Configurando o Samba para auditar eventos
Colaboração: Renato Torresan Pagano
Data de Publicação: 08 de Março de 2005
Acrescentando informações ao tutorial de Samba (SaMBa 3.x -> Tudo o que você precisa saber (e não tinha para quem perguntar :) ) do Tiago Cruz.
Configurando o Samba para auditar eventos.
Obs.: Essa tutorial é valido somente para o Samba 3.x, pois ele vem compilado com os modulos vfs(Virtual File System), nada impede de que os mesmos modulos sejam compilados em versões anteriores do Samba.
Verifique se existem os modulos necessários, esse tutorial foi testado no Fedora Core 1 com a instalação default. Os modulos ficam em: /usr/lib/samba/vfs/ (foi usado o audit.so).
Edite o smb.conf e adicione a linha "vfs object = audit" no compartilhamento que sera auditado:
[documentos] comment = documentos path = /home/documentos writable = yes browseable = yes admin users = renato vfs object = audit
Para auditar o compartilhamento é necessário adicionar uma linha no syslog.conf
#Samba audit user.*;user.!warn;authpriv.none;cron.none;mail.none;news.none /var/log/samba/audit.log
Esse é um exemplo do log gerado em /var/log/samba/audit.log
Oct 26 17:54:52 server smbd_audit[7496]: connect to service documentos by user renato Oct 26 17:54:52 server smbd_audit[7496]: opendir ./ Oct 26 17:55:08 server smbd_audit[7496]: opendir documentos Oct 26 17:55:15 server smbd_audit[7496]: unlink ./arquivo.txt
Para verificar os logs existe um pacote chamado smbd_audit que nada mais é do que um tipo de sarg para o samba. É feito em PHP e necessita de perl. Roda um script no cron que coleta o audit.log e armazena no Mysql.
O Pacote pode ser baixado no endereço: http://sourceforge.net/projects/smbdaudit/
Renato T. Pagano Podium Tecnologia em Redes www.podium.com.br