Isilon: Isilon 감사 페이로드 값 목록

Summary: 결과의 원시 출력에서 확인할 수 있는 가능한 Isilon 값 목록isi_audit.

This article applies to This article does not apply to This article is not tied to any specific product. Not all product versions are identified in this article.
Check out other resources

Instructions

다음은 결과의 원시 출력에서 볼 수 있는 가능한 Isilon 값 목록isi_audit.

이 목록은 특정 버전이 아닙니다. 일부는 특정 버전의 OneFS에만 제공되며 이후 버전에는 확장 옵션이 있습니다. 이 목록은 일반적으로 개별 감사 이벤트를 검토할 때 참조하기 위한 것입니다.

Isilon 프로토콜 감사 시스템을 사용하면 SMB 및 NFS와 같은 프로토콜에서 OneFS 파일 시스템 내의 사용자 작업을 모니터링하고 추적할 수 있습니다.

원시 형식으로 기록된 작업은 다음과 같습니다(OneFS의 버전과 시대 간에 약간의 차이가 있을 수 있음).

 

{"id":"8f0ae523-1741-12ea-8d1f-010e1ea7b298","timestamp":1575538065995502,"payloadType":"c411a642-c139-4c7a-be58-93680bc20b41","payload":{"protocol":"NFS","zoneID":5,"zoneName":"AuditedZone","eventType":"delete","isDirectory":false,"clientIPAddr":"10.51.221.92","fileName":"\\ifs\\home\\user00001\\staging\\datareview\\infa\\client\\Temp\\datapoint_file.txt","userSID":"S-1-22-2000","userID":2000,"ntStatus":0,"fsId":1,"partialPath":"datapoint_ file.txt","rootInode":4512436961,"inode":5128815920}}     
 
{"id":"87b8bbh5-181c-71ea-8d1f-000g1ia7j295","timestamp":1575522001272734,"payloadType":"c411a642-c139-4c7a-be58-93680bc20b41","payload":"protocol":"NFS","zoneID":5,"zoneName":"AuditedZone","eventType":"create","createResult":"OPENED","isDirectory":true,"desiredAccess":0,"clientIPAddr":"10.14.73.184","createDispo":1,"userSID":"S-1-22-1-2000","userID":2000,"fileName":"\\ifs\\data\\project00004\\dev\\logs\\ABC\\that-one-project-data","ntStatus":0," fsId":1,"inode":4725492968}}


