Auditar borrado y uso de ficheros en samba.

August 31st, 2010 | by admin |

Tip super rapido para loguear creacion/borrado/escritura de archivos o carpetas en SAMBA

En [global] (o en el recurso que queramos loguear) agregamos las lineas:

vfs objects = full_audit
full_audit:prefix = %U|%u|%I
full_audit:success = mkdir rmdir rename pwrite write unlink
full_audit:failure = none
full_audit:facility = LOCAL6
full_audit:priority = ALERT

Luego en /etc/syslog.conf agregamos la siguiente linea:

local6.* /var/log/samba/samba_audit.log

Reiniciamos samba y syslog:

service syslog restart && service smb restart

Y comenzaremos a ver en /var/log/samba/samba_audit.log lo que borran o crean los usuarios.
Ejemplo:

Mar 17 17:16:57 localhost smbd_audit: csepulveda|web|192.168.1.11|pwrite|ok|123
Mar 17 17:17:00 localhost smbd_audit: csepulveda|web|192.168.1.11|unlink|ok|./123
Mar 17 17:17:28 localhost smbd_audit: csepulveda|web|192.168.1.11|mkdir|ok|carpeta
Mar 17 17:17:30 localhost smbd_audit: csepulveda|web|192.168.1.11|rmdir|ok|carpeta
Mar 17 17:17:39 localhost smbd_audit: csepulveda|web|192.168.1.11|pwrite|ok|renombrar
Mar 17 17:17:46 localhost smbd_audit: csepulveda|web|192.168.1.11|rename|ok|./renombrar|./renombrar123

admin (130 Posts)


Post a Comment