[megoldva] samba full audit faliure szures

Linux-kezdő

Sziasztok!

Samba 3.5.6 squeeze alatt full_audit-ot állítottam be az alábbiak szerint: 


    vfs objects = full_audit
    full_audit:prefix = %u|%I|%m
    full_audit:success = chdir mkdir open opendir pread pwrite read rename rmdir write
    full_audit:faliure = chdir mkdir open opendir pread pwrite read rename rmdir write
    full_audit:facility = LOCAL7
    full_audit:priority = ALERT

Sajnos a logba belekerül más faliure üzenet is, pl.: 


Jan  7 10:17:21 server smbd[6776]: user|192.168.1.2|client|translate_name|fail (A művelet nem támogatott)|mappa

Úgy gondolom, hogy ez sajnos rendszerszinten kerül bele, nem a fenti configsorok alapján.
Nem szeretném, ha ilyennel szemetelné tele a logot a samba (ha nem támogatja a műveletet, akkor nem - tudunk róla, nem érdekel).

Hogy érhetném el, hogy erről (és az egyéb nem támogatott műveletekről) ne logoljon?

  • 5833 megtekintés

( lx | 2013. 01. 07., h – 10:41 )

Pl. így:

mkfifo /var/run/samba.log.fifo

syslog.conf:
local7.info /var/run/samba.log.fifo

... és írsz egy filtert, ami a /var/run/samba.log.fifoból kiszedi, ami kell, ill. kidobja, azt, ami nem, és az eredményt elteszi, ahová tetszik.

Legalábbis nálam ez így működik pár éve.

Ha jól értem, kellően körüljártad a problémát, és nem találtál olyan megoldást, amivel magát a logokat előállító "egységet" lehetne megregulázni, hogy mire vagyunk kíváncsiak, és mire nem. (Azt szebb megoldásnak találnám, ha lenne.)

Jól értem? (Mert akkor nem marad más, mint a te megoldásod...)

Cakkpakk megismételtem a konfigot egy másik szerveren
full_audit:priority = INFO
szinttel.

Aztán

terminal1: mkfifo $myfifo
terminal1: smb start
terminal2: cat $myfifo
terminal1: syslog restart

és a megosztás winoldali hergelését köpi a cat.

(NB: itt a samba újraindítása mindig a fenti 4 lépés mindegyikét, tehát a logfilter újraindítását is igényli - de lehet, hogy linuxon nem. Eddig nem volt ok azt is próbálgatni.)

Nagyon köszönöm, megvan a hiba.

A témaindítóban szerepel, hogy 


full_audit:priority = ALERT

A megoldási javaslatban szerepel, hogy 


syslog.conf:
local7.info /var/run/samba.log.fifo

Ennélfogva persze nem került bele semmi.
Miután a syslog inkább úgy kezdett kinézni, hogy 


local7.alert /var/run/samba.log.fifo

már működött is.

Mégegyszer köszönöm, megoldva!

Én ezzel egészítettem az /etc/rsyslog.conf-ot:

if $syslogfacility-text == 'local7' and $programname == 'smbd' then /var/log/samba/audit/log.audit

Viszont lenne itt két kérdésem is - amiben kevés tapasztalattal rendelkezem.

1. Így most a syslog.conf-ban és a log.audit fileba is írogat. Hogyan tudnám rábeszélni, hogy a syslog fileba ne írkálja?

2.Egy sorom a logban imigyen néz ki:

Feb 14 00:28:13 as-samba smbd[12738]: Konyveles|pista|192.168.1.155|x2|chdir|ok|chdir|/data/samba/konyveles

Jól látszik, hogy a "Konyveles" megosztast nyitottam meg. Hogy tudnám azt megcsinálni, hogy eleve megosztásonként szedje szét a logot pl.: konyveles_audit.log?

Mindennemű ötletet, linket szívesen fogadok.

Igen, ez lett volna az egyik kérdésem.
A javaslatod jónak tünt, utánaolvasva azt mondja, hogy a "& ~" azt mondaná, hogy ha az előző sor illeszkedett, akkor nem kell tovább nézni a rsyslog.conf sorait, ergo nem kell tovább/máshová logolnia.
Sajnos nem jött be, nyomja továbbra is a /var/log/syslog-ba. :-((
Pedig az rsyslog.conf elejére tettem a soraimat. Ötlet?

Nem kell...
Megvannak a logrekordjaid, a szükségeseket tetszés szerinti nevű fájlba vagy fájlokba kipakolhatod, pl. dátum szerinti napi logba, vagy
típus szerint gyűjtve.

... de lehet, csak a syslog már nem nagyon fog plusz funkciót adni a meglévőhöz.
Ha még a shellben gondolkozol, akkor a
man logger
az elsőszámú potentátod.

( bubor | 2013. 01. 08., k – 18:35 )

"faliure" szo el van irva, igy meg mintha ott sem lenne, ezet jon minden fail neked. ( vfs_full_audit:failure = LIST)