Como logar tentativas de autenticação com o samba?

Se você modificar a linha log level em /etc/samba/smb.conf para ler:

log level = 1 winbind:5

Você obtém as informações que estou procurando (por padrão, logadas em /var/log/samba/log.DOMAIN ), mas é muito barulhento e as mensagens de log são divididas em duas linhas. Não é exatamente o que estou procurando, mas pode ser necessário.

Nos arquivos de log do samba, as informações relacionadas à autenticação são marcadas com o módulo check_ntlm_password (supondo que você esteja usando). Se você quer data e hora, você tem que capturar a linha antes da informação atual.

Aqui estão alguns exemplos. O nome do usuário foi substituído por xxx.yyy em todos os casos. Observe como a capitalização para authentication é diferente para casos de sucesso e falha.

[2011/11/08 10:22:40.604819,  2] auth/auth.c:304(check_ntlm_password)
  check_ntlm_password:  authentication for user [xxx.yyy] -> [xxx.yyy] -> [xxx.yyy] succeeded

[2012/01/11 09:09:00.430424,  2] auth/auth.c:314(check_ntlm_password)
  check_ntlm_password:  Authentication for user [xxx.yyy] -> [xxx.yyy] FAILED with error NT_STATUS_WRONG_PASSWORD

Existem outras mensagens além dessas duas. Estas linhas foram produzidas por um Samba do repositório backports do lenny. A versão do samba é 3.5.6, a versão atual do pacote é 2: 3.5.6 ~ dfsg-3 ~ bpo50 + 1. A configuração exata para o registro em smb.conf foi:

syslog = 0
debug level = 2
log file = /var/log/samba/%m.log
max log size = 1024
panic action = /usr/share/samba/panic-action %d

se você estiver acessando o AD, deverá ver as tentativas de logon no "log de segurança". Ele deve conter não apenas o nome de usuário, mas também o IP de origem (que deve ser seu host de squid).

Aqui está um bom artigo sobre como configurá-lo: link

No entanto, eu aconselharia a auditoria do sucesso, pois ele tende a preencher os logs rapidamente.