Isilon: Lista de valores de carga útil de auditoría de Isilon

Summary: Una lista de posibles valores de Isilon que se pueden ver en las salidas sin procesar de isi_audit resultados.

This article applies to This article does not apply to This article is not tied to any specific product. Not all product versions are identified in this article.
Check out other resources

Instructions

La siguiente es una lista de posibles valores de Isilon que se pueden ver en las salidas sin procesar de isi_audit resultados.

Esta lista no es específica de la versión: algunos de estos estarán solo en ciertas versiones de OneFS, y las versiones posteriores tendrán opciones expandidas. Esta lista está diseñada para ser una referencia en la revisión de eventos de auditoría individuales en general.

Cuando utiliza el sistema de auditoría de protocolos Isilon, puede monitorear y rastrear las acciones de los usuarios dentro del sistema de archivos de OneFS en protocolos como SMB y NFS.

Las acciones registradas, en su formato sin procesar, se verán así (se espera cierta variación entre las versiones y las eras de OneFS):

 

{"id":"8f0ae523-1741-12ea-8d1f-010e1ea7b298","," timestamp":1575538065995502,"payloadType":"c411a642-c139-4c7a-be58-93680bc20b41","payload":{"protocol":"NFS","zoneID":5,"zoneName":"AuditedZone","eventType":"delete","isDirectory":false,"clientIPAddr":"10.51.221.92","fileName":"\\ifs\\home\\user00001\\staging\\datareview\\infa\\client\\Temp\\datapoint_file.txt","userSID":"S-1-22-2000","userID":2000,"ntStatus":0,"fsId":1,"partialPath":"datapoint_ file.txt","rootInode":4512436961,"inode":5128815920}}     
 
{"id":"87b8bbh5-181c-71ea-8d1f-000g1ia7j295","timestamp":1575522001272734,"payloadType":"c411a642-c139-4c7a-be58-93680bc20b41","payload ":"protocol":"NFS","zoneID":5,"zoneName":"AuditedZone","eventType":"create","createResult":"OPENED","isDirectory":true,"desiredAccess":0,"clientIPAddr":"10.14.73.184","createDispo":1,"userSID":"S-1-22-1-2000","userID":2000,"fileName":"\\ifs\\data\\project00004\\dev\\logs\\ABC\\that-one-project-data","ntStatus":0," fsId":1,"inode":4725492968}}


