Русскоязычное сообщество пользователей Fedora Linux

[Vascom]

Хауту составлено не мной, а товарищем bmf с IRC-канала. Я немного подправил.

=======================================================================
Иногда просто необходима тотальная слежка за шарами samba, вирусню там по быстрому отловить откуда сыпется или узнать какой негодник порно заливает)))

в samba есть стандартный модуль VFS - full_audit

едем в /etc/samba/samba.conf

в секции [global]

log level = 0 vfs:2
это мы выстовляем количество сообщений записываемых в лог для всех VFS

syslog = 0
отключаем запись в messages


дальше в шаре [obchag]
vfs objects = full_audit
активируем модуль

full_audit:prefix = %m|%I
выставляем префикс сообщений (каждая строка будет начинаться netbios_name|ip_adres)

full_audit:success = write pwrite unlink
выставляем действие пользователей которые будут писаться в лог (все возможные для логирования действия - connect disconnect opendir mkdir rmdir closedir open close read pread write pwrite sendfile rename unlink chmod fchmod chown fchown chdir ftruncate lock symlink readlink link mknod realpath)

full_audit:failure = none
отключаем аудит ошибок (можно прописать все действия описанные выше)

full_audit:facility = local5
full_audit:priority = notice
параметры управляющие записью в журнал (ниже опишу зачем)

в итого получаем что то вида

[global]
log level = 0 vfs:2
syslog = 0
[obchag]
comment = Samba`s obchag
writable = yes
locking = no
path = /home/obchag
public = yes
browseable = yes
only guest = yes
vfs objects = full_audit
full_audit:prefix = %m|%I
full_audit:failure = none
full_audit:success = write pwrite unlink
full_audit:facility = local5
full_audit:priority = notice

собственно с samba все, дальше идем /etc/syslog.conf
ищем строчку
*.info;,mail.none;autopriv.none;cron.none /var/log/messages

правим чтоб выглядела так:
*.info;,mail.none;local5,auth,autopriv.none;cron.none /var/log/messages

и добавляем строчку
local5.* /var/log/samba/obchag.log
все действия пользователей на шаре будут писаться сюда

ну и service syslog restart
и service smb restart

вот в принципе и все)))

[oNe3]

http://fedoraproject.org.ru/forum/viewt ... ?f=9&t=179
Тоже самое