Isilon: Seznam hodnot datové části auditu řešení Isilon

Následuje seznam možných hodnot Isilon, které lze vidět v hrubých výstupech výsledků isi_audit.

Tento výpis není specifický pro konkrétní verzi: některé z nich budou k dispozici pouze v určitých verzích systému OneFS, přičemž novější verze budou mít rozšířené možnosti. Tento seznam má sloužit jako reference při kontrole jednotlivých událostí auditu obecně.

Při použití systému auditování protokolu Isilon můžete monitorovat a sledovat akce uživatelů v rámci systému souborů OneFS v protokolech, jako jsou SMB a NFS.

Zaznamenané akce budou ve své hrubé podobě vypadat takto (mezi verzemi a érami systému OneFS lze očekávat určitou odchylku):

• clientIPAddr: Řetězec IP adresy uživatele provádějícího akci.
• clientIp: IP adresa klienta, který inicioval požadavek (způsobil událost).
• createDispo: Uspořádání vytvoření zadané uživatelem při vytváření/otevření.
• desiredAccess: Požadovaný přístup zadaný uživatelem v době vytvoření/otevření.
• encodedNewName: Zakódovaný nový název pro případ přejmenování.
• encodedPath: Kódovaná cesta UNC k souboru.
• encodedRelativePath: Zakódovaná relativní cesta.
• encodingType: Kódování použité pro hodnoty, pokud hodnota obsahuje znaky, které nelze zahrnout do XML.
• Událost: Událost, která způsobila kontrolu.
• Název_souboru: Řetězec absolutní cesty k souboru nebo "NEZNÁMÝ", pokud audit nemůže získat cestu. Cesta používá oddělovače cest ve stylu UNC ("\\").
• Velikost: Velikost souboru v době manipulace.
• Vlajky: Jeden z výše definovaných CEPP_FLAG_XXX.
• fsId: ID systému souborů nadřazeného adresáře. Toto celé číslo je hodnota ID příslušného souborového systému (výchozí hodnota 1 ).
• id: Hodnota založená na identifikátoru GUID clusteru a ID auditované zóny, která je pro auditovanou událost jedinečná. Jedná se o UUID pro danou událost.
• Inode: Celé číslo inodu souboru nebo adresáře.
• isDirectory: Logická hodnota, která určuje, zda se událost týká souboru nebo adresáře.
• newFSId: nové ID souborového systému (pokud se liší od fsId) cílového nadřazeného adresáře (přejmenovat).
• Newname: Nový název (při operaci přejmenování).
• newParentInode: Noda cílového nadřazeného adresáře (přejmenovat).
• ntStav: Kód NTSTATUS akce. 0 je STATUS_SUCCESS.
• ownerId: ID vlastníka souboru.
• ownerSid: Identifikátor Sid vlastníka souboru.
• parentInode: Noda obsahujícího adresáře.
• partialPath: Řetězec relativní cesty k souboru nebo adresáři. Cesta používá oddělovače cest ve stylu UNC ("\\").
• partialPathParentInode: nadřazený inode výše uvedené částečné cesty.
• path: UNC název souboru (nebo adresáře) - absolutní cesta.
• Užitečné zatížení: Kompletní dodaná událost auditu, která zapouzdřuje většinu těchto hodnot.
• payloadType: Řetězec "4b66b1eb-6e1a-416d-b80c-5a642a603a0b: Pro události aktivity protokolu.
• payloadType: Řetězec "7afb8d54-0aa7-4ed4-9691-341313ee37e3: Pro události auditu načtené ovladačem auditu.
• payloadType: Řetězec "bbce6a72-a92d-4330-a1f3-e9fd5aed8152: V případě ovladače auditu uvolněte události auditu.
• payloadType: Řetězec "c411a642-c139-4c7a-be58-93680bc20b41: Pro události dat protokolu.
• Protokol: Řetězec protokolu, podle kterého k akci došlo. V systému OneFS 7.2 a novějším obvykle jedna z následujících možností: "CIFS" (pro SMB1); "SMB2"; "NFS" (pro NFSv3); "NFS4"; "HDFS".
• relativePath: Název UNC souboru (nebo adresáře) tak, jak k němu přistupuje klient.
• rootInode: Integer uzlu inode adresáře, kde partialPath je.
• serverIp: IP adresa serveru, na kterém byla událost zaznamenána.
• Server: Název serveru, na kterém k události došlo. IP adresa serveru pro systém souborů NFS.
• Sdílet: Sdílená složka na serveru. Název exportu pro systém souborů NFS.
• Časové razítko: Čas, kdy k události došlo na serveru. Jedná se o 64bitovou hodnotu, kde vysokých 32 bitů představuje čas a nižších 32 bitů představuje mikrosekundy. Formát: 0x1234abcd1234abcd
• type: Soubor, adresář atd.
• Userid: Integer identifikátoru UID uživatele provádějícího akci. (OneFS 7.2 a novější)
• userSID: Řetězec identifikátoru SID uživatele provádějícího akci.  ("userSID" není k dispozici v případě selhání přihlášení.)
• zoneID: Celé číslo ID zóny přístupu OneFS, na kterém nebo skrze které se akce provádí.
• Název_zóny: Řetězec názvu přístupové zóny OneFS v době události, ve které je akce prováděna na/prostřednictvím.

