Olha as linhas abaixo do arquivo smb.conf do samba, veja que temos um facility LOCAL7. Isso diz para o Linux reservar o canal LOCAL7 para os logs de auditoria do samba.
[Documentos] path = /meusArquivos/documentos vfs objects = full_audit full_audit:prefix = %u|%I full_audit:success = open opendir full_audit:failure = all !open full_audit:facility = LOCAL7 full_audit:priority = ALERT
Mas verá que os logs não deixarão de ir para /var/log/messages.
Antes de tudo, vamos criar o arquivo /var/log/samba/samba.log para receber os logs via canal LOCAL7 que reservamos acima.
#1 crie a pasta /var/log/samba
mkdir /var/log/samba/
#2 crie o arquivo samba.log
touch /var/log/samba/samba.log
#3 devemos editar o arquivo /etc/rsyslog.conf e incluir /var/log/samba/samba.log
[root@oracle86 ~]# vim /etc/rsyslog.conf
Acrescente alinha abaixo:
local7.* /var/log/samba/samba.log
#4 nesse momento, os logs de auditoria do samba irão para /var/log/samba/samba.log mas continuarão indo também para /var/log/messages. Para fazermos deixarem de ir para /var/log/samba/samba.log adicione a seguinte LOCAL7.none dentro de /etc/rsyslog.conf, na linha abaixo:
*.info;mail.none;authpriv.none;cron.none;LOCAL7.none /var/log/messages
#5 reinicie o serviço do rsyslog
[root@oracle86 ~]# systemctl restart rsyslog.service
Comment on “Samba: Parar os Logs de Auditoria full_audit de Irem para /var/log/messages”