Sambaのvfs_full_auditモジュールには、ロギングシステムコールの具体性と詳細を向上させるためにモジュールに追加できるオブジェクトが一覧表示されます。例:
# defaults for auditing
full_audit:priority = notice
full_audit:facility = local6
full_audit:failure = create_file open opendir rmdir unlink unlinkat connect connectpath disconnect
full_audit:success = rename opendir rmdir unlink open create_file opendir unlinkat connect connectpath disconnect
full_audit:prefix = %U|%d|%u|%R|%I|%S
ただし、ここにあるマニュアルページでは次のようになります。https://www.samba.org/samba/docs/current/man-html/vfs_full_audit.8.html
各オブジェクトが実際に何をしているかは明確に定義されていません。 「open」や「rmdir」など、一部は非常に明白であることがわかりますが、各部分の機能を説明する文は、より疑わしいオブジェクト(「kernel_flock」など)に適しています。 )すごく役に立つ」
これらの値を明確に定義するリソース/ URLを知っている人はいますか?あるいは、あなたの誰かが以前にこの質問をしたことがあり、サーネットからそれを詳細に説明したデータを返されたかもしれません。
関心をお寄せいただきありがとうございます;)
答え1
残念ながら、監査モジュール全体が大幅に変更され(文書が保持されていない)、今は役に立たないデータだけが公開されています。 IMMV、リンク解除、名前変更(削除と名前変更)以上の作業を実行したい場合は、意味のないデータがたくさんあります。
ジョブを見逃すと(文書が古いので簡単です)、すべてを記録し(例:full_audit:すべて成功)、ログが山のように積み重ねられていることがわかります。
Samba 4を使用している場合は、監査ログを忘れてください。
答え2
私はあなたと同じ問題があります。 「旧名」を使っているからです。
rmdirもう存在しません。
mkdiratただ、、、renameat...を試してみてください。unlinkat私が理解したところ、存在しない名前を入力すると、Sambaはすべてのログを表示します。
バラよりman 8 vfs_full_auditもっと学ぶ。
答え3
今日この問題に悩んでいました。 4.16から4.17にアップグレードした後、突然共有が誰にもアクセスできなくなりました。 RTFMを慎重に調べて、すべての作業を確認してください。前の 2 つの答えとは異なり、Samba 4.17 ミスのため、「すべてのコンテンツの記録」は発生せず、その共有のロギングは無効になります。
「不明なジョブ名が使用されている場合(たとえば、ジョブ名のスペルが間違っている場合)、モジュールがロードされず、クライアントがこのモジュールを使用する共有への接続が拒否されます。