我有用squid(NTLM)身份validation的用户使用Samba 3.5.4的Active Directory服务器,我想logging用户的login尝试。
我想要一行显示如下:
TIMESTAMP username@DOMAIN SUCCESS/FAILURE
如果您修改/etc/samba/smb.conf的log level行来读取:
log level = 1 winbind:5
你得到我以后的信息(默认情况下logging到/var/log/samba/log.DOMAIN ),但是它非常嘈杂,日志消息分成两行。 不完全是我正在寻找,但它可能要做的。
在samba日志文件上,身份validation相关信息使用check_ntlm_password模块进行标记(假设您正在使用check_ntlm_password模块)。 如果你想要date和时间,你必须捕捉具有实际信息的行之前的行。
这里有些例子。 在所有情况下,用户的名称都被replace为xxx.yyy 。 请注意,对于成功和失败情况, authentication的大小写是不同的。
[2011/11/08 10:22:40.604819, 2] auth/auth.c:304(check_ntlm_password) check_ntlm_password: authentication for user [xxx.yyy] -> [xxx.yyy] -> [xxx.yyy] succeeded [2012/01/11 09:09:00.430424, 2] auth/auth.c:314(check_ntlm_password) check_ntlm_password: Authentication for user [xxx.yyy] -> [xxx.yyy] FAILED with error NT_STATUS_WRONG_PASSWORD
除了这两个之外还有其他的消息。 这些行由lenny的backports存储库中的Samba生成。 samba版本是3.5.6,实际版本是2:3.5.6〜dfsg-3〜bpo50 + 1。 loginsmb.conf的确切configuration是:
syslog = 0 debug level = 2 log file = /var/log/samba/%m.log max log size = 1024 panic action = /usr/share/samba/panic-action %d
如果您正在访问AD,那么您应该在“安全日志”中看到login尝试。 它不仅包含用户名,还包含源IP(应该是你的鱿鱼主机)。
这里有一个很好的文章设置它: http : //www.windowsecurity.com/articles/windows-active-directory-auditing.html
尽pipe如此,我还是会提醒审计成功,因为它往往会快速填满日志。