Мониторинг доступа к общему ресурсу

Тебе нужен журнал ? Или в реальном времени посмотреть, что приходит на каких портах ?

Как насчёт почитать:
/var/log/samba/*.log

Там. что-то на подобии этого написано, уверян, пригодится: netbios connect: name1=SERVER name2=client
[2009/02/16 10:51:15, 2] smbd/reply.c:reply_special(432)
netbios connect: local=server remote=client02, name type = 0
[2009/02/16 10:51:15, 0] lib/util_sock.c:write_data(1059)
[2009/02/16 10:51:15, 0] lib/util_sock.c:get_peer_addr_internal(1607)

Дело в том что в логах нашел кто вобще получал доступ к ресурсу. Например кусочек с моего лога
[2009/06/02 16:09:21,  1] smbd/service.c:make_connection_snum(1111)
  employment (10.1.186.30) connect to service cz_backup initially as user nobody (uid=65534, gid=65534) (pid 7022)
[2009/06/02 16:17:46,  1] smbd/service.c:close_cnum(1323)
  employment (10.1.186.30) closed connection to service cz_backup
Но в нем нет конкретно кто какой файл создал/удалил. А поскольку к каталогу постоянно обращаются куча машин, найти конкретную не так просто.