Как мне регистрировать попытки аутентификации с помощью самбы?

Если вы измените log level линия в /etc/samba/smb.conf читать:

log level = 1 winbind:5

Вы действительно получаете информацию, которая мне нужна (по умолчанию вошел в /var/log/samba/log.DOMAIN), но это очень шумно, и сообщения журнала разбиты на две строки. Не совсем то, что я ищу, но, возможно, это необходимо.

В файлах журнала самбы информация, связанная с аутентификацией, помечена тегом check_ntlm_password модуль (если это то, что вы используете). Если вам нужна дата и час, вы должны захватить строку перед строкой с фактической информацией.

Вот несколько примеров. Имя пользователя заменено на xxx.yyy во всех случаях. Обратите внимание на использование заглавных букв для authentication отличается для случаев успеха и неудачи.

[2011/11/08 10:22:40.604819,  2] auth/auth.c:304(check_ntlm_password)
  check_ntlm_password:  authentication for user [xxx.yyy] -> [xxx.yyy] -> [xxx.yyy] succeeded

[2012/01/11 09:09:00.430424,  2] auth/auth.c:314(check_ntlm_password)
  check_ntlm_password:  Authentication for user [xxx.yyy] -> [xxx.yyy] FAILED with error NT_STATUS_WRONG_PASSWORD

Есть и другие сообщения, помимо этих двух. Эти строки были созданы Samba из репозитория backports lenny. Версия samba - 3.5.6, актуальная версия пакета - 2: 3.5.6 ~ dfsg-3 ~ bpo50 + 1. Точная конфигурация для входа в систему smb.conf был:

syslog = 0
debug level = 2
log file = /var/log/samba/%m.log
max log size = 1024
panic action = /usr/share/samba/panic-action %d

если вы нажимаете AD, вы должны увидеть попытки входа в систему в «журнале безопасности». Он должен содержать не только имя пользователя, но и исходный IP-адрес (который должен быть вашим хостом squid).

Вот хорошая статья по его настройке: http://www.windowsecurity.com/articles/windows-active-directory-auditing.html

Я бы предостерег от успеха аудита, так как он имеет тенденцию быстро заполнять журналы.