เวลาพิมพ์ไม่มากนักนะครับ เอาเท่าที่ได้ก่อนแล้วกันนะครับ

อันดับแรก ขอแก้ไข smb.conf ของคุณก่อนนะครับ

log level = 0 vfs:10

ตรงนี้ไม่ต้องไปกำหนด vfs:10 ดอกครับ มันไว้กำหนดสำหรับ extd_audit.so และ full_audit.so ครับ แต่ไม่ได้มีผลอะไรเลยกับ audit.so อีกอย่างคือ จะทำให้ log เต็มอย่างรวดเร็ว เพราะระดับ 10 นี่มันเท่ากับ Highest debug level เลย จะมี Message ที่เกินกว่าที่คุณจะใช้ออกมาอย่างมากมายซึ่งเอาไว้ใช้สำหรับผู้พัฒนาครับ ส่วนการกำหนดให้ log ไปเขียนลงไฟล์ smblog.txt นั้น โอเคแล้วครับ แต่อย่าลืมเสียเองล่ะ ว่าตนเองระบุให้ Samba เก็บในไฟล์ไหน

ต่อมาก็ vfs object = audit recycle

เข้าใจว่าลอกตัวอย่างมาเลย ที่เห็นก็เท่ากับ Plugin เอา recycle.so เข้าไปด้วย แต่ดันไม่กำหนด Parameter ให้ recycle เลย ส่วน audit ถูกต้องแล้วครับ บรรทัดนี้ของคุณแปลว่า ให้ Plugin audit.so และ recycle.so เข้าไปทำงานด้วยเมื่อบริการแชร์ [00-Anivirus] แต่ที่คุณ Plug เข้าไปโดยไม่ระบุอะไรอีก recycle ไม่ทำงานแน่ๆ เพราะเขาต้องการ Parameter อีกเช่นดังต่อไปนี้...

recycle:exclude = Thumbs.db
recycle:keeptree = yes
recycle:maxsize = 16777216
recycle:directory_mode = 755
recycle:subdir_mode = 755
recycle:versions = no
recycle:repository = .recycled

recycle Object ใช้เพื่อเวลา Client สั่งลบไฟล์ ก็จะทำการย้ายไฟล์ไปยังที่เรากำหนดแทนที่จะลบทิ้งไปจริงๆ กำหนดตามหลังบรรทัด vfs object = นั่นแหละ กำหนดแยกในแต่ละแชร์ไป แต่ละตัวเดาออกไหมครับว่าคืออะไร

exclude น่าจะเดาออก
keeptree ถ้าเป็น no ก็จะเก็บไฟล์เฉพาะตัวไฟล์ ไม่เก็บทั้งโครงสร้าง ถ้าเป็น yes ก็จะเก็บทั้ง Path เหมือนที่ถูกลบเลย
maxsize มีค่าเป็น Byte นะครับ
directory_mode และ subdir_mode ก็คือให้เปลี่ยน Mode ของไดเร็คทอรี่และไฟล์เป็นอะไรหลังจากย้ายไปแล้ว
versions นี่คือ หากไฟล์เดียวกัน ชื่อเดียวกัน ถูกลบซ้ำมา 2 ครั้ง จะเลือกเก็บไฟล์ตาม Stamp time ล่าสุด หรือเก็บตามครั้งที่ลบล่าสุด
repository คือที่ที่เรากำหนดให้เป็นที่เก็บไฟล์ที่ถูกลบ ในที่นี้ใว่แค่ .recycled ก็หมายความว่า ให้เก็บไว้ที่ Share directory นั้นแหละ แต่ไว้ใน Directory ชื่อ .recycled อีกที เราจะกำหนดเป็น /home/recycle หรือจะที่ไหนก็ได้ครับ

จบการอธิบายการใช้ recycle Object ไว้ตรงนี้ ที่เหลือไปหัดเล่นกันเอาเองนะครับ ติดปัญหาแล้วค่อยมาถาม

