请教:samba匿名共享如何知道上传文件的来源IP?
- chinaz
- 帖子: 238
- 注册时间: 2007-02-07 9:23
请教:samba匿名共享如何知道上传文件的来源IP?
办公电脑开了samba服务,匿名共享了一个文件夹,有人在局域网内的另一台电脑上(不知何时)匿名登陆并放了一个文件,请教高人本地电脑如何知道这个文件的来源IP?或者说有没有办法在匿名用户上传文件时,同时自动记录文件名和IP?
宠辱不惊,闲看庭前花开花落;去留无意,漫随天外云卷云舒。
- astolia
- 论坛版主
- 帖子: 6570
- 注册时间: 2008-09-18 13:11
Re: 请教:samba匿名共享如何知道上传文件的来源IP?
你不事先配置好smb.conf把这些记入日志,那怎么可能知道
在你共享的[xxx]下面加上下面这段就可以记录到syslog里了
在你共享的[xxx]下面加上下面这段就可以记录到syslog里了
代码: 全选
vfs objects = full_audit
full_audit:prefix = %u|%I|%m|%S
full_audit:success = mkdir rename unlink rmdir open pwrite
full_audit:failure = none
- chinaz
- 帖子: 238
- 注册时间: 2007-02-07 9:23
Re: 请教:samba匿名共享如何知道上传文件的来源IP?
感谢关注,明白解决方法了。还有个问题,这个log内容比较多和乱,可否想办法单独记录个文件,或者使用某种方法快速从log文件里面读出需要的内容来?比如我想知道共享文件夹[xxx]下面的a文件夹,是什么时辰,来自哪个IP?
宠辱不惊,闲看庭前花开花落;去留无意,漫随天外云卷云舒。
- chinaz
- 帖子: 238
- 注册时间: 2007-02-07 9:23
Re: 请教:samba匿名共享如何知道上传文件的来源IP?
刚查了一堆文章,写出两行来,基本可以满足需要了
grep -n smbd_audit: /var/log/syslog >> ~/log1
#把syslog中含有“smbd_audit:”的行追加输出到~/log1(需要积累存档所以用追加数据的办法),打算后期视情况自动的每10小时或每1天执行一次。
sort -n ~/log1 | uniq > ~/log2
#删除重复的行
本来打算直接改log1来着,结果总是清空log1
sort -n ~/log1 | uniq > ~/log1
不知道还有没有更好的办法。
grep -n smbd_audit: /var/log/syslog >> ~/log1
#把syslog中含有“smbd_audit:”的行追加输出到~/log1(需要积累存档所以用追加数据的办法),打算后期视情况自动的每10小时或每1天执行一次。
sort -n ~/log1 | uniq > ~/log2
#删除重复的行
本来打算直接改log1来着,结果总是清空log1
sort -n ~/log1 | uniq > ~/log1
不知道还有没有更好的办法。
宠辱不惊,闲看庭前花开花落;去留无意,漫随天外云卷云舒。
- astolia
- 论坛版主
- 帖子: 6570
- 注册时间: 2008-09-18 13:11
Re: 请教:samba匿名共享如何知道上传文件的来源IP?
你查了些什么东西,方向都搞错了。利用syslog的facility和priority机制,可以直接给smbd_audit的输出归类,然后再让syslog的后端将那类信息单独写到另一个文件就完事了
比如在smb.conf里加上
如果用的syslog后端是rsyslogd,就在/etc/rsyslog.d/samba.conf写上
结果就到/tmp/samba.log里了
另外sort有个u参数可以直接去重复
比如在smb.conf里加上
代码: 全选
full_audit:facility = local7
full_audit:priority = notice
代码: 全选
local7.notice /tmp/samba.log
另外sort有个u参数可以直接去重复
- chinaz
- 帖子: 238
- 注册时间: 2007-02-07 9:23
Re: 请教:samba匿名共享如何知道上传文件的来源IP?
谢谢楼上,按照提示整好了,感觉非常高级!疫情一过就投入应用~
sudo leafpad /etc/samba/smb.conf
[XXX]
+
vfs objects = full_audit
full_audit:prefix = %u|%I|%m|%S
full_audit:success = mkdir rename unlink rmdir open pwrite
full_audit:failure = none
full_audit:facility = local7
full_audit:priority = notice
sudo leafpad /etc/rsyslog.conf
+
local7.notice /home/user/samba.log
sudo /etc/init.d/rsyslog restart
sudo /etc/init.d/smbd restart
tail -f -n 10 ~/samba.log
sudo leafpad /etc/samba/smb.conf
[XXX]
+
vfs objects = full_audit
full_audit:prefix = %u|%I|%m|%S
full_audit:success = mkdir rename unlink rmdir open pwrite
full_audit:failure = none
full_audit:facility = local7
full_audit:priority = notice
sudo leafpad /etc/rsyslog.conf
+
local7.notice /home/user/samba.log
sudo /etc/init.d/rsyslog restart
sudo /etc/init.d/smbd restart
tail -f -n 10 ~/samba.log
宠辱不惊,闲看庭前花开花落;去留无意,漫随天外云卷云舒。
- 男菜鸟
- 帖子: 1366
- 注册时间: 2008-12-16 14:01
- 来自: 漂在江湖