Tip super rapido para loguear creacion/borrado/escritura de archivos o carpetas en SAMBA
En [global] (o en el recurso que queramos loguear) agregamos las lineas:
vfs objects = full_audit
full_audit:prefix = %U|%u|%I
full_audit:success = mkdir rmdir rename pwrite write unlink
full_audit:failure = none
full_audit:facility = LOCAL6
full_audit:priority = ALERT
Luego en /etc/syslog.conf agregamos la siguiente linea:
local6.* /var/log/samba/samba_audit.log
Reiniciamos samba y syslog:
service syslog restart && service smb restart
Y comenzaremos a ver en /var/log/samba/samba_audit.log lo que borran o crean los usuarios.
Ejemplo:
Mar 17 17:16:57 localhost smbd_audit: csepulveda|web|192.168.1.11|pwrite|ok|123
Mar 17 17:17:00 localhost smbd_audit: csepulveda|web|192.168.1.11|unlink|ok|./123
Mar 17 17:17:28 localhost smbd_audit: csepulveda|web|192.168.1.11|mkdir|ok|carpeta
Mar 17 17:17:30 localhost smbd_audit: csepulveda|web|192.168.1.11|rmdir|ok|carpeta
Mar 17 17:17:39 localhost smbd_audit: csepulveda|web|192.168.1.11|pwrite|ok|renombrar
Mar 17 17:17:46 localhost smbd_audit: csepulveda|web|192.168.1.11|rename|ok|./renombrar|./renombrar123
Saludos!
Botellas Rotas 
One Comment
Perfecto, gracias!