rsyslog.conf apenas parcialmente honrado

1

Eu segui esta descrição sobre como habilitar a auditoria para o Samba (entrada de 10 de agosto de 2009) e queria ter todos ativados adicionalmente logando em um arquivo de log especial ( /var/log/samba/log.audit ). A linha mencionada local7.* /var/log/samba/log.audit I foi colocada no final do meu arquivo /etc/rsyslog.conf existente. Parecia um pouco fora de lugar lá, mas depois de reiniciar tudo, o arquivo mencionado foi criado, presumivelmente pelo daemon syslog, então presumi que estava funcionando.

Mas ficou em um tamanho de 0 bytes. Após a criação do arquivo, nada foi registrado lá.

Demorei algum tempo, mas depois descobri que toda a criação de log foi feita no arquivo syslog padrão ( /var/log/syslog ).

Eu acho que a linha de configuração em /etc/rsyslog.conf está correta, mas de alguma forma a maneira como ela deveria ser endereçada no /etc/samba/smb.conf não está funcionando.

Eu repito resumidamente o que o blog acima sugeriu fazer:

Adicione as linhas

vfs objects = full_audit

full_audit:prefix = %u|%I|%m|%S
full_audit:success = mkdir rename unlink rmdir pwrite
full_audit:failure = none
full_audit:facility = local7
full_audit:priority = NOTICE

para o smb.conf existente e adicione a linha

local7.*                        /var/log/samba/log.audit

para o syslog.conf (tirei meu/etc/rsyslog.conf existente para isso).

Alguém pode me dizer como corrigir isso para que o registro seja feito no arquivo pretendido /var/log/samba/log.audit ?

    
por Alfe 29.01.2014 / 10:38

2 respostas

1

Eu tive o mesmo problema até alterar o local do arquivo de log de saída para /var/log em vez de /var/log/samba . Não sei por que, mas parece que rsyslog no meu sistema não vai gravar um recurso em um arquivo fora de /var/log .

Espero que ajude, e se alguém souber como configurar ryslog para permitir outros locais, seria bom saber.

    
por user287886 03.06.2014 / 06:16
1

O arquivo /var/log/samba/log.audit deve ter syslog como o usuário proprietário e adm como o grupo proprietário.

Se não for assim, execute:

sudo chown /var/log/samba/log.audit syslog:adm
    
por user327353 01.10.2014 / 19:37