[samba-jp:20731] WindowsXPSP3でfull_auditのopen/closeメッセージが大量に出る
樽木大介(Taruki Daisuke)
daisuke @ taruki.com
2009年 6月 17日 (水) 12:02:53 JST
こんにちは、樽木と申します。
WindowsXPクライアントから下記のように監査ログ設定を実施したところ、
エクスプローラーでフォルダをマウスポイントするだけで、下記のようなフォルダのopen/closeメッセージが
100〜200件ぐらい出力されるという現象が発生しています。
フォルダをマウスでポイントするだけでこれだけの膨大な監査ログが出てしまうのはちょっと実用にならないと
思うのですが他にsambaの運用をされている方も同様の現象が発生していますでしょうか?
また、設定等でうまく回避できたというような情報があればご教授いただけませんでしょうか?
--- /var/log/messageの抜粋
Jun 12 22:23:50 earlgrey smbd_audit: daicyan|192.168.24.16|open|ok|r|cg/aaa
Jun 12 22:23:50 earlgrey smbd_audit: daicyan|192.168.24.16|close|ok|
Jun 12 22:23:50 earlgrey smbd_audit: daicyan|192.168.24.16|open|ok|r|cg/aaa
Jun 12 22:23:50 earlgrey smbd_audit: daicyan|192.168.24.16|close|ok|
同様メッセージが100〜200件繰り返し表示されます
今のところ下記のような対策で回避できることは分かっているのですが、WindowsXP
・Windows2000クライアントでは2,3件しか出力されない
・エクスプローラーのステータスバーを非表示にして、フォルダオプションの「フォルダとデスクトップの項目をポップアップで表示する」「フォルダのヒントにファイルサイズ情報を表示する」を無効にすると出力されない
SambaServerのOS
Debian/GNU Linux(Lenny) amd86
Sambaバージョン
3.2.5-4lenny2
(RHEL 4.6付属のsamba-3.0.28でも同様の現象が出ています)
ClientOS
WindowsXP SP3
/etc/samba/smb.confの一部
[data]
comment = data directory
writable = yes
path = /home/data
public = no
browseable = yes
create mode = 644
vfs objects = full_audit
full_audit:failure = connect disconnect open close mkdir rmdir rename unlink
full_audit:success = connect disconnect open close mkdir rmdir rename unlink
--
|\ ----- E-Mail :daisuke @ taruki.com nn
|D|aicyan | (^^)
|/ aisuke. |aruki. WebPage:http://www.taruki.com (m m)
samba-jp メーリングリストの案内