Linux
如果使用者從 samba 共享中刪除文件,如何記錄
我正在使用 RHEL 6.x 版本附帶的預設 Samba。我成功地向我的客戶使用者共享了一個 samba 共享。
我給了他們每個人一組憑據,他們必須使用這些憑據連接到 samba 伺服器並上傳或下載他們的文件。
我能夠在 samba.log.server 等文件中的某個時間點記錄在 samba 共享中找到哪個文件的詳細資訊,但不清楚哪個使用者上傳了哪個文件或哪個使用者下載了哪個文件。
此外,我無法記錄詳細資訊,例如哪個使用者從 samba 共享中刪除文件的時間。
任何人都可以幫助我獲取或跟踪上述所需的詳細資訊嗎?
感謝 Bert Neef 試圖回答這個問題。但是無論是否在 smb.conf 文件中有上述行,我在日誌文件中找到了帶有客戶端主機名的一行,如下所示:
reply_unlink : file1
當我刪除文件1。這可以通過進行許多跟踪來觀察。因此,samab 日誌文件中的這個日誌條目可以幫助我們了解使用者是否通過從 samba 客戶端連接來從 samba 共享中刪除文件。
似乎vfs_full_audit功能應該為您提供所需的資訊:
根據此處找到的說明,我認為您應該讓它像這樣工作,將以下內容添加到 smb.conf 並重新啟動 Samba:
vfs objects = full_audit full_audit:prefix = %u|%I|%m|%S full_audit:success = unlink open full_audit:failure = none full_audit:priority = NOTICE