TrueNAS数据共享——SMB共享日志审计

日志审计对于事后溯源十分重要，所以使用TrueNAS共享时，开启Samba audit审计日志功能很有必要。Full_Audit 允许记录共享上的所有操作，如创建文件、删除文件、更改路径…

一、编辑SMB服务

1、进入smb服务编辑

服务--找到SMB--动作--高级选项

2、添加附加参数

log level = 3 vfs:10
log file = /home/sambalog/%m.log 
full_audit:prefix = %u|%I|%m|%S 
full_audit:success = rename write pwrite unlinkat linkat mkdirat 
full_audit:failure = none 
full_audit:priority = notice

#说明：
log level = 3 vfs:10          #设定日志级别，这一行不写，没有samba审计日志。
log file = /home/sambalog/%m.log           #设定客户机日志保存位置
full_audit:prefix = %u|%I|%m|%S            # %u:表示用户，%I: 用户IP地址，%m 表示客户机名称，%S Samba服务器共享名称
full_audit:success = rename write pwrite unlinkat linkat mkdirat           #编辑这些参数！（阅读https://www.samba.org/samba/docs/current/man-html/vfs_full_audit.8.html）
full_audit:failure = none              #不记录审计失败的信息
full_audit:facility = local5            #指定日志保存的设施，是指审记日志保存到那里
full_audit:priority = notice          #记录信息的级别

二、编辑共享

1、进入共享编辑

共享--windows共享（SMB）--编辑--高级选项。

每一个需要审计日志的都要编辑。

2、添加附加参数

目的：No presets

导出回收站 勾选

附加参数：

vfs objects = zfsacl;recycle;full_audit

#说明：

zfsacl是zfs文件权限，recycle是回收站，full_audit是审记，所有的VFS对象都要写在同一行

vfs objects=   的后面，以”;“间隔，否则只有最后一个参数生效。

三、更改日志路径

1、编辑syslog-ng.conf文件

更改日志的路径，需要编辑文件“/etc/local/syslog-ng.conf”，要成为永久文件，

2、编辑syslog-ng.freenas文件

在以下两个文件中添加两行代码：

/conf/base/etc/local/syslog-ng.conf.freenas

/etc/local/syslog-ng.conf.freenas

【添加内容】

destination m_samba_audit { file("/usr/log/sambalog/activity.log"); };
log { source(src); filter(f_local5);destination(m_samba_audit); flags(final); };

3、重启syslog-ng

【操作命令】

service syslog-ng restart

【操作实例】

4查看日志

在/usr/log/sambalog/activity.log可以看到相应日志。

5、日志轮转

在/conf/base/etc/newsyslog.conf中添加一行下面的内容，保存2年日志：

【添加内容】

/var/log/sambalog/activity.log 640 720 * u/T00 JC

【操作实例】