มาต่อที่ audit Object กันครับ

ที่คุณไปดูน่ะ หลงทางครับ เพราะโดน Log level ที่ไปกำหนดไว้เป็น vfs:10 หลอกเอาครับ ที่คุณเห็นทั้งหมดเป็น Log ของ VFS ครับสำหรับ Debug Object แต่ไม่ใช่ Log ของ Object ครับ นั่นเป็น Log ก่อน Call เข้า Routine ใน Object ครับ ส่วน Log ของ audit.so จริงน่ะ ส่งผ่านให้ syslog เป็นคนเก็บครับ ดังนั้นมันจะไปอยู่ใน Log ของระบบ ซึ่งก็คือใน /var/log/messages นั่นเองครับ ไปดูสิครับ จะร้องอ้อเลย แต่ถ้าเป็น extd_audit และ/หรือ full_audit ล่ะก็ สามารถกำหนดให้เก็บใน Log ของ Samba เพิ่มได้ด้วย (นอกเหนือจาก syslog) ทำให้ผมติงไว้ว่า ระวังเนื้อที่เต็มนะครับ

ก่อนจะร่ายต่อไป จำเป็นต้องร่ายการทำงานและโครงสร้างพอสังเขปของ Samba และ Linux Kernel เสียหน่อยก่อน เพื่อปูพื้นความเข้าใจของผู้อ่าน

โดยปกติ OS ยอดนิยมอย่าง M$ Windows นั้น จะมีลักษณะการจัด Process แบบ Multitask และ Multithread เมื่อ Server application ตัวหนึ่งทำงาน จะทำแบบ Single process เท่านั้น เวลามี Client connect เข้ามา ก็จะให้บริการโดย Allocate ทรัพยากรเครื่อง (Memory และ CPU Utilize time) ให้กับ Object ใน Code ของตนเอง แล้วจัดให้เป็น Thread แยกทำงานไป ถ้าแยก Task ได้ก็แยกต่อไป (การแยก Thread เป็นหน้าที่ที่คนเขียนโปรแกรมทำไว้ใน Code ของตนเอง แต่การแยก Task เป็นของผู้พัฒนา OS ทำไว้ใน Code ของ OS) แต่ทั้งหมดก็ยังอยู่ในรูปของ 1 Process เท่านั้น ยังต้องมี Thread wait ยังต้องการ Access ข้าม Address กัน (ทำให้มี Sharing violet error ใน M$ OS ไงครับ แต่ Linux ไม่มี) จากจุดนี้ ผู้ชำนาญจากฝั่ง M$ OS หากใช้ความเข้าใจในการเก็บ Log ฝั่งนั้นมาตีความฝั่ง Linux ก็จะเกิด "มึน" ขึ้นมา เพราะคิดในแบบ Single process ตลอด เลยเกิด Sharing violet error ในหัวสมองตนเอง (แซวเล่นนะครับ อย่าถือสา)