그 내에서 용어는 다음과 같이 정의됩니다.
  • clientIPAddr: 작업을 수행하는 사용자의 IP 문자열입니다.
  • 클라이언트 IP: 요청을 시작한(이벤트 발생) 클라이언트의 IP 주소입니다.
  • createDispo 크랙: 생성/열기 시 사용자가 지정한 생성 배치입니다.
  • 원하는 액세스: 생성/열기 시 사용자가 지정한 원하는 액세스 권한입니다.
  • 인코딩된 새 이름: 이름을 바꾸는 경우 인코딩된 새 이름입니다.
  • 인코딩된 경로: 파일의 인코딩된 UNC 경로입니다.
  • encodedRelativePath를 사용합니다. 인코딩된 상대 경로입니다.
  • encodingType을 사용합니다. 값에 XML에 포함될 수 없는 문자가 포함된 경우 값에 사용되는 인코딩입니다.
  • 이벤트: 검사를 발생시킨 이벤트입니다.
  • 파일: 파일의 절대 경로에 대한 문자열이거나, 감사 시 경로를 가져올 수 없는 경우 "UNKNOWN"입니다. 경로는 UNC 스타일의 경로 구분 기호("\\")를 사용합니다.
  • Filesize: 조작 시 파일의 크기입니다.
  • 플래그: 위에서 정의한 CEPP_FLAG_XXX 중 하나입니다.
  • fsId입니다. 상위 디렉토리의 파일 시스템 ID입니다. 이 정수는 해당 파일 시스템의 ID 값입니다(기본값 1).
  • id: 클러스터 GUID 및 감사된 이벤트에 대해 고유한 감사된 영역 ID를 기반으로 하는 값입니다. 해당 이벤트에 대한 UUID입니다.
  • Inode: 파일 또는 디렉토리 inode의 정수입니다.
  • isDirectory입니다. 이벤트가 파일 또는 디렉터리에 대한 것인지 여부를 나타내는 부울입니다.
  • newFSId: 타겟 상위 디렉토리(이름 변경)의 새 파일 시스템 ID(fsId와 다른 경우)입니다.
  • Newname: 새 이름(이름 바꾸기 작업 시)
  • newParentInode 크랙: 타겟 상위 디렉토리(이름 변경)의 inode입니다.
  • ntStatus 입니다. 작업의 NTSTATUS 코드입니다. 0은 STATUS_SUCCESS입니다.
  • 소유자 ID: 파일 소유자의 ID입니다.
  • 소유자시드: 파일 소유자의 Sid입니다.
  • parentInode 크랙: 포함하는 디렉토리의 inode입니다.
  • 부분 경로: 파일 또는 디렉토리의 상대 경로에 대한 문자열입니다. 경로는 UNC 스타일의 경로 구분 기호("\\")를 사용합니다.
  • partialPathParentInode: 위 부분 경로의 부모 inode입니다.
  • path: 파일의 UNC 이름(또는 dir) - 절대 경로입니다.
  • 페이로드: 전달된 전체 감사 이벤트로, 이러한 값의 대부분을 캡슐화합니다.
  • 페이로드 유형: "4b66b1eb-6e1a-416d-b80c-5a642a603a0b의 문자열: 프로토콜 활동 이벤트용입니다.
  • 페이로드 유형: "7afb8d54-0aa7-4ed4-9691-341313ee37e3의 문자열: Audit Driver Loaded Audit Events의 경우
  • 페이로드 유형: "bbce6a72-a92d-4330-a1f3-e9fd5aed8152"의 문자열 : Audit Driver Unload Audit Events의 경우.
  • 페이로드 유형: "c411a642-c139-4c7a-be58-93680bc20b41의 문자열: 프로토콜 데이터 이벤트의 경우.
  • 프로토콜: 작업이 발생한 프로토콜의 문자열입니다. 일반적으로 OneFS 7.2 이상에서 다음 중 하나입니다. "CIFS"(SMB1용); "SMB2"; "NFS"(NFSv3의 경우); "NFS4"입니다. "HDFS"입니다.
  • relativePath: 클라이언트에서 액세스한 파일(또는 dir)의 UNC 이름입니다.
  • rootInode 크랙: partialPath가 있는 디렉토리 inode의 정수입니다.
  • 서버 IP: 이벤트가 기록된 서버의 IP 주소입니다.
  • 서버: 이벤트가 발생한 서버 이름입니다. NFS용 서버 IP입니다.
  • 공유: 서버의 공유입니다. NFS의 내보내기 이름입니다.
  • 타임 스탬프: 서버에서 이벤트가 발생한 시간입니다. 64비트 값이며, 상위 32비트는 시간을 나타내고 하위 32비트는 마이크로초를 나타냅니다. 형식: 0x1234abcd1234abcd
  • type: 파일, 디렉토리 등
  • Userid: 작업을 수행하는 사용자 UID의 정수입니다. (OneFS 7.2 이상)
  • 사용자 SID: 작업을 수행하는 사용자의 SID 문자열입니다.  ("userSID"는 "로그온" 실패 이벤트에서 사용할 수 없습니다.)
  • 존 ID: 작업이 온/통해 수행되고 있는 OneFS 액세스 존 ID의 정수입니다.
  • Zonename: 작업이 시작/경유 중에 이벤트 발생 시 OneFS 액세스 존 이름의 문자열입니다.




또한 몇 가지 가능한 변수가 있을 수 있는 몇 가지 다른 값과 필드가 있습니다. 

"eventType" 오브젝트의 경우 일부 이벤트 유형에는 아래 유형 아래에 나열된 추가 페이로드 필드가 있습니다.
 
eventType = 생성: 파일 또는 디렉토리를 생성하거나 여는 데 사용됩니다.

이벤트 유형 = 닫기: 파일 또는 디렉토리를 닫는 데 사용됩니다.
추가 페이로드 필드: ( "isDirectory 가 파일에 대해 false / 인 경우에만 의미가 있습니다.)
  • 바이트읽기: 열기/생성 이후 읽은 총 바이트 수의 정수입니다.
  • bytesWritten 크랙: 열기 이후 쓴 총 바이트 수의 정수입니다.
  • numberOfReads: 파일을 연 이후 수행된 총 읽기 횟수의 정수입니다.
  • numberOfWrites 크랙: 파일에 대한 총 쓰기 수의 정수입니다.
이벤트 유형 = 읽기: 파일을 연 후 처음으로 읽은 파일입니다.
추가 페이로드 필드:
  • 바이트읽기: 첫 번째 읽기에서 읽은 바이트 수의 정수입니다.
이벤트 유형 = 쓰기: 파일을 연 후 파일에 대한 첫 번째 쓰기입니다.
추가 페이로드 필드:
  • bytesWritten 크랙: 첫 번째 쓰기에서 쓴 바이트 수의 정수입니다.
이벤트 유형 = 이름 바꾸기: 파일 또는 디렉토리의 이름 변경
추가 페이로드 필드:
  • newFileName: 새 파일 이름의 절대 경로 문자열 또는 "UNKNOWN"입니다. 경로는 UNC 스타일의 경로 구분 기호("\\")를 사용합니다.
  • newPartialPath를 사용합니다. 새 파일 이름의 상대 경로에 대한 문자열입니다. 경로는 UNC 스타일의 경로 구분 기호("\\")를 사용합니다.
  • newRootInode 크랙: "newPartialPath"를 포함하는 새 상위 디렉토리 inode의 정수입니다.
이벤트 유형 = get-security: 파일 또는 디렉토리에서 보안 정보/사용 권한을 가져옵니다.
                              (추가 필드 없음)

