Isilon: Lista över värden för Isilon-auditnyttolast

Följande är en lista över möjliga Isilon-värden som kan ses i rådata från isi_audit resultat.

Den här listan är inte versionsspecifik: vissa av dessa kommer endast att finnas på vissa versioner av OneFS, och senare versioner har utökade alternativ. Den här listan är avsedd att användas som referens vid granskning av enskilda granskningshändelser i allmänhet.

När du använder granskningssystemet för Isilon-protokollet kan du övervaka och spåra vad användare gör i OneFS-filsystemet på protokoll som SMB och NFS.

De åtgärder som registreras, i sin råa form, kommer att se ut så här (en viss variation förväntas mellan versioner och epoker av OneFS):

• clientIPAddr: Sträng för IP-adressen för den användare som utför åtgärden.
• clientIp: IP-adressen för den klient som initierade begäran (orsakar händelsen).
• createDispo: Disposition för skapande anges av användaren när tiden för att skapa/öppna.
• desiredAccess: Önskad åtkomst anges av användaren när användaren skapar/öppnar.
• encodedNewName: Det kodade nya namnet vid namnbyte.
• encodedPath: Filens kodade UNC-sökväg.
• encodedRelativePath: Den kodade relativa sökvägen.
• encodingType: Den kodning som används för värden, om värdet innehåller tecken som inte kan inkluderas i XML.
• Händelse: Händelsen som orsakade kontrollen.
• Filnamn: Sträng för den absoluta sökvägen till filen eller "OKÄND" om granskningen inte kan hämta sökvägen. Sökvägen använder UNC-format för sökvägsavgränsare ("\\").
• Filstorlek: Filens storlek vid tidpunkten för manipuleringen.
• Flagga: En av de CEPP_FLAG_XXX definieras ovan.
• fsId: Filsystem-ID för överordnad katalog. Detta heltal är ID-värdet för filsystemet i fråga (standard 1 ).
• Id: Ett värde baserat på kluster-GUID och det granskade zon-ID:t, unikt för den granskade händelsen. Det här är ett UUID för händelsen.
• Inode: Heltal för inoden i filen eller katalogen.
• isDirectory: Booleskt värde för om händelsen gäller för en fil eller en katalog.
• newFSId: nytt filsystem-ID (om det skiljer sig från fsId) för överordnad målkatalog (byt namn).
• newName: Det nya namnet (vid en namnbytesåtgärd).
• newParentInode: Inoden för den överordnade målkatalogen (byt namn).
• ntStatus: NTSTATUS-koden för åtgärden. 0 är STATUS_SUCCESS.
• ownerId: ID för filens ägare.
• ägareSid: Sid för filägaren.
• parentInode: Inoden i den innehållande katalogen.
• partialPath: Sträng för den relativa sökvägen till filen eller katalogen. Sökvägen använder UNC-format för sökvägsavgränsare ("\\").
• partialPathParentInode: överordnad inod för den partiella sökvägen ovan.
• sökväg: UNC-namnet på filen (eller dir) – absolut sökväg.
• Nyttolast: Den fullständiga levererade granskningshändelsen, som kapslar in de flesta av dessa värden.
• payloadType: Sträng av "4b66b1eb-6e1a-416d-b80c-5a642a603a0b: För protokollaktivitetshändelser.
• payloadType: Sträng av "7afb8d54-0aa7-4ed4-9691-341313ee37e3: För granskningsdrivrutin inlästa granskningshändelser.
• payloadType: Sträng av "bbce6a72-a92d-4330-a1f3-e9fd5aed8152: För granskningsdrivrutin tar du bort granskningshändelser.
• payloadType: Sträng av "c411a642-c139-4c7a-be58-93680bc20b41: För protokolldatahändelser.
• Protokollet: Sträng för protokollet som åtgärden inträffade under. Vanligtvis något av följande i OneFS 7.2 och senare: "CIFS" (för SMB1); "SMB2". "NFS" (för NFSv3); "NFS4". "HDFS".
• relativePath: UNC-namnet på filen (eller katalogen) som används av klienten.
• rootInode: Heltal för inoden i katalogen där partialPath är.
• serverIp: IP-adressen för den server där händelsen registrerades.
• Server: Servernamnet där händelsen inträffade. Server-IP för NFS.
• Dela: Resursen på servern. Exportnamnet för NFS.
• Tidsstämpel: Den tidpunkt då händelsen inträffade på servern. Det är ett 64-bitarsvärde, där de höga 32 bitarna representerar tiden och de lägre 32 bitarna representerar mikrosekunderna. Format: 0x1234abcd1234abcd
• typ: Fil, katalog osv.
• Userid: Heltal för UID för användaren som utför åtgärden. (OneFS 7.2 och senare)
• userSID: Sträng för SID för den användare som utför åtgärden.  ("userSID" är inte tillgängligt i felhändelser vid inloggning.)
• Zonid: Heltal av ID:t för OneFS-åtkomstzonen som åtgärden utförs på/igenom.
• Zonnamn: Sträng med namnet på OneFS-åtkomstzonen vid tidpunkten för den händelse som åtgärden utförs på/igenom.