อ้าว... แล้ว Linux Kernel มันเป็นอย่างไรล่ะ? Linux Process style จะเป็นแบบ Multi-process, Multitask และ Multithread ครับ 3 ชั้นเลย เมื่อมี Client ร้องขอ Connect เข้ามา ผู้เขียนโปรแกรมก็จะขอทรัพยากรระบบ แล้วปล่อย Object นั้นแยกออกไปทำงานเป็นอีก Process หนึ่งไปเลย เหมือนเป็นอีกโปรแกรมทำงานไปเลย ภายใน Object นั้นจะไปเป็นอีกกี่ Task กี่ Thread ก็เรื่องของ Process นั้นๆ ไป ยกตัวอย่างเช่น telnet Server ที่จริง ไม่ได้มีโปรแกรมอะไรไปรออยู่ที่ Port 23 ดอกครับ มีแค่ตัวเดียวแหละที่ Listen มันทุก Port ที่กำหนด คือ xinetd แต่เมื่อมี Connect ที่ Port 23 มา มันก็ไป Execute เจ้า telnet server ขึ้นมา 1 process แล้วให้บริการโต้ตอบ Connection นั้นไป ก็เท่านั้น Process ไหนเกิดล้ม ก็ไม่กระเทือน Process อื่นๆ แม้จะเป็นบริการเดียวกัน นี่เป็นอีกเหตุผลที่ทำให้ Linux จึงแข็งแกร่งกว่า Microsoft Windows มากมายนัก (ขอระบุชื่อเต็มๆ ด้วยความสาใจส่วนตัว) หาก telnet service ของ Windows เจอปัญหาที่ Connection เดียวจนถึงล้มเหลว จะทำให้ Telnet service ทั้งหมดล้มลงตามกันไปทันที เพราะเป็น Process เดียวกันหมดนั่นเอง ทีนี้... ขอให้คุณลองเปิดบริการ Samba แล้วลองให้เครื่องหนึ่ง Connect เข้าไป แล้วสังเกตุนะครับ จะเกิด Process ชื่อ smb เต็มไปหมด ตามจำนวนแชร์ คูณด้วย จำนวน Client ออกมาเท่ากับ จำนวน Connection แต่ละ Process ก็มีหมายเลข pid ของตัวเอง (pid = Process Identification ถ้าจำไม่ผิด) แต่ละ Process ก็ให้บริการไปเป็น 1 Share ของ 1 Client นั่นจนกว่า Client จะ Close Connection ของ Share นั้นไป Kernel จัด Process ลักษณะนี้ตั้งแต่พื้นฐานระบบเลยทีเดียว ดังนั้นบริการอื่นๆ ก็ใช้ความเข้าใจแบบเดียวกันครับ

เอ๊ะ.. แล้วผมเล่ามานี่ มันเกี่ยวกันยังไงล่ะ ดูเหมือนไม่เห็นเข้าเรื่องเสียที...

เข้าไปแล้วครับ อดทนอ่านอีกหน่อย เดี๋ยวจะเข้าใจว่าไม่เห็นจะเข้าเรื่องตรงไหน (ไม่ได้มุ่งแต่จะเสียดสี M$ นะ)

ด้วยเหตุนี้ audit.so จึงถูก Allocate ขึ้นมาทำงานแยกในทุกๆ Connection ไปนั่นเองไงเล่าครับ เข้าเรื่องหรือยังเอ่ย....

ดังนั้น เมื่อคุณไปดู Log ของ Samba เอง คุณจะเจอลักษณะเช่นทำนองนี้อยู่เท่านั้น....

[2008/06/19 21:18:12, 1] smbd/service.c:make_connection_snum(1033)
  a3h (192.168.0.41) connect to service upload initially as user chakr (uid=500, gid=501) (pid 15834)

นั่นเป็นเพราะ Process ของ Samba หลักได้รับการร้องของ Connect เข้ามาจากเครื่องชื่อ A3H (Notebook ผมเอง) ด้วย IP หมายเลข 192.168.0.41 ของ Connect ไปยังแชร์ชื่อ upload และ Login ด้วย User ชื่อ chakr ซึ่ง uid=500, gid=501 (uid, gid ไปหาเอาเองนะครับ ขี้เกียจพิมพ์อธิบาย หาง่ายครับ) และท้ายสุดบรรทัดเห็นอะไรไหมครับ?

ครับ... Samba สร้างและแยก Process ไปบริการ Connection นี้แล้ว และ Process เป็นหมายเลข 15834 นั่นเอง

เริ่มรำไรหรือยังครับ?

เพราะ Log นั้นเป็น Log หลักของ Samba (Master process) จึงบันทึกแค่นั้นครับ ส่วน audit.so ที่ทำงานใน Process ย่อย ผู้เขียน audit.c ไม่ได้เขียนให้แยกไฟล์เก็บ Log ได้ จึงเอาไปโยนใส่ syslog ของระบบทั้งหมด เมื่อไปดู /var/log/messages คุณจึงพบบรรทัดลักษณะอย่างนี้...

