[samba-jp:20732] Re: WindowsXPSP3でfull_auditのopen/closeメッセージが大量に出る

Takafumi Yonekura takafumi.yonekura @ isilon.com
2009年 6月 17日 (水) 13:06:30 JST 

> WindowsXPクライアントから下記のように監査ログ設定を実施したところ、

監査ログ設定を設定したsamba共有にアクセスしたところ、という話ですね?

>他にsambaの運用をされている方も同様の現象が発生しています
> でしょうか?
> また、設定等でうまく回避できたというような情報があればご教授いただけま
> せんでしょうか?

sambaのauditは、すべてのprocedureを記録することが目的ですので、
通常の動作です。

ログの量が気になるのであれば
・ポートミラー型のお利口なaudit製品を利用する
・ログのタイムスタンプの秒の部分を消して、sort -u を行って後処理を行い、
 「一分間のアクセスログ」として利用する。
・gzipし、zgrepをつかう。

といった方法が考えられます。

米倉

--
Takafumi Yonekura | Senior Field Sales Engineer  
 Isilon Systems K.K.
 Phone 03-5358-7188    Fax  03-5333-4443
 http://www.isilon.com
 takafumi.yonekura @ isilon.com 


> -----Original Message-----
> From: samba-jp-bounces @ samba.gr.jp
> [mailto:samba-jp-bounces @ samba.gr.jp] On Behalf Of 樽木大介(Taruki
> Daisuke)
> Sent: Wednesday, June 17, 2009 12:03 PM
> To: samba-jp
> Subject: [samba-jp:20731]WindowsXPSP3でfull_auditのopen/closeメッセー
> ジが大量に出る
> 
> こんにちは、樽木と申します。
> 
> WindowsXPクライアントから下記のように監査ログ設定を実施したところ、
> エクスプローラーでフォルダをマウスポイントするだけで、下記のようなフォ
> ルダのopen/closeメッセージが
> 100〜200件ぐらい出力されるという現象が発生しています。
> フォルダをマウスでポイントするだけでこれだけの膨大な監査ログが出てしま
> うのはちょっと実用にならないと
> 思うのですが他にsambaの運用をされている方も同様の現象が発生しています
> でしょうか?
> また、設定等でうまく回避できたというような情報があればご教授いただけま
> せんでしょうか?
> 
> --- /var/log/messageの抜粋
> Jun 12 22:23:50 earlgrey smbd_audit:
> daicyan|192.168.24.16|open|ok|r|cg/aaa
> Jun 12 22:23:50 earlgrey smbd_audit: daicyan|192.168.24.16|close|ok|
> Jun 12 22:23:50 earlgrey smbd_audit:
> daicyan|192.168.24.16|open|ok|r|cg/aaa
> Jun 12 22:23:50 earlgrey smbd_audit: daicyan|192.168.24.16|close|ok|
> 同様メッセージが100〜200件繰り返し表示されます
> 
> 今のところ下記のような対策で回避できることは分かっているのですが、
> WindowsXP
> 
> ・Windows2000クライアントでは2,3件しか出力されない
> ・エクスプローラーのステータスバーを非表示にして、フォルダオプションの
> 「フォルダとデスクトップの項目をポップアップで表示する」「フォルダのヒン
> トにファイルサイズ情報を表示する」を無効にすると出力されない
> 
> SambaServerのOS
> Debian/GNU Linux(Lenny) amd86
> Sambaバージョン
> 3.2.5-4lenny2
> (RHEL 4.6付属のsamba-3.0.28でも同様の現象が出ています)
> 
> ClientOS
> WindowsXP SP3
> 
> /etc/samba/smb.confの一部
> [data]
>  comment = data directory
>  writable = yes
>  path = /home/data
>  public = no
>  browseable = yes
>  create mode = 644
>  vfs objects = full_audit
>  full_audit:failure = connect disconnect open close mkdir rmdir rename
> unlink
>  full_audit:success = connect disconnect open close mkdir rmdir rename
> unlink
> 
> 
> 
> --
> |¥        -----     E-Mail :daisuke @ taruki.com      nn
> |D|aicyan   |                                      (^^)
> |/ aisuke.  |aruki. WebPage:http://www.taruki.com (m  m)

samba-jp メーリングリストの案内