LMN 7.x Was loggt Ihr?

Hallo Forum,

ich richte derzeit eine LMN 7.1 für eine Schule ein. Es geht dabei auch ums loggen. Deshalb frage ich einmal in die Runde, was Ihr loggt, was auch in rechtlichen Rahmen zulässig ist.

Viele Grüße

Alois

Hallo Alois,

wir loggen das, was das System eben loggt. Also quasi nichts.
Ich würde aber gerne loggen, wer sich wann ein- oder ausloggt. Das habe ich schon ein paar mal vermisst.
Leider weiß ich nicht, wie man das macht.
Gruß,
Mathias

Hallo Matthias,

es sollte zumindest - wie in der 6.2 und früher - möglich sein nachzuvollziehen, wer in welchem Zeitraum wo eingeloggt war. Und an anderer Stelle. Welcher Rechner welche Webseite besucht hat.

Vielleicht weis jemand von den @Entwickler wo man solche Logs findet.

Viele Grüße

Alois

Hallo zusammen.
Vermutlich geht es um das hier:
https://wiki.samba.org/index.php/Setting_up_Audit_Logging

Viele Grüße,
Michael

Hallo zusammen,

Da steht:

When using Kerberos authentication, the KDC is responsible for authentication. Therefore, Samba on an AD domain member can not log the authentication event.

Was wohl auf uns zutrifft. Wie man den KDC dazu bringt, Authentication zu loggen, weiß ich nicht. Vielleicht weiß jemand, wie das geht…

Gruß,
Mathias

Ist das

die Lösung?

Gruß Alois

Naja, man sieht eben dann im Samba log, wer sich wann an welchem Rechner angemeldet hat. Insofern ist es schon eine Lösung. Was noch schön wäre, wenn man mit „Namen“ sieht, wann man sich abgemeldet hat. Das ist nicht so.

Gruß,
Markus

Hallo Markus,

Gerd hat hier folgendes geschrieben:

das hat auf mich so gewirkt, als ob die logs dadurch durch die Decke gehen würden. Kannst du das bestätigen?

Viele Grüße

Wilfried

Hallo zusammen,

bei der LMN 6 wurde das ja ganz gut mit preexec und postexec gelöst. In etwas vereinfachter Version:

#Datei smb.conf
...
[homes]
...
root preexec  = echo  "$(date +%F\ %H:%M:%S) %u Klasse/Gruppe %g angemeldet an Rechner %m (%I)" >> /pfad/zum/log
root postexec  = echo  "$(date +%F\ %H:%M:%S) %u Klasse/Gruppe %g abgemeldet von Rechner %m (%I)" >> /pfad/zum/log

Man kann das natürlich noch in ein Skript packen und aufhübschen oder noch andere Dinge erledigen. Das „root“ ist nicht erforderlich, wenn man die Dateirechte des Logfiles richtig setzt.

Beste Grüße

Jörg

Funktioniert das auf diesem Weg weiterhin bzw hast Du es so getestet?

Hallo Michael,

ich kann es gerade nicht testen, aber generell funktioniert preexec noch.

Beste Grüße

Jörg

Hallo Jörg,
ok – ich frage nur deshalb, weil sich ja noch mehr geändert hat und SAMBA jetzt als AD dient … und wie Matthias schon in #5 richtig gestellt hat: „Therefore, Samba on an AD domain member can not log the authentication event.“ – vielleicht widersprechen sich aus diesem Grund hier gerade einige Beiträge??

Nachtrag: Mit den Einträgen werden jetzt imho alle Anmeldungen in die Log-Datei geschrieben, also auch alle, die sich an Moodle usw anmelden. Geht vielleicht etwas zu weit bzw ist unnötig, da ja eigentlich nur die Anmeldungen an die Rechner in der Schule von Interesse sind?!?

Viele Grüße,
Michael

Hallo Michael,

/„Therefore, Samba on an AD domain member can not log the
authentication event.“/
Unser Samba ist der AD-Controller, nicht nur „domain member“. Und mit
dem Audit-Logging geht es ja auch, die Information ist also da.

Aber wie gesagt kann ich es nicht testen, meiner VM-Umgebung fehlt noch
der Client - ein solcher Test ist aber schnell erledigt.

Viele Grüße

Jörg

Hallo Michael,

den Nachtrag kam nicht mehr per Mail, sorry.

Es klappt also, das ist schon mal gut. Wenn zu viel ins Log geschrieben wird, dann würde ich doch keinen Einzeiler nehmen, sondern ein gesondertes Skript. Da kann man dann leicht Anmeldungen von Moodle, Nextcloud und anderen Diensten herausfiltern. Oder man loggt z. B. nach /pfad/zum/login-%m.log, dann ist es auch gleich schön nach Rechnern sortiert.

Beste Grüße

Jörg

Hi. Die Größe der Log-Datei angeht:
Gestern war sie 0 kB groß … und jetzt:

-rw-r--r--  1 root root   4654568 Jul 15 12:16 log.samba

Sie wächst also schon ordentlich. Ich habe die Größenbegrenzung wie oben vorgeschlagen aber gesetzt…

Das größere Problem scheint zu sein: In meiner smb.conf gibt es keinen Eintrag für die Homes mehr :thinking:

… das war vielleicht ein Missverständnis: Ich hatte bisher nur die Einträge von ganz oben ausprobiert, nicht aber die preexec/postexec-Einträge.

Hallo Michael,

OK, das muss man inzwischen woanders konfigurieren. Ich muss mir das mal
in Ruhe ansehen.

Aber es gibt ja offenbar schon eine funktionierende Lösung, auch wenn
noch Feintuning nötig zu sein scheint.

Beste Grüße

Jörg

… ich habe gesehen, dass alle eigenen Änderungen + Feintuning in die Datei
smb.conf.admin eingetragen werden sollen:
# add here your custom admin stuff

Hallo Wilfried,

das mit dem log file = /var/log/samba.log.%m => 1 Logdatei pro Rechner habe ich dann nicht gemacht. Ich habe jetzt nur dieses auth_audit:3 drin und nach drei Tagen ist mein samba log nun 8613038 Bytes lang. Es geht. Ist aber irgendwie trotzdem unübersichtlich. Aber natürlich besser als gar nichts.

Gruß,

Markus

Hallo Markus,

Das kann man ja mit Logrotate in den Griff bekommen.

Ich habe im Übrigen ein Issue zu der Thematik erstellt.

Viele Grüße

Alois