Jun 19 21:18:12 bedroom smbd_audit[15834]: connect to service upload by user chakr
Jun 19 21:18:12 bedroom smbd_audit[15834]: opendir ./ 
Jun 19 21:18:12 bedroom smbd_audit[15834]: opendir . 
Jun 19 21:18:28 bedroom smbd_audit[15834]: mkdir New Folder 
Jun 19 21:18:30 bedroom smbd_audit[15834]: rename ./New Folder -> ./test 
Jun 19 21:18:30 bedroom smbd_audit[15834]: open test (fd 30) 
Jun 19 21:18:30 bedroom smbd_audit[15834]: close fd 30 
Jun 19 21:18:35 bedroom smbd_audit[15834]: opendir test 
Jun 19 21:18:35 bedroom smbd_audit[15834]: open test/New Text Document.txt (fd 30) for writing 
Jun 19 21:18:35 bedroom smbd_audit[15834]: chmod test/New Text Document.txt mode 0x1b4 
Jun 19 21:18:35 bedroom smbd_audit[15834]: close fd 30 
Jun 19 21:18:37 bedroom smbd_audit[15834]: opendir test 
Jun 19 21:18:37 bedroom smbd_audit[15834]: rename test/New Text Document.txt -> test/ttt.txt 
Jun 19 21:18:37 bedroom smbd_audit[15834]: opendir test 
Jun 19 21:18:41 bedroom smbd_audit[15834]: close fd 30 
Jun 19 21:18:41 bedroom smbd_audit[15834]: unlink test/ttt.txt 
Jun 19 21:18:41 bedroom smbd_audit[15834]: rmdir test
Jun 19 21:18:41 bedroom smbd_audit[15834]: opendir .
Jun 19 21:18:49 bedroom smbd_audit[15834]: disconnected

สังเกตุเห็นอะไรไหมครับ?

บรรทัดแรก แสดงว่า chakr Connect เข้าไป ตาม Samba Log เห็นไหมครับ หลังจากนั้นก็บอกทุกรายละเอียดการกระทำเลย ว่าทำอะไรบ้าง จะมีอันหนึ่งที่ผู้อ่านอาจเดาไม่ออก ก็คือ unlink test/ttt.txt นั่นก็คือ ลบไฟล์ test/ttt.txt ไปครับ (audit.c ใช้คำว่า unlink ครับ) นอกนั้น ผมรู้ว่าพวกท่านเดาออกกันหมด

ถึงตรงนี้แล้วยังสงสัยสิว่า มันเกี่ยวกับที่ผมพล่ามอธิบายเรื่อง Multi-process ของ Kernel อย่างไรหว่า?

เกี่ยวคือ ถ้าหลายๆ Process ล่ะก็ ใน /var/log/messages จะไม่เรียบง่ายอย่างนี้ครับ เป็นพรื่ดเลย ละลานตา สอดแทรกกันมันไปเลย จากตัวอย่างที่ Post ให้ดูนี่มันเครื่องเดียว Share เดียว Connection เดียวครับ แต่พอหลายๆ Process แล้วจะส่ง Log กันรัวเลยล่ะครับ

นี่แหละครับ สาเหตุที่ต้องอธิบายให้เข้าใจในสถาปัตยกรรมของ Kernel เสียก่อน

อ้าว... แล้วแบบนี้จะทำอย่างไรล่ะ จะรู้ได้อย่างไรว่า *ใคร* เป็นผู้ทำอะไรเมื่อใด ในเมื่อใน /var/log/messages นั้น audit.so ไม่ระบุเลยว่าเป็นใคร ก็แน่ล่ะครับ audit.so ไม่ทราบดอกครับ ว่า Connection ที่ตัวเอง Plug on อยู่นั้น บริการใครอยู่ แต่... สังเกตุไหมครับ audit.so ระบุ pid ของตนเองทุกบรรทัด

เริ่มเห็นทางสว่างอีกแล้วล่ะสิครับ ใช่แล้วครับ ไปเทียบกับ Log ของ Samba เองก็ทราบได้แล้วว่าเป็นใครมาจากไหน

