[Eisfair] E1 Überwachung bzw. Protokollierung von Datei- und Ordneränderungen

Fr Mai 20 11:33:21 CEST 2016

Hallo Jürgen,

Am 20.05.2016 um 10:45 schrieb Jürgen Witt:
> Hallo NG,
> 
> gibt es eine Möglichkeit, wie ich überprüfen kann, wer welche Ordner
> gelöscht, verschoben oder etc hat?
> 
> E1-Server mit Samba und Windows-Klients.

Ja, wird aber nicht offiziell vom sambapaket unterstützt und gelöscht, wenn du die sambakonfig neu aufrufts.

============================
less /etc/smb.conf

im [global]
full_audit:failure = none
full_audit:success = pwrite write rename rmdir unlink
full_audit:prefix = IP=%I|USER=%u|MACHINE=%m|VOLUME=%S
full_audit:facility = local5
full_audit:priority = NOTICE

im shakre (z.b. [olaf]) ganz am schluss des jeweiligen shares:
vfs objects = full_audit
============================

danach /etc/init.d/samba restart

im logfile (/var/log/messages) sieht das dann wie folgt aus:

May 12 00:02:43 server smbd: IP=192.168.10.34|USER=olaf|MACHINE=nx7400|VOLUME=olaf|rename|ok|Neues Textdokument.txt|test2.txt
May 12 00:02:43 server smbd: IP=192.168.10.34|USER=olaf|MACHINE=nx7400|VOLUME=olaf|unlink|ok|test2.txt|

unlink=gelöscht

Was du alles bei full_audit:success = .... entragen kannst findest du unter
https://www.samba.org/samba/docs/man/manpages-3/vfs_full_audit.8.html

Gruß

Olaf

> 
> Gruß
> Jürgen
> 