Benutzerauthentifizierungen protokollieren: Wer-Wann-Wo

Hallo,

hoffentlich trete ich nicht gleich eine „DSGVO“ Grundsatzdiskussion los … ? Ich weiß, dass dies ein sensibles Thema ist.

Zum Glück selten aber es kommt vor, dass wir zB Vandalismus an PCs vorfinden, oder dass von einem PC aus „Unsinn“ getrieben wurde … usw.

Welche Möglichkeiten kennt ihr, um herauszufinden, wer sich wann an welchem IP-Gerät Angemeldet hat?
Bei Samba habe ich folgendes gefunden, das ich gerade testen möchte:
[Setting up Audit Logging - SambaWiki]

log level = 1 auth_audit:3 auth_json_audit:3

hat damit schon wer gearbeitet?
Grüße,
gerd

Hallo Gerd,

damit nicht, aber ich habe auch mal nach Lösungen gesucht:

Die Ergebnisse waren nicht so ergiebig, vielleicht hast du mehr Erfolg.

Viele Grüße

Wilfried

Hallo Gerd!
Wir haben das bei unseren Laptops, die für Schüler zur Ausleihe zur Verfügung stehen und mit Win-10 bestückt sind, so per GPO geregelt, dass die letzten 10 Profile drauf bleiben und erst dann (zyklisch?) gelöscht wird.
Daher sehen wir immerhin an den Win-Geräten, wer da zuletzt angemeldet war.

Erst gestern hat jemand (ja, total witzig) ein Touchpad eines Yoga-12 mit einem spitzen Gegenstand zerkratzt. Wir hoffen, den total originellen Witzbold morgen ausfindig machen zu können :face_with_symbols_over_mouth:

Viele Grüße,
Michael

Danke für die Antworten,

haha, ja, dann sind wir uns ja einig …
@wilfried das dürfte nur die WLAN Accounts loggen - oder sehe ich das falsch?
Ich guck morgen mal die Log-files durch und schaue ob der Parameter oben was gebracht hat.
Merkwürdigerweise zeigt testparm diesen gesetzten Parameter nicht an, egal ob direkt in der smb.conf oder der custom.conf gesetzt … auch keine Fehler.

Grüße,
Gerd

Hallo Gerd,

ja, bis auf die access.log, in der sollten alle stehen.-
Unter 6.2 gab es ja eine userlog-Datei. Sowas wäre auch unter V7 hilfreich.

Viele Grüße

Wilfried

Hallo,
das hat zunächst nicht funktioniert. Auch per testparm erscheint keine entsrpechende Ausgabe, damit meine ich, dass der eingetragene log level nicht per testparm abrufbar ist, keine Ahnung warum das so ist.
Die Lösung bei uns war der zusätzlich benötigte Prameter für das log file
Folgende Kombi hat dann funktioniert:

    log level = 1 auth_audit:3 auth_json_audit:3
    log file = /var/log/fc01samba.log

Hier gibt es bestimmt noch tuning Möglichkeiten. Zum Beispiel bringt mir bisher die Ausgabe im JSON Format nix, weil ich das auf der Kommandozeile nicht als solches ausgegeben bekomme, zum Beispiel bringt das geeignete Tool „jq“ nur eine Fehlermeldung. Den nehme ich erst mal wieder raus.
Auch welcher Wert bei auth_audit:x der richtige ist, weiß ich noch nicht.
ABER: es tut erst mal (grob) das, wonach ich gesucht habe …

UND: ein echter Zeitfresser sind die Fehlermeldungen in den allgemeinen Samba Log’s, und hat nicht wirklich geholfen. Vielleicht gar nicht erst rein gucken … :frowning:

Grüße,
Gerd

Hallo,

kleine Ergänzung:
gefunden in einem Samba Buch von 1999:
siehe: [Chapter 4] 4.8 Logging Configuration Options

" … However, we can use variable substitution to create log files specifically for individual users or clients, such as with the %m variable in the following line: … "

log file = /var/log/samba.log.%m
Dann werden pro Client separate Dateien angelegt … bei >600 Hosts … viel Spaß dabei :wink:

Grüße,
gerd

Liebe Kollegen,
ich stehe gerade vor dem gleichen Problem: Vandalismus: Wer war wann an welchem Rechner?

Hier habe ich bei lmn 7 nicht viel gefunden. U.a . diesen Threat.

Dieses log file …%m hat tatsächlich für jeden Rechner einen log erzeugt, was i. d. R. leer war. Dafür gab es die Datei log.%m in der die Anmeldungen standen.

Nach einigem probieren habe ich es jetzt so gemacht: in smb.con in [global]
log_level = auth_audit:3
max log size = 10000

Die Zeile mit log file und %m nicht gesetzt.

Jetzt steht in /var/log/samba/log.samba wann und wo sich jemand anmeldet.

Vielleicht kann es noch jemand brauchen …

VG,
Markus

Hallo Markus,

welchen Tread hast du da gefunden?

LG

Holger

Hi Holger,
ja eben wörtlich „diesen“ hier vom 14. März. Darum habe ich ihn nochmal nach oben geholt. Ein paar hatten das gleiche Problem mit Vandalismus und da hat dann niemand geantwortert. Hier stand „wenigstens“ ein bisschen was.

Vor allem nun blöd vor mich: Man stellt fest, dass es keine logs (Anmeldung, Wo, Wann) gibt, wenn man sie bräuchte.

Gruß,
Markus

HI,
was hat dir bei der von mir oben vorgeschlagenen Lösung gefehlt?
Lösung: das war die „mit ohne pro PC“, da wo Lösung drunter steht :wink:
Grüße,
gerd

Hi Gerd,
jetzt muss ich über mich selber schmunzeln. Ich habe diesen Threat natürlich überflogen, aber da waren bei Dir ein paar „negative“ Äußerungen, wie „nicht funktioniert“, „bringt nichts“, dass ich komplett überlesen habe, dass es dennoch die Lösung ist. Ich habe nach dem auth_audit dann eine Weile gesucht und echt nicht mehr gesehen, dass es bei Dir schon steht. Wie man immer so schön sagt: Augen auf im Straßenverkehr! :wink:
Gruß,
Markus