Dentro de eso, los términos se definen como:
  • clientIPAddr: Cadena de la IP del usuario que realiza la acción.
  • IP del cliente: La dirección IP del cliente que inició la solicitud (que causó el evento).
  • createDispo: Disposición de creación especificada por el usuario en el momento de la creación/apertura.
  • Acceso deseado: Acceso deseado especificado por el usuario en el momento de la creación/apertura.
  • encodedNewName: El nuevo nombre codificado en caso de un cambio de nombre.
  • encodedPath: La ruta UNC codificada del archivo.
  • encodedRelativePath: La ruta relativa codificada.
  • encodingType: La codificación utilizada para los valores, si el valor contiene caracteres que no se pueden incluir en XML.
  • Evento: El evento que causó la comprobación.
  • Nombre: Cadena de la ruta absoluta del archivo o "UNKNOWN" si la auditoría no puede obtener la ruta. La ruta utiliza el estilo UNC de separadores de ruta ("\\").
  • Tamaño: Tamaño del archivo en el momento de la manipulación.
  • Bandera: Una de las CEPP_FLAG_XXX definidas anteriormente.
  • fsId: ID del sistema de archivos del directorio principal. Este número entero es el valor de ID del sistema de archivos en cuestión (valor predeterminado: 1).
  • id: Un valor basado en el GUID del clúster y el ID de zona auditado, único para el evento auditado. Este es un UUID para ese evento.
  • Inode: Número entero del inodo del archivo o directorio.
  • isDirectory: Valor booleano para indicar si el evento es para un archivo o un directorio.
  • newFSId: nuevo ID del sistema de archivos (si es diferente de fsId) del directorio principal de destino (cambiar nombre).
  • Newname: El nuevo nombre (en una operación de cambio de nombre).
  • newParentInode: El inodo del directorio principal de destino (rename).
  • ntEstado: El código NTSTATUS de la acción. 0 es STATUS_SUCCESS.
  • ID del propietario: El ID del propietario del archivo.
  • ownerSid: Sid del propietario del archivo.
  • parentInode: El inodo del directorio contenedor.
  • partialPath: Cadena de la ruta relativa del archivo o directorio. La ruta utiliza el estilo UNC de separadores de ruta ("\\").
  • partialPathParentInode: inodo principal de la ruta parcial anterior.
  • path: Nombre UNC del archivo (o directorio): ruta absoluta.
  • Carga útil: El evento de auditoría entregado completo, que encapsula la mayoría de estos valores.
  • payloadType: Cadena de "4b66b1eb-6e1a-416d-b80c-5a642a603a0b: Para eventos de actividad de protocolo.
  • payloadType: Cadena de "7afb8d54-0aa7-4ed4-9691-341313ee37e3: Para los eventos de auditoría cargados del controlador de auditoría.
  • payloadType: Cadena de "bbce6a72-a92d-4330-a1f3-e9fd5aed8152: Para el controlador de auditoría, descargue eventos de auditoría.
  • payloadType: Cadena de "c411a642-c139-4c7a-be58-93680bc20b41: Para eventos de datos de protocolo.
  • Protocolo: Cadena del protocolo bajo el cual se produjo la acción. Por lo general, una de las siguientes en OneFS 7.2 y versiones posteriores: "CIFS" (para SMB1); "SMB2"; "NFS" (para NFSv3); "NFS4"; "HDFS".
  • relativePath: Nombre UNC del archivo (o directorio) al que accedió el cliente.
  • rootInode: Número entero del inodo del directorio donde se encuentra partialPath.
  • IP del servidor: La dirección IP del servidor en el que se registró el evento.
  • Servidor: El nombre del servidor donde ocurrió el evento. IP del servidor para NFS.
  • Compartir: El recurso compartido en el servidor. El nombre de exportación para NFS.
  • Timestamp: La hora a la que se produjo el evento en el servidor. Es un valor de 64 bits, donde los 32 bits superiores representan la hora y los 32 bits inferiores representan los microsegundos. Formato: 0x1234abcd1234abcd
  • type: Archivos, directorios, etc.
  • Userid: Número entero del UID del usuario que realiza la acción. (OneFS 7.2 y versiones posteriores)
  • userSID: Cadena del SID del usuario que realiza la acción.  ("userSID" no está disponible en eventos de falla de "inicio de sesión").
  • ID de zona: El número entero del ID de la zona de acceso de OneFS en el que se realiza la acción o a través de este.
  • Nombre_zona: Cadena del nombre de la zona de acceso de OneFS en el momento del evento en el que se está realizando la acción o a través de este.




Además, hay algunos otros valores y campos que pueden tener algunas variables posibles. 

Para el objeto "eventType", algunos tipos de eventos tienen campos de carga útil adicionales que se enumeran en los siguientes tipos:
 
eventType = create: Para crear o abrir un archivo o directorio.

eventType = close: Para cerrar un archivo o directorio.
Campos de carga útil adicionales: (Solo tiene sentido cuando "isDirectory es falso / para los archivos").
  • bytesLeer: Número entero de la cantidad total de bytes leídos desde la apertura de / create.
  • bytesEscrito: Número entero de la cantidad total de bytes escritos desde la apertura.
  • numberOfReads: Número entero de la cantidad total de lecturas realizadas en el archivo desde que se abrió.
  • numberOfWrites: Número entero de la cantidad total de escrituras realizadas en el archivo.
eventType = lectura: La primera lectura de un archivo desde que se abrió.
Campos de carga útil adicionales:
  • bytesLeer: Número entero de la cantidad de bytes leídos en la primera lectura.
eventType = escribir: La primera escritura en un archivo desde que se abrió.
Campos de carga útil adicionales:
  • bytesEscrito: Número entero de la cantidad de bytes escritos en la primera escritura.
eventType = rename: Cambio de nombre de un archivo o directorio.
Campos de carga útil adicionales:
  • newFileName: Cadena de la ruta absoluta del nuevo nombre de archivo o "UNKNOWN". La ruta utiliza el estilo UNC de separadores de ruta ("\\").
  • newPartialPath: Cadena de la ruta relativa del nuevo nombre de archivo. La ruta utiliza el estilo UNC de separadores de ruta ("\\").
  • newRootInode: Número entero del inodo del nuevo directorio primario que contiene "newPartialPath".
eventType = get-security: Obtener información o permisos de seguridad desde el archivo o directorio.
                              (sin campos adicionales)

