Настройка журналирования событий доступа к файлам в службе Samba#
Настройка журналирования событий доступа к файлам в службе Samba на сервере общего доступа к файлам#
Для включения записи событий доступа к файлам в службе Samba в файле конфигурации /etc/samba/smb.conf в секцию global добавить следующие строки:
vfs objects = full_audit
full_audit:prefix = %u|%I|%S
full_audit:success = connect, create_file, linkat, mkdirat, open, read, renameat, unlinkat, write
full_audit:failure = connect, create_file, linkat, mkdirat, open, read, renameat, unlinkat, write
full_audit:facility = local5
full_audit:priority = notice
Если в файле конфигурации /etc/samba/smb.conf в секции global присутствует следующая строка: log level = N, где N — это уровень журналирования событий в службе, то к данной строке дописываем через пробел строку vfs:1. Если такой строки нет, то необходимо записать:
log level = 1 vfs:1
После этого необходимо перезапустить службу samba и службу winbind с помощью команды:
systemctl restart smbd winbind
Для предварительной настройки службы syslog-ng на сервере общего доступа к файлам необходимо:
Создать дополнительный каталог
/etc/syslog-ng/siem.В файле конфигурации
/etc/syslog-ng/syslog-ng.confдобавить строку для подключения конфигураций службы:
@include "/etc/syslog-ng/siem/*.conf"
Для настройки службы syslog-ng на сервере общего доступа к файлам необходимо выполнить следующую последовательность действий:
Настроить единую точку пересылки журналов на сервер аудита в службе
syslog-ng.Настроить перенаправление журнала службы
sambaв точку пересылки журналов в службеsyslog-ng.
Для настройки точки пересылки журналов в службе syslog-ng необходимо создать файл конфигурации /etc/syslog-ng/siem/destination.conf с правами на чтение всем пользователям и внести в этот файл следующую информацию:
destination d_audit {
network("100.100.100.100" transport("tcp") port(514) flags(syslog-protocol) template("${ISODATE} ${HOST} ${PROGRAM} ${MESSAGE} ${TAGS}\n"));
};
Где 100.100.100.100 — IP-адрес компьютера, с развернутой подсистемой аудита. Для настройки перенаправления записей о доступе к файловым ресурсам службы samba из системного журнала в точку пересылки журналов в службе syslog-ng необходимо создать файл конфигурации /etc/syslog-ng/siem/output-samba.conf с правами на чтение всем пользователям и внести в этот файл следующую информацию:
filter f_smbd {
program('smbd_audit');
};
log {
source(s_src);
filter(f_smbd);
destination(d_audit);
};
Примечание
Источник source(s_src) описан в файле /etc/syslog-ng/syslog-ng.conf.
После выполнения настроек необходимо перезапустить службу syslog-ng на сервере общего доступа к файлам с помощью команды:
systemctl restart syslog-ng
Настройка журналирования событий доступа к файлам в службе Samba на сервере аудита#
Далее приведена настройка файлов конфигурации службы syslog-ng на сервере аудита. Если предварительная настройка службы syslog-ng, а также если настройка точки сбора журналов в службе syslog-ng (создание файла конфигурации
/etc/syslog-ng/siem/source.conf) не выполнялись, то необходимо произвести настройки в соответствии с описанием в разделе.
Затем необходимо создать набор файлов конфигурации для фильтрации событий службы samba.
Для настройки журнала службы samba в службе syslog-ng на сервере аудита необходимо создать файл /etc/syslog-ng/siem/input-samba.conf с правами на чтение всем пользователям и внести в этот файл следующую информацию:
destination d_samba {
file("/var/log/aldpro/samba.log" template("${MESSAGE}\n"));
};
filter f_samba {
message("smbd_audit");
};
log {
source(s_net);
filter(f_samba);
rewrite {
subst(" .source.s_src", "", value("MESSAGE"));
};
destination(d_samba);
};
После выполнения действий необходимо перезапустить службу syslog-ng на сервере аудита с помощью команды:
systemctl restart syslog-ng