Как я регистрирую попытки аутентификации с самбой?

Если Вы изменяете log level строка в /etc/samba/smb.conf читать:

log level = 1 winbind:5

Вы действительно получаете информацию, которая я после (по умолчанию зарегистрированный к /var/log/samba/log.DOMAIN), но это является очень шумным, и сообщения журнала разделяются по двум строкам. Не точно, что я ищу, но этому, возможно, придется сделать.

если вы нажимаете AD, вы должны увидеть попытки входа в систему в «журнале безопасности». Он должен содержать не только имя пользователя, но и исходный IP-адрес (который должен быть вашим хостом squid).

Вот хорошая статья по его настройке: http://www.windowsecurity.com/articles/windows-active-directory-auditing.html

Я бы предостерегал насчет успеха аудита, поскольку он имеет тенденцию быстро заполнять журналы.

В файлах журнала samba информация, связанная с аутентификацией, помечена модулем check_ntlm_password (если это то, что вы используете). Если вам нужна дата и час, вы должны захватить строку перед строкой с фактической информацией.

Вот несколько примеров. Имя пользователя было заменено на xxx.yyy во всех случаях. Обратите внимание на то, что использование заглавных букв для аутентификации различается для случаев успеха и неудачи.

[2011/11/08 10:22:40.604819,  2] auth/auth.c:304(check_ntlm_password)
  check_ntlm_password:  authentication for user [xxx.yyy] -> [xxx.yyy] -> [xxx.yyy] succeeded

[2012/01/11 09:09:00.430424,  2] auth/auth.c:314(check_ntlm_password)
  check_ntlm_password:  Authentication for user [xxx.yyy] -> [xxx.yyy] FAILED with error NT_STATUS_WRONG_PASSWORD

Есть и другие сообщения помимо этих двух. Эти строки были созданы Samba из репозитория backports lenny. Версия samba - 3.5.6, актуальная версия пакета - 2: 3.5.6 ~ dfsg-3 ~ bpo50 + 1. Точная конфигурация для входа в smb.conf была:

syslog = 0
debug level = 2
log file = /var/log/samba/%m.log
max log size = 1024
panic action = /usr/share/samba/panic-action %d