Isilon: Liste over verdier for Isilon-revisjonsnyttelast

Følgende er en liste over mulige Isilon-verdier som kan sees i råutdataene fra isi_audit resultater.

Denne oppføringen er ikke versjonsspesifikk: Noen av disse vil bare være på visse versjoner av OneFS, mens senere versjoner har utvidede alternativer. Denne listen er ment å være en referanse ved gjennomgang av individuelle revisjonshendelser generelt.

Når du bruker overvåkingssystemet for Isilon-protokollen, kan du overvåke og spore handlingene til brukere i OneFS-filsystemet på protokoller som SMB og NFS.

Handlingene som registreres, i sin rå form, vil se slik ut (noe avvik forventes mellom versjoner og epoker av OneFS):

• clientIPAddr: Streng av IP-en til brukeren som utfører handlingen.
• clientIp: IP-adressen til klienten som startet forespørselen (forårsaker hendelsen).
• createDispo: Opprettelsesdisposisjon angis av brukeren ved opprettelse/åpningstidspunkt.
• desiredAccess: Ønsket tilgang angitt av brukeren på opprette-/åpningstidspunktet.
• encodedNewName: Det kodede nye navnet i tilfelle et nytt navn.
• encodedPath: Den kodede UNC-banen til filen.
• encodedRelativePath: Den kodede relative banen.
• encodingType: Kodingen som brukes for verdier, hvis verdien inneholder tegn som ikke kan inkluderes i XML.
• Hendelsen: Hendelsen som forårsaket sjekken.
• Filnavn: Streng for den absolutte banen til filen eller "UKJENT" hvis revisjonen ikke kan hente banen. Banen bruker UNC-stil for baneskilletegn ("\\").
• Filstørrelse: Størrelsen på filen på tidspunktet for manipulasjon.
• Flagg: En av de CEPP_FLAG_XXX definert ovenfor.