Voici un petit script qui permet d'avoir un résumé de l'activité samba en filtrant les journaux de Samba.
if [ $1 = "now" ] then logs=/var/log/smb_audit.log echo "Synthèse de l'utilisation récente de SAMBA"; echo; echo "Sessions ouvertes :"; cat $logs | grep "tools|open|ok|r|001conf.bat" | uniq | wc -l; echo; echo "Fichiers consultés :"; cat $logs | grep "|open|ok|r|" | uniq | wc -l; echo; echo "Fichiers écrits :"; cat $logs | grep "|open|ok|w|" | uniq | wc -l; echo; echo "Fichiers supprimés :"; cat $logs | grep "|unlink|ok|" | uniq | wc -l; echo; echo "Fichiers renommés :"; cat $logs | grep "|rename|ok|" | uniq | wc -l; echo; echo "Utilisateurs actifs :" cat $logs | cut -d":" -f4 | cut -d"|" -f1-3 | sort | uniq -c; else logs=/var/log/smb_audit.log-$1 echo "Synthèse de l'utilisation de SAMBA - $1"; echo; echo "Sessions ouvertes :"; zcat $logs | grep "tools|open|ok|r|001conf.bat" | uniq | wc -l; echo; echo "Fichiers consultés :"; zcat $logs | grep "|open|ok|r|" | uniq | wc -l; echo; echo "Fichiers écrits :"; zcat $logs | grep "|open|ok|w|" | uniq | wc -l; echo; echo "Fichiers supprimés :"; zcat $logs | grep "|unlink|ok|" | uniq | wc -l; echo; echo "Fichiers renommés :"; cat $logs | grep "|rename|ok|" | uniq | wc -l; echo; echo "Utilisateurs actifs :" zcat $logs | cut -d":" -f4 | cut -d"|" -f1-3 | sort | uniq -c; fi
Pour afficher l'activité récente uniquement : sh audit_samba.sh now
Pour afficher l'historique d'activité du 01/01/2021 : sh audit_samba.sh 20210101
Pour afficher l'historique d'activité du mois de Janvier 2021 : sh audit_samba.sh 202101*
Pour afficher l'historique d'activité de l'année 2021 : sh audit_samba.sh 2021*
Exemple de synthèse :
Synthèse utilisation SAMBA - 20210101 Sessions ouvertes : 4 Fichiers consultés : 5836 Fichiers écrits : 324 Fichiers supprimés : 66 Fichiers renommés : 16 Utilisateurs actifs : 51 user1|192.168.136.196|port-1 120 user2|192.168.137.72|desk-user2 16 user3|192.168.137.92|serveur