Friday, February 24, 2012 16:21:12

Monitoring Aktifitas User di Samba

Article and tutorial that related to Linux Operating System  
Saat kita bekerja di suatu perusahaan, sering kali diperlukan monitoring apa yg dilakukan oleh user. Penulisan kali ini akan membahas audit file sharing di dalam samba server. Dengan adanya audit pada sharing samba server akan memudahkan melakukan penelusuran ketika terjadi tindakan atau kesalahan dalam memanfaatkan file sharing dari perusahaan.

Disini, dipergunakan ubuntu 11.10 dan samba versi 3.5.11. Sebagai catatan Stackable VFS (Virtual File System) modul disupport sejak versi 3.

Konfigurasi Samba
Tambahkan di file /etc/samba/smb.conf
# Audit settings
 full_audit:prefix = %u|%I|%m|%S
 full_audit:success = mkdir rename unlink rmdir open pwrite
 full_audit:failure = none
 full_audit:facility = local5
Kemudian di tiap folder share yg dibuat tambahkan
 vfs objects = full_audit

Konfigurasi Log
Untuk log agar tidak tercampur dengan logging aktifitas yang lain maka lakukan perubahan pada /etc/rsyslog.d/50-default.conf
*.*;auth,authpriv.none           -/var/log/syslog
menjadi
*.*;local5,auth,authpriv.none           -/var/log/syslog
local5.notice /var/log/samba/audit.log
Lakukan restart service yang terimbas dari perubahan ini yaitu samba dan rsyslog
# service rsyslog restart
# service smbd restart
Sekarang kita bisa mencoba mengakses server kita via komputer di klien. Dan cek log nya, jika dalam file /var/log/samba/audit.log sudah berisi log yang menunjukkan aktifitas kita pada folder share maka penambahan modul sudah berhasil dilakukan.
Berikut contoh isi dari log nya :

Feb 24 15:53:59 mycorp smbd[7667]: nobody|192.168.0.10|ho1|semua|mkdir|ok|New Folder
Feb 24 15:54:01 mycorp smbd[7667]: nobody|192.168.0.10|ho1|semua|rename|ok|./New Folder|./test
Pada contoh diatas terjadi aktifitas oleh seorang user tanpa login dari pc name komputer ho1 dengan IP 192.168.0.10 pada share folder server semua melakukan pembuatan direktori (New Folder) lalu kemudian di rubah nama foldernya (test)

Selamat Mencoba

Permalink logo del.icio.usadd to del.icio.us | view as pdfview as pdf