ปัญหายังไม่หมดครับ ในการใช้งานจริง Connection มีมากเหลือเกิน แยกแยะ Log ยากมาก... งั้น... เราก็อย่าแยกแยะด้วยตาตนเองสิครับ มีจุดอ้างอิงให้แล้ว คือ pid เราก็เขียน Script ให้แยกออกมาทุกวัน ตอนเที่ยงคืน โดยพิจารณาจากวันที่ เอาเฉพาะของ 1 วันที่ผ่านมา แยกออกมา Grouping เป็นราย User แล้ว Save ใหม่เป็น Text ให้ดูง่ายๆ แล้วใส่ cron ไว้ เท่านั้นเราก็ได้ Log แบบที่เราต้องการไงครับ ได้ครบทุก event ไม่ตกหล่นและ... ไม่ซ้ำซาก... (เพราะถ้าเอาจาก smbstatus จะได้ event ซ้ำซากด้วย)

เอาล่ะครับ ผมขอทิ้งไว้เท่านี้ ให้ไปหัดปล้ำเป็นการบ้านกันก่อนนะครับ เพราะที่เหลือ อยู่ที่ฝีมือในการเขียน Script แล้วล่ะครับ อีกซักพักจะมาร่าย Script ให้ไปใช้กันเป็นการเฉลยครับ เท่าที่ทราบ ยังไม่มีใครเคยปล่อย Script เพื่อจัดการตรงนี้เผยแพร่เลย สงสัยจะไม่มีใครไปขอ... ผมไม่เชื่อว่ายังไม่มีใครในโลกเขียนขึ้น หรืออาจจะยังไม่มีใครเขียนจริงจัง เพราะดูคร่าวๆ ใน /var/log/messages ก็พอแล้ว การเขียน Script ตรงนี้ ออกจะ "ดุ" อยู่สักหน่อยนะครับ แต่ขอให้พยายามดูก่อน

/var/log/messages ลบทิ้งไม่ได้นะครับ เพราะ syslog จะทำการเปิดไฟล์เพื่อเขียน แล้วเปิดคาไว้อย่างนั้นตั้งแต่แรกไปตลอด ถ้าลบไปแล้วจะทำให้ syslog ไม่สามารถบันทึก Log ได้อีก ต้องทำการ Restart syslog service ใหม่ หากต้องการลบ Log ใน messages จริงๆ ควรใช้คำสั่ง echo > /var/log/messages ครับ เพื่อ Clear Log content ในไฟล์ทิ้งเท่านั้น แต่ไม่ใช่ลบไฟล์ไป

ส่วน Log ของ Samba นั้นไม่มีปัญหาแบบนี้เพราะ Samba เปิดไฟล์เพื่อเขียนแล้วก็ปิดไฟล์เป็นครั้งๆ ไปครับ

ตอบคำถาม :

ข้อ 1) คุณเข้าใจถูกแล้วครับ เพราะ Windows เข้าไปอ่าน Content เพื่อตัดสินว่าเป็นไฟล์อะไรเพื่อแสดงผลบน File browser กรณีนี้ถึงเป็น KDE หรือ GNOME ก็เป็นครับ และแน่นอนครับ อย่าว่าแต่ audit.so เลยแม้แต่ตัว Samba เองก็ไม่อาจทราบได้ดอกครับ ว่าที่ Client เปิดไฟล์อยู่นั้น เกิดจากการกระทำโดยตั้งใจของมนุษย์ซึ่งกำลังเป็นผู้ใช้อยู่หน้า Client หรือไม่ ดังนั้นสำหรับกรณี Open เพื่อ Read นั้น ไม่สามารถแยกแยะได้แน่นอน แต่... เราสามารถ Filter ได้ครับ เพราะมีจุดให้สังเกตุอยู่ว่า เมื่อเป็นฝีมือ File browser เปิดผู้เปิดไฟล์ดู เขาจะเปิดทั้งหมด ทุกไฟล์ การกระทำจะซ้ำๆ กันคือ open กับ close สลับกันไปจนตลอดจำนวนไฟล์และในช่วงเวลาเพียงเสี้ยววินาที ตรงนี้เองที่เราสามารถ Filter ได้ครับ เดี๋ยวผมจะให้ดูตัวอย่างต่อไปครับ

