Ubuntu日本語フォーラム
ログインしていません。
ubuntu 22.04.4を使用し、sambaとrsyslogでユーザが誤って削除したり名前を変更した際に
誰が操作を行ったかログを取ろうとしています。
samba.confのglobalに下記を追記し、
vfs objects = full_audit
full_audit:facility = local1
full_audit:priority = ALERT
full_audit:prefix = %m|%I|%S
full_audit:success = unlink
rsyslog.confの末尾に下記を追記したのですが、
local1.* /smb/log/smb.log
smb.logの内容が下記に様なログが多量に出てしまいます。
Apr 16 16:06:21 mysql8 smbd_audit: [PC名]|[IPアドレス]|smb|chdir|ok|chdir|/smb
Apr 16 16:06:21 mysql8 smbd_audit: [PC名]|[IPアドレス]|smb|stat|ok|/smb/log
Apr 16 16:06:21 mysql8 smbd_audit: [PC名]|[IPアドレス]|smb|file_id_create|ok|64768:4718593:0
Apr 16 16:06:21 mysql8 smbd_audit: [PC名]|[IPアドレス]|smb|stat|ok|/smb
Apr 16 16:06:21 mysql8 smbd_audit: [PC名]|[IPアドレス]|smb|file_id_create|ok|64768:9176697:0
Apr 16 16:06:21 mysql8 smbd_audit: [PC名]|[IPアドレス]|smb|connectpath|ok|/smb/log
Apr 16 16:06:21 mysql8 smbd_audit: [PC名]|[IPアドレス]|smb|stat|ok|/smb
Apr 16 16:06:21 mysql8 smbd_audit: [PC名]|[IPアドレス]|smb|realpath|ok|/smb
Apr 16 16:06:21 mysql8 smbd_audit: [PC名]|[IPアドレス]|smb|connectpath|ok|/smb
Apr 16 16:06:21 mysql8 smbd_audit: [PC名]|[IPアドレス]|smb|openat|ok|r|/smb
Apr 16 16:06:21 mysql8 smbd_audit: [PC名]|[IPアドレス]|smb|fstat|ok|/smb
Apr 16 16:06:21 mysql8 smbd_audit: [PC名]|[IPアドレス]|smb|file_id_create|ok|64768:4718593:0
ubuntuにする前に、Vinelinuxを使用していた時は上記設定で大丈夫だったのですが、
バージョンのせいなのか、何が設定が不足しているかわかりません、
いろいろ検索したり、試行錯誤したのですが、手詰まりとなってしまったため
何卒ご教示お願い申し上げます。
オフライン
私も同じ現象に悩んでおりました。
sambaのログ(var/log/samba/log.smbd)を見ると
(略)Could not find opname unlink, logging all
mkdirという処理はわからんからすべてのログを記録しますといった内容がありました。
更に調べるとSambaバージョン4.15.13に対応するfull_auditオペレーションは「unlink」ではなく「unlinkat」ということがわかりました。
ご参考) https://www.madcat.cc/cgi-bin/man/man2html?8+vfs_full_audit
私はオペレーション名を正しくすることで取りたい内容のみのログが取れるようになりました。
是非お試しください。
オフライン