Linux

如果使用者從 samba 共享中刪除文件,如何記錄

  • November 19, 2015

我正在使用 RHEL 6.x 版本附帶的預設 Samba。我成功地向我的客戶使用者共享了一個 samba 共享。

我給了他們每個人一組憑據,他們必須使用這些憑據連接到 samba 伺服器並上傳或下載他們的文件。

我能夠在 samba.log.server 等文件中的某個時間點記錄在 samba 共享中找到哪個文件的詳細資訊,但不清楚哪個使用者上傳了哪個文件或哪個使用者下載了哪個文件。

此外,我無法記錄詳細資訊,例如哪個使用者從 samba 共享中刪除文件的時間。

任何人都可以幫助我獲取或跟踪上述所需的詳細資訊嗎?

感謝 Bert Neef 試圖回答這個問題。但是無論是否在 smb.conf 文件中有上述行,我在日誌文件中找到了帶有客戶端主機名的一行,如下所示:

reply_unlink : file1

當我刪除文件1。這可以通過進行許多跟踪來觀察。因此,samab 日誌文件中的這個日誌條目可以幫助我們了解使用者是否通過從 samba 客戶端連接來從 samba 共享中刪除文件。

似乎vfs_full_audit功能應該為您提供所需的資訊:

根據此處找到的說明,我認為您應該讓它像這樣工作,將以下內容添加到 smb.conf 並重新啟動 Samba:

vfs objects = full_audit
full_audit:prefix = %u|%I|%m|%S
full_audit:success = unlink open 
full_audit:failure = none
full_audit:priority = NOTICE

引用自:https://serverfault.com/questions/736780