🚀 TrueNAS P9 – Giám Sát Audit Log SMB TrueNAS: Theo Dõi Mọi Hoạt Động File (Create/Delete/Modify)

Trong môi trường doanh nghiệp, khả năng theo dõi và truy vết hành vi người dùng là yếu tố bắt buộc. Bài viết này hướng dẫn bạn cách bật và cấu hình Giám Sát Audit Log SMB TrueNAS trên TrueNAS SCALE để ghi lại toàn bộ thao tác file của người dùng.

Sau khi cấu hình, bạn có thể theo dõi:

• Tạo file (Create)

• Xóa file (Delete)

• Chỉnh sửa file (Modify)

• Mở file (Open)

• Các lần truy cập thất bại

Tính năng này đặc biệt quan trọng với system administrator cần minh bạch hoạt động trên shared folder.

Hoàn thành hướng dẫn này, bạn sẽ có khả năng giám sát SMB theo thời gian thực và xuất log ra file CSV phục vụ báo cáo hoặc kiểm toán nội bộ.

🧠 vfs_full_audit là gì?

vfs_full_audit là module của Samba dùng để ghi lại toàn bộ hành động xảy ra trên SMB share như: create, delete, open, write…

Nó cho phép bạn:

• Ghi log chi tiết ai tạo file và tạo lúc nào
• Ghi nhận IP truy cập
• Theo dõi đường dẫn file
• Phát hiện hành vi bất thường
• Kết hợp script xử lý file vi phạm

Khi cấu hình đúng, Giám Sát Audit Log SMB TrueNAS sẽ trở thành lớp bảo vệ quan trọng cho NAS.

🔧 Phần 1 – Bật Full SMB Audit Log

Step 1: Thêm VFS Audit vào cấu hình SMB

Chạy lệnh:

⚠ Phải là một dòng liên tục.

Ý nghĩa cấu hình:

• full_audit:prefix = %u|%I|%S → Ghi username, IP và share

• full_audit:success = all → Ghi tất cả thao tác thành công

• full_audit:failure = all → Ghi thao tác thất bại

• facility = LOCAL7 → Gửi log tới syslog

• priority = NOTICE → Mức độ log

Cấu hình này giúp ghi nhận đầy đủ mọi thao tác file.

Step 2: Restart dịch vụ Samba

Lệnh này áp dụng cấu hình mới.

Step 3: Enable Audit Log trên GUI

Truy cập giao diện TrueNAS SCALE và đảm bảo bật audit log trong cấu hình SMB service.

Step 4: Kiểm tra và lọc log

Ví dụ: xem log ngày 09/12 và chỉ lọc thao tác xóa file:

Lệnh này:

• Lọc theo thời gian

• Tìm log audit

• Chỉ hiển thị thao tác delete

Rất hữu ích khi điều tra sự cố hoặc truy vết hành vi người dùng.

📊 Phần 2 – Xuất Audit Log SMB ra CSV

Việc đọc log trực tiếp từ journalctl khá khó theo dõi. Script dưới đây sẽ xuất log sang CSV để dễ đọc và import vào Excel.

Step 1: Tạo file script

Dán nội dung sau:

Lưu và thoát.

Step 2: Cấp quyền thực thi

Step 3: Chạy script để xuất CSV

Chờ khoảng một phút.

File CSV sẽ được tạo tại:

Bạn có thể tải về qua:

• Shell → Download

• SFTP

File CSV có cấu trúc chuẩn, dễ import vào Excel để làm báo cáo.

🛡 Vì Sao Cần Giám Sát Audit Log SMB TrueNAS?

Bật Giám Sát Audit Log SMB TrueNAS giúp bạn:

✅ Theo dõi đầy đủ hành vi người dùng
✅ Truy vết khi xảy ra sự cố
✅ Hỗ trợ kiểm toán nội bộ
✅ Phát hiện hành vi bất thường
✅ Tăng cường bảo mật NAS

Nếu không bật audit log, mọi thao tác file trên SMB gần như “vô hình”.

🏢 Best Practices Trong Môi Trường Production

Khi triển khai thực tế:

• Bật cả success và failure log

• Xuất log định kỳ sang storage khác

• Cấu hình log rotation

• Theo dõi hành vi xóa file hàng loạt

• Kết hợp với chính sách chặn file

Audit log phát huy tối đa hiệu quả khi được tích hợp vào chiến lược bảo mật tổng thể.

🎯 Kết Quả Sau Khi Hoàn Thành

Sau khi cấu hình:

• Tất cả thao tác SMB được ghi lại

• Có thể lọc theo user, ngày, hành động

• Có thể xuất CSV làm báo cáo

• Kiểm soát toàn bộ hoạt động file

Giám Sát Audit Log SMB TrueNAS giúp NAS của bạn đạt mức quản trị chuyên nghiệp.

📌 Kết Luận

Cấu hình Giám Sát Audit Log SMB TrueNAS là bước quan trọng để nâng cao bảo mật và khả năng truy vết.

Chỉ với vài lệnh, bạn có thể:

🔐 Theo dõi toàn bộ thao tác file
📊 Xuất báo cáo chuẩn CSV
🛡 Phát hiện hành vi bất thường
⚡ Nâng cao hiệu quả quản trị hệ thống

Nếu bạn quản lý SMB trên TrueNAS SCALE, đây là cấu hình nên triển khai ngay để đảm bảo hệ thống minh bạch, an toàn và kiểm soát tốt. 🚀