salut!
je cherche à monitorer les accès sur un partage samb : je souhaite savoir qui ouvre / ecrit / modifie / supprime...etc... tel ou tel fichiers du partage.
pour l'instant je n'ai pas trouver une façon clean de le faire, pour le moment j'ai ca :
 
- mettre le log level à 3 dans la conf : je vois tout ce qui se passe mais inconvenient, les logs vont etre enormes car j'ai plus que ce que je veux et qui plus est sur tous les partages et tous les utilisateurs (je ne veux qu'un monitorer qu'un seul partage)
 
- utiliser la sortie de smbstatus (via un script ?) qui indique qui est connecté et quoi est ouvert : il y aura moins d'info que précédement, mais inconvénient pour avoir un monitoring correct il faudrait analyser la sortie de smbstatus bien trop souvent, genre  un script dans un cron plusieurs fois par minutes...
 
voila ou j'en suis,
 
si quelqu'un a une idée, je l'ecoute
 
thx

log level = 0 auth:3
 
ca limitera déjà un peu ton flux de log, mais tu n'auras plus tout ce qui t'interresse.
 
man 5 smb.conf, tu cherche à log level, et tu devrais avoir les différent paramètres comme 'auth' pour pouvoir gérer plus précisément tes infos. De mémoire, tu peux déjà faire :
 
log level = 0 auth:3 rpc_srv:0 rpc_cli:0 passdb:3 rpc_prs:0
 
Samba est très difficile à monitorer en temps réel.
 
Lelfe

merci pour ce tuyau, je connaissais pas ces options
 
quelqu'un d'autre ?

bon j'ai la liste de toutes les options, reste à trouver koi correspond a koi
 
all:
tdb:
printdrivers:
lanman:
smb:
rpc_parse:
rpc_srv:
rpc_cli:
passdb:
sam:
auth:
winbind:
vfs:
idmap:

le problème, c'est que tout les messages d'erreur ne sont pas associés à un flag, pour certains, tu es obligé de passer par le niveau de log global.
 
sinon :
 
tdb: utilisation du format de DB ultra light de Samba (backend, et stockage d'info sur le serveur/domaine)
 
printdrivers: comme son nom l'indique
 
lanman: utilisation du protocole de même nom
 
smb: utilisation du protocole de même nom
 
rpc_parse: toujours le mettre à 0 ! Ce sont les infos de debug généré lors du découpagé des trames RPC reçues ou créées par Samba, c'est très inutile, et ca pourri les logs pour rien.
 
rpc_srv: appels rpc côté serveur.
 
rpc_cli: appels rpc côté client.
 
passdb: utilisation du backend de stockage de la base SAM.
 
sam: euh... c utilisé ca ?
 
auth: authentification. aussi bien sur le domaine ou des shares, bref, à chaque fois qu'un user doit s'identifier.
 
winbind: utilisation du logiciel du même nom.
 
vfs: tous les modules vfs.
 
idmap: utilisation de la table de mappage id. (utilisé souvent avec winbind).
 
Lelfe

merci pour les infos lelfe, je cherchais de la doc la dessus depuis ce matin, et rien trouvé.
 
et a priori obligé de passer par le level global pour les infos que je veux, et c'est pas top, ca va faire des gros log tout ca
 
c'est dommage que samba n'intègre pas un dispositif de monitoring façon audit de windows nt...
 

je viens de trouver une nouvelle piste
 
on doit pouvoir auditer via les modules vfs
 
doc ici : http://info.ccone.at/INFO/Samba/VFS.html#id2948547
 
testage mode on

bon finalement j'ai ce que je veux avec le logging de samba normal sans les modules vfs
 
il suffit de mettre le log level à 10 sur l'option vfs et cela indique toutes les ouvertures, changement dans fichier...etc...
 
par contre, c'est dommage que l'on puisse pas choisir les operations que l'on veut logguer, j'ai plein de ChDir dans les mes logs, et je m'en cogne un peu de ça...
 
si quelqu'un connait une autre facon de faire de l'audit de samba, tell me !

envoie un mail aux dev ssamba pour qu'ils le fassent ....
en plus c'est une fonctionnalité très intéressante ...
 
https://bugzilla.samba.org/
 
poste un bug marqué comme enhancement ( amélioration )

euh oui, faut pas croire que l'équipe de devel a que ca à faire.
En plus, elle est comme qui dirait... rétissante.
Alors, tu peux toujours ouvrir un bug sur bugzilla, poste ca bien, intelligement, et en anglais, of course, mais t'attends pas à quelque chose, surtout si tu as déjà trouvé un VFS réalisé par l'équipe samba (Potter, Terpstra et Jelmer).
Ils ont déjà de quoi largement s'occuper.

j'ai justement trouvé les infos sur les mailing de samba ou il etait répondu aux users d'utiliser vfs, donc je pense pas qu'un bugzilla fasse bouger les choses. dès que j'ai le temps j'approfondirai les recherches voir si il y a deja eu d'autres demandes dans ce sens... on verra ca demain.