2009年6月17日

[samba-jp:20731]WindowsXPSP3でfull_auditのopen/closeメッセージが大量に出る

こんにちは、樽木と申します。

WindowsXPクライアントから下記のように監査ログ設定を実施したところ、
エクスプローラーでフォルダをマウスポイントするだけで、下記のようなフォルダのopen/closeメッセージが
100〜200件ぐらい出力されるという現象が発生しています。
フォルダをマウスでポイントするだけでこれだけの膨大な監査ログが出てしまうのはちょっと実用にならないと
思うのですが他にsambaの運用をされている方も同様の現象が発生していますでしょうか?
また、設定等でうまく回避できたというような情報があればご教授いただけませんでしょうか?


--- /var/log/messageの抜粋
Jun 12 22:23:50 earlgrey smbd_audit: daicyan|192.168.24.16|open|ok|r|cg/aaa
Jun 12 22:23:50 earlgrey smbd_audit: daicyan|192.168.24.16|close|ok|
Jun 12 22:23:50 earlgrey smbd_audit: daicyan|192.168.24.16|open|ok|r|cg/aaa
Jun 12 22:23:50 earlgrey smbd_audit: daicyan|192.168.24.16|close|ok|
同様メッセージが100〜200件繰り返し表示されます

今のところ下記のような対策で回避できることは分かっているのですが、WindowsXP

・Windows2000クライアントでは2,3件しか出力されない
・エクスプローラーのステータスバーを非表示にして、フォルダオプションの「フォルダとデスクトップの項目をポップアップで表示する」「フォルダのヒントにファイルサイズ情報を表示する」を無効にすると出力されない

SambaServerのOS
Debian/GNU Linux(Lenny) amd86
Sambaバージョン
3.2.5-4lenny2
(RHEL 4.6付属のsamba-3.0.28でも同様の現象が出ています)

ClientOS
WindowsXP SP3

/etc/samba/smb.confの一部
[data]
comment = data directory
writable = yes
path = /home/data
public = no
browseable = yes
create mode = 644
vfs objects = full_audit
full_audit:failure = connect disconnect open close mkdir rmdir rename unlink
full_audit:success = connect disconnect open close mkdir rmdir rename unlink

--
|\ ----- E-Mail :daisuke@xxxxx nn
|D|aicyan | (^^)
|/ aisuke. |aruki. WebPage http://www.taruki.com (m m)


投稿者 xml-rpc : 2009年6月17日 12:02
役に立ちました?:
過去のフィードバック 平均:(0) 総合:(0) 投票回数:(0)
本記事へのTrackback: http://hoop.euqset.org/blog/mt-tb2006.cgi/85981
トラックバック
コメント
コメントする




画像の中に見える文字を入力してください。