[SAMBA] Monitorer les accès ?

Monitorer les accès ? [SAMBA] - réseaux et sécurité - Linux et OS Alternatifs

Marsh Posté le 06-01-2004 à 18:19:38    

salut!
je cherche à monitorer les accès sur un partage samb : je souhaite savoir qui ouvre / ecrit / modifie / supprime...etc... tel ou tel fichiers du partage.
pour l'instant je n'ai pas trouver une façon clean de le faire, pour le moment j'ai ca :
 
- mettre le log level à 3 dans la conf : je vois tout ce qui se passe mais inconvenient, les logs vont etre enormes car j'ai plus que ce que je veux et qui plus est sur tous les partages et tous les utilisateurs (je ne veux qu'un monitorer qu'un seul partage)
 
- utiliser la sortie de smbstatus (via un script ?) qui indique qui est connecté et quoi est ouvert : il y aura moins d'info que précédement, mais inconvénient pour avoir un monitoring correct il faudrait analyser la sortie de smbstatus bien trop souvent, genre  un script dans un cron plusieurs fois par minutes...
 
voila ou j'en suis,
 
si quelqu'un a une idée, je l'ecoute ;)
 
thx

Reply

Marsh Posté le 06-01-2004 à 18:19:38   

Reply

Marsh Posté le 06-01-2004 à 21:09:07    

:bounce:

Reply

Marsh Posté le 06-01-2004 à 21:54:33    

log level = 0 auth:3
 
ca limitera déjà un peu ton flux de log, mais tu n'auras plus tout ce qui t'interresse.
 
man 5 smb.conf, tu cherche à log level, et tu devrais avoir les différent paramètres comme 'auth' pour pouvoir gérer plus précisément tes infos. De mémoire, tu peux déjà faire :
 
log level = 0 auth:3 rpc_srv:0 rpc_cli:0 passdb:3 rpc_prs:0
 
Samba est très difficile à monitorer en temps réel.
 
Lelfe

Reply

Marsh Posté le 07-01-2004 à 10:31:10    

merci pour ce tuyau, je connaissais pas ces options
 
quelqu'un d'autre ?

Reply

Marsh Posté le 07-01-2004 à 10:50:04    

bon j'ai la liste de toutes les options, reste à trouver koi correspond a koi
 
all:
tdb:
printdrivers:
lanman:
smb:
rpc_parse:
rpc_srv:
rpc_cli:
passdb:
sam:
auth:
winbind:
vfs:
idmap:

Reply

Marsh Posté le 07-01-2004 à 11:43:41    

le problème, c'est que tout les messages d'erreur ne sont pas associés à un flag, pour certains, tu es obligé de passer par le niveau de log global.
 
sinon :
 
tdb: utilisation du format de DB ultra light de Samba (backend, et stockage d'info sur le serveur/domaine)
 
printdrivers: comme son nom l'indique :)
 
lanman: utilisation du protocole de même nom
 
smb: utilisation du protocole de même nom
 
rpc_parse: toujours le mettre à 0 ! Ce sont les infos de debug généré lors du découpagé des trames RPC reçues ou créées par Samba, c'est très inutile, et ca pourri les logs pour rien.
 
rpc_srv: appels rpc côté serveur.
 
rpc_cli: appels rpc côté client.
 
passdb: utilisation du backend de stockage de la base SAM.
 
sam: euh... c utilisé ca ? :)
 
auth: authentification. aussi bien sur le domaine ou des shares, bref, à chaque fois qu'un user doit s'identifier.
 
winbind: utilisation du logiciel du même nom.
 
vfs: tous les modules vfs.
 
idmap: utilisation de la table de mappage id. (utilisé souvent avec winbind).
 
Lelfe

Reply

Marsh Posté le 07-01-2004 à 12:17:19    

merci pour les infos lelfe, je cherchais de la doc la dessus depuis ce matin, et rien trouvé.
 
et a priori obligé de passer par le level global pour les infos que je veux, et c'est pas top, ca va faire des gros log tout ca :/
 
c'est dommage que samba n'intègre pas un dispositif de monitoring façon audit de windows nt...
 

Reply

Marsh Posté le 07-01-2004 à 12:37:51    

je viens de trouver une nouvelle piste
 
on doit pouvoir auditer via les modules vfs
 
doc ici : http://info.ccone.at/INFO/Samba/VFS.html#id2948547
 
testage mode on

Reply

Marsh Posté le 07-01-2004 à 14:04:59    

bon finalement j'ai ce que je veux avec le logging de samba normal sans les modules vfs
 
il suffit de mettre le log level à 10 sur l'option vfs et cela indique toutes les ouvertures, changement dans fichier...etc...
 
par contre, c'est dommage que l'on puisse pas choisir les operations que l'on veut logguer, j'ai plein de ChDir dans les mes logs, et je m'en cogne un peu de ça...
 
si quelqu'un connait une autre facon de faire de l'audit de samba, tell me !


Message édité par Kikoune le 07-01-2004 à 14:06:06
Reply

Marsh Posté le 07-01-2004 à 21:21:02    

envoie un mail aux dev ssamba pour qu'ils le fassent ....
en plus c'est une fonctionnalité très intéressante ...
 
https://bugzilla.samba.org/
 
poste un bug marqué comme enhancement ( amélioration )


---------------
Mandriva : parce que nous le valons bien ! http://linux-wizard.net/index.php
Reply

Marsh Posté le 07-01-2004 à 21:21:02   

Reply

Marsh Posté le 07-01-2004 à 22:12:43    

euh oui, faut pas croire que l'équipe de devel a que ca à faire.
En plus, elle est comme qui dirait... rétissante.
Alors, tu peux toujours ouvrir un bug sur bugzilla, poste ca bien, intelligement, et en anglais, of course, mais t'attends pas à quelque chose, surtout si tu as déjà trouvé un VFS réalisé par l'équipe samba (Potter, Terpstra et Jelmer).
Ils ont déjà de quoi largement s'occuper.

Reply

Marsh Posté le 07-01-2004 à 23:30:13    

j'ai justement trouvé les infos sur les mailing de samba ou il etait répondu aux users d'utiliser vfs, donc je pense pas qu'un bugzilla fasse bouger les choses. dès que j'ai le temps j'approfondirai les recherches voir si il y a deja eu d'autres demandes dans ce sens... on verra ca demain.

Reply

Sujets relatifs:

Leave a Replay

Make sure you enter the(*)required information where indicate.HTML code is not allowed