Samba: Logs para Criação, Exclusão e Renomeação de Arquivos

Posted on By Categoria: Outros 2 comentários em Samba: Logs para Criação, Exclusão e Renomeação de Arquivos

Já temos artigos um mais completos falando sobre logs de auditoria no samba:

Porém, aqui desejo resumir as informações indo diretamente ao ponto de como fazer para termos registros de logs sobre a exclusão, criação e renomeação de arquivos e pastas.

Exemplos de vfs full_audit

No samba temos diversos módulos que podemos incluir dentro do smb.conf, um desses módulos é o vfs, que nos possibilita o registro de logs. O vfs possui as opções audit e full_audit. Iremos trabalhar com o full_audit para termos resultamos mais completos.

Exemplos de vfs full_audit no smb.conf do Samba

Podemos colocar dentro da sessão [Global] do smb.conf o seguinte trecho,

vfs objects =  dfs_samba4 acl_xattr  full_audit
	full_audit:prefix = %u|%m|%I|%h
	full_audit:facility = LOCAL6
	full_audit:priority = alert
        full_audit:success = linkat  unlinkat renameat mkdirat pwrite  linkat pread pread_send audit_file sendfile write open

Fincando assim,

[global]
	dns forwarder = 8.8.8.8
	netbios name = DEBIAN11
	realm = LAB.INTERNO
	server role = active directory domain controller
	workgroup = LAB

	smb ports = 139

	vfs objects =  dfs_samba4 acl_xattr  full_audit
	full_audit:prefix = %u|%m|%I|%h
	full_audit:facility = LOCAL6
	full_audit:priority = alert
        full_audit:success = linkat  unlinkat renameat mkdirat pwrite  linkat   lock  pread pread_send audit_file sendfile write open

[sysvol]
	path = /usr/local/samba/var/locks/sysvol
	read only = No

[netlogon]
	path = /usr/local/samba/var/locks/sysvol/lab.interno/scripts
	read only = No

Explicando, temos:

  • mkdir e rmdir para registrar criação e remoção de pastas
  • unlinkat registra a remoção de arquivos e diretórios
  • renameat registra eventos de renomeação(mudança do nome) de arquivos e pastas.
  • pread_send na página wiki do samba não possui explicação de nenhum dos dos itens, mas uso esse para saber quando alguém abriu um arquivo.
  • open
  • pwrite registra as gravações nos arquivos, mas todas as gravações, incluindo modificações e acréscimos.
  • open registra ações de ‘abertura’ para arquivos e pastas. Sim, incluindo pastas. E indica se foi para ‘w’ ou ‘r’. Ao navegar com o Windows Explorer, ele registra muitas entradas desnecessárias – abrindo o local atual, abrindo a pasta atual, abrindo a pasta pai e assim por diante. Dica: Se você quiser saber criação de arquivos, poderá ver por aqui, apenas veja os logs gerados pelo open que contenha um ‘w’.

Conclusão

Muitos usuários usam create_file para saber quando um arquivo foi criado. Particularmente, não gosto; ele gera excessivos registros.

Informática Tags:

Comments (2) on “Samba: Logs para Criação, Exclusão e Renomeação de Arquivos”

  1. Pingback: Samba: Gerando Logs de Auditoria com os Módulos audit e full_audit do VFS - Categoria Outros
  2. Pingback: Segurança: O que é Computação Forense? Como Funciona? - Categoria Outros

Deixe um comentário

O seu endereço de e-mail não será publicado. Campos obrigatórios são marcados com *

Share via
Facebook
Twitter
LinkedIn
Mix
Email
Print
Copy Link
Copy link
CopyCopied