftruncate" },
    566         { SMB_VFS_OP_LOCK,      "lock" },
    567         { SMB_VFS_OP_SYMLINK,   "symlink" },
    568         { SMB_VFS_OP_READLINK,  "readlink" },
    569         { SMB_VFS_OP_LINK,      "link" },
    570         { SMB_VFS_OP_MKNOD,     "mknod" },
    571         { SMB_VFS_OP_REALPATH,  "realpath" },
    572         { SMB_VFS_OP_FGET_NT_ACL,       "fget_nt_acl" },
    573         { SMB_VFS_OP_GET_NT_ACL,        "get_nt_acl" },
    574         { SMB_VFS_OP_FSET_NT_ACL,       "fset_nt_acl" },
    575         { SMB_VFS_OP_SET_NT_ACL,        "set_nt_acl" },
    576         { SMB_VFS_OP_CHMOD_ACL, "chmod_acl" },
    577         { SMB_VFS_OP_FCHMOD_ACL,        "fchmod_acl" },
    578         { SMB_VFS_OP_SYS_ACL_GET_ENTRY, "sys_acl_get_entry" },
    579         { SMB_VFS_OP_SYS_ACL_GET_TAG_TYPE, "sys_acl_get_tag_type" 
},
    580         { SMB_VFS_OP_SYS_ACL_GET_PERMSET, "sys_acl_get_permset" },
    581         { SMB_VFS_OP_SYS_ACL_GET_QUALIFIER, 
"sys_acl_get_qualifier" },
    582         { SMB_VFS_OP_SYS_ACL_GET_FILE,  "sys_acl_get_file" },
    583         { SMB_VFS_OP_SYS_ACL_GET_FD,    "sys_acl_get_fd" },
    584         { SMB_VFS_OP_SYS_ACL_CLEAR_PERMS, "sys_acl_clear_perms" },
    585         { SMB_VFS_OP_SYS_ACL_ADD_PERM,  "sys_acl_add_perm" },
    586         { SMB_VFS_OP_SYS_ACL_TO_TEXT,   "sys_acl_to_text" },
    587         { SMB_VFS_OP_SYS_ACL_INIT,      "sys_acl_init" },
    588         { SMB_VFS_OP_SYS_ACL_CREATE_ENTRY, "sys_acl_create_entry" 
},
    589         { SMB_VFS_OP_SYS_ACL_SET_TAG_TYPE, "sys_acl_set_tag_type" 
},
    590         { SMB_VFS_OP_SYS_ACL_SET_QUALIFIER, 
"sys_acl_set_qualifier" },
    591         { SMB_VFS_OP_SYS_ACL_SET_PERMSET, "sys_acl_set_permset" },
    592         { SMB_VFS_OP_SYS_ACL_VALID,     "sys_acl_valid" },
    593         { SMB_VFS_OP_SYS_ACL_SET_FILE,  "sys_acl_set_file" },
    594         { SMB_VFS_OP_SYS_ACL_SET_FD,    "sys_acl_set_fd" },
    595         { SMB_VFS_OP_SYS_ACL_DELETE_DEF_FILE, 
"sys_acl_delete_def_file" },
    596         { SMB_VFS_OP_SYS_ACL_GET_PERM,  "sys_acl_get_perm" },
    597         { SMB_VFS_OP_SYS_ACL_FREE_TEXT, "sys_acl_free_text" },
    598         { SMB_VFS_OP_SYS_ACL_FREE_ACL,  "sys_acl_free_acl" },
    599         { SMB_VFS_OP_SYS_ACL_FREE_QUALIFIER, 
"sys_acl_free_qualifier" },
    600         { SMB_VFS_OP_GETXATTR,  "getxattr" },
    601         { SMB_VFS_OP_LGETXATTR, "lgetxattr" },
    602         { SMB_VFS_OP_FGETXATTR, "fgetxattr" },
    603         { SMB_VFS_OP_LISTXATTR, "listxattr" },
    604         { SMB_VFS_OP_LLISTXATTR,        "llistxattr" },
    605         { SMB_VFS_OP_FLISTXATTR,        "flistxattr" },
    606         { SMB_VFS_OP_REMOVEXATTR,       "removexattr" },
    607         { SMB_VFS_OP_LREMOVEXATTR,      "lremovexattr" },
    608         { SMB_VFS_OP_FREMOVEXATTR,      "fremovexattr" },
    609         { SMB_VFS_OP_SETXATTR,  "setxattr" },
    610         { SMB_VFS_OP_LSETXATTR, "lsetxattr" },
    611         { SMB_VFS_OP_FSETXATTR, "fsetxattr" },
    612         { SMB_VFS_OP_AIO_READ,  "aio_read" },
    613         { SMB_VFS_OP_AIO_WRITE, "aio_write" },
    614         { SMB_VFS_OP_AIO_RETURN,"aio_return" },
    615         { SMB_VFS_OP_AIO_CANCEL,"aio_cancel" },
    616         { SMB_VFS_OP_AIO_ERROR, "aio_error" },
    617         { SMB_VFS_OP_AIO_FSYNC, "aio_fsync" },
    618         { SMB_VFS_OP_AIO_SUSPEND,"aio_suspend" },

YANO Takashi
Internet: tyano @ jp.ibm.com




Yasuma Takeda <yasuma @ osstech.co.jp> 
Sent by: samba-jp-bounces @ samba.gr.jp
2006/12/11 15:14
Please respond to
Samba のインストールから使い方、様々な質疑応答など (参加自由) 
<samba-jp @ samba.gr.jp>


To
"Samba のインストールから使い方、様々な質疑応答など (参加自由)" 
<samba-jp @ samba.gr.jp>
cc

Subject
[samba-jp:19073] Re: ログに関する資料について






武田@OSSテクノロジです。

Takashi Yano wrote:
> smb.confに
>         vfs objects = recycle, full_audit
>         full_audit:failure = all
>         full_audit:success = all
> を仕掛けて/var/log/samba/audit.logに以下のようなログを得ています。削除が
ゴ
> ミ箱機能のためにunlinkではなくrenameになっているのはご愛敬として見逃して
く
> ださい。ログすべきイベントをallではなく絞れば見やすくなると思います。
> 
> Dec 11 14:27:44 hhhhhh smbd_audit: 
> tyano|xx.xx.xx.xx|opendir|ok|tmp/bbb/META-INF
> Dec 11 14:27:44 hhhhhh smbd_audit: tyano|xx.xx.xx.xx|readdir|ok|
> Dec 11 14:27:44 hhhhhh last message repeated 2 times
> Dec 11 14:27:44 hhhhhh smbd_audit: tyano|xx.xx.xx.xx|telldir|ok|
> Dec 11 14:27:44 hhhhhh smbd_audit: tyano|xx.xx.xx.xx|closedir|ok|

共有のアクセスログの確認は、紹介いただいたfull_auditのほうが
格段に使いやすそうですね。
確認してみたところsamba 3.0.5から追加されているようなので、
結構古くからあるんですね。今更ながら勉強になりました。

Yasuma Takeda <yasuma @ osstech.co.jp>





samba-jp メーリングリストの案内