eventType = set-security: Configurar la información de seguridad o los permisos en el archivo o directorio.
(sin campos adicionales)
 
eventType = delete: Elimine un archivo o directorio.
(sin campos adicionales)
 
eventType = inicio de sesión: Inicio de sesión.
(sin campos adicionales)
 
eventType = cierre de sesión: Cierre de sesión.
(sin campos adicionales)
 
eventType = tree-connect: Ejecución de una conexión de árbol SMB.
(sin campos adicionales)



Para eventos de auditoría con payloadType = "7afb8d54-0aa7-4ed4-9691-341313ee37e3" (eventos de auditoría cargados por controlador de auditoría).

Estos son eventos de auditoría que indican cuándo se cargó el controlador del filtro de auditoría.

Estos eventos de auditoría contienen una "carga útil" que contiene una cadena JSON que especifica qué controlador de auditoría se carga.

  • Controlador de auditoría: flt_audit cargado: Se cargó el controlador de auditoría de SMB.
  • Controlador de auditoría: flt_audit_nfs cargado: Se ha cargado el controlador de auditoría de NFS.
  • Controlador de auditoría: flt_audit_hdfs cargado: Se ha cargado el controlador de auditoría de HDFS.



Para eventos de auditoría con payloadType = "bbce6a72-a92d-4330-a1f3-e9fd5aed8152" (eventos de auditoría de descarga de controlador de auditoría).

Estos son eventos de auditoría que indican cuando se descargó el controlador del filtro de auditoría.

Estos eventos de auditoría contienen una "carga útil" que contiene una cadena JSON que especifica qué controlador de auditoría se detuvo.

  • Cierre del controlador de auditoría: flt_audit: El controlador de auditoría de SMB se detuvo.
  • Apagando el controlador de auditoría: flt_audit_nfs: Se ha cargado el controlador de auditoría de NFS.
  • Cierre del controlador de auditoría: flt_audit_hdfs: Se ha cargado el controlador de auditoría de HDFS.


eventType: Cadena del tipo de evento de auditoría / tipo de acción. Uno de los siguientes:
  • Crear: Cree o abra un archivo o directorio.
  • Cerca: Cierre un archivo o directorio.
  • Leer: Primera lectura en un archivo desde que se abrió.
  • Escribir: Primero escriba en un archivo desde que lo abrió.
  • Renombrar: Cambie el nombre de un archivo o directorio.
  • Eliminar: Elimine un archivo o directorio.
  • set-security: Configurar la información o los permisos de seguridad en un archivo o directorio.
  • Seguridad-de-get: Obtener información o permisos de seguridad en un archivo o directorio.


createDispo: Número entero de la disposición de creación/apertura. Esta es la solicitud de cómo se debe abrir o crear el archivo / directorio:
  • 0 - FILE_SUPERSEDE - Reemplace un archivo existente o créelo.
  • 1 - FILE_OPEN - Abra un archivo existente o falle.
  • 2 - FILE_CREATE - Cree un archivo no existente o falle.
  • 3 - FILE_OPEN_IF - Abra un archivo existente o créelo.
  • 4 - FILE_OVERWRITE - Abre y sobrescribe un archivo existente o falla.
  • 5 - FILE_OVERWRITE_IF - Abre y sobrescribe un archivo existente o créelo.


createResult: Cadena del resultado de creación/apertura. Uno de los siguientes:
  • REEMPLAZADO: El archivo existía y se reemplazó.
  • ABIERTO: El archivo existía y se abrió.
  • CREADO: El archivo no existía y se creó.
  • EXISTE: El archivo existe y no se creó.
  • DOES_NOT_EXIST: El archivo no existía y no se abrió.
  • DESCONOCIDO: Desconocido.


Acceso deseado: Número entero del acceso deseado combinado bit a bit de lo siguiente:

Affected Products

Isilon

Products

Isilon
Article Properties
Article Number: 000019850
Article Type: How To
Last Modified: 18 Dec 2022
Version:  4
Find answers to your questions from other Dell users
Support Services
Check if your device is covered by Support Services.