У нашей компании есть файловый сервер Debian Squeeze 64 бит, который разделяет некоторые папки с серверами Linux с помощью NFSv2 и с рабочими станциями Windows с помощью Samba.
Я хочу зарегистрировать доступ к определенному набору общих файлов.
Я установил и настроил full_audit Модуль Samba, который регистрирует операции Samba, используя следующую конфигурацию.
[MY_SHARE]
path = /share/directory_to_watch
vfs objects = full_audit
full_audit:prefix = %u|%I|%m|%S
full_audit:success = pread read
full_audit:failure = none
full_audit:facility = local7
full_audit:priority = warning
Проблема в том, что в журналах появляются действия, которые пользователь не выполнял: с рабочей станции Windows вы заходите в папку, щелкая по ней и останавливаясь здесь, а затем все файлы в папке помечаются в журналах как прочитанные. Итак, full_audit явно ненадежный инструмент. Или я что-то не так делаю?
Я пытался установить инструмент Linux аудит на моем файловом сервере. Этот инструмент регистрирует системные вызовы на машине, на которой он установлен. Но когда пользователи обращаются к файлам, которые я хочу отслеживать, через монтирование NFS на других серверах, системные вызовы происходят на сервере, монтирующем общий ресурс, а не на файловом сервере (так работает NFS). И я хочу избежать ситуации, когда я должен везде развернуть инструмент мониторинга.
Итак, вопросы: встречал ли кто-нибудь такую же проблему, как я, с full_audit Модуль Samba? Кто-нибудь знает хороший способ регистрации доступа к файлам на сервере NFS?