Eu segui esta descrição sobre como habilitar a auditoria para o Samba (entrada de 10 de agosto de 2009) e queria ter todos ativados adicionalmente logando em um arquivo de log especial ( /var/log/samba/log.audit ). A linha mencionada local7.* /var/log/samba/log.audit I foi colocada no final do meu arquivo /etc/rsyslog.conf existente. Parecia um pouco fora de lugar lá, mas depois de reiniciar tudo, o arquivo mencionado foi criado, presumivelmente pelo daemon syslog, então presumi que estava funcionando.
Mas ficou em um tamanho de 0 bytes. Após a criação do arquivo, nada foi registrado lá.
Demorei algum tempo, mas depois descobri que toda a criação de log foi feita no arquivo syslog padrão ( /var/log/syslog ).
Eu acho que a linha de configuração em /etc/rsyslog.conf está correta, mas de alguma forma a maneira como ela deveria ser endereçada no /etc/samba/smb.conf não está funcionando.
Eu repito resumidamente o que o blog acima sugeriu fazer:
Adicione as linhas
vfs objects = full_audit
full_audit:prefix = %u|%I|%m|%S
full_audit:success = mkdir rename unlink rmdir pwrite
full_audit:failure = none
full_audit:facility = local7
full_audit:priority = NOTICE
para o smb.conf existente e adicione a linha
local7.* /var/log/samba/log.audit
para o syslog.conf (tirei meu/etc/rsyslog.conf existente para isso).
Alguém pode me dizer como corrigir isso para que o registro seja feito no arquivo pretendido /var/log/samba/log.audit ?
Eu tive o mesmo problema até alterar o local do arquivo de log de saída para /var/log em vez de /var/log/samba . Não sei por que, mas parece que rsyslog no meu sistema não vai gravar um recurso em um arquivo fora de /var/log .
Espero que ajude, e se alguém souber como configurar ryslog para permitir outros locais, seria bom saber.
O arquivo /var/log/samba/log.audit deve ter syslog como o usuário proprietário e adm como o grupo proprietário.
Se não for assim, execute:
sudo chown /var/log/samba/log.audit syslog:adm