Isilon: Isilon監査ペイロード値のリスト

Summary: isi_audit結果の未フォーマット出力で確認できるIsilon値のリスト。

This article applies to This article does not apply to This article is not tied to any specific product. Not all product versions are identified in this article.
Check out other resources

Instructions

次のリストは、isi_audit結果の未フォーマット出力で確認できるIsilon値のリストです。

このリストはバージョン固有のものではありません。これらの一部はOneFSの特定のバージョンのみを対象としており、以降のバージョンではオプションが拡張されています。このリストは、一般的に個々の監査イベントを確認する際の参照を目的としています。

Isilonプロトコル監査システムを使用すると、SMBやNFSなどのプロトコルに関するOneFSファイルシステム内のユーザーのアクションを監視および追跡できます。

未フォーマットの形式で記録されたアクションは、次のようになります(OneFSのバージョンや時代によって多少の違いが予想されます)。

 

{"id": "8f0ae523-1741-12ea-8d1f-010e1ea7b298",", "timestamp":1575538065995502,"payloadType":"c411a642-c139-4c7a-be58-93680bc20b41","payload":{"protocol":"NFS","zoneID":5,"zoneName":"AuditedZone","eventType":"delete","isDirectory":false,"clientIPAddr":"10.51.221.92","fileName":"\\ifs\\home\\user00001\\staging\\datareview\\infa\\client\\Temp\\datapoint_file.txt","userSID":"S-1-22-2000","userID":2000,"ntStatus":0,"fsId":1,"partialPath":"datapoint_file.txt","rootInode":4512436961,"inode":5128815920}}     
 
{"id": "87b8bbh5-181c-71ea-8d1f-000g1ia7j295",", "timestamp":1575522001272734,"payloadType":"c411a642-c139-4c7a-be58-93680bc20b41","payload":"protocol":"NFS","zoneID":5,"zoneName":"AuditedZone","eventType":"create","createResult":"OPENED","isDirectory":true,"desiredAccess":0,"clientIPAddr":"10.14.73.184","createDispo":1,"userSID":"S-1-22-1-2000","userID":2000,"fileName":"\\ifs\\data\\project00004\\dev\\logs\\ABC\\that-one-project-data","ntStatus":0,"fsId":1,"inode":4725492968}}


