Auditoria de archivos Servidor SAMBA

Imagen de sergiochota
0 puntos

Buenos dìas a todos este es mi primer post de consulta, tengo un Estudio Contable y hace poco implementamos una red con un servidor SAMBA tengo ya todo correctamente configurado y compartido, por un lado tengo mis usuarios UNIX linkeados a mis usuarios SMB cada uno con su respectivo espacio en el server, mi problema es que tengo 20 funcionarios trabajando para mi y necesito tener un control de los archivos ya que tengo miles de planillas y documentos importantes y me gustaria saber que me sugieren para lograr un control de usuarios saber que se crea que se borra que se lee que se edita, etc. Hace poco encontre en un blog lo que me parecia una buena solucion el problema es que configuro todo como esta explicado y no obtengo registros aca les dejo un link del blog. http://chicheblog.wordpress.com/2011/01/21/como-auditar-la-actividad-de-...
Desde ya muchisimas gracias!

Imagen de firecold
+1
0
-1

Mi amigo aqui el amigo de tu tutorial, cometio un pequeño error, que fue el de no actualizar su post, ya que con las actualizaciones de samba a cambiado un poco el asunto, te mostrare como lo hago yo:

Editamos /etc/samba/smb.conf, y agregamos al final de la seccion GLOBAL, esto;

################ Auditoria de Samba ###############################
full_audit:prefix = %u|%I|%S
full_audit:failure = connect
full_audit:success = connect disconnect opendir mkdir rmdir closedir open close read pread write pwrite rename
full_audit:facility = local5
full_audit:priority = notice
################################################################

Teniendo esto en la seccion global, tiene que decirle a samba de que quieres hacer auditoria, ejemplo:
##################################################
[impresiones]
path = /home/servidor/Documentos/impresiones
writeable = yes
browseable = yes
guest ok = yes
vfs objects = full_audit
##################################################

Con esto le estoy diciendo a samba que quiero hacer auditoria de impresiones, agregando la ultima linea : vfs objects = full_audit, para que sepa cual quieres auditar.

Despues hay que configurar el log, para que te informe en el lugar que tu quieras, y lo configuras de esta manera, editas el archivo, /etc/rsyslog.d/50-default.conf, en las cuales vas a encontrar estas lineas:

auth,authpriv.* /var/log/auth.log
*.*;auth,authpriv.none -/var/log/syslog

y las dejas de este modo, sin borrar nada:

######################################################
auth,authpriv.* /var/log/auth.log
#*.*;auth,authpriv.none -/var/log/syslog
*.*;local5,auth,authpriv.none -/var/log/syslog
local5.notice /var/log/samba/audit/log.audit
######################################################

Diciendole que quieres un log de samba en /var/log/samba/audit/log.audit, depues reinicias servicios:

sudo service rsyslog restart && sudo service smbd restart

Vas a una maquina que acceda a samba, abres y cierras un archivo y revisas el log, con:
########################################
sudo tail -f /var/log/samba/audt/log.audit
########################################

Espero te sirva, Saludos

+1
0
-1

Imagen de niuriel
+1
0
-1

en debian no se pasaba tanto trabajo para auditar los logs ahora me exigen por el trabajo que lo haga por 12.04 y hasta ahora he seguido este tuto y no me pincha

+1
0
-1
Imagen de firecold
+1
0
-1

Talvez no habra hecho alguno de los pasos, ya que el dia de hoy despues de ver su mensaje lo volvi a hacer en ubuntu 13.10 sin problemas, Saludos

+1
0
-1