使用Full_Audit监视Samba活动

Question

我有桑巴服务器。我已经像这样配置了smb.conf：

[global]
# Another configuration
#
#

# Audit Activity Settings
full_audit:prefix = %u|%I|%m|%S
full_audit:success = mkdir rename unlink rmdir pwrite pread
full_audit:failure = none
full_audit:facility = local7
full_audit:priority = NOTICE

[shared]
comment = Shared Content 
path = /data/shared
read only = no
browsable = yes
vfs objects = full_audit

我想将samba日志抛到特定的文件，例如/var/log/samba/log.audit。我在rsyslog.conf中配置如下：

if $syslogfacility-text == 'local7' and $programname == 'smbd' then /var/log/samba/log.audit

但是什么都没有发生，在/var/log/samba/上没有文件日志/var/log/samba/。

我在/etc/rsyslog.d/50-default.conf上也尝试过这样的配置：

local7.* /var/log/samba/log.audit

但同样，在/var/log/samba/上没有文件日志/var/log/samba/。

但是，Full_Audit日志可以在syslog上使用：

Mar 20 02:49:26 media-arsip smbd_audit: content|192.168.84.69|ubspok18|shared|mkdir|ok|sharedcontent/ok/tes

如何将syslog samba full_audit日志抛到/var/log/samba/log.audit？

Answer 1

也许你已经解决了这个问题，但是如果是这样的话：

当我遇到这两个问题(在CentOS 7 samba服务器上)时，我的解决方案是双重的。

首先:当vfs full_audit配置为local7上下文时，日志条目将被发送到boot.log，boot.log已经为该上下文配置了日志条目。在/etc/rsyslog.conf smb.conf full_audit:facility = local5和 local5.* /var/log/smb_audit.log中定义一个新的上下文，将审计日志消息发送到所选的日志文件(在我的例子中，是/var/log/smb_audit.log). )。

第二:在进行上述配置之后，日志消息被发送到我定义的日志文件和syslog。这是因为/etc/rsyslog.conf中的syslog需要禁用local5，以便syslog不关闭它们以及默认行为。这是通过在我的/var/log/messages，配置行中添加local5.none来实现的，因此它最终得到了类似于：*.info;mail.none;authpriv.none;cron.none;local5.none /var/log/messages的结果。

(smbcontrol all reload-config && systemctl restart systemd-journald && systemctl restart rsyslog使这些更新生效。除非您也选择增加日志限制/速率窗口，否则不需要重新启动日志，尽管对于流量相当大的服务器来说，这可能是可取的。)