[samba-jp:20733] Re: WindowsXPSP3でfull_auditのopen/closeメッセージが大量に出る

樽木大介(Taruki Daisuke) daisuke @ taruki.com
2009年 6月 17日 (水) 13:30:41 JST


米倉さん、早速の返答ありがとうございます。

>> WindowsXPクライアントから下記のように監査ログ設定を実施したところ、
> 監査ログ設定を設定したsamba共有にアクセスしたところ、という話ですね?

そうです。

> sambaのauditは、すべてのprocedureを記録することが目的ですので、
> 通常の動作です。

sambaのバージョンには関係なく同様の現象があったのでsambaの不具合ではなく、WindowsXP以降のエクスプローラーが実際に多数のアクセスをしているからだと推測しているのですが、
これだけの出力量の違いが他の利用環境ではあまり問題になっていないのか、運用でのうまい回避策があるのかなどが気になりました。
Windows2000サーバーのファイル共有に監査ログ設定をした場合ではログの量が膨大になることはなかったので、Windowsの監査ログとsambaのauditでのログの取り方の違いということは理解いたしました。

幸いにも同じメッセージなのでgzipでかなり小さく圧縮できるため、圧縮して逃げるという運用しかないかなと考えています。

ありがとうございました。

2009/06/17 13:06 に Takafumi Yonekura<takafumi.yonekura @ isilon.com> さんは書きました:
>> WindowsXPクライアントから下記のように監査ログ設定を実施したところ、
>
> 監査ログ設定を設定したsamba共有にアクセスしたところ、という話ですね?
>
>>他にsambaの運用をされている方も同様の現象が発生しています
>> でしょうか?
>> また、設定等でうまく回避できたというような情報があればご教授いただけま
>> せんでしょうか?
>
> sambaのauditは、すべてのprocedureを記録することが目的ですので、
> 通常の動作です。
>
> ログの量が気になるのであれば
> ・ポートミラー型のお利口なaudit製品を利用する
> ・ログのタイムスタンプの秒の部分を消して、sort -u を行って後処理を行い、
> 「一分間のアクセスログ」として利用する。
> ・gzipし、zgrepをつかう。
>
> といった方法が考えられます。
>
> 米倉
>
> --
> Takafumi Yonekura | Senior Field Sales Engineer
>  Isilon Systems K.K.
>  Phone 03-5358-7188    Fax  03-5333-4443
>  http://www.isilon.com
>  takafumi.yonekura @ isilon.com
>
>
>> -----Original Message-----
>> From: samba-jp-bounces @ samba.gr.jp
>> [mailto:samba-jp-bounces @ samba.gr.jp] On Behalf Of 樽木大介(Taruki
>> Daisuke)
>> Sent: Wednesday, June 17, 2009 12:03 PM
>> To: samba-jp
>> Subject: [samba-jp:20731]WindowsXPSP3でfull_auditのopen/closeメッセー
>> ジが大量に出る
>>
>> こんにちは、樽木と申します。
>>
>> WindowsXPクライアントから下記のように監査ログ設定を実施したところ、
>> エクスプローラーでフォルダをマウスポイントするだけで、下記のようなフォ
>> ルダのopen/closeメッセージが
>> 100〜200件ぐらい出力されるという現象が発生しています。
>> フォルダをマウスでポイントするだけでこれだけの膨大な監査ログが出てしま
>> うのはちょっと実用にならないと
>> 思うのですが他にsambaの運用をされている方も同様の現象が発生しています
>> でしょうか?
>> また、設定等でうまく回避できたというような情報があればご教授いただけま
>> せんでしょうか?
>>
>> --- /var/log/messageの抜粋
>> Jun 12 22:23:50 earlgrey smbd_audit:
>> daicyan|192.168.24.16|open|ok|r|cg/aaa
>> Jun 12 22:23:50 earlgrey smbd_audit: daicyan|192.168.24.16|close|ok|
>> Jun 12 22:23:50 earlgrey smbd_audit:
>> daicyan|192.168.24.16|open|ok|r|cg/aaa
>> Jun 12 22:23:50 earlgrey smbd_audit: daicyan|192.168.24.16|close|ok|
>> 同様メッセージが100〜200件繰り返し表示されます
>>
>> 今のところ下記のような対策で回避できることは分かっているのですが、
>> WindowsXP
>>
>> ・Windows2000クライアントでは2,3件しか出力されない
>> ・エクスプローラーのステータスバーを非表示にして、フォルダオプションの
>> 「フォルダとデスクトップの項目をポップアップで表示する」「フォルダのヒン
>> トにファイルサイズ情報を表示する」を無効にすると出力されない
>>
>> SambaServerのOS
>> Debian/GNU Linux(Lenny) amd86
>> Sambaバージョン
>> 3.2.5-4lenny2
>> (RHEL 4.6付属のsamba-3.0.28でも同様の現象が出ています)
>>
>> ClientOS
>> WindowsXP SP3
>>
>> /etc/samba/smb.confの一部
>> [data]
>>  comment = data directory
>>  writable = yes
>>  path = /home/data
>>  public = no
>>  browseable = yes
>>  create mode = 644
>>  vfs objects = full_audit
>>  full_audit:failure = connect disconnect open close mkdir rmdir rename
>> unlink
>>  full_audit:success = connect disconnect open close mkdir rmdir rename
>> unlink
>>
>>
>>
>> --
>> |¥        -----     E-Mail :daisuke @ taruki.com      nn
>> |D|aicyan   |                                      (^^)
>> |/ aisuke.  |aruki. WebPage:http://www.taruki.com (m  m)
>



-- 
|\        -----     E-Mail :daisuke @ taruki.com      nn
|D|aicyan   |                                      (^^)
|/ aisuke.  |aruki. WebPage:http://www.taruki.com (m  m)



samba-jp メーリングリストの案内