Ісілон: Список значень набору корисних даних аудиту Isilon

Нижче наведено список можливих значень ISILON, які можна побачити у вихідних даних isi_audit результатів.

Цей список не залежить від конкретної версії: деякі з них будуть лише в певних версіях OneFS, а пізніші версії матимуть розширені параметри. Цей перелік призначений для того, щоб бути орієнтиром при розгляді окремих аудиторських заходів в цілому.

Під час використання системи аудиту протоколу Isilon можна відстежувати та відстежувати дії користувачів у файловій системі OneFS на таких протоколах, як SMB і NFS.

Записані дії, в їх необробленому вигляді, виглядатимуть так (очікується деяка різниця між версіями та епохами OneFS):

• clientIPAddr: Рядок IP користувача, який виконує дію.
• clientIp: IP-адреса клієнта, який ініціював запит (викликав подію).
• createDispo: Диспозиція створення, вказана користувачем під час створення/відкриття.
• desiredAccess: Бажаний доступ, вказаний користувачем під час створення/відкриття.
• encodedNewName: Закодоване нове ім'я у разі перейменування.
• encodedPath: Закодований шлях UNC файла.
• encodedRelativePath: Закодований відносний шлях.
• encodingType: Кодування використовується для значень, якщо значення містить символи, які не можуть бути включені в XML.
• подія: Подія, яка спричинила перевірку.
• Файлу: Рядок абсолютного шляху до файлу або "НЕВІДОМО", якщо аудит не може отримати шлях. У контурі використовується стиль UNC роздільників шляхів ("\\").
• fileSize: Розмір файлу на момент маніпуляції.
• прапор: Один з CEPP_FLAG_XXX визначених вище.
• fsId: Ідентифікатор файлової системи батьківського каталогу. Це ціле число є значенням ідентифікатора відповідної файлової системи (за замовчуванням 1 ).
• Ідентифікатор: Значення, засноване на ідентифікаторі кластера GUID і перевіреному ідентифікаторі зони, унікальному для події, що перевіряється. Це UUID для цієї події.
• inode: Ціле число індексного дескриптора файла або каталогу.
• isDirectory: Boolean для того, чи є подія для файлу чи каталогу.
• newFSId: новий ідентифікатор файлової системи (якщо відрізняється від fsId) батьківського каталогу призначення (перейменування).
• newName: Нова назва (під час операції перейменування).
• newParentInode: Індексний дескриптор цільового батьківського каталогу (перейменування).
• ntStatus: Код дії NTSTATUS. 0 дорівнює STATUS_SUCCESS.
• ownerId: Ідентифікатор власника файлу.
• ownerSid: Sid власника файлу.
• parentInode: Індексний дескриптор каталогу, що містить.
• partialPath: Рядок відносного шляху до файла або каталогу. У контурі використовується стиль UNC роздільників шляхів ("\\").
• partialPathParentInode: батьківський індексний дескриптор часткового шляху вище.
• шлях: UNC ім'я файлу (або каталогу) - абсолютний шлях.
• Вантажопідйомність: Повний аудит проведеного заходу, що включає в себе більшість з цих цінностей.
• payloadType: Рядок "4b66b1eb-6e1a-416d-b80c-5a642a603a0b: Для подій протокольної активності.
• payloadType: Рядок "7afb8d54-0aa7-4ed4-9691-341313ee37e3: Для драйвера аудиту завантажені події аудиту.
• payloadType: Рядок "bbce6a72-a92d-4330-a1f3-e9fd5aed8152: Для аудиту драйвера вивантажити події аудиту.
• payloadType: Рядок "c411a642-c139-4c7a-be58-93680bc20b41: для подій даних протоколу.
• протокол: Рядок протоколу, під яким відбувалася дія. Зазвичай одна з наведених нижче дій у OneFS 7.2 і пізніших версіях: "CIFS" (для SMB1); "SMB2"; "NFS" (для NFSv3); "NFS4"; "ХДФС".
• relativePath: Ім'я UNC файлу (або каталогу), до якого має доступ клієнт.
• rootInode: Ціле число індексного дескриптора каталогу, де знаходиться partialPath.
• serverIp: IP-адреса сервера, на якому було записано подію.
• Сервер: Ім'я сервера, на якому відбулася подія. IP-адреса сервера для NFS.
• ділити: Поділитися на сервері. Назва експорту для NFS.
• timeStamp: Час, коли подія відбулася на сервері. Це 64-бітове значення, де старші 32 біти представляють час, а нижчі 32 біти представляють мікросекунди. Формат: 0x1234abcd1234abcd
• тип: Файл, каталог і т.д.
• ідентифікатор користувача: Ціле число UID користувача, який виконує дію. (OneFS 7.2 і новіші версії)
• userSID: Рядок ідентифікатора sid користувача, який виконує дію.  ("userSID" недоступний у подіях помилки "logon".)
• zoneID: Ціле число ідентифікатора зони доступу OneFS, на якій виконується дія.
• zoneName: Рядок назви зони доступу OneFS на момент події, під час якої виконується дія.

