Sziasztok
Adott a következő smb.config részlet:
### full audit ########
vfs objects = full_audit
full_audit:prefix = %u|%I|%m|%S
full_audit:failure = connect
full_audit:success = audit_file mkdirat write pwrite renameat ftruncate unlinkat openat read pread snap_delete
full_audit:facility = local5
full_audit:priority = NOTICE
path = /data/Fileserver
##########################
Ha az openat benne van, akkor 1db mappa megnyitásakor, (dokumentacio) melyben 1db almappa van (helyisegrajzok, de oda bele sem lépek, csak látom), ennnyi sor generálódik (hozzászólásba illesztem).
Miért olvassa fel ennyiszer?
Cél: Mappák és fájlok olvasásáról logom legyen. A kliensek sajnos folyamatosan sasolják a mappákat és ezek tonnányi sort generálnak.
Elég volna mappába lépéskor egy. Fájl felolvasáskor 1.
Nem tudom számít-e, de öröklő ACL-ek vannak a szülő mappákon, fájlokon.
Hozzászólások
A Samba azt naplózza amit tőle a kliens kér. Nem a Samba gyárt ennyi sort egy mappa hozzáférésről, hanem a kliens ennyiszer fér hozzá adott módon a mappához (valami okból, nem tudom miért van erre szüksége), amit a Samba a konfig szerint le is naplóz rendesen.
Ezen szerintem semmivel nem tudsz érdemben egyszerűsítani. Az audit log helyigényes jószág.
De a mappák olvasásáról miért kell napló? Fontos, hogy valaki belépett-e egy mappába a tartalmát megnézni anélkül, hogy bármilyen állományt megnyitott volna? Ha nem jogosult, ne tudjon belépni se oda, ha meg jogosult, akkor nem elég a napló arról, ha állományt nyit meg?
Az első hsz-ben 1db mappa egyszeri megnyitásának logját látod. Szószátyár és nem értem miért. 32 log bejegyzés jön létre arról, hogy frissítést nyomtam a kliensben egy mappára.
A kliens ludas, mert ennyiszer lekéri? Lehet, bár linux a kliens, nem kellene ennyire hülyének lennie. Vagy túl érzékeny a samba config? Nem tudom.
Ha az openat nem szerepel az smb.onf -ban, semmilyen olvasási, mappa vagy fájlmegnyitási műveletről nem logol. Na ez baj.
A kettő között tényleg nincs egy jobb opció? Napi több GB-nyi log keletkezik jelenleg, pedig csak jóformán ülnek a fájlszerver előtt. 1-1 fájlt cüccögtetnek.
A log teljesen félrevezető információt logol. Adott szituban feldolgozni sem könnyű.
Szeretnénk monitpringot beállítani, log feldolgozást végezni arra vonatkozóan, ha valaki kiugróan sokat scanneli a fájlszrerver mappákat.
Ezt így lehetetlen. Oké, ez egy kevésbé fontos probléma.
"De a mappák olvasásáról miért kell napló? "
Ha feltörnek egy klienst, látnom kell, hogy mit látott. De azzal is megelégednék, ha a konkrét fájl megnyitásokat láthatnám. Jelenleg openat nélkül nem látom.
Régebben voltak "open" és "opendir" műveletek is, nem csak az "openat". Most ránéztem, és szerencsére nagyjából Samba verziónként változik a lista a gyári doksi szerint.
Mi lenne, ha csinálnál egy "full" beállítással naplót, hogy milyen eseményeket log-oz a Samba verziód, és abból csemegéznél.
-
Úgy tűnik nem teljesen reménytelen a helyzet.
Ha openat helyett fcntl parancsot írok be, akkor mappába lépésekről nem logol.
1db pl. kép megnyitásról 4db tök egyforma sort belogol, de már nagyságrendi haladás.