• bytesRead: Heltal för det totala antalet byte som lästs sedan öppningen/skapandet.
• bytesWritten: Heltal för det totala antalet byte som skrivits sedan öppningen.
• numberOfReads: Heltal för det totala antalet läsningar som gjorts i filen sedan den öppnades.
• numberOfWrites: Heltal för det totala antalet skrivningar som gjorts till filen.

• bytesRead: Heltal för antalet byte som lästes i den första läsningen.

• bytesWritten: Heltal för antalet byte som skrivits i den första skrivningen.

• newFileName: Sträng för den absoluta sökvägen till det nya filnamnet eller "UNKNOWN". Sökvägen använder UNC-format för sökvägsavgränsare ("\\").
• newPartialPath: Sträng för den relativa sökvägen till det nya filnamnet. Sökvägen använder UNC-format för sökvägsavgränsare ("\\").
• newRootInode: Heltal för den nya överordnade katalogens inod som innehåller "newPartialPath".

För granskningshändelser med payloadType = "7afb8d54-0aa7-4ed4-9691-341313ee37e3" (granskningsdrivrutin inlästa granskningshändelser).

Det här är granskningshändelser som signalerar när granskningsfilterdrivrutinen lästes in.

Dessa granskningshändelser innehåller en "nyttolast" som innehåller en JSON-sträng som anger vilken granskningsdrivrutin som har lästs in.

• Granskningsdrivrutin: flt_audit läst inläst: SMB-granskningsdrivrutin har lästs in.
• Granskningsdrivrutin: flt_audit_nfs läst: NFS-granskningsdrivrutin har lästs in.
• Granskningsdrivrutin: flt_audit_hdfs Loaded: HDFS-granskningsdrivrutinen har lästs in.

För granskningshändelser med payloadType = "bbce6a72-a92d-4330-a1f3-e9fd5aed8152" (granskningsdrivrutin Unload Audit Events).

Det här är granskningshändelser som signalerar när granskningsfilterdrivrutinen togs bort.

Dessa granskningshändelser innehåller en "nyttolast" som innehåller en JSON-sträng som anger vilken granskningsdrivrutin som stoppades.

• Stänga av granskningsdrivrutinen: flt_audit: SMB-granskningsdrivrutinen stoppades.
• Stänga av granskningsdrivrutinen: flt_audit_nfs: NFS-granskningsdrivrutin har lästs in.
• Stänga av granskningsdrivrutinen: flt_audit_hdfs: HDFS-granskningsdrivrutinen har lästs in.

• Skapa: Skapa eller öppna en fil eller katalog.
• Nära: Stäng en fil eller katalog.
• Läsa: Läs först på en fil sedan du öppnade den.
• Skriva: Skriv först på en fil sedan du öppnade den.
• Byt namn: Byt namn på en fil eller katalog.
• Ta bort: Ta bort en fil eller katalog.
• Ställa in säkerhet: Ange säkerhetsinformation/behörigheter för en fil eller katalog.
• Skaffa säkerhet: Hämta säkerhetsinformation/behörigheter för en fil eller katalog.

• 0 – FILE_SUPERSEDE – Ersätt en befintlig fil eller skapa den.
• 1 – FILE_OPEN – Öppna en befintlig fil eller misslyckas.
• 2 – FILE_CREATE – Skapa en fil som inte finns eller misslyckas.
• 3 – FILE_OPEN_IF – Öppna en befintlig fil eller skapa den.
• 4 – FILE_OVERWRITE – Öppna och skriv över en befintlig fil eller misslyckas.
• 5 - FILE_OVERWRITE_IF - Öppna och skriv över en befintlig fil eller skapa den.

• ERSATT: Filen fanns och har ersatts.
• ÖPPNADE: Filen fanns och öppnades.
• SKAPAD: Filen fanns inte och skapades.
• FINNS: Filen finns och har inte skapats.
• DOES_NOT_EXIST: Filen fanns inte och öppnades inte.
• OKÄND: Okänd.

• https://docs.microsoft.com/en-us/openspecs/windows_protocols/ms-smb/27f99d29-7784-4684-b6dd-264e9025b286
• https://docs.microsoft.com/en-us/openspecs/windows_protocols/ms-smb/d524144c-3cfc-49c3-903c-284e5adbd60a