その中で、用語は次のように定義されています。
  • clientIPAddr: アクションを実行しているユーザーのIPの文字列。
  • clientIp: リクエストを開始した(イベントを発生させた)クライアントのIPアドレス。
  • createDispo: 作成/オープン時にユーザーによって指定された作成処理。
  • desiredAccessに追加します。作成時/オープン時にユーザーが指定したアクセス。
  • encodedNewName: 名前が変更された場合にエンコードされた新しい名前。
  • encodedPath: ファイルのエンコードされたUNCパス。
  • encodedRelativePath: エンコードされた相対パス。
  • encodingType: XMLに含めることができない文字が値に含まれている場合に、値に使用されるエンコーディング。
  • イベント:チェックの原因となったイベント。
  • Filename:ファイルの絶対パスの文字列。監査がパスを取得できない場合は「UNKNOWN」。パスは、UNC スタイルのパス区切り文字 ("\\") を使用します。
  • ファイルサイズ:操作時のファイルのサイズ。
  • フラグ:上記で定義されたCEPP_FLAG_XXXのいずれか。
  • fsId: 親ディレクトリーのファイル システムID。この整数は、対象のファイル システムのID値(デフォルトは1)です。
  • id:クラスターGUIDと監査ゾーンIDに基づく値で、監査対象イベントに対して一意です。これは、そのイベントのUUIDです。
  • Inode:ファイルまたはディレクトリーのinodeの整数。
  • isDirectoryです。イベントがファイル用かディレクトリ用かを示すブール値。
  • newFSId:ターゲットの親ディレクトリーの新しいファイル システムID(fsIdと異なる場合)(名前の変更)。
  • Newname:新しい名前 (名前変更操作時)。
  • newParentInodeに追加します。ターゲットの親ディレクトリーのinode(名前変更)。
  • ntStatus: アクションのNTSTATUSコード。0はSTATUS_SUCCESSです。
  • ownerId: ファイルの所有者のID。
  • ownerSid: ファイル所有者のSID。
  • parentInodeに追加します。格納ディレクトリのinode。
  • partialPath: ファイルまたはディレクトリの相対パスの文字列。パスは、UNC スタイルのパス区切り文字 ("\\") を使用します。
  • partialPathParentInode: 上記の部分的なパスの親 inode。
  • パス: ファイル(またはディレクトリ)のUNC名 - 絶対パス。
  • ペイロード:これらの値のほとんどをカプセル化する、完全に配信された監査イベント。
  • payloadType: 「4b66b1eb-6e1a-416d-b80c-5a642a603a0b: プロトコル アクティビティー イベントの場合。
  • payloadType: 「7afb8d54-0aa7-4ed4-9691-341313ee37e3: 監査ドライバーがロードした監査イベントの場合。
  • payloadType: 「bbce6a72-a92d-4330-a1f3-e9fd5aed8152: 監査ドライバーの場合は、監査イベントをアンロードします。
  • payloadType: 「c411a642-c139-4c7a-be58-93680bc20b41: プロトコル データ イベントの場合。
  • プロトコル:アクションが発生したプロトコルの文字列。通常、OneFS 7.2以降では次のいずれかになります。「CIFS」(SMB1の場合)"SMB2";"NFS" (NFSv3 の場合)「NFS4」;「HDFS」。
  • relativePathに追加します。クライアントがアクセスするファイル(またはディレクトリ)のUNC名。
  • rootInodeに追加します。partialPathがあるディレクトリーのinodeの整数。
  • serverIp: イベントが記録されたサーバーのIPアドレス。
  • サーバー:イベントが発生したサーバー名。NFSのサーバーIP。
  • 共有:サーバー上の共有。NFSのエクスポート名。
  • タイムスタンプ:サーバーでイベントが発生した時刻。これは 64 ビット値で、上位 32 ビットは時間を表し、下位 32 ビットはマイクロ秒を表します。形式:0x1234abcd1234abcd
  • タイプ: ファイル、ディレクトリーなど
  • Userid:アクションを実行しているユーザーのUIDの整数。(OneFS 7.2以降)
  • userSID: アクションを実行しているユーザーのSIDの文字列。  (「userSID」は「ログオン」エラー イベントでは使用できません)。
  • Zoneid:アクションが実行されているOneFSアクセス ゾーンIDの整数。
  • Zonename:アクションがオン/スルーで実行されているイベント発生時のOneFSアクセス ゾーン名の文字列。




さらに、いくつかの変数を持つ可能性のある他のいくつかの値とフィールドがあります。

「eventType」オブジェクトの場合、一部のイベントタイプには、以下のタイプの下にリストされている追加のペイロードフィールドがあります。
 
eventType = createを実行します。ファイルまたはディレクトリの作成またはオープン用。

eventType = close: ファイルまたはディレクトリを閉じる場合。
追加のペイロード フィールド: ("isDirectory が false / for files" の場合にのみ意味があります。
  • bytesRead: オープン/作成以降に読み取られた合計バイト数の整数。
  • bytesWritten: オープン以降に書き込まれた合計バイト数の整数。
  • numberOfReadsです。オープン以降にファイルに対して行われた読み取りの総数の整数。
  • numberOfWrites: ファイルに対して行われた書き込みの合計数の整数。
eventType = 読み取り: ファイルを開いてから初めての読み取り。
追加のペイロード フィールド:
  • bytesRead: 最初の読み取りで読み取られたバイト数の整数。
eventType = 書き込み: ファイルを開いてから初めての書き込み。
追加のペイロード フィールド:
  • bytesWritten: 最初の書き込みで書き込まれたバイト数の整数。
eventType = rename: ファイルまたはディレクトリの名前変更。
追加のペイロード フィールド:
  • newFileName: 新しいファイル名の絶対パスの文字列、または「UNKNOWN」。パスは、UNC スタイルのパス区切り文字 ("\\") を使用します。
  • newPartialPathです。新しいファイル名の相対パスの文字列。パスは、UNC スタイルのパス区切り文字 ("\\") を使用します。
  • newRootInodeを使用します。「newPartialPath」を含む新しい親ディレクトリのinodeの整数。
eventType = get-security: ファイルまたはディレクトリーからセキュリティ情報/権限を取得します。
                              (追加フィールドなし)

