Benutzerauthentifizierungen protokollieren: Wer-Wann-Wo

gpeter · 14. März 2022 um 15:41

Hallo,

hoffentlich trete ich nicht gleich eine „DSGVO“ Grundsatzdiskussion los … ? Ich weiß, dass dies ein sensibles Thema ist.

Zum Glück selten aber es kommt vor, dass wir zB Vandalismus an PCs vorfinden, oder dass von einem PC aus „Unsinn“ getrieben wurde … usw.

Welche Möglichkeiten kennt ihr, um herauszufinden, wer sich wann an welchem IP-Gerät Angemeldet hat?
Bei Samba habe ich folgendes gefunden, das ich gerade testen möchte:
[Setting up Audit Logging - SambaWiki]

log level = 1 auth_audit:3 auth_json_audit:3

hat damit schon wer gearbeitet?
Grüße,
gerd

wilfried · 14. März 2022 um 15:54

Hallo Gerd,

damit nicht, aber ich habe auch mal nach Lösungen gesucht:

Die Ergebnisse waren nicht so ergiebig, vielleicht hast du mehr Erfolg.

Viele Grüße

Wilfried

Michael · 14. März 2022 um 16:41

Hallo Gerd!
Wir haben das bei unseren Laptops, die für Schüler zur Ausleihe zur Verfügung stehen und mit Win-10 bestückt sind, so per GPO geregelt, dass die letzten 10 Profile drauf bleiben und erst dann (zyklisch?) gelöscht wird.
Daher sehen wir immerhin an den Win-Geräten, wer da zuletzt angemeldet war.

Erst gestern hat jemand (ja, total witzig) ein Touchpad eines Yoga-12 mit einem spitzen Gegenstand zerkratzt. Wir hoffen, den total originellen Witzbold morgen ausfindig machen zu können

Viele Grüße,
Michael

gpeter · 14. März 2022 um 17:06

Danke für die Antworten,

haha, ja, dann sind wir uns ja einig …
@wilfried das dürfte nur die WLAN Accounts loggen - oder sehe ich das falsch?
Ich guck morgen mal die Log-files durch und schaue ob der Parameter oben was gebracht hat.
Merkwürdigerweise zeigt testparm diesen gesetzten Parameter nicht an, egal ob direkt in der smb.conf oder der custom.conf gesetzt … auch keine Fehler.

Grüße,
Gerd

wilfried · 15. März 2022 um 08:55

Hallo Gerd,

ja, bis auf die access.log, in der sollten alle stehen.-
Unter 6.2 gab es ja eine userlog-Datei. Sowas wäre auch unter V7 hilfreich.

Viele Grüße

Wilfried

gpeter · 15. März 2022 um 12:51

Hallo,
das hat zunächst nicht funktioniert. Auch per testparm erscheint keine entsrpechende Ausgabe, damit meine ich, dass der eingetragene log level nicht per testparm abrufbar ist, keine Ahnung warum das so ist.
Die Lösung bei uns war der zusätzlich benötigte Prameter für das log file
Folgende Kombi hat dann funktioniert:

    log level = 1 auth_audit:3 auth_json_audit:3
    log file = /var/log/fc01samba.log

Hier gibt es bestimmt noch tuning Möglichkeiten. Zum Beispiel bringt mir bisher die Ausgabe im JSON Format nix, weil ich das auf der Kommandozeile nicht als solches ausgegeben bekomme, zum Beispiel bringt das geeignete Tool „jq“ nur eine Fehlermeldung. Den nehme ich erst mal wieder raus.
Auch welcher Wert bei auth_audit:x der richtige ist, weiß ich noch nicht.
ABER: es tut erst mal (grob) das, wonach ich gesucht habe …

UND: ein echter Zeitfresser sind die Fehlermeldungen in den allgemeinen Samba Log’s, und hat nicht wirklich geholfen. Vielleicht gar nicht erst rein gucken …

Grüße,
Gerd

gpeter · 15. März 2022 um 13:01

Hallo,

kleine Ergänzung:
gefunden in einem Samba Buch von 1999:
siehe: [Chapter 4] 4.8 Logging Configuration Options

" … However, we can use variable substitution to create log files specifically for individual users or clients, such as with the %m variable in the following line: … "

log file = /var/log/samba.log.%m
Dann werden pro Client separate Dateien angelegt … bei >600 Hosts … viel Spaß dabei

Grüße,
gerd

Rupprecht · 13. Juli 2022 um 05:30

Liebe Kollegen,
ich stehe gerade vor dem gleichen Problem: Vandalismus: Wer war wann an welchem Rechner?

Hier habe ich bei lmn 7 nicht viel gefunden. U.a . diesen Threat.

Dieses log file …%m hat tatsächlich für jeden Rechner einen log erzeugt, was i. d. R. leer war. Dafür gab es die Datei log.%m in der die Anmeldungen standen.

Nach einigem probieren habe ich es jetzt so gemacht: in smb.con in [global]
log_level = auth_audit:3
max log size = 10000

Die Zeile mit log file und %m nicht gesetzt.

Jetzt steht in /var/log/samba/log.samba wann und wo sich jemand anmeldet.

Vielleicht kann es noch jemand brauchen …

VG,
Markus

baumhof · 13. Juli 2022 um 08:11

Hallo Markus,

welchen Tread hast du da gefunden?

LG

Holger

Rupprecht · 13. Juli 2022 um 08:15

Hi Holger,
ja eben wörtlich „diesen“ hier vom 14. März. Darum habe ich ihn nochmal nach oben geholt. Ein paar hatten das gleiche Problem mit Vandalismus und da hat dann niemand geantwortert. Hier stand „wenigstens“ ein bisschen was.

Vor allem nun blöd vor mich: Man stellt fest, dass es keine logs (Anmeldung, Wo, Wann) gibt, wenn man sie bräuchte.

Gruß,
Markus

gpeter · 14. Juli 2022 um 16:27

HI,
was hat dir bei der von mir oben vorgeschlagenen Lösung gefehlt?
Lösung: das war die „mit ohne pro PC“, da wo Lösung drunter steht
Grüße,
gerd

Rupprecht · 15. Juli 2022 um 05:26

Hi Gerd,
jetzt muss ich über mich selber schmunzeln. Ich habe diesen Threat natürlich überflogen, aber da waren bei Dir ein paar „negative“ Äußerungen, wie „nicht funktioniert“, „bringt nichts“, dass ich komplett überlesen habe, dass es dennoch die Lösung ist. Ich habe nach dem auth_audit dann eine Weile gesucht und echt nicht mehr gesehen, dass es bei Dir schon steht. Wie man immer so schön sagt: Augen auf im Straßenverkehr!
Gruß,
Markus