• bytesRead: Ціле число загальної кількості байтів, прочитаних з моменту відкриття/створення.
• bytesНаписано: Ціле число загальної кількості байтів, записаних з моменту відкриття.
• numberOfReads: Ціле число загальної кількості зчитувань, виконаних у файлі з моменту відкриття.
• numberOfПише: Ціле число загальної кількості записів, зроблених у файл.

• bytesRead: Ціле число кількості байтів, прочитаних під час першого читання.

• bytesНаписано: Ціле число кількості байтів, записаних при першому записі.

• newFileName: Рядок абсолютного шляху до нової назви файла або «НЕВІДОМО». У контурі використовується стиль UNC роздільників шляхів ("\\").
• newPartialPath: Рядок відносного шляху до нової назви файла. У контурі використовується стиль UNC роздільників шляхів ("\\").
• newRootInode: Ціле число індексного дескриптора нового батьківського каталогу, який містить "newPartialPath".

Для подій аудиту з payloadType = "7afb8d54-0aa7-4ed4-9691-341313ee37e3" (Audit Driver Loaded Audit Events).

Це події аудиту, які сигналізують про завантаження драйвера фільтра аудиту.

Ці події аудиту містять «корисне навантаження», яке містить рядок JSON, що визначає, який драйвер аудиту завантажено.

• Драйвер аудиту: flt_audit Завантажено: Завантажено драйвер аудиту SMB.
• Драйвер аудиту: flt_audit_nfs Завантажено: Завантажено драйвер аудиту NFS.
• Драйвер аудиту: flt_audit_hdfs Завантажено: Завантажено драйвер аудиту HDFS.

Для подій аудиту з payloadType = "bbce6a72-a92d-4330-a1f3-e9fd5aed8152" (Audit Driver Unload Audit Events).

Це події аудиту, які сигналізують про вивантаження драйвера фільтра аудиту.

Ці події аудиту містять «корисне навантаження», яке містить рядок JSON, що визначає, який драйвер аудиту зупинився.

• Вимкнення драйвера аудиту: flt_audit: Водій аудиту МСБ зупинився.
• Вимкнення драйвера аудиту: flt_audit_nfs: Завантажено драйвер аудиту NFS.
• Вимкнення драйвера аудиту: flt_audit_hdfs: Завантажено драйвер аудиту HDFS.

• творити: Створіть або відкрийте файл або каталог.
• Закрити: Закрийте файл або каталог.
• читати: Перше читання файлу з моменту його відкриття.
• написати: Спочатку запишіть файл з моменту його відкриття.
• Перейменувати: Перейменуйте файл або каталог.
• Видалити: Видаліть файл або каталог.
• set-security: Установлення відомостей про безпеку та дозволів для файлу або каталогу.
• get-security: Отримання відомостей про безпеку / дозволів на файл або каталог.

• 0 - FILE_SUPERSEDE - Замініть існуючий файл або створіть його.
• 1 - FILE_OPEN - Відкрити існуючий файл або виконати помилку.
• 2 - FILE_CREATE - Створити неіснуючий файл або зазнати невдачі.
• 3 - FILE_OPEN_IF - Відкрийте існуючий файл або створіть його.
• 4 - FILE_OVERWRITE - Відкрити та перезаписати наявний файл або запустити його з ладу.
• 5 - FILE_OVERWRITE_IF - Відкрийте та перезапишіть існуючий файл або створіть його.

• ЗАМІНЕНО: Файл існував і був замінений.
• ВІДКРИВ: Файл існував і був відкритий.
• СТВОРЕНИЙ: Файл не існував і був створений.
• ІСНУЄ: Файл існує і не був створений.
• DOES_NOT_EXIST: Файл не існував і не відкривався.
• НЕВІДОМИЙ: Невідомий.

• https://docs.microsoft.com/en-us/openspecs/windows_protocols/ms-smb/27f99d29-7784-4684-b6dd-264e9025b286
• https://docs.microsoft.com/en-us/openspecs/windows_protocols/ms-smb/d524144c-3cfc-49c3-903c-284e5adbd60a