Hallo alle zusammen,
ich hab mal an meiner lmn rumgeschraubt um das mit den logdateien wein wenig aus zu sortieren (auch zum Erstellen eines Verfahrensverzeichnisses)
Da würden mich eure Meinungen dazu interessieren.
-
In meiner virtuellen Umgebung stelte ich fest, dass das logging der lmn 7.3 im Auslieferungszustand erfrischen schlank eingestellt ist. Ich dachte ich müßte x und y dokumentieren: was wie lange wo vorgehalten wird usw. .. muss ich aber garnicht: da nichts von Relevanz vorgehalten wird (auf dem Server). Keine Userlogins oder ähnliches. Deswegen ist auch das logrotate gar nicht so wichtig …
-
nach dem das festgestellt war, war das Erstellen des Verfahrensverzeichnisses in der Richtung sehr schnell erledigt (OPNsense fehlt noch: das kommt also noch).
Doch in der Schule will ich schon ein wenig mehr geloggt haben, also habe ich in der Datei
/etc/samba/smb.conf folgende Zeilen ergänzt:
log level = auth_audit:3
max log size = 10000
(danach den dienst neustarten mittels service samba-ad-dc restart)
Das führt dazu, dass in der Datei /var/log/samba/log.wb-DOMAINNAME die Logins mit je zwei Zeilen geloggt werden. Außerdem entstehen noch sehr viele autheinträge in der /var/log/samba/log.samba, die aber wohl alle von der edulution INstanz herrühren.
- nun muss man aber auch für Wartung sorgen: mit mehr Logs kommt mehr Verantwortung
Also muss alles schön rotiert und gelöscht werden.
Dazu hab ich erstmal das Grundsätzliche rotieren geregelt mittels einer /etc/logrotate.conf Datei folgenden Inhalts:
weekly
su root adm
rotate 4
create
compress
include /etc/logrotate.d
So wird alles, was geloggt wird per default jede Woche rotiert und nach 4 Wochen gelöscht.
Dazu hab ich für Sambalogs noch zusätzliche Einstellungen gemacht:
/etc/logrotate.d/samba-logins
/var/log/samba/log.samba {
weekly
rotate 7
delaycompress
compress
notifempty
missingok
}
/var/log/samba/log.wb-DOMAINNAME {
weekly
rotate 7
delaycompress
compress
notifempty
missingok
}
/var/log/samba/log.winbindd {
weekly
rotate 7
delaycompress
compress
notifempty
missingok
}
/var/log/samba/log.smbd {
weekly
rotate 7
delaycompress
compress
notifempty
missingok
}
Damit werden die Userlogins 7 Wochen aufgehoben.
Hier noch ein Beispiel aus meiner log-wb-DOMAINNAME
[2026/03/27 13:45:41.766293, 3] auth/auth_log.c:858(log_authentication_event_human_readable)
Auth: [winbind,NTLM_AUTH, ntlm_auth, 3268787] user [DOMAINNAME][USERNAME] at [Fr, 27 Mär 2026 13:45:41.766276 CET] with [NTLMv1] status [NT_STATUS_OK] workstation [SERVER] remote host [unix:] became [DOMAINNAME][USERNAME] [SAMBA-SID]. local host [unix:]
Viele Grüße
Holger