请教：samba匿名共享如何知道上传文件的来源IP？

[chinaz]

办公电脑开了samba服务，匿名共享了一个文件夹，有人在局域网内的另一台电脑上（不知何时）匿名登陆并放了一个文件，请教高人本地电脑如何知道这个文件的来源IP？或者说有没有办法在匿名用户上传文件时，同时自动记录文件名和IP？

[astolia]

你不事先配置好smb.conf把这些记入日志，那怎么可能知道
在你共享的[xxx]下面加上下面这段就可以记录到syslog里了

代码： 全选

   vfs objects = full_audit
   full_audit:prefix = %u|%I|%m|%S
   full_audit:success = mkdir rename unlink rmdir open pwrite
   full_audit:failure = none

[chinaz]

你不事先配置好smb.conf把这些记入日志，那怎么可能知道
在你共享的[xxx]下面加上下面这段就可以记录到syslog里了

代码： 全选

   vfs objects = full_audit
   full_audit:prefix = %u|%I|%m|%S
   full_audit:success = mkdir rename unlink rmdir open pwrite
   full_audit:failure = none

感谢关注，明白解决方法了。还有个问题，这个log内容比较多和乱，可否想办法单独记录个文件，或者使用某种方法快速从log文件里面读出需要的内容来？比如我想知道共享文件夹[xxx]下面的a文件夹，是什么时辰，来自哪个IP？

[chinaz]

刚查了一堆文章，写出两行来，基本可以满足需要了

grep -n smbd_audit: /var/log/syslog >> ~/log1
#把syslog中含有“smbd_audit:”的行追加输出到~/log1（需要积累存档所以用追加数据的办法），打算后期视情况自动的每10小时或每1天执行一次。
sort -n ~/log1 | uniq > ~/log2
#删除重复的行

本来打算直接改log1来着，结果总是清空log1
sort -n ~/log1 | uniq > ~/log1

不知道还有没有更好的办法。

[astolia]

你查了些什么东西，方向都搞错了。利用syslog的facility和priority机制，可以直接给smbd_audit的输出归类，然后再让syslog的后端将那类信息单独写到另一个文件就完事了
比如在smb.conf里加上

代码： 全选

   full_audit:facility = local7
   full_audit:priority = notice

如果用的syslog后端是rsyslogd，就在/etc/rsyslog.d/samba.conf写上

代码： 全选

local7.notice /tmp/samba.log

结果就到/tmp/samba.log里了

另外sort有个u参数可以直接去重复

[chinaz]

谢谢楼上，按照提示整好了，感觉非常高级！疫情一过就投入应用～
sudo leafpad /etc/samba/smb.conf

[XXX]
+
vfs objects = full_audit
full_audit:prefix = %u|%I|%m|%S
full_audit:success = mkdir rename unlink rmdir open pwrite
full_audit:failure = none
full_audit:facility = local7
full_audit:priority = notice

sudo leafpad /etc/rsyslog.conf
+
local7.notice /home/user/samba.log

sudo /etc/init.d/rsyslog restart
sudo /etc/init.d/smbd restart
tail -f -n 10 ~/samba.log

[男菜鸟]

mark