Log activité SAMBA

Tozus · 11 août 2023, 01:32

Bonjour à tous,

Je débute sur ce forum avec une question concernant SAMBA.
Version 4.17.9-Debian

Je tente de tracer l'ensemble de l'activité de mes collaborateurs sur un partage SAMBA.
J'utilise ceci dans mon smb.conf

Code : Tout sélectionner

[..............]
   log file = /var/log/samba/log.%m.%U
   log level = 2 vfs:2
[..............]
[partage1]
        comment = dossier partage1
        path = /tmp
        guest ok = no
        read only = no
        browsable = yes
        valid users = @partage1
        vfs objects = full_audit
        full_audit:prefix = %U|%d|%u|%R|%I|%S
        full_audit:failure = connect
        full_audit:success = all
        full_audit:facility = local7
        full_audit:priority = notice

Je vois bien chaque accès à chaque fichier cependant impossible de savoir s'il est simplement consulté, modifié supprimé ou autre.

Code : Tout sélectionner

[2023/08/11 01:19:02.899597,  2] ../../source3/smbd/open.c:1678(open_file)
  user1 opened file 1to0.cer read=No write=No (numopen=3)
[2023/08/11 01:19:02.915756,  2] ../../source3/smbd/close.c:830(close_normal_file)
  user1 closed file to.cer (numopen=1) NT_STATUS_OK
[2023/08/11 01:19:24.475006,  2] ../../source3/smbd/open.c:1678(open_file)
  user1 opened file Note.docx read=Yes write=No (numopen=5)
[2023/08/11 01:19:59.579124,  2] ../../source3/smbd/close.c:830(close_normal_file)
  user1 closed file Note.docx (numopen=1) NT_STATUS_OK

existe t-il une méthode pour avoir un log plus clair/précis ?
j'ai un peu du mal à avoir quelque chose de différent.

merci de votre aide.

11 août 2023, 08:18

Bonjour et bienvenue sur le Forum.
As-tu essayé un niveau de log supérieur à 2 ?

Je déplace le topic dans Support Debian, il n'a pas sa place dans Trucs&Astuces

Tozus · 11 août 2023, 21:10

avec un level 3 par exemple, j'arrive à un flot de données bien plus (trop..) important.
n'améliorant pas forcément le détail des activités sur les fichiers.
idéalement je voulais quelque chose indiquant l'ip source de l'utilisateur, son identifiant, le nom du partage accédé, et l'action (modification, suppression, ajout, etc.)
j'ai vu quelques forums où ils arrivent à quelque chose de proche à cela :

Code : Tout sélectionner

Nov 15 11:57:09 freenas1 smbd_audit: DOMAIN\isaias.aranda|192.168.25.89|192.168.25.89|imagenes|mkdir|ok|Nueva carpeta
Nov 15 11:57:12 freenas1 smbd_audit: DOMAIN\isaias.aranda|192.168.25.89|192.168.25.89|imagenes|rmdir|ok|Nueva carpeta

mais quand je place comme eux : full_audit:success = rename unlink rmdir mkdir write pwrite link
accès impossible au répertoire partagé.

pour info, j'utilise le log généré directement par le fichier de conf samba.... peut-être devrais-je passer par un syslog-ng pour avoir le formatage voulu....

j'avoue tourner en rond sur ce point.....

12 août 2023, 09:17

Salut,
Je n'utilise pas ces fonctions, je ne serais pas d'une grande aide malheureusement.
Un post (un peu ancien) explique comment faire: https://www.linuxquestions.org/question ... ost4248038

Code : Tout sélectionner

vfs objects = full_audit

full_audit:prefix = %u|%I|%m|%S
full_audit:success = mkdir rename unlink rmdir pwrite
full_audit:failure = none
full_audit:facility = LOCAL7
full_audit:priority = NOTICE

Comme tu le notes tu devras utiliser syslog (rsyslog aujourd'hui).

Grhim · 12 août 2023, 21:57

Tozus a écrit : 11 août 2023, 01:32

existe t-il une méthode pour avoir un log plus clair/précis ?
j'ai un peu du mal à avoir quelque chose de différent.

merci de votre aide.

Peut-être utiliser une coloration syntaxique pour les logs , regarder les logs dans un Geany, Neovim, SublimText par exemple ..?

sinon tu a toutes les Astuces ici : https://www.oreilly.com/openbook/samba/ ... 04_08.html
https://moiristo.wordpress.com/2009/08/ ... -activity/

dezix · 14 août 2023, 11:26

Pour aller dans le sens de la suggestion colorée de @Grhim
tu pourrais voir du côté des commandes : colorize et sa "version plus avancée" ccze

Tozus · 15 août 2023, 01:21

je tenterai avec un syslog et vous dirai ce qui en ressort.
merci à tous !

15 août 2023, 09:43

Tozus a écrit : 15 août 2023, 01:21 je tenterai avec un syslog et vous dirai ce qui en ressort.
merci à tous !

Oui, merci de nous tenir au courant!

Si tu règles ton problème viens le dire ici ce sera utile à d'autres.