vfs_full_audit — Samba VFS の動作をシステムログに記録
vfs objects = full_audit
このVFSモジュールは samba(7)システムの一部である。
vfs_full_audit
VFSモジュールは指定したクライアントの
動きをsyslog(3)でシステムログに記録する。
vfs_full_audit
はSamba VFSの動作すべてを記録することが可能である。
aio_force |
audit_file |
brl_lock_windows |
brl_unlock_windows |
chdir |
close |
closedir |
connect |
connectpath |
create_dfs_pathat |
create_file |
disconnect |
disk_free |
durable_cookie |
durable_disconnect |
durable_reconnect |
fallocate |
fchflags |
fchmod |
fchown |
fcntl |
fdopendir |
fget_compression |
fget_dos_attributes |
fget_nt_acl |
fgetxattr |
file_id_create |
filesystem_sharemode |
flistxattr |
fntimes |
freaddir_attr |
fremovexattr |
fs_capabilities |
fsctl |
fset_dos_attributes |
fset_nt_acl |
fsetxattr |
fs_file_id |
fstat |
fstatat |
fstreaminfo |
fsync_recv |
fsync_send |
ftruncate |
get_alloc_size |
get_dfs_referrals |
get_dos_attributes_recv |
get_dos_attributes_send |
getlock |
get_quota |
get_real_filename |
get_real_filename_at |
get_shadow_copy_data |
getwd |
getxattrat_recv |
getxattrat_send |
is_offline |
lchown |
linkat |
linux_setlease |
lock |
lseek |
lstat |
mkdirat |
mknodat |
ntimes |
offload_read_recv |
offload_read_send |
offload_write_recv |
offload_write_send |
open |
openat |
parent_pathname |
pread |
pread_recv |
pread_send |
pwrite |
pwrite_recv |
pwrite_send |
read |
read_dfs_pathat |
readdir |
readlinkat |
realpath |
recvfile |
removexattr |
renameat |
rewinddir |
sendfile |
set_compression |
set_offline |
set_quota |
snap_check_path |
snap_create |
snap_delete |
stat |
statvfs |
strict_lock_check |
symlinkat |
sys_acl_blob_get_fd |
sys_acl_delete_def_fd |
sys_acl_get_fd |
sys_acl_set_fd |
translate_name |
unlinkat |
write |
これらの動作に加え、
vfs_full_audit
は"all" と "none "という
オプションを使用することができる。これらはすべてのVFS動作に対し有効になり、
個々のVFS動作に対して指定することはできない。
不明なオペレーション名が使われた場合(たとえば、オペレーション名の スペルミス)、モジュールはロードに失敗し、クライアントはこのモジュールを 使用する共有への接続が拒否される。
vfs_full_audit
は動作を'|'をセパレーターとして
固定フォーマットで記録する。
記録フォーマットは
smbd_audit: PREFIX|OPERATION|RESULT|FILE
各フィールドは:
PREFIX
- full_audit:prefix文字と、可変長の解説
OPERATION
- VFSの名称
RESULT
- 動作が成功したか、失敗したか
FILE
- 動作が行われたファイルやディレクトリの名称
このモジュールはスタック可能である。
STRINGで監査メッセージを結合する。STRINGは smb.conf(5)に記載された指定を置き換える 初期値は"%u|%I".
LISTはVFSオペレーションのリストで、動作が成功したときに記録を残すものを表す。 オペレーションは上に示したリストにある名前で指定する。 名前の前に"!"を付けることで、操作から外せる。既定値は何も定義されていない。
LISTはVFSオペレーションのリストで、動作が失敗したときに記録を残すものを表す。 オペレーションは上に示したリストにある名前で指定する。 名前の前に"!"を付けることで、操作から外せる。既定値は何も定義されていない。
syslog(3)のfacilityを指定する
syslog(3)のpriorityを指定する
ログメッセージをsyslog に送るか(既定値)、 デバッグレベル 1 メッセージとするかを指定する。
クライアントがaclを設定したとき、送られてくる セキュリティ記述子をsddl 形式でログを取る。既定値は false。
[records]共有の中のファイルやディレクトリをオープンしたときにログを残す。 その際、LOCAL7ファシリティーと、ALERTプライオリティーを使用し、 ユーザー名とIPアドレスも記録する。ログは:失敗時におけるVFS機能 オープンを含まない:
[records]
path = /data/records
vfs objects = full_audit
full_audit:prefix = %u|%I
full_audit:success = open opendir
full_audit:failure = all
full_audit:failure = all !open
full_audit:facility = LOCAL7
full_audit:priority = ALERT