Nossa empresa tem um servidor de arquivos, um Debian Squeeze de 64 bits, compartilhando algumas pastas para servidores Linux usando o NFSv2 e para estações de trabalho Windows usando o Samba.
Eu quero registrar o acesso a um conjunto específico de arquivos compartilhados.
Eu instalei e configurei o módulo Samba full_audit , que registra as operações do Samba, usando a seguinte configuração.
[MY_SHARE]
path = /share/directory_to_watch
vfs objects = full_audit
full_audit:prefix = %u|%I|%m|%S
full_audit:success = pread read
full_audit:failure = none
full_audit:facility = local7
full_audit:priority = warning
O problema é que os logs mostram ações de log que o usuário não fez: a partir de uma estação de trabalho do Windows, você vai em uma pasta clicando nela e pára aqui, e então todos os arquivos na pasta são marcados como lidos nos logs. Então full_audit claramente não é uma ferramenta confiável. Ou estou fazendo algo errado?
Eu tentei instalar a ferramenta auditd do Linux no meu servidor de arquivos. Essa ferramenta registra as chamadas do sistema na máquina em que está instalada. Mas quando os usuários acessam os arquivos que eu quero monitorar através das montagens do NFS em outros servidores, as chamadas do sistema ocorre no servidor que monta o compartilhamento, não no servidor de arquivos (é assim que o NFS funciona). E quero evitar uma situação em que devo implantar a ferramenta de monitoramento em todos os lugares.
Portanto, as perguntas são: alguém encontrou o mesmo problema que eu com o módulo full_audit do Samba? Alguém sabe uma boa maneira de acessar o arquivo de log em um servidor NFS?
Tags monitoring samba auditd