ข้อ 2) สามารถใช้ Wildcard ได้ครับ ใส่ได้หลายตัวด้วยครับ เว้นวรรคเอาในแต่ละตัวครับ เช่น Thumbs.db *.bak ~* ?humbs.* เป็นต้น

ข้อ 3) recycle Object ไม่เก็บ Directory เปล่าครับ เจาะจงเก็บเฉพาะไฟล์ครับ ดังนั้นถ้าลบไฟล์แล้ว ในขณะที่เรากำหนด keeptree = yes ด้วย recycle Object ก็จะเก็บไฟล์นั้นไปยังปลายทางโดยสร้าง Directory ตามต้นทางให้เหมือนกันครับ แต่โดยตัว Object เอง ไม่ได้เจาะจงเก็บ Directory เลยครับ

ข้อ 4) ผมอธิบายเหตุผลไปแล้ว แต่จะบอกเพิ่มว่า ไม่ต้องถึงขั้น Restart เครื่องดอกครับ Restart แต่ Service ชื่อ syslog ก็พอ สำหรับตระกูล Fedora (SIS ก็ใช่) ก็สั่ง service syslog restart เท่านั้นแหละครับ

เอาล่ะครับ ผมจะ Post ตัวอย่าง Script ให้ดูเป็น Reply ต่อไปนะครับ เอาไว้ใน Reply เดียวแล้วเดี๋ยวตาลายครับ

เป็นการปรับปรุง Script ให้มาใช้ Internal command ให้มากที่สุด ลดจำนวนการ pipe ไปยัง grep, sed และ awk ลง ทำให้ไม่ต้องไป Access harddisk เรียกโปรแกรมทั้ง 3 มาทำการกับตัวแปร String ยังให้การทำงานของ Script ทำงานเร็วขึ้นโดยใช้เวลาน้อยลงไปได้ถึง 90% ครับ Script ที่ปรับปรุงแล้วเป็นดังต่อไปนี้

#!/bin/sh

SMBLOGFILE=/var/log/samba/log.smbd
SYSLOGFILE=/var/log/messages
TODAYSEC=$(date -d "$(date +%Y-%m-%d)" +%s)
YESTERDAYSEC=$(($TODAYSEC - 86400))
CURRENTLOGSEC=$TODAYSEC
REPLOG1=''
REPLOG2=''

function Month_Inv () {

case $1 in
Jan)    return 01;;
Feb)    return 02;;
Mar)    return 03;;
Apr)    return 04;;
May)    return 05;;
Jun)    return 06;;
Jul)    return 07;;
Aug)    return 08;;
Sep)    return 09;;
Oct)    return 10;;
Nov)    return 11;;
*)    return 12;;
esac
}

function Dig_syslog () {

 SYSLOG="$1"
 FROMLOGTIME="$2"
 CLIENT_USER=$3
 CLIENT_SERV=$4
 CLIENT_NAME=$5
 CLIENT_IP=$6
 CLIENT_PID=$7

  if test -f "$SYSLOG"
  then
    echo $FROMLOGTIME $CLIENT_USER $CLIENT_SERV $CLIENT_NAME $CLIENT_IP $CLIENT_PID Connect
    CONNECTTIMESEC=$(date -d "$FROMLOGTIME" +%s)
    LogYear=${FROMLOGTIME:0:4}

    cat "$SYSLOG" | while read SLOG
    do
      if [ "${SLOG/smbd_audit\[$CLIENT_PID]//}" != "$SLOG" ]
      then
    Month_Inv ${SLOG%% *}
    LogMonth=$?
    LogDate=${SLOG#* }
    LogDate=${LogDate%% *}
    if [ $LogDate -eq 31 ] && [ $LogMonth -eq 12 ]
    then
      LogYear=$(($LogYear - 1))
    fi
    LogTime=${SLOG#* * }
    LogTime="$LogYear/$LogMonth/$LogDate ${LogTime%% *}"

    if [ $(date -d "$LogTime" +%s) -ge $CONNECTTIMESEC ]
    then
      ACTIVITY=${SLOG#*smbd_audit\[$CLIENT_PID]: }
      if [ "$ACTIVITY" != "$REPLOG1" ] && [ "$ACTIVITY" != "$REPLOG2" ] && [ "${ACTIVITY%% *}" != "connect" ]
      then
        echo "           "${LogTime##* } $CLIENT_USER $ACTIVITY
      fi

