May 24

Monitoring Aktivitas User di Samba dengan Full_Audit

Bagi para administrator file server yang menggunakan Samba sebagai aplikasi file servernya, terkadang perlu untuk memantau aktivitas yang dilakukan oleh seorang user. Apa saja yang telah dilakukan oleh seorang user ketika dia mengakses file server tersebut. Hal itu sebetulnya dapat dilakukan dengan menggunakan option log_level dan memberinya nilai 2 atau 3 (debug). Tetapi, jika menggunakan option log_level, informasi yang didapat kurang akurat. Karena hanya ada penanda read atau write, tidak jelas operasi apa yang dilakukan, apakah rename, make directory, delete, read, write atau yang lain.

Karena itu di sini akan digunakan VFS Object Full Audit. VFS Object adalah semacam modul tambahan yang ada di Samba. Salah satu dari VFS Object adalah Full Audit yang berguna untuk mencatat segala aktivitas user. Dan log yang dihasilkan, dapat lebih detail dibandingkan dengan hanya menggunakan option log_level. Dengan full_audit, kita dapat melihat detail operasi filesystem apa saja yang terjadi pada suatu file, siapa yang melakukannya, sampai dari komputer mana dia mengaksesnya.

Untuk mengaktifkan full_audit ini, buka smb.conf di /etc/samba. Kemudian, anda dapat menambahkan baris konfigurasi di bawah ini pada tag [global] (jika ingin semua share point yang dicatat) atau pada tag [namashare] (jika hanya namashare tersebut yang ingin dicatat) :

vfs objects = full_audit
full_audit: prefix = %u|%I|%m|%S (Tanpa spasi sebelum kata prefix)
full_audit:success = mkdir rename unlink rmdir pwrite pread
full_audit:failure = none
full_audit:facility = local7
full_audit: priority = NOTICE
(Tanpa spasi sebelum kata priority)

Maksud dari baris konfigurasi tersebut adalah :

  • vfs objects = full_audit -> mengaktifkan VFS Object full_audit
  • full_audit: prefix -> format dari informasi tambahan yang akan ditampilkan (%u : username yang mengakses, %I : IP pengakses, %m : nama komputer pengakses, %S : sharepoint yang diakses), setelah prefix ini, akan diikuti dengan nama file yang diakses dan operasi apa yang dilakukan
  • full_audit:success -> operasi (yang berhasil dilakukan) apa saja yang akan dicatat oleh samba, dalam contoh ini adalah membuat direktori, merubah nama, menghapus file, menghapus direktori, penulisan file, dan pembacaan file. Nama operasi ini sama dengan nama fungsi pada filesystem
  • full_audit:failure -> sama seperti full_audit:success, tapi di sini, dia akan mencatat operasi yang gagal dilakukan
  • full_audit:facility -> secara default, full_audit akan mencatat lognya ke /var/log/syslog, untuk merubah itu, bisa diarahkan ke file tertentu, untuk itu, bagian ini dapat diisi dulu dengan local7
  • full_audit: priority -> menentukan prioritas dari event yang akan dicatat.

Kemudian, agar log tidak tercatat di syslog, buka dulu file /etc/rsyslog.d/50-default.conf. Di bagian akhir, tambahkan baris konfigurasi berikut untuk menentukan, facility local7 akan dicatat di file apa.

local7.*    /var/log/samba/log.audit

Langkah terakhir adalah restart rsyslodg dan Samba agar semua konfigurasi berjalan dengan baik :

service rsyslog restart
service smbd restart

Be Sociable, Share!

0
comments

Reply

[+] kaskus emoticons nartzco