Estou executando um servidor de arquivos com o Samba no Ubuntu Server e, recentemente, a necessidade de registrar quem exclui ou modifica arquivos se tornou bastante crítica.
Para fazer isso, adicionei as seguintes linhas a /etc/samba/smb.conf :
vfs objects = full_audit
full_audit:prefix = %u|%I|%m|%S
full_audit:success = mkdir rename unlink rmdir pwrite
full_audit:failure = none
full_audit:facility = local7
full_audit:priority = NOTICE
e isso em /etc/rsyslog.conf :
local7.* /var/log/samba/log.audit
A questão é que sempre temos pelo menos 40 pessoas acessando o servidor de arquivos, o que resulta em uma parede gigante de texto com .tmp arquivos nos registros.
Existe uma maneira de fazer full_audit excluir os arquivos TMP da auditoria?