      REPLOG2="$REPLOG1"
      REPLOG1="$ACTIVITY"

      if [ "${ACTIVITY%% *}" = "disconnected" ]
      then
        break
      fi
    fi
      fi
    done
  fi
}

function Dig_smblog () {

 SMBLOG="$1"

  if test -f "$SMBLOG"
  then
    cat "$SMBLOG" | while read LINE
    do
      if [ "${LINE:0:1}" = "[" ]
      then
    CURRENTLOGSEC=$(date -d "${LINE:1:10}" +%s)
    CURRENTLOGTIME=${LINE:1:19}
      fi

      if [ $CURRENTLOGSEC -eq $YESTERDAYSEC ] && [ "${LINE/connect to service /}" != "$LINE" ] && [ "${LINE/(pid /}" != "$LINE" ]
      then
    Dig_syslog "$SYSLOGFILE.1" "$CURRENTLOGTIME" $(echo ${LINE#*initially as user } | sed 's/ .*//') $(echo ${LINE% initially as user*} | sed 's/.*connect to service //') ${LINE%% *} $(echo ${LINE%%\) *} | sed 's/.*(//') $(echo ${LINE##* } | sed 's/).*//')
    Dig_syslog "$SYSLOGFILE" "$CURRENTLOGTIME" $(echo ${LINE#*initially as user } | sed 's/ .*//') $(echo ${LINE% initially as user*} | sed 's/.*connect to service //') ${LINE%% *} $(echo ${LINE%%\) *} | sed 's/.*(//') $(echo ${LINE##* } | sed 's/).*//')
      fi
    done
  fi
}


Dig_smblog "$SMBLOGFILE.1"
Dig_smblog "$SMBLOGFILE"

exit 0
 

หากใครจะนำ Script ผมไปใช้งานจริง แล้วไม่อยากตกหล่น Event ตอนข้ามเที่ยงคืนโดยที่ไม่สามารถเพิ่มเติม/แก้ไข Script เองได้ ผมขอแนะนำให้ตั้ง cron ให้ Script ทำงานในเวลา 23:59 ของทุกวันนะครับ จะทำให้ Script สร้าง Report ตั้งแต่เมื่อวานไล่ยาวจนข้ามเที่ยงคืนไปถึงวันนี้เวลา 23:59 ซึ่งทำให้โอกาสตกหล่นลดลงไปได้มาก เว้นเสียแต่มี Client ที่ Connect นานกว่า 47 ชั่วโมง 59 นาทีไปอีก อย่างไรก็ตาม วิธีนี้ทำให้ Report จะออกช้ากว่าเดิม 1 วันครับ คือ Reu Script เวลา 23:59 วันนี้ พอดูพรุ่งนี้เช้า จะได้ Report ของเมื่อวานนี้เท่านั้นครับ

งงไหมครับเนี่ย? 

declare เป็น Internal command ของ bash นะครับ หมายถึงให้ประกาศตัวแปรตามที่กำหนด (-a ก็คือ array)

น่าจะเป็นเพราะ Default shell ไม่ใช่ bash อยู่ ให้ลองแก้ Script บรรทัดแรกจาก

#!/bin/sh

ไปเป็น

#!/bin/bash

แล้วลองดูใหม่ครับ อย่างนี้น่าจะไม่มีปัญหาอะไรแล้ว

ขอถามต่ออีกนิดครับ

ตอนนี้ ใน smb.conf ตั้งค่า unix charset = tis-620 ทำให้ใช้ script แล้วชื่อไฟล์อ่านไม่ออก

มีทางหรือเปล่าครับที่จะเปลี่ยนเป็น utf8

เพราะลองเปลี่ยนเองแล้ว ทำให้ชื่อไฟล์ที่ share มาอันอ่านไม่ออกครับ