群晖如何查看用户文件访问记录？

一、基础配置：启用日志服务与CIFS/SMB审计

在群晖NAS中查看用户对共享文件夹的访问记录，首先需确保已正确启用系统日志服务和CIFS/SMB协议的日志功能。进入「控制面板」→「日志中心」→「常规」，勾选“启用日志服务”，并选择记录级别为“信息”或“调试”以捕获更多细节。

随后，在「控制面板」→「文件服务」→「SMB/AFP/NFS」中，切换至“SMB”标签页，勾选“启用SMB日志”选项，并建议启用“详细日志记录”以追踪具体文件操作（如打开、修改、删除等）。

此时，系统将开始记录通过SMB协议进行的文件访问行为，但默认情况下这些日志不会按用户或路径自动分类，需要进一步筛选分析。

二、权限审计策略的必要性与配置方法

仅启用日志服务不足以实现精细化审计。若需监控特定用户对特定共享文件夹的访问行为，必须配置额外的权限审计策略。

进入「控制面板」→「共享文件夹」，选择目标文件夹 →「编辑」→「权限」→「高级」，点击“启用权限审计”。在此可添加审计规则，例如：

• 用户/用户组：指定被监控对象（如Sales_Group）
• 操作类型：读取、写入、删除、执行等
• 审计结果：成功、失败或两者皆记录

此策略将生成结构化日志条目，便于后续过滤与分析。例如，当用户john在共享文件夹“ProjectX”中删除文件时，系统会记录一条包含用户名、IP地址、时间戳、操作类型及文件路径的完整事件。

三、解读CIFS/SMB日志中的关键字段

启用SMB日志后，可在「日志中心」→「日志内容」中查找来源为“smbd”的条目。典型日志格式如下：

[2024-04-05 14:23:11] smbd[1234]: [ID:1001] User=john, IP=192.168.1.100, Action=Write, Path=/volume1/ProjectX/report.docx
    

各字段含义：

1. User：执行操作的账户名
2. IP：客户端来源IP地址
3. Action：操作类型（Read, Write, Delete, Open等）
4. Path：被访问的文件完整路径
5. ID：事件类型标识符，可用于脚本匹配

注意：部分日志可能使用十六进制编码路径或包含会话ID，需结合smbstatus工具辅助解析。

四、基于任务计划实现日志导出与告警机制

为实现自动化监控，可通过群晖的“任务计划”创建定期执行的脚本任务。

示例Shell脚本（保存为/usr/local/bin/audit_export.sh）：

#!/bin/sh
LOG_FILE="/var/log/samba/log.smbd"
OUTPUT_DIR="/volume1/logs/audit"
DATE=$(date +%Y%m%d_%H%M)

# 提取最近1小时的写入/删除操作
grep "$(date -d '1 hour ago' '+%Y-%m-%d %H')" $LOG_FILE | \
    grep -E "Write|Delete" | \
    awk '{print $1,$2,$3,$9,$11,$13}' > ${OUTPUT_DIR}/access_${DATE}.log

# 若发现高风险操作则发送邮件告警
if [ -s ${OUTPUT_DIR}/access_${DATE}.log ]; then
    synodsmnotify admin "文件审计告警" "检测到敏感文件操作，请查看日志"
fi
    

接着，在「套件中心」安装“计划任务”工具，创建新任务：

• 类型：用户定义的脚本
• 用户：root
• 执行命令：/usr/local/bin/audit_export.sh
• 调度：每日凌晨1点执行

五、日志保留策略与性能优化建议

长期运行的审计系统会产生大量日志数据，需制定合理的保留策略。

推荐采用分层存储方案：

同时，建议：

• 将日志目录挂载至独立卷，避免影响系统盘性能
• 使用rsyslog远程转发至SIEM系统（如Graylog）进行集中分析
• 定期清理旧日志，防止磁盘溢出
• 对关键文件夹启用加密审计日志以防篡改

此外，可通过DSM的API接口获取结构化日志数据，集成至企业级安全运营平台，实现跨设备行为关联分析。