2009年6月17日

[samba-jp:20732] Re:WindowsXPSP3でfull_auditのopen/closeメッセージが大量に出る

> WindowsXPクライアントから下記のように監査ログ設定を実施したところ、

監査ログ設定を設定したsamba共有にアクセスしたところ、という話ですね?

>他にsambaの運用をされている方も同様の現象が発生しています
> でしょうか?
> また、設定等でうまく回避できたというような情報があればご教授いただけま
> せんでしょうか?


sambaのauditは、すべてのprocedureを記録することが目的ですので、
通常の動作です。

ログの量が気になるのであれば
・ポートミラー型のお利口なaudit製品を利用する
・ログのタイムスタンプの秒の部分を消して、sort -u を行って後処理を行い、
 「一分間のアクセスログ」として利用する。
・gzipし、zgrepをつかう。

といった方法が考えられます。

米倉

--
Takafumi Yonekura | Senior Field Sales Engineer
Isilon Systems K.K.
Phone 03-5358-7188 Fax 03-5333-4443
http://www.isilon.com
takafumi.yonekura@xxxxx


> -----Original Message-----
> From: samba-jp-bounces@xxxxx
> [mailto:samba-jp-bounces@xxxxx] On Behalf Of 樽木大介(Taruki
> Daisuke)
> Sent: Wednesday, June 17, 2009 12:03 PM
> To: samba-jp
> Subject: [samba-jp:20731]WindowsXPSP3でfull_auditのopen/closeメッセー
> ジが大量に出る
>
> こんにちは、樽木と申します。
>
> WindowsXPクライアントから下記のように監査ログ設定を実施したところ、
> エクスプローラーでフォルダをマウスポイントするだけで、下記のようなフォ
> ルダのopen/closeメッセージが
> 100〜200件ぐらい出力されるという現象が発生しています。
> フォルダをマウスでポイントするだけでこれだけの膨大な監査ログが出てしま
> うのはちょっと実用にならないと
> 思うのですが他にsambaの運用をされている方も同様の現象が発生しています
> でしょうか?
> また、設定等でうまく回避できたというような情報があればご教授いただけま
> せんでしょうか?
>
> --- /var/log/messageの抜粋
> Jun 12 22:23:50 earlgrey smbd_audit:
> daicyan|192.168.24.16|open|ok|r|cg/aaa
> Jun 12 22:23:50 earlgrey smbd_audit: daicyan|192.168.24.16|close|ok|
> Jun 12 22:23:50 earlgrey smbd_audit:
> daicyan|192.168.24.16|open|ok|r|cg/aaa
> Jun 12 22:23:50 earlgrey smbd_audit: daicyan|192.168.24.16|close|ok|
> 同様メッセージが100〜200件繰り返し表示されます
>
> 今のところ下記のような対策で回避できることは分かっているのですが、
> WindowsXP
>
> ・Windows2000クライアントでは2,3件しか出力されない
> ・エクスプローラーのステータスバーを非表示にして、フォルダオプションの
> 「フォルダとデスクトップの項目をポップアップで表示する」「フォルダのヒン
> トにファイルサイズ情報を表示する」を無効にすると出力されない
>
> SambaServerのOS
> Debian/GNU Linux(Lenny) amd86
> Sambaバージョン
> 3.2.5-4lenny2
> (RHEL 4.6付属のsamba-3.0.28でも同様の現象が出ています)
>
> ClientOS
> WindowsXP SP3
>
> /etc/samba/smb.confの一部
> [data]
> comment = data directory
> writable = yes
> path = /home/data
> public = no
> browseable = yes
> create mode = 644
> vfs objects = full_audit
> full_audit:failure = connect disconnect open close mkdir rmdir rename
> unlink
> full_audit:success = connect disconnect open close mkdir rmdir rename
> unlink
>
>
>
> --
> |\ ----- E-Mail :daisuke@xxxxx nn
> |D|aicyan | (^^)
> |/ aisuke. |aruki. WebPage http://www.taruki.com (m m)


投稿者 xml-rpc : 2009年6月17日 13:06
役に立ちました?:
過去のフィードバック 平均:(0) 総合:(0) 投票回数:(0)
本記事へのTrackback: http://hoop.euqset.org/blog/mt-tb2006.cgi/85982
トラックバック
コメント
コメントする




画像の中に見える文字を入力してください。