[wuplug] Aufgabe an LPIC #1 :-)

Jens Thomas jens.thomas at wuplug.org
Mit Dez 17 17:08:56 CET 2008 

Hi, die Idee kommt nicht von mir...


Folgendes Log-File liegt vor:

--- schipp ---
[2008/12/11 13:40:21, 1, effective(0, 0), real(0, 0)] smbd/ 
service.c:close_cnum(1150)
   schueler-pc26 (192.168.30.126) closed connection to service netlogon
[2008/12/11 13:40:22, 0, effective(1536, 1536), real(1536, 0)] modules/ 
vfs_extd_audit.c:audit_unlink(273)
   vfs_extd_audit: unlink WP78/ybilge/Yarra Yaren.JPG
[2008/12/11 13:40:23, 1, effective(1564, 1564), real(1564, 0)] modules/ 
vfs_extd_audit.c:audit_opendir(164)
   vfs_extd_audit: opendir Schueler/Sprachtrainer Englisch/Lets_Go2/ 
Programm
[2008/12/11 13:40:23, 1, effective(1564, 1564), real(1564, 0)] modules/ 
vfs_extd_audit.c:audit_opendir(164)
   vfs_extd_audit: opendir Schueler/Sprachtrainer Englisch/Lets_Go2/ 
Programm
--- schnapp ---

Hierbei handelt es sich um einen Ausschnitt aus einem SAMBA-Log, in  
dem spezielle Optionen gesetzt wurden, damit man bestimmte Datei- 
Operationen sehen kann. Speziell interessiert hier die Option  
"audit_unlink", die einen Löschvorgang auf einem Samba-Share  
beschreibt. Ein Log-Eintrag besteht immer aus 2 Text-Zeilen, die Erste  
beginnt mit dem Datum, die zweite folgt etwas eingerückt.

Gesucht wird ein Script, welches folgende Informationen aus dem Log  
extrahiert: Datum, Uhrzeit, die erste Zahl hinter "effective(" und der  
Filename hinter "vfs_extd_audit: unlink" in jeweils der 2. Zeile eines  
Log-Eintrags. Hinweis: Der Filename kann Leerzeichen enthalten. Nur  
die Einträge mit "unlink" interessieren.

OK. Verschärfung des Problems: Statt die erste Zahl hinter  
"effective(" benötige ich den Namen des User. Dieser ist aus der /etc/ 
passwd her abzuleiten. Ein Ergebnis könnte also _SO_ aussehen, von den  
4 Log-Einträgen bleibt dieser hier übrig:

2008/12/1113:40:22 jthomas WP78/ybilge/Yarra Yaren.JPG

(unter der Voraussetzung, dass die UID 1536 dem User "jthomas" gehört.  
Siehe /etc/passwd)

Anbei nochmal der Log-Ausschnitt, damit es beim Versenden der Mail  
keinen falschen Zeilenumbrüche gibt.


Viel Spaß bei Tüfteln.


cya, jens:wq


-- 
jens thomas
wuppertaler linux user group
AD39 4FCE 68CD A80F B107  B82C 4F45 AC43 3FF4 974C

-------------- nächster Teil --------------
Ein Dateianhang mit Binärdaten wurde abgetrennt...
Dateiname   : log.smbd
Dateityp    : application/octet-stream
Dateigröße  : 682 bytes
Beschreibung: nicht verfügbar
URL         : http://lists.wuplug.org/pipermail/wuplug/attachments/20081217/71450308/log.obj
-------------- nächster Teil --------------