Logs de Samba, syslog y extd_audit

Jue Mar 27 12:53:27 CLST 2008

Hola lista.

Tengo el siguiente problema con los log de samaba.

Necesito monitorear los cambios que se hacen en los archivos de una carpeta 
compartida, con eso me refiero a saber desde que maquina y cuando se 
renombro, borro, creo y acceso a un fichero.

logro tener estos resultados en syslog el único problema es que no me indica 
desde que maquina o con que usuario son realizadas las acciones auditadas.

en los archivos 
log file = /var/log/samba/log.%m

se me loguean sólo las acciones de Borrar, crear carpeta (solo careta no 
archivo) y borrar archivos y carpetas.

pero no me loguea el acceso a ficheros, ni carpetas ni tampoco el renombrar 
carpetas o archivos.

espero me puedan dar una mano, adjunto mi smb.conf y una parte de los logs de 
syslog y del log por maquina realizando las acciones:
- crear directorio
- renombrar directorio
- acceder al directorio
- volver al directorio anterior
- borrar directorio
- crear archivo
- renombrar archivo
- borrar archivo.

smb.conf:

[global]
   workgroup = digitalmente
   server string = %h server
   log file = /var/log/samba/log.%m
   security = user
   socket options = TCP_NODELAY
   netbios name = INTRANET
   log level = 0 vfs:2
   max log size = 0

[ZETA]
path = /mnt/zeta/intranet/omega/zeta
comment = Documentos
vfs objects = extd_audit
writeable = yes
browseable = yes

el ejemplo del log de syslog.

Mar 27 11:29:43 samba smbd_audit[27292]: opendir Soporte
Mar 27 11:29:43 samba smbd_audit[27292]: chmod_acl Soporte/crear_carpeta mode 
0x1ed failed: La operación no está soportada
Mar 27 11:29:43 samba smbd_audit[27292]: mkdir Soporte/crear_carpeta
Mar 27 11:29:43 samba smbd_audit[27292]: [2008/03/27 11:29:43, 0] 
modules/vfs_extd_audit.c:audit_mkdir(182)
Mar 27 11:29:43 samba smbd_audit[27292]:   vfs_extd_audit: mkdir 
Soporte/crear_carpeta
Mar 27 11:29:43 samba smbd_audit[27292]: opendir Soporte
Mar 27 11:30:00 samba smbd_audit[27292]: rename Soporte/crear_carpeta -> 
Soporte/renombrar_carpeta
Mar 27 11:30:02 samba smbd_audit[27292]: opendir Soporte/renombrar_carpeta
Mar 27 11:30:13 samba smbd_audit[27292]: opendir Soporte/renombrar_carpeta
Mar 27 11:30:13 samba smbd_audit[27292]: rmdir Soporte/renombrar_carpeta
Mar 27 11:30:13 samba smbd_audit[27292]: [2008/03/27 11:30:13, 0] 
modules/vfs_extd_audit.c:audit_rmdir(200)
Mar 27 11:30:13 samba smbd_audit[27292]:   vfs_extd_audit: rmdir 
Soporte/renombrar_carpeta
Mar 27 11:30:35 samba smbd_audit[27292]: opendir Soporte
Mar 27 11:30:35 samba smbd_audit[27292]: open Soporte/crear_archivo.txt (fd 
25) for writing
Mar 27 11:30:35 samba smbd_audit[27292]: fchmod_acl Soporte/crear_archivo.txt 
mode 0x1e4 failed: La operación no está soportada
Mar 27 11:30:35 samba smbd_audit[27292]: close fd 25
Mar 27 11:30:35 samba smbd_audit[27292]: opendir Soporte
Mar 27 11:30:42 samba smbd_audit[27292]: rename Soporte/crear_archivo.txt -> 
Soporte/renombrar_archivo.txt
Mar 27 11:30:47 samba smbd_audit[27292]: unlink Soporte/renombrar_archivo.txt
Mar 27 11:30:47 samba smbd_audit[27292]: [2008/03/27 11:30:47, 0] 
modules/vfs_extd_audit.c:audit_unlink(273)
Mar 27 11:30:47 samba smbd_audit[27292]:   vfs_extd_audit: unlink 
Soporte/renombrar_archivo.txt

ejemplo /var/log/samba/log.cesar :

[2008/03/27 11:29:43, 0] modules/vfs_extd_audit.c:audit_mkdir(182)
  vfs_extd_audit: mkdir Soporte/crear_carpeta
[2008/03/27 11:30:13, 0] modules/vfs_extd_audit.c:audit_rmdir(200)
  vfs_extd_audit: rmdir Soporte/renombrar_carpeta
[2008/03/27 11:30:47, 0] modules/vfs_extd_audit.c:audit_unlink(273)
  vfs_extd_audit: unlink Soporte/renombrar_archivo.txt

Los logs los tengo, pero en syslog no tengo como saber, amenos de que sea por 
el PID, desde donde se realizo la acción, y en el log /var/log/samba/log.%m 
obtengo muy poca info.

De antemano, gracias.

Atte
César Sepúlveda Barra.