Samba에는 vfs_full_audit 모듈이 있는데, 모듈 내 각 개체의 실제 의미는 무엇입니까?

Samba에는 vfs_full_audit 모듈이 있는데, 모듈 내 각 개체의 실제 의미는 무엇입니까?

Samba의 vfs_full_audit 모듈은 로깅 시스템 호출의 구체성과 자세한 정도를 높이기 위해 모듈에 추가할 수 있는 개체를 나열합니다. 예:

# defaults for auditing
full_audit:priority = notice
full_audit:facility = local6
full_audit:failure = create_file open opendir rmdir unlink unlinkat connect connectpath disconnect
full_audit:success = rename opendir rmdir unlink open create_file opendir unlinkat connect connectpath disconnect
full_audit:prefix = %U|%d|%u|%R|%I|%S

그러나 여기에 있는 매뉴얼 페이지에서는 다음과 같습니다.https://www.samba.org/samba/docs/current/man-html/vfs_full_audit.8.html

각 개체가 실제로 무엇을 하는지 명확하게 정의하지는 않습니다. "open"이나 "rmdir"과 같이 일부는 매우 분명하다는 것을 알고 있지만 각 부분의 기능을 설명하는 문장은 더 의심스러운 개체(예: "kernel_flock")에 더 좋습니다. ) 굉장히 유용하다"

이러한 값을 명확하게 정의하는 리소스/URL을 아는 사람이 있습니까? 아니면 여러분 중 누군가가 이전에 이 질문을 했고 Sernet에서 이를 자세히 설명하는 데이터를 반환받았을 수도 있습니다.

관심을 가져주셔서 감사합니다;)

답변1

불행하게도 전체 감사 모듈은 많이 변경되었으며(문서가 유지되지 않음) 이제는 쓸모없는 데이터만 퍼붓습니다. IMMV, 연결 해제 및 이름 바꾸기(삭제 및 이름 바꾸기) 이상의 작업을 수행하려는 경우 의미 없는 데이터를 많이 받게 됩니다.

작업을 놓치면(문서가 오래되었기 때문에 쉽습니다) 모든 것을 기록하고(예: full_audit: 모두 성공) 로그가 산더미처럼 쌓이는 것을 볼 수 있습니다.

Samba 4를 사용한다면 감사 로그는 잊어버리세요.

답변2

나는 당신과 같은 문제가 있습니다. "이전 이름"을 사용하고 있기 때문입니다. rmdir더 이상 존재하지 않습니다.

mkdirat그냥 , renameat, ... 을 사용해 보세요. unlinkat제가 이해한 바로는 존재하지 않는 이름을 입력하면 Samba가 모든 로그를 표시합니다.

바라보다man 8 vfs_full_audit더 알아보기.

답변3

오늘 이 문제로 고민을 했습니다. 4.16에서 4.17로 업그레이드한 후 갑자기 공유가 누구도 접근할 수 없게 되었습니다. RTFM을 주의 깊게 살펴보고 모든 작업을 확인하세요. 이전 두 답변과 달리 Samba 4.17 오타로 인해 "모든 내용 기록"이 발생하지 않으며 해당 공유에 대한 로깅이 비활성화됩니다.

"알 수 없는 작업 이름이 사용되는 경우(예: 작업 이름의 철자가 틀린 경우) 모듈이 로드되지 않고 클라이언트가 이 모듈을 사용하는 공유에 대한 연결이 거부됩니다."

관련 정보