Для настройка аудита файловых операций необходимо провести несколько действий(проверено для ubuntu server 14.04.
1.Отредактировать файл /etc/rsyslog.d/50-default.conf
sudo nano /etc/rsyslog.d/50-default.conf;
комментируем строку(ставим решетку)
#*.*;auth,authpriv.none -/var/log/syslog
добавляем строку
local5.debug -/var/log/samba_audit.log
2. В /etc/samba/smb.conf в описании каждой шары (везде свой префикс, например для [Obmen])
sudo /etc/samba/smb.conf
vfs objects = full_audit full_audit:prefix = [Obmen] %u|%I full_audit:failure = none full_audit:success = mkdir rmdir open read pread write pwrite sendfile rename unlink lock full_audit:facility = local5 full_audit:priority = debug
3. Рестартим sambu
sudo service smbd restart && sudo service rsyslog restart
4. Profit! Логи падают в /var/log/samba_audit.log
После проведенных настроек логи в /var/log/samba_audit.log не записываютсясовсем.
Если не комментировать #*.*;auth,authpriv.none -/var/log/syslog , то самбовские действия записываются только в /var/log/syslog
После прочтения кучи на просторе инета манов , этот идеален : 1-прост, 2-понятен ,3-краток.