у меня настроена такая корзина.. в простейших случаях спасает..(от прямого удаления), то есть это защита от дурака.. но как я понимаю, если открыть текстовый файл, удалить в нем данные и сохранить - он перезапишет данный файл и ничего не попадет в корзину.. видимо надо смотреть в сторону rsync в таком случае..
В smb.conf - именно то, что Вы советовали. Вроде, там всё понятно, кроме слова "full_audit"; оно какое-то ключевое, или же просто ссылка на последующие строчки, начинающиеся с этого слова? Откуда следует, что сообщения должны попасть именно в syslogd (ну, понятно, что в его pipe-файл)?
В man smb.conf: Example: vfs objects = extd_audit recycleИли "extd" надо заменять на что-то, в т.ч. "full"?
Когда syslog.conf содержит *.notice;authpriv.none;kern.debug;lpr.info;mail.crit;news.err;smbd_audit.none /var/log/messagesто в /var/log/messages не выводятся сообщения от Самбы. Если же убрать "smbd_audit.none", то выводятся нужные мне сообщения о событиях в Самбе типа такого: Jul 22 22:23:27 newsamba smbd[34818]: karpion|192.168.1.144|karpion|pwrite|ok|tmp/desktop.ini Jul 22 22:23:34 newsamba smbd[34818]: karpion|192.168.1.144|karpion|unlink|ok|tmp/desktop.ini Однако, мне-то нужно получить их не в общем логе, а в отдельном! (И ещё я не понимаю, почему тут "smbd_audit" - в логе же просто "smbd". Хотя
( ... )
Comments 9
Reply
PS: Интересно, а можно ли обустроить "Корзину" для удаляемых файлов? Как это делается?
Reply
а по pid можно узнать ip.
кроме того, я где-то видел модуль аудита для самбы.
можно, для этого надо перегрузить функцию unlink через ld_preload.
есть такие реализации, копайте.
Reply
Reply
(The comment has been removed)
(The comment has been removed)
Reply
Reply
smb.conf
[global]
vfs objects = full_audit
full_audit:prefix = %u|%m|%S
# full_audit:success = all
full_audit:success = mkdir pwrite rmdir unlink rename
# full_audit:failure = all
full_audit:failure = none
full_audit:facility = local7
full_audit:priority = notice
syslog.conf
local7.* /var/log/samba/log.audit
Reply
Jun 4 22:47:58 newsamba smbd_audit: karpion|it-karpion|karpion|mkdir|ok|пM-^]п╬п╡п╟яM-^O п©п╟п©п╨п╟
Jun 4 22:48:04 newsamba smbd_audit: karpion|it-karpion|karpion|rename|ok|пM-^]п╬п╡п╟яM-^O п©п╟п©п╨п╟|test
Jun 4 22:48:09 newsamba smbd_audit: karpion|it-karpion|karpion|pwrite|ok|test/LJ.TXTЭто соответствует моим действиям. Вероятно, не отработало full_audit:facility = local7; видимо, продолжу трясти систему уже завтра.
Reply
В smb.conf - именно то, что Вы советовали. Вроде, там всё понятно, кроме слова "full_audit"; оно какое-то ключевое, или же просто ссылка на последующие строчки, начинающиеся с этого слова? Откуда следует, что сообщения должны попасть именно в syslogd (ну, понятно, что в его pipe-файл)?
В man smb.conf:
Example: vfs objects = extd_audit recycleИли "extd" надо заменять на что-то, в т.ч. "full"?
Когда syslog.conf содержит
*.notice;authpriv.none;kern.debug;lpr.info;mail.crit;news.err;smbd_audit.none /var/log/messagesто в /var/log/messages не выводятся сообщения от Самбы. Если же убрать "smbd_audit.none", то выводятся нужные мне сообщения о событиях в Самбе типа такого:
Jul 22 22:23:27 newsamba smbd[34818]: karpion|192.168.1.144|karpion|pwrite|ok|tmp/desktop.ini
Jul 22 22:23:34 newsamba smbd[34818]: karpion|192.168.1.144|karpion|unlink|ok|tmp/desktop.ini
Однако, мне-то нужно получить их не в общем логе, а в отдельном!
(И ещё я не понимаю, почему тут "smbd_audit" - в логе же просто "smbd". Хотя ( ... )
Reply
Leave a comment