RockyLinux文件共享监控方法（手把手教你监控Samba共享文件夹的访问行为）

二、前提条件

确保你已完成以下步骤：

• 已安装 RockyLinux（建议 8.x 或 9.x 版本）
• 已配置好 Samba 共享服务（如未配置，请先安装：sudo dnf install samba samba-client -y）
• 拥有 root 或 sudo 权限

三、启用 Samba 日志记录

Samba 默认会记录部分日志，但我们需增强其详细程度。编辑 Samba 配置文件：

sudo nano /etc/samba/smb.conf

在 [global] 段落下添加或修改以下参数：

[global]   log level = 2   log file = /var/log/samba/%m.log   max log size = 50   vfs objects = full_audit   full_audit:prefix = %u|%I|%m|%S   full_audit:success = open read pread write pwrite sendfile rename unlink   full_audit:failure = none   full_audit:facility = local7   full_audit:priority = notice

参数说明：

• log level = 2：提高日志详细级别（0~10，2 足够日常监控）
• vfs objects = full_audit：启用完整审计模块
• full_audit:success：记录成功操作类型
• %u|%I|%m|%S：日志前缀格式（用户名|IP地址|主机名|共享名）

四、重启 Samba 服务并验证

sudo systemctl restart smb nmbsudo systemctl enable smb nmb

现在，当用户访问共享文件夹时，日志将记录在 /var/log/samba/ 目录下，每个客户端一个日志文件（如 client01.log）。

五、集中日志管理（可选但推荐）

为了便于分析，可将 Samba 审计日志发送到系统日志（rsyslog）。编辑 rsyslog 配置：

sudo nano /etc/rsyslog.d/01-samba.conf

添加以下内容：

local7.*   /var/log/samba-audit.log

重启 rsyslog：

sudo systemctl restart rsyslog

现在所有审计日志都会写入 /var/log/samba-audit.log，方便统一查看。

六、实时监控与告警（进阶）

你可以使用 tail -f 实时查看日志：

tail -f /var/log/samba-audit.log

若需自动告警，可编写简单脚本配合 cron 或使用工具如 fail2ban、auditd 等进行深度监控。

七、总结

通过上述步骤，你已经成功搭建了一套基础但有效的 Linux共享文件夹监控 系统。无论是用于安全审计还是日常运维，这套方案都能提供清晰的文件访问轨迹。记住定期检查日志，并根据实际需求调整监控粒度。

关键词回顾：本文覆盖了 RockyLinux文件共享监控、Linux共享文件夹监控、RockyLinux Samba监控 和 文件访问日志分析 四大核心主题，助你全面掌握共享安全。

提示：生产环境中建议结合 SELinux 策略和防火墙规则，进一步加固 Samba 服务安全。