Кто удалил файл (samba) в логе

0

1

Доброго! Помогите понять, как обнаруживать виновников удаленных файлов? В логе /var/log/syslog сообщения от самбы вижу типа Jul 14 10:23:02 nas smbd_audit: borodin|192.168.0.119|open|ok|r|. или … |opendir|ok|r| и т.п. По какому признаку искать именно операцию удаления?

Взять конфиг самбы

[global] log file = /var/log/samba/%m

    load printers = no

    smb ports = 137 138 139 445

    interfaces = lo enp3s0

    available = no

    wins support = true

    netbios name = nas

    vfs objects = full_audit recycle

    browseable = no

    passdb backend = tdbsam:/var/lib/samba/private/passdb.tdb

    lanman auth = yes

    ntlm auth = yes

    full_audit:prefix = %u|%I

    full_audit:success = connect, opendir, open, mkdir, rmdir, unlink, write, rename

    full_audit:failure = connect, opendir, open, mkdir, rmdir, unlink, write, rename

    full_audit:facility = local5

    full_audit:priority = notice

    server string = ***server

    default = obmen

    workgroup = workgroup

    os level = 20

    syslog = 7

    syslog only = yes

    security = user

    max log size = 50

    bind interfaces only = Yes

    log level = 1 vfs:1

    recycle:exclude = *.tmp | ~$* | *.TMP

    recycle:versions = Yes

    recycle:touch_mtime

    time server = yes

[obmennik]

    browseable = yes
    writeable = yes
    recycle: versions = Yes
    recycle: keeptree = Yes
    path = /***/***
    #acl compatibility = auto
    map acl inherit = Yes
    nt acl support = yes
    unix extensions = no
    inherit acls = Yes

inherit owner = Yes

    inherit permissions = Yes
    recycle: directory_mode = 0777
    recycle:repository = /data/recycle
    force directory mode = 0775
    force create mode = 0775
    comment = Obmennik
    public = yes
    available = yes
    valid users = @"***grp"
    write list = @"***grp"

Вот это full_audit:success = connect, opendir, open, mkdir, rmdir, unlink, write, rename а где remove ?

Ссылка

←	Катра памяти доступна только для чтения, что делать?

youtube-dl и плейлисты по директориям

→

unlink - это и есть удаление файла

Pinkbyte ★★★★★
(14.07.20 14:21:03 MSK)

Ответ на: комментарий от Pinkbyte 14.07.20 14:21:03 MSK

Спасибо.

DrBim
(14.07.20 16:12:28 MSK) автор топика

Ссылка

Ответ на: комментарий от Pinkbyte 14.07.20 14:21:03 MSK

А что добавляет в строке vfs objects = full_audit recycle параметр vfs objects = recycle ?

DrBim
(15.07.20 09:00:31 MSK) автор топика

Ответ на: комментарий от DrBim 15.07.20 09:00:31 MSK

Вот это

Pinkbyte ★★★★★
(15.07.20 10:27:38 MSK)

Ответ на: комментарий от Pinkbyte 15.07.20 10:27:38 MSK

А что такое «the backend names» ? Кстати, меня еще в школе учили, что артикли перед существительными множественного числа не ставятся, но это вдобавок мысль вслух.))

DrBim
(16.07.20 08:26:22 MSK) автор топика
Последнее исправление: DrBim 16.07.20 08:29:39 MSK (всего исправлений: 1)

Ответ на: комментарий от DrBim 16.07.20 08:26:22 MSK

the backend names

pinkbyte@oas1 ~ $ wget -O - https://www.samba.org/samba/docs/current/man-html/vfs_recycle.8.html 2>/dev/null | grep 'the backend names' || echo 'no match'
no match

Мне сложно ответить, уточни ссылку по которой ты это нашел. По ссылке, что дал я выше такого словосочетания не найдено. А так - ну индус какой-то писал документацию, будто первый раз :-)

Update: нашел сам. О VFS бэкендах можно почитать в каталоге man-страниц, тебя интересуют страницы, начинающиеся с vfs_

Pinkbyte ★★★★★
(16.07.20 14:03:57 MSK)
Последнее исправление: Pinkbyte 16.07.20 14:06:37 MSK (всего исправлений: 2)

Ссылка

Вы не можете добавлять комментарии в эту тему. Тема перемещена в архив.

←	Катра памяти доступна только для чтения, что делать?

General

youtube-dl и плейлисты по директориям

→

inherit owner = Yes

Похожие темы