|
|
51CTO旗下网站
|
|
移动端

1.8.1 Samba 默认提供的日志

《UNIX/Linux网络日志分析与流量监控》第1章网络日志获取与分析,本章将介绍如何获取并分析各类系统的日志。学习好本章内容,将为后续章节的案例分析打下良好的基础。本节为大家介绍Samba 默认提供的日志。

作者:李晨光来源:机械工业出版社|2014-11-26 18:44

1.8 Samba 日志审计

随着文件共享安全级别的提高,越来越多的情况下需要对日志进行记录并审计。Linux平台下的Samba 服务的配置文件是smb.conf,有不少图形化配置工具如Webmin、smbconftool、SWAT 及RedHat 提供的system-config-samba 都可以简化配置smb.conf 的过程,但这些工具的细致程度却无法满足samba 的需求。

1.8.1 Samba 默认提供的日志

下面的实例用来跟踪查询客户端通过SMB 访问共享资源的情况。

命令netstat –na |grep ESTABLISHED 显示TCP 已连接情况,如图1-31 所示。

图1-31 中倒数第二行的PID 10600,代表smbd 的进程ID 号,用“ps -ef |grep10600”可查看。与此同时,系统会把samba 进程启动日志写到/var/log/messages 中。所有客户机访问日志都放在一个日志里,不便于管理。如何将每个客户端的连接信息存放在单独的文件中?我们需要在smb.conf 上动点脑筋了。在smb.conf 文件中已有一行代码可以实现以上目的。

  1. log file = /var/log/samba/%m.log 

去掉前面的分号,然后重启smbd 服务。如果担心日志过大,则启用下面这条命令:

  1. max log size = 500 最大日志容量为500KB 

PID 起什么作用呢?通常大家不会关注PID 号,有时在调试故障时却能通过PID 发现问题。

这里解释PID 在调试故障时发挥的作用,如图1-32 所示。

上述第1 条命令

  1. #ps -ef |grep smb 

用于查找samba 进程列表,根据所连用户身份 (这里是test 用户)可以轻松地知道PID 是13778 就是该用户的进程,接着运行带有两个参数的strace 命令限制与文件相关的系统调用输出。“-p 13778”参数告诉strace 使用这个进程ID 连接到运行的进程中。这条命令执行后,结果输出会比较长,smb 会不停地扫描目录看看有无变化。当用户尝试有问题的操作时,就会出现非常详细的信息了,这些信息会给用户解决问题(尤其是权限带来的问题,例如出现拒绝访问等权限问题)带来不小的帮助。

喜欢的朋友可以添加我们的微信账号:

51CTO读书频道二维码


51CTO读书频道活动讨论群:342347198

【责任编辑:book TEL:(010)68476606】

回书目   上一节   下一节
点赞 0
分享:
大家都在看
猜你喜欢

读 书 +更多

计算机病毒防范艺术

本书由Symantec首席反病毒研究员执笔,是讲述现代病毒威胁、防御技术和分析工具的权威指南。与多数讲述计算机病毒的书籍不同,本书完全是...

订阅51CTO邮刊

点击这里查看样刊

订阅51CTO邮刊