[samba-jp:23246] Re: full_auditで取得するlogに関して

[ribbon]

On Fri, May 17, 2024 at 01:26:37PM +0900, "長田広告(株)　情報システム課　都築　英幸" wrote:

> [global]
>         log level = 1
>         vfs objects = full_audit
>         full_audit:facility = local1
>         full_audit:prefix = %u|%I|%S
>         full_audit:failure = mkdirat removexattr pwrite write renameat unlinkat
>         full_audit:success = mkdirat removexattr pwrite write renameat unlinkat

を入れてみて動作確認してみました。ただ、samba-4.18.6 ですけれど。

> として指定はしていますが、/var/log/messageにログ(pwrite、writeを除くrenameatやmkdirat)自体は記載されることを確認済みです。

たしかに、 unlinkat とか renameat は出力されますね。

となると、 pwrite と write がどのような動作をしたときに
でてくるか、と言うことを探らないとだめな気がします。

ribbon