Configurando o Samba para auditar eventos

Configurando o Samba para auditar eventos.

Obs.: Essa tutorial é valido somente para o Samba 3.x, pois ele vem compilado com os modulos vfs(Virtual File System), nada impede de que os mesmos modulos sejam compilados em versões anteriores do Samba.

Verifique se existem os modulos necessários, esse tutorial foi testado no Fedora Core 1 com a instalação default. Os modulos ficam em: /usr/lib/samba/vfs/ (foi usado o audit.so).

Edite o smb.conf e adicione a linha "vfs object = audit" no compartilhamento que sera auditado:

[documentos]
 comment = documentos
 path = /home/documentos
 writable = yes
 browseable = yes
 admin users = renato
 vfs object = audit

Para auditar o compartilhamento é necessário adicionar uma linha no syslog.conf

#Samba audit
user.*;user.!warn;authpriv.none;cron.none;mail.none;news.none   /var/log/samba/audit.log

Esse é um exemplo do log gerado em /var/log/samba/audit.log

Oct 26 17:54:52 server smbd_audit[7496]: connect to service documentos by user renato
Oct 26 17:54:52 server smbd_audit[7496]: opendir ./
Oct 26 17:55:08 server smbd_audit[7496]: opendir documentos
Oct 26 17:55:15 server smbd_audit[7496]: unlink ./arquivo.txt

Para verificar os logs existe um pacote chamado smbd_audit que nada mais é do que um tipo de sarg para o samba. É feito em PHP e necessita de perl. Roda um script no cron que coleta o audit.log e armazena no Mysql.

O Pacote pode ser baixado no endereço: http://sourceforge.net/projects/smbdaudit/

Renato T. Pagano
Podium Tecnologia em Redes
www.podium.com.br