Я следовал этому описанию того, как включить аудит для Samba (запись от 10 августа 2009 г.) и хотел получить все дополнительно включенные журналы в специальном файле журнала (/var/log/samba/log.audit
). Упомянутую строку local7.* /var/log/samba/log.audit
я поместил в конец моего существующего файла /etc/rsyslog.conf
. Там это казалось немного неуместным, но после перезапуска все упомянутый файл был создан, предположительно, демоном syslog, поэтому я предположил, что это работает.
Это заняло у меня некоторое время, но потом я обнаружил, что вся запись ведется в файл системного журнала по умолчанию (/var/log/syslog
).
Я полагаю, что строка конфигурации в /etc/rsyslog.conf
верна, но каким-то образом способ, которым она должна была рассматриваться в /etc/samba/smb.conf
, не работает.
Я вкратце повторяю то, что блог выше предложил сделать:
Добавить строки
vfs objects = full_audit
full_audit:prefix = %u|%I|%m|%S
full_audit:success = mkdir rename unlink rmdir pwrite
full_audit:failure = none
full_audit:facility = local7
full_audit:priority = NOTICE
к существующему smb.conf
и добавить строку
local7.* /var/log/samba/log.audit
до syslog.conf
(я взял свой существующий /etc/rsyslog.conf
для этого).
Кто-нибудь может сказать мне, как это исправить, чтобы запись делалась в нужный файл /var/log/samba/log.audit
?
У меня была та же проблема, пока я не изменил расположение файла выходного журнала на /var/log
вместо /var/log/samba
. Я не уверен, почему, но, похоже, rsyslog
в моей системе не будет записывать объект в файл за пределами /var/log
.
Надеюсь, это поможет, и если кто-нибудь знает, как настроить ryslog
, чтобы разрешить другие местоположения, было бы неплохо знать.
Файл /var/log/samba/log.audit
должен иметь syslog
в качестве пользователя-владельца и adm
в качестве группы-владельца.
Если это не так, запустите:
sudo chown /var/log/samba/log.audit syslog:adm