rsyslog.conf только частично соблюдается
Я следовал этому описанию того, как включить аудит для Samba (запись от 10 августа 2009 г.) и хотел получить все дополнительно включенные журналы в специальном файле журнала (/var/log/samba/log.audit). Упомянутую строку local7.* /var/log/samba/log.audit я поместил в конец моего существующего файла /etc/rsyslog.conf. Там это казалось немного неуместным, но после перезапуска все упомянутый файл был создан, предположительно, демоном syslog, поэтому я предположил, что это работает.
Это заняло у меня некоторое время, но потом я обнаружил, что вся запись ведется в файл системного журнала по умолчанию (/var/log/syslog).
Я полагаю, что строка конфигурации в /etc/rsyslog.conf верна, но каким-то образом способ, которым она должна была рассматриваться в /etc/samba/smb.conf, не работает.
Я вкратце повторяю то, что блог выше предложил сделать:
Добавить строки
vfs objects = full_audit
full_audit:prefix = %u|%I|%m|%S
full_audit:success = mkdir rename unlink rmdir pwrite
full_audit:failure = none
full_audit:facility = local7
full_audit:priority = NOTICE
к существующему smb.conf и добавить строку
local7.* /var/log/samba/log.audit
до syslog.conf (я взял свой существующий /etc/rsyslog.conf для этого).
Кто-нибудь может сказать мне, как это исправить, чтобы запись делалась в нужный файл /var/log/samba/log.audit?
2 ответа
У меня была та же проблема, пока я не изменил расположение файла выходного журнала на /var/log вместо /var/log/samba. Я не уверен, почему, но, похоже, rsyslog в моей системе не будет записывать объект в файл за пределами /var/log.
Надеюсь, это поможет, и если кто-нибудь знает, как настроить ryslog, чтобы разрешить другие местоположения, было бы неплохо знать.
Файл /var/log/samba/log.audit должен иметь syslog в качестве пользователя-владельца и adm в качестве группы-владельца.
Если это не так, запустите:
sudo chown /var/log/samba/log.audit syslog:adm