• bytesRead: Celé číslo celkového počtu bajtů přečtených od otevření / vytvoření.
• bytesWritten: Celé číslo celkového počtu bajtů zapsaných od otevření.
• numberOfReads: Celé číslo celkového počtu čtení souboru od otevření.
• numberOfWrites: Celé číslo celkového počtu zápisů provedených do souboru.

• bytesRead: Celé číslo počtu bajtů přečtených při prvním čtení.

• bytesWritten: Celé číslo počtu bajtů zapsaných při prvním zápisu.

• newFileName: Řetězec absolutní cesty k novému názvu souboru nebo "NEZNÁMÝ". Cesta používá oddělovače cest ve stylu UNC ("\\").
• newPartialPath: Řetězec relativní cesty k novému názvu souboru. Cesta používá oddělovače cest ve stylu UNC ("\\").
• newRootInode: Celé číslo inode nového nadřazeného adresáře, který obsahuje "newPartialPath".

Pro události auditu s payloadType = "7afb8d54-0aa7-4ed4-9691-341313ee37e3" (Audit Driver Loaded Audit Events).

Jedná se o události auditu, které signalizují, kdy byl načten ovladač filtru auditu.

Tyto události auditu obsahují datovou část, která obsahuje řetězec JSON určující, který ovladač auditu se načetl.

• Ovladač auditu: flt_audit načteno: Ovladač auditu SMB je načten.
• Ovladač auditu: flt_audit_nfs načteno: Je načten ovladač auditu NFS.
• Ovladač auditu: flt_audit_hdfs načteno: Ovladač auditu HDFS je načten.

Pro události auditu s payloadType = "bbce6a72-a92d-4330-a1f3-e9fd5aed8152" (Audit Driver Unload Audit Events).

Jedná se o události auditu, které signalizují, kdy byl ovladač filtru auditu uvolněn.

Tyto události auditu obsahují datovou část, která obsahuje řetězec JSON určující, který ovladač auditu se zastavil.

• Vypnutí ovladače auditu: flt_audit: Ovladač auditu SMB byl zastaven.
• Vypnutí ovladače auditu: flt_audit_nfs: Je načten ovladač auditu NFS.
• Vypnutí ovladače auditu: flt_audit_hdfs: Ovladač auditu HDFS je načten.

• Vytvořit: Vytvořte nebo otevřete soubor nebo adresář.
• Zavřete: Zavřete soubor nebo adresář.
• Číst: První čtení souboru od jeho otevření.
• Zápis: Nejprve zapište do souboru od jeho otevření.
• Přejmenovat: Přejmenujte soubor nebo adresář.
• Odstranit: Odstraňte soubor nebo adresář.
• set-security: Nastavte bezpečnostní informace / oprávnění k souboru nebo adresáři.
• get-security: Získání informací o zabezpečení / oprávnění k souboru nebo adresáři.

• 0 - FILE_SUPERSEDE – Nahraďte existující soubor nebo jej vytvořte.
• 1 - FILE_OPEN - Otevření existujícího souboru nebo selhání.
• 2 – FILE_CREATE – Vytvoření neexistujícího souboru nebo selhání.
• 3 - FILE_OPEN_IF - Otevřete existující soubor nebo jej vytvořte.
• 4 - FILE_OVERWRITE - Otevřete a přepište existující soubor nebo se nezdaří.
• 5 - FILE_OVERWRITE_IF - Otevřete a přepište existující soubor nebo jej vytvořte.

• NAHRAZENÉ: Soubor existoval a byl nahrazen.
• OTEVŘÍT: Soubor existoval a byl otevřen.
• VYTVOŘEN: Soubor neexistoval a byl vytvořen.
• EXISTUJE: Soubor existuje a nebyl vytvořen.
• DOES_NOT_EXIST: Soubor neexistoval a nebyl otevřen.
• NEZNÁMÝ: Neznámý.

• https://docs.microsoft.com/en-us/openspecs/windows_protocols/ms-smb/27f99d29-7784-4684-b6dd-264e9025b286
• https://docs.microsoft.com/en-us/openspecs/windows_protocols/ms-smb/d524144c-3cfc-49c3-903c-284e5adbd60a