이벤트 유형 = 설정 보안: 파일 또는 디렉토리에 대한 보안 정보/사용 권한을 설정합니다.
(추가 필드 없음)
 
eventType = 삭제: 파일 또는 디렉토리를 삭제합니다.
(추가 필드 없음)
 
이벤트 유형 = 로그온: 로그온.
(추가 필드 없음)
 
이벤트 유형 = 로그오프: 로그오프.
(추가 필드 없음)
 
이벤트 유형 = 트리 연결: SMB 트리 연결을 수행합니다.
(추가 필드 없음)



payloadType = "7afb8d54-0aa7-4ed4-9691-341313ee37e3"인 감사 이벤트의 경우(감사 드라이버가 로드한 감사 이벤트).

감사 필터 드라이버가 로드된 시기를 알리는 감사 이벤트입니다.

이러한 감사 이벤트에는 로드된 감사 드라이버를 지정하는 JSON 문자열이 포함된 "페이로드"가 포함됩니다.

  • 감사 드라이버: 로드된 flt_audit: SMB 감사 드라이버가 로드되었습니다.
  • 감사 드라이버: 로드된 flt_audit_nfs: NFS 감사 드라이버가 로드되었습니다.
  • 감사 드라이버: 로드된 flt_audit_hdfs: HDFS 감사 드라이버가 로드되었습니다.



payloadType = "bbce6a72-a92d-4330-a1f3-e9fd5aed8152"인 감사 이벤트의 경우(감사 드라이버가 감사 이벤트를 언로드합니다).

감사 필터 드라이버가 언로드된 시기를 알리는 감사 이벤트입니다.

이러한 감사 이벤트에는 중지된 감사 드라이버를 지정하는 JSON 문자열이 포함된 "페이로드"가 포함되어 있습니다.

  • 감사 드라이버 종료: flt_audit: SMB 감사 드라이버가 중지되었습니다.
  • 감사 드라이버 종료: flt_audit_nfs: NFS 감사 드라이버가 로드되었습니다.
  • 감사 드라이버 종료: flt_audit_hdfs: HDFS 감사 드라이버가 로드되었습니다.


이벤트 유형: 감사 이벤트 유형/작업 유형의 문자열입니다. 다음 중 하나입니다.
  • 만들: 파일 또는 디렉토리를 생성하거나 엽니다.
  • 가까이: 파일 또는 디렉토리를 닫습니다.
  • 읽기: 파일을 연 후 처음으로 읽은 파일입니다.
  • 쓰기: 파일을 연 후 먼저 파일에 씁니다.
  • 이름을 바꿀: 파일 또는 디렉토리의 이름을 바꿉니다.
  • 삭제: 파일 또는 디렉토리를 삭제합니다.
  • set-security를 사용합니다. 파일 또는 디렉토리에 대한 보안 정보/사용 권한을 설정합니다.
  • get-security를 사용합니다. 파일 또는 디렉토리에 대한 보안 정보/사용 권한을 가져옵니다.


createDispo 크랙: 생성/열기 처리의 정수입니다. 이것은 파일 / 디렉토리를 열거나 생성하는 방법에 대한 요청입니다.
  • 0 - FILE_SUPERSEDE - 기존 파일을 바꾸거나 만듭니다.
  • 1 - FILE_OPEN - 기존 파일 열기 또는 실패.
  • 2 - FILE_CREATE - 존재하지 않는 파일을 생성하거나 실패합니다.
  • 3 - FILE_OPEN_IF - 기존 파일을 열거나 만듭니다.
  • 4 - FILE_OVERWRITE - 기존 파일을 열고 덮어쓰거나 실패합니다.
  • 5 - FILE_OVERWRITE_IF - 기존 파일을 열고 덮어쓰거나 만듭니다.


createResult입니다. 만들기/열기 결과의 문자열입니다. 다음 중 하나입니다.
  • 대체: 파일이 존재하고 교체되었습니다.
  • 열립니다: 파일이 존재하고 열렸습니다.
  • 만든: 파일이 존재하지 않고 생성되었습니다.
  • 존재: 파일이 있지만 생성되지 않았습니다.
  • DOES_NOT_EXIST: 파일이 존재하지 않아 열리지 않았습니다.
  • 알려지지 않은: 알려지지 않은.


원하는 액세스: 다음에 대한 비트 조합 원하는 액세스의 정수입니다.

Affected Products

Isilon

Products

Isilon
Article Properties
Article Number: 000019850
Article Type: How To
Last Modified: 18 Dec 2022
Version:  4
Find answers to your questions from other Dell users
Support Services
Check if your device is covered by Support Services.