Bonjour à tous !
Sous debian Wheezy j’ai un serveur samba.
Je veux pouvoir tracer ce qui est fait sur un partage en particulier. J’ai donc mis en place la fonctionnalité d’audit de samba.

Un de mes partages est ainsi :

[LAN PARTAGE] path=/data/lan guest ok = yes read only = no browseable = yes vfs objects = full_audit full_audit:failure = none full_audit:success = mkdir rename unlink rmdir open pwrite full_audit:prefix = smb-audit|%u|%I|%m|%S

Le problème c’est que tous les logs vont dans le /var/log/syslog.
J’aimerai les rassembler dans /var/log/samba/smb-audit.log par exemple.
J’ai suivis pas mal de doc mais impossible de réussir à bien paramétrer le /etc/rsyslog.conf

Auriez-vous une doc ou des conseils ?

MERCI BEAUCOUP

Personne n’a jamais eu à toucher à la conf de rsyslog ? Merciii

Salut,

[mono]/var/log/samba/smb-audit.log[/mono], cette requête me conduit ici :http://a32.me/2009/10/samba-audit-trail/, entre autre.

Lesquels ?

Merci de ton aide BelZéButh

Oui j’ai suivis ce tuto.

[quote]
Lesquels ?[/quote]
Il y a pas mal de liens sur le web, j’ai notamment suivis celui que tu donnes et regardé ceux-là :
samba.org/samba/docs/man/ma … dit.8.html
moiristo.wordpress.com/2009/08/ … -activity/
maythesource.com/2012/03/16/samb … ull_audit/

[code]# /etc/rsyslog.conf Configuration file for rsyslog.

For more information see

/usr/share/doc/rsyslog-doc/html/rsyslog_conf.html

#################

MODULES

#################

$ModLoad imuxsock # provides support for local system logging
$ModLoad imklog # provides kernel logging support
#$ModLoad immark # provides --MARK-- message capability

provides UDP syslog reception

#$ModLoad imudp
#$UDPServerRun 514

provides TCP syslog reception

#$ModLoad imtcp
#$InputTCPServerRun 514

###########################

GLOBAL DIRECTIVES

###########################

Use traditional timestamp format.

To enable high precision timestamps, comment out the following line.

$ActionFileDefaultTemplate RSYSLOG_TraditionalFileFormat

Set the default permissions for all log files.

$FileOwner root
$FileGroup adm
$FileCreateMode 0640
$DirCreateMode 0755
$Umask 0022

Where to place spool and state files

$WorkDirectory /var/spool/rsyslog

Include all config files in /etc/rsyslog.d/

$IncludeConfig /etc/rsyslog.d/*.conf

###############

RULES

###############

First some standard log files. Log by facility.

auth,authpriv.* /var/log/auth.log
.;auth,authpriv.none -/var/log/syslog
#cron.* /var/log/cron.log
daemon.* -/var/log/daemon.log
kern.* -/var/log/kern.log
lpr.* -/var/log/lpr.log
mail.* -/var/log/mail.log
user.* -/var/log/user.log

#SAMBA AUDIT LOG
###:syslogtag, contains, “smb-audit” /var/log/samba-audit.log
##local5.notice /var/log/samba-audit.log

Logging for the mail system. Split it up so that

it is easy to write scripts to parse these files.

mail.info -/var/log/mail.info
mail.warn -/var/log/mail.warn
mail.err /var/log/mail.err

Logging for INN news system.

news.crit /var/log/news/news.crit
news.err /var/log/news/news.err
news.notice -/var/log/news/news.notice

Some “catch-all” log files.

.=debug;
auth,authpriv.none;
news.none;mail.none -/var/log/debug
.=info;.=notice;.=warn;
auth,authpriv.none;
cron,daemon.none;
mail,news.none -/var/log/messages

Emergencies are sent to everybody logged in.

.emerg :omusrmsg:

I like to have messages displayed on the console, but only on a virtual

console I usually leave idle.

#daemon,mail.*;\

news.=crit;news.=err;news.=notice;\

.=debug;.=info;\

.=notice;.=warn /dev/tty8

The named pipe /dev/xconsole is for the `xconsole’ utility. To use it,

you must invoke xconsole' with the-file’ option:

$ xconsole -file /dev/xconsole […]

NOTE: adjust the list below, or you’ll go crazy if you have a reasonably

busy site…

daemon.;mail.;
news.err;
.=debug;.=info;
.=notice;.=warn |/dev/xconsole
[/code]

Je me suis retrouvé à avoir des log de mon serveur DHCP dedans. Je pense ne pas avoir compris le fonctionnement des “local”.

Comment se fait-il que cette ligne ne soit pas [mono]décommenter[/mono] ? ([mono]#[/mono]]

Autre chose, [mono]/var/log/samba-audit.log[/mono] existe t-il ?

Elle est commentée parce que je l’ai commentée après l’avoir testée, je suis parti en week-end donc j’avais commenté pcq j’aime pas laisser un truc qui marche pas dans mes conf… un coup à oublier tu vois

Oui le fichier s’est créé automatiquement !