eventType = set-security: ファイルまたはディレクトリにセキュリティ情報/権限を設定します。
(追加フィールドなし)
 
eventType = deleteを実行します。ファイルまたはディレクトリを削除します。
(追加フィールドなし)
 
eventType = ログオン: ログオンしています。
(追加フィールドなし)
 
eventType = logoff: ログオフしています。
(追加フィールドなし)
 
eventType = tree-connect: SMBツリー接続の実行。
(追加フィールドなし)



payloadType = "7afb8d54-0aa7-4ed4-9691-341313ee37e3" (監査ドライバー読み込み済み監査イベント) の監査イベントの場合。

これらは、監査フィルター ドライバーが読み込まれたときに通知する監査イベントです。

これらの監査イベントには、読み込まれた監査ドライバーを指定するJSON文字列を含む「ペイロード」が含まれています。

  • 監査ドライバー:flt_auditロード済み: SMB監査ドライバーがロードされました。
  • 監査ドライバー:flt_audit_nfsロード済み: NFS監査ドライバーがロードされました。
  • 監査ドライバー:flt_audit_hdfsロード済み: HDFS監査ドライバーがロードされました。



payloadType = "bbce6a72-a92d-4330-a1f3-e9fd5aed8152" (監査ドライバーのアンロード監査イベント) の監査イベントの場合。

これらは、監査フィルター ドライバーがアンロードされたときに通知する監査イベントです。

これらの監査イベントには、停止した監査ドライバーを指定するJSON文字列を含む「ペイロード」が含まれています。

  • 監査ドライバーのシャットダウン: flt_audit: SMB監査ドライバーが停止しました。
  • 監査ドライバーのシャットダウン:flt_audit_nfs: NFS監査ドライバーがロードされました。
  • 監査ドライバーのシャットダウン:flt_audit_hdfs: HDFS監査ドライバーがロードされました。


Eventtype:監査イベント タイプ/アクション タイプの文字列。次のいずれかです。
  • 作成:ファイルまたはディレクトリを作成するか、開きます。
  • 閉じる:ファイルまたはディレクトリを閉じます。
  • 読む:ファイルを開いてから最初に読み取ります。
  • 書き込み:ファイルを開いた後、最初に書き込みます。
  • 変更:ファイルまたはディレクトリの名前を変更します。
  • 削除:ファイルまたはディレクトリを削除します。
  • set-securityを使用します。ファイルまたはディレクトリにセキュリティ情報/権限を設定します。
  • get-security: ファイルまたはディレクトリのセキュリティ情報/権限を取得します。


createDispo: 作成/オープンの対話結果の整数。これは、ファイル/ディレクトリを開く方法または作成する方法の要求です。
  • 0 - FILE_SUPERSEDE - 既存のファイルを置き換えるか、作成します。
  • 1 - FILE_OPEN - 既存のファイルを開くか、失敗します。
  • 2 - FILE_CREATE - 存在しないファイルを作成するか、失敗します。
  • 3 - FILE_OPEN_IF - 既存のファイルを開くか、作成します。
  • 4 - FILE_OVERWRITE - 既存のファイルを開いて上書きするか、失敗します。
  • 5 - FILE_OVERWRITE_IF - 既存のファイルを開いて上書きするか、作成します。


createResultに追加します。作成/開く結果の文字列。次のいずれかです。
  • 置き換え:ファイルが存在し、置き換えられました。
  • 開いた:ファイルが存在し、開かれました。
  • 作成:ファイルが存在せず、作成されました。
  • 存在:ファイルは存在しますが、作成されませんでした。
  • DOES_NOT_EXIST: ファイルが存在せず、開かれませんでした。
  • 未知:未知。


desiredAccessに追加します。次のビットごとの結合された目的のアクセスの整数:

Affected Products

Isilon

Products

Isilon
Article Properties
Article Number: 000019850
Article Type: How To
Last Modified: 18 Dec 2022
Version:  4
Find answers to your questions from other Dell users
Support Services
Check if your device is covered by Support Services.