Isilon: Lista de valores de payload de auditoria do Isilon

A seguir está uma lista de possíveis valores do Isilon que podem ser vistos nas saídas brutas de isi_audit resultados.

Esta listagem não é específica da versão: algumas delas estarão apenas em determinadas versões do OneFS, com versões posteriores tendo opções expandidas. Esta lista destina-se a ser uma referência na revisão de eventos de auditoria individuais em geral.

Ao usar o sistema de auditoria de protocolos do Isilon, você pode monitorar e rastrear as ações dos usuários no sistema de arquivos do OneFS em protocolos como SMB e NFS.

As ações registradas, em sua forma bruta, serão semelhantes a isso (alguma variação será esperada entre versões e eras do OneFS):

• clientIPAddr: String do IP do usuário que está executando a ação.
• clientIp: O endereço IP do client que iniciou a solicitação (causando o evento).
• createDispo: Disposição de criação especificada pelo usuário no momento da criação/abertura.
• Desiredaccess: Acesso desejado especificado pelo usuário no momento da criação/abertura.
• encodedNewName: O novo nome codificado em caso de renomeação.
• encodedPath: O caminho UNC codificado do arquivo.
• encodedRelativePath: O caminho relativo codificado.
• encodingType: A codificação usada para valores, se o valor contiver caracteres que não podem ser incluídos no XML.
• Evento: O evento que causou a verificação.
• Filename: String do caminho absoluto do arquivo ou "UNKNOWN" se a auditoria não conseguir obter o caminho. O caminho usa o estilo UNC de separadores de caminho ("\\").
• Filesize: Tamanho do arquivo no momento da manipulação.
• Bandeira: Um dos CEPP_FLAG_XXX definidos acima.
• fsId: ID do sistema de arquivos do diretório pai. Esse número inteiro é o valor de ID do file system em questão (padrão 1).
• id: Um valor baseado no GUID do cluster e no ID da zona auditada, exclusivo para o evento auditado. Este é um UUID para esse evento.
• Nodo: Número inteiro do inode do arquivo ou diretório.
• Isdirectory: Boolean para saber se o evento é para um arquivo ou um diretório.
• newFSId: novo ID do file system (se diferente de fsId) do diretório pai de destino (renomear).
• Newname: O novo nome (em uma operação de renomeação).
• newParentInode: O inode do diretório pai de destino (renomeação).
• ntStatus: O código NTSTATUS da ação. 0 é STATUS_SUCCESS.
• ownerId: O ID do proprietário do arquivo.
• ownerSid: Sid do proprietário do arquivo.
• parentInode: O inode do diretório que o contém.
• partialPath: String do caminho relativo do arquivo ou diretório. O caminho usa o estilo UNC de separadores de caminho ("\\").
• partialPathParentInode: inode pai do caminho parcial acima.
• path: Nome UNC do arquivo (ou dir) - caminho absoluto.
• Carga: O evento de auditoria completo entregue, encapsulando a maioria desses valores.
• payloadType: String de "4b66b1eb-6e1a-416d-b80c-5a642a603a0b: Para eventos de atividade de protocolo.
• payloadType: String de "7afb8d54-0aa7-4ed4-9691-341313ee37e3: Para eventos de auditoria carregados pelo driver de auditoria.
• payloadType: String de "bbce6a72-a92d-4330-a1f3-e9fd5aed8152: Para eventos de auditoria de descarga do driver de auditoria.
• payloadType: String de "c411a642-c139-4c7a-be58-93680bc20b41: Para eventos de dados de protocolo.
• Protocolo: String do protocolo em que a ação ocorreu. Normalmente, uma das seguintes opções no OneFS 7.2 e versões posteriores: "CIFS" (para SMB1); "SMB2"; "NFS" (para NFSv3); "NFS4"; "HDFS".
• Relativepath: Nome UNC do arquivo (ou dir) conforme acessado pelo client.
• rootInode: Inteiro do inode do diretório em que está o partialPath.
• serverIp: O endereço IP do servidor no qual o evento foi registrado.
• Servidor: O nome do servidor em que o evento ocorreu. IP do servidor para NFS.
• Compartilhar: O compartilhamento no servidor. O nome de exportação do NFS.
• Timestamp: A hora em que o evento ocorreu no servidor. É um valor de 64 bits, onde os 32 bits superiores representam o tempo e os 32 bits inferiores representam os microssegundos. Formato: 0x1234abcd1234abcd
• type: Arquivo, diretório etc.
• Userid: Número inteiro do UID do usuário que está executando a ação. (OneFS 7.2 e posterior)
• userSID: String do SID do usuário que está executando a ação.  ("userSID" não está disponível em eventos de falha de "logon".)
• zoneID: Número inteiro do ID da zona de acesso do OneFS no/por meio do qual a ação está sendo executada.
• Nome_da_zona: String do nome da zona de acesso do OneFS no momento do evento em que a ação está sendo executada.

• Bytesread: Número inteiro do número total de bytes lidos desde a abertura/criação.
• bytesEscrito: Número inteiro do número total de bytes gravados desde a abertura.
• numberOfReads: Número inteiro do número total de leituras feitas no arquivo desde a abertura.
• numberOfWrites: Número inteiro do número total de gravações feitas no arquivo.

• Bytesread: Número inteiro do número de bytes lidos na primeira leitura.

• bytesEscrito: Número inteiro do número de bytes gravados na primeira gravação.

• newFileName: String do caminho absoluto do novo nome de arquivo ou "UNKNOWN". O caminho usa o estilo UNC de separadores de caminho ("\\").
• newPartialPath: String do caminho relativo do novo nome de arquivo. O caminho usa o estilo UNC de separadores de caminho ("\\").
• newRootInode: Número inteiro do inode do novo diretório pai que contém "newPartialPath".

Para eventos de auditoria com payloadType = "7afb8d54-0aa7-4ed4-9691-341313ee37e3" (eventos de auditoria carregados pelo driver de auditoria).

Esses são eventos de auditoria que indicam quando o driver do filtro de auditoria foi carregado.

Esses eventos de auditoria contêm um "payload" que contém uma string JSON especificando qual driver de auditoria foi carregado.

• Driver de auditoria: flt_audit carregado: Driver de auditoria SMB carregado.
• Driver de auditoria: flt_audit_nfs carregado: Driver de auditoria NFS carregado.
• Driver de auditoria: flt_audit_hdfs carregado: Driver de auditoria HDFS carregado.

Para eventos de auditoria com payloadType = "bbce6a72-a92d-4330-a1f3-e9fd5aed8152" (Audit Driver Unload Audit Events).

Esses são eventos de auditoria que indicam quando o driver do filtro de auditoria foi descarregado.

Esses eventos de auditoria contêm um "payload" que contém uma string JSON especificando qual driver de auditoria foi interrompido.

• Desligando o driver de auditoria: flt_audit: Driver de auditoria do SMB interrompido.
• Desligando o driver de auditoria: flt_audit_nfs: Driver de auditoria NFS carregado.
• Desligando o driver de auditoria: flt_audit_hdfs: Driver de auditoria HDFS carregado.

• Criar: Crie ou abra um arquivo ou diretório.
• Perto: Feche um arquivo ou diretório.
• Ler: Primeira leitura em um arquivo desde abri-lo.
• Escrever: Primeira gravação em um arquivo desde abri-lo.
• Renomear: Renomeie um arquivo ou diretório.
• Excluir: Exclua um arquivo ou diretório.
• set-security: Defina informações/permissões de segurança em um arquivo ou diretório.
• Get-Security: Obtenha informações/permissões de segurança em um arquivo ou diretório.

• 0 - FILE_SUPERSEDE - Substitua um arquivo existente ou crie-o.
• 1 - FILE_OPEN – Abre um arquivo existente ou falha.
• 2 - FILE_CREATE - Criar um arquivo não existente ou falhar.
• 3 - FILE_OPEN_IF - Abra um arquivo existente ou crie-o.
• 4 - FILE_OVERWRITE - Abre e substitui um arquivo existente ou falha.
• 5 - FILE_OVERWRITE_IF - Abra e substitua um arquivo existente ou crie-o.

• SUBSTITUÍDO: O arquivo existia e foi substituído.
• ABERTO: O arquivo existia e estava aberto.
• CRIADO: O arquivo não existia e foi criado.
• EXISTE: O arquivo existe e não foi criado.
• DOES_NOT_EXIST: O arquivo não existia e não foi aberto.
• DESCONHECIDO: Desconhecido.

• https://docs.microsoft.com/en-us/openspecs/windows_protocols/ms-smb/27f99d29-7784-4684-b6dd-264e9025b286
• https://docs.microsoft.com/en-us/openspecs/windows_protocols/ms-smb/d524144c-3cfc-49c3-903c-284e5adbd60a