成都制作手机网站,wordpress 公司主题,公司网站建设实施方案,网页设计课程心得体会要完整记录与查看共享文件访问日志#xff0c;核心是启用系统级审计策略 配置文件 / 共享的审计规则 查看对应日志#xff0c;下面按Windows#xff08;SMB 共享#xff09;、**Linux#xff08;Samba 共享#xff09;** 分别给出可直接落地的配置与查看方法。当然&…要完整记录与查看共享文件访问日志核心是启用系统级审计策略 配置文件 / 共享的审计规则 查看对应日志下面按WindowsSMB 共享、**LinuxSamba 共享** 分别给出可直接落地的配置与查看方法。当然对于一些企事业单位来说部署专门的服务器共享文件管理软件可能是一个更加快速、高效的抉择。例如大势至局域网共享文件管理系统dashizhi.com只需要在服务器上安装之后就可以设置共享文件访问权限可以只让读取共享文件而禁止复制共享文件、只让打开共享文件而禁止另存为本地磁盘、只让修改共享文件而禁止删除共享文件并且可以详细记录局域网用户访问共享文件的权限。如下图所示图大势至局域网共享文件管理系统一、Windows 服务器SMB 共享1. 启用文件访问审计必做方法 1本地组策略单机 / 工作组按WinR→ 输入gpedit.msc打开组策略编辑器进入计算机配置 → Windows 设置 → 安全设置 → 高级审核策略配置 → 对象访问 → 文件系统双击配置文件系统审核→ 勾选成功、失败→ 确定命令行执行gpupdate /force强制刷新策略方法 2域环境GPO在域控制器打开组策略管理GPMC新建 / 编辑链接到文件服务器 OU 的 GPO路径同上启用文件系统审核成功 失败等待策略同步或执行gpupdate /force2. 为共享文件夹配置 SACL审计规则右键目标共享文件夹 →属性 → 安全 → 高级 → 审核 → 继续点击添加→选择主体→ 输入要审计的用户 / 组如Everyone、Domain Users→ 确定勾选需要审计的操作按需选择读取数据、列出文件夹内容、读取属性写入数据、创建文件、创建文件夹删除、更改权限、取得所有权勾选替换所有子对象的可审核项→ 确定保存3. 查看访问日志事件查看器按WinR→ 输入eventvwr.msc打开事件查看器进入Windows 日志 → 安全筛选关键事件 ID右侧 “筛选当前日志”4663文件 / 文件夹被访问读 / 写 / 删 / 改5145网络共享对象被访问含共享名、客户端 IP双击事件查看详情账户名、客户端 IP、对象路径、访问类型4. 实时查看当前连接与打开文件图形化计算机管理 → 系统工具 → 共享文件夹 → 会话 / 打开的文件命令行powershell# 查看当前SMB会话 Get-SmbSession # 查看当前打开的文件 Get-SmbOpenFile二、Linux 服务器Samba 共享1. 基础日志配置连接 / 访问记录编辑 Samba 主配置vi /etc/samba/smb.conf在[global]段添加 / 修改ini# 日志路径%m客户端IP/主机名自动分文件 log file /var/log/samba/log.%m # 日志级别3详细5调试 log level 3 # 最大日志大小MB max log size 50重启 Sambasystemctl restart smb nmb2. 启用 full_audit 插件记录文件操作增删改查安装 Samba 审计模块CentOS/RHELbash运行yum install samba-vfs-modules -y在smb.conf的[global]或具体共享段添加ini# 启用审计插件 vfs objects full_audit # 审计日志路径 full_audit:log /var/log/samba-audit.log # 记录成功/失败操作 full_audit:success connect open read write rename unlink mkdir rmdir full_audit:failure connect open read write rename unlink mkdir rmdir # 日志前缀含用户、IP、共享名 full_audit:prefix %u|%I|%S重启 Sambasystemctl restart smb3. 查看日志基础连接日志bash运行# 查看所有客户端日志 ls -l /var/log/samba/ # 实时查看指定客户端IP如192.168.1.100的日志 tail -f /var/log/samba/log.192.168.1.100 # 查看SMB服务总日志 tail -f /var/log/samba/log.smbd详细文件操作审计日志bash运行# 实时查看审计日志 tail -f /var/log/samba-audit.log # 日志格式示例用户名|客户端IP|共享名|操作|文件路径 alice|192.168.1.100|share|open|/share/doc.txt bob|192.168.1.101|share|unlink|/share/old.doc查看当前连接bash运行# 查看当前Samba会话 smbstatus # 过滤445端口连接SMB默认端口 netstat -tulnp | grep smbd三、日志管理与最佳实践日志轮转配置logrotate避免日志占满磁盘集中日志将日志发送到 ELK、Splunk 或 SIEM 系统便于检索与告警权限控制仅管理员可访问审计日志防止篡改定期审查定期检查异常访问如大量删除、越权访问四、常见问题Windows 无 4663/5145 事件检查审核策略是否启用、SACL 是否配置、是否执行gpupdateLinux Samba 无审计日志检查vfs objects full_audit是否正确、日志路径权限是否为smbuser可写