[global]中加入
log = /var/log/log.%m    #便于自己能找到谁，如果混在一起，找起来很困难

局部变量下加入vfs object参数
例如：
[work]
vfs objects = extd_audit                         # 具体参数可以google一下

好了之后，重新启动一下，samba就具备监控的功能了。
比如楼主说的例子，只要去查生成的log文件，一个一个的挨个去查找就可以了。 生成的文件名为log.ip地址 ，比如log.192.168.1.99
cat /var/log/log.192.168.1.99 |grep _desktop.ini
只要看到有rename 或者rename old字样那就是这个机器生成的了。

实例：
我抓出来的记录如下：         （我是cp了一个iptables指令.docx的文件到文件夹里面）
  vfs_extd_audit: rename old: 3_CSC_Staff_Personal/Huntz/iptables鎸囦护.docx newname: 3_CSC_Staff_Personal/Huntz/6FC0431D.tmp