Samba의 vfs_full_audit 모듈은 로깅 시스템 호출의 구체성과 자세한 정도를 높이기 위해 모듈에 추가할 수 있는 개체를 나열합니다. 예:
# defaults for auditing
full_audit:priority = notice
full_audit:facility = local6
full_audit:failure = create_file open opendir rmdir unlink unlinkat connect connectpath disconnect
full_audit:success = rename opendir rmdir unlink open create_file opendir unlinkat connect connectpath disconnect
full_audit:prefix = %U|%d|%u|%R|%I|%S
그러나 여기에 있는 매뉴얼 페이지에서는 다음과 같습니다.https://www.samba.org/samba/docs/current/man-html/vfs_full_audit.8.html
각 개체가 실제로 무엇을 하는지 명확하게 정의하지는 않습니다. "open"이나 "rmdir"과 같이 일부는 매우 분명하다는 것을 알고 있지만 각 부분의 기능을 설명하는 문장은 더 의심스러운 개체(예: "kernel_flock")에 더 좋습니다. ) 굉장히 유용하다"
이러한 값을 명확하게 정의하는 리소스/URL을 아는 사람이 있습니까? 아니면 여러분 중 누군가가 이전에 이 질문을 했고 Sernet에서 이를 자세히 설명하는 데이터를 반환받았을 수도 있습니다.
관심을 가져주셔서 감사합니다;)
답변1
불행하게도 전체 감사 모듈은 많이 변경되었으며(문서가 유지되지 않음) 이제는 쓸모없는 데이터만 퍼붓습니다. IMMV, 연결 해제 및 이름 바꾸기(삭제 및 이름 바꾸기) 이상의 작업을 수행하려는 경우 의미 없는 데이터를 많이 받게 됩니다.
작업을 놓치면(문서가 오래되었기 때문에 쉽습니다) 모든 것을 기록하고(예: full_audit: 모두 성공) 로그가 산더미처럼 쌓이는 것을 볼 수 있습니다.
Samba 4를 사용한다면 감사 로그는 잊어버리세요.
답변2
나는 당신과 같은 문제가 있습니다. "이전 이름"을 사용하고 있기 때문입니다.
rmdir
더 이상 존재하지 않습니다.
mkdirat
그냥 , renameat
, ... 을 사용해 보세요. unlinkat
제가 이해한 바로는 존재하지 않는 이름을 입력하면 Samba가 모든 로그를 표시합니다.
바라보다man 8 vfs_full_audit
더 알아보기.
답변3
오늘 이 문제로 고민을 했습니다. 4.16에서 4.17로 업그레이드한 후 갑자기 공유가 누구도 접근할 수 없게 되었습니다. RTFM을 주의 깊게 살펴보고 모든 작업을 확인하세요. 이전 두 답변과 달리 Samba 4.17 오타로 인해 "모든 내용 기록"이 발생하지 않으며 해당 공유에 대한 로깅이 비활성화됩니다.
"알 수 없는 작업 이름이 사용되는 경우(예: 작업 이름의 철자가 틀린 경우) 모듈이 로드되지 않고 클라이언트가 이 모듈을 사용하는 공유에 대한 연결이 거부됩니다."