Pessoal boa tarde, devido a LGPD chegando, alguns clientes começaram a me pedir pra montar uma estrutura de logs de qual usuário acessou qual arquivo tal dia e horário em seu fileserver. Então antes de pensar em usar servidor de log externos, fui atrás de como gerar os logs do samba de forma local e simplificada no OpenMediaVault e foi mais simples que imaginei.
O OpenMediaVault utiliza o rsyslog como servidor de logs e tem nativamente via interface web uma opção de habilitar o log, porém não pegaram e habilitaram no rsyslog a opção de todos os logs da auditoria irem para um arquivo, então vão todos para o arquivo padrão do sistema, então teremos que nos próximos passos fazer o acesso ao servidor via ssh só para encaminhar os logs para o arquivo correto!
Então vamos a parte prática.
1 - Primeiro ponto é acessar a interface web do OpenMediaVault, navegar até a página de compartilhamento de pastas com o Samba no caminho: Services => SMB/CIFS => Shares e na pasta compartilhada, editar e habilitar a opção: "Audit file operations"
2 - Após adicionar a opção de habilitar o log a todos os compartilhamentos que deseja, vamos ter que descobrir o nome usado pelo samba do OpenMediaVault para a "regra" de logs, para adicionar no arquivo do rsyslog. Para isso acesse o OpenMediaVault por ssh e abra o arquivo: /etc/samba/smb.conf
# nano /etc/samba/smb.conf
3 - Com o arquivo do samba aberto, busque a linha que contem: "full_audit:facility" no meu caso era "local7" e estava da seguinte forma:
full_audit:prefix = %u|%I|%m|%P|%S
full_audit:success = mkdir rename unlink rmdir pwrite
full_audit:failure = none
full_audit:facility = local7
4 - Após descobrir o nome usado pelo OMV para a regra de logs, vamos editar o rsyslog para redirecionar o arquivo para o local correto. Abra o arquivo /etc/rsyslog.conf e adicione a seguinte linha ao final do arquivo, trocando "local7" pelo que encontrou na linha anterior:
# echo "local7.notice /var/log/samba/full_audit.log" >> /etc/rsyslog.conf
5 - Reinicie o servidor do rsyslog com o comando:
# systemctl restart rsyslog
6 - Ao concluir a reinicialização do rsyslog, acesse o seu fileserver, entre em uma das pastas que habilitou a auditoria e simule algumas modificações como: criar, deletar, abrir e editar arquivos e por fim, veja o arquivo de logs que terá uma saída próxima a essa:
# less /var/log/samba/full_audit.log
Sep 26 15:01:43 arquivos smbd_audit: tacio|10.0.10.6|andradenote|/srv/dev-disk-by-id-md-name-arquivos-Arquivos/ti|ti|mkdir|ok|Nova pasta
Sep 26 15:01:45 arquivos smbd_audit: tacio|10.0.10.6|andradenote|/srv/dev-disk-by-id-md-name-arquivos-Arquivos/ti|ti|rename|ok|Nova pasta|Tacio
Sep 26 15:01:54 arquivos smbd_audit: tacio|10.0.10.6|andradenote|/srv/dev-disk-by-id-md-name-arquivos-Arquivos/ti|ti|rename|ok|Tacio/Novo Documento de Texto.txt|Tacio/Teste.txt
Sep 26 15:02:07 arquivos smbd_audit: tacio|10.0.10.6|andradenote|/srv/dev-disk-by-id-md-name-arquivos-Arquivos/ti|ti|pwrite|ok|Tacio/Teste.txt
Sep 26 15:02:08 arquivos smbd_audit: tacio|10.0.10.6|andradenote|/srv/dev-disk-by-id-md-name-arquivos-Arquivos/ti|ti|pwrite|ok|Tacio/Teste.txt
Sep 26 15:02:15 arquivos smbd_audit: tacio|10.0.10.6|andradenote|/srv/dev-disk-by-id-md-name-arquivos-Arquivos/ti|ti|mkdir|ok|.recycle
Sep 26 15:02:15 arquivos smbd_audit: tacio|10.0.10.6|andradenote|/srv/dev-disk-by-id-md-name-arquivos-Arquivos/ti|ti|mkdir|ok|.recycle/tacio
Sep 26 15:02:15 arquivos smbd_audit: tacio|10.0.10.6|andradenote|/srv/dev-disk-by-id-md-name-arquivos-Arquivos/ti|ti|mkdir|ok|.recycle/tacio/Tacio
Sep 26 15:02:15 arquivos smbd_audit: tacio|10.0.10.6|andradenote|/srv/dev-disk-by-id-md-name-arquivos-Arquivos/ti|ti|rename|ok|Tacio/Teste.txt|.recycle/tacio/Tacio/Teste.txt
Sep 26 15:15:10 arquivos smbd_audit: tacio|10.0.10.6|andradenote|/srv/dev-disk-by-id-md-name-arquivos-Arquivos/ti|ti|rmdir|ok|Tacio
Com o log local, nós poderemos futuramente usar alguma ferramenta centralizadora de logs para mandar essas informações para outro local como um graylog, rsyslog remoto, etc e armazena-los a longo prazo.
Boa sorte a todos e vamos que vamos!
[Dica] Ativar log de acessos no samba do OpenMediaVault
Tutorias diversos sobre serviços e aplicações em servidores Linux
- tacioandrade
- Administrator
- Mensagens: 110
- Registrado em: 10 Jun 2013 22:03
- Localização: Vitória da Conquista - Ba
- Idade: 34
- Contato:
- Status: Offline
Ir para
- Administração
- ↳ Apresentação
- ↳ Suporte
- ↳ Solicitação de Categoria
- ↳ Recursos
- Normativas & Padronizações
- ↳ ITIL v3
- ↳ Cobit
- ↳ ISO/IEC 27001
- Certificação
- ↳ LPI
- ↳ LPI 101
- ↳ Dicas
- ↳ Simulados
- ↳ LPI 102
- ↳ Dicas
- ↳ Simulados
- ↳ LPI 201
- ↳ Dicas
- ↳ Simulados
- ↳ LPI 202
- ↳ Dicas
- ↳ Simulados
- ↳ Videos Aulas
- ↳ Google Adwords
- Redes - Servidores - Internet
- ↳ INFRAESTRUTURA DE REDE
- ↳ Nimbus OpenSource Backup
- ↳ Video Aula e Tutoriais
- ↳ Duvidas
- ↳ Bugs e Mods
- ↳ MailCleaner Community
- ↳ Tutoriais
- ↳ Mods
- ↳ Dúvidas
- ↳ Endian Firewall Community
- ↳ Video Aula e Tutoriais
- ↳ Duvidas
- ↳ Projetos
- ↳ Bugs e Mods
- ↳ Projetos de Rede e Datacenter/CPD
- ↳ Ajuda
- ↳ Tutoriais
- ↳ pfSense Open Source Firewall
- ↳ Tutoriais
- ↳ Dicas
- ↳ Dúvidas
- ↳ Mikrotik Routeros
- ↳ Dúvidas
- ↳ Tutoriais
- ↳ Dicas
- ↳ Video Aula
- ↳ CISCO
- ↳ Zimbra
- ↳ Servidores Microsoft Windows
- ↳ Scripts
- ↳ Servidores
- ↳ Dúvidas
- ↳ Acesso Remoto
- ↳ Cloud Computing
- ↳ Videos Aulas
- ↳ Amazon AWS
- ↳ Windowns Azure
- ↳ Office 365
- ↳ Asterix Voip
- ↳ Videos Aulas
- ↳ Tutoriais
- ↳ Servidores GNU/Linux
- ↳ Resara Server
- ↳ Scripts
- ↳ Servidores
- ↳ Tutoriais
- ↳ Zentyal
- ↳ Dúvidas
- ↳ Sistemas Operacionais
- ↳ Prints
- ↳ Shell Script
- ↳ Iomega Stor Center
- ↳ Iptables
- ↳ Video Aula
- ↳ Dúvida
- ↳ ISPConfig
- ↳ Tutoriais
- ↳ Ajuda
- ↳ PMG - Proxmox Mail Gateway
- ↳ Tutoriais
- ↳ Dúvidas
- ↳ MODS
- Virtualização
- ↳ Profissional
- ↳ XenServer
- ↳ VMWARE Vsphire
- ↳ Vmware ESXI
- ↳ KVM
- ↳ VMWare Workstation
- ↳ Hyper-V
- ↳ Proxmox
- ↳ Dúvidas
- ↳ Uso Pessoal
- ↳ VirtualBox
- ↳ Vmware Player
- ↳ Docker
- ↳ Rancher
- Segurança
- ↳ Antivírus Empresarial
- ↳ Sophos Endpoint Protection
- ↳ Panda Security
- ↳ Kaspersky
- ↳ Segurança da Informação
- ↳ Videos Aulas
- ↳ Anti-Spam
- ↳ Monitoramento
- ↳ Zabbix
- ↳ FAN - Fully Automated Nagios
- ↳ Nagios
- ↳ PRTG Network Monitor
- ↳ Zenoss
- ↳ Cacti
- ↳ IDS e IPS
- ↳ Monitorix
- SGDB - Banco de Dados
- ↳ SQL Server
- ↳ MongoDB
- ↳ Interbase - Firebird
- ↳ PostgreSQL
- ↳ Oracle
- ↳ Video Aula
- ↳ Mysql - MariaDB
- Softwares Diversos - Tablets - Smartphones - Android - IOS
- ↳ Android
- ↳ Softwares Windows
- Linguagem De Programação
- ↳ Python
- ↳ Videos Aulas
- ↳ C#
- ↳ Video Aulas
- ↳ Dúvidas
- ↳ HTML 5
- ↳ Video Aula
- ↳ Wordpress
- ↳ Videos Aulas
- ↳ Dicas
- ↳ JavaScript
- ↳ Scripts
- ↳ Hibernate
- ↳ Video Aula
- ↳ Visual Basic
- ↳ Video Aula
- ↳ Lógica De Programação
- ↳ Video Aula
- ↳ Java
- ↳ PHP
- ↳ Dicas
- Office
- ↳ Excel
- ↳ Videos Aulas
- ↳ Dicas
- ↳ MS Project 2010
- ↳ Video Aula
- Noticias
- ↳ Noticias
- Hardware
- ↳ Desktops
- ↳ Servidores
- ↳ Laptops
- ↳ Embarcados e Arduino
- CPBR7
- ↳ Palestras