Configurando o Samba para auditar eventos

Colaboração: Renato Torresan Pagano

Data de Publicação: 08 de Março de 2005

Acrescentando informações ao tutorial de Samba (SaMBa 3.x -> Tudo o que você precisa saber (e não tinha para quem perguntar :) ) do Tiago Cruz.

Configurando o Samba para auditar eventos.

Obs.: Essa tutorial é valido somente para o Samba 3.x, pois ele vem compilado com os modulos vfs(Virtual File System), nada impede de que os mesmos modulos sejam compilados em versões anteriores do Samba.

Verifique se existem os modulos necessários, esse tutorial foi testado no Fedora Core 1 com a instalação default. Os modulos ficam em: /usr/lib/samba/vfs/ (foi usado o audit.so).

Edite o smb.conf e adicione a linha "vfs object = audit" no compartilhamento que sera auditado:

  [documentos]
   comment = documentos
   path = /home/documentos
   writable = yes
   browseable = yes
   admin users = renato
   vfs object = audit

Para auditar o compartilhamento é necessário adicionar uma linha no syslog.conf

  #Samba audit
  user.*;user.!warn;authpriv.none;cron.none;mail.none;news.none   /var/log/samba/audit.log

Esse é um exemplo do log gerado em /var/log/samba/audit.log

  Oct 26 17:54:52 server smbd_audit[7496]: connect to service documentos by user renato
  Oct 26 17:54:52 server smbd_audit[7496]: opendir ./
  Oct 26 17:55:08 server smbd_audit[7496]: opendir documentos
  Oct 26 17:55:15 server smbd_audit[7496]: unlink ./arquivo.txt

Para verificar os logs existe um pacote chamado smbd_audit que nada mais é do que um tipo de sarg para o samba. É feito em PHP e necessita de perl. Roda um script no cron que coleta o audit.log e armazena no Mysql.

O Pacote pode ser baixado no endereço: http://sourceforge.net/projects/smbdaudit/

  Renato T. Pagano
  Podium Tecnologia em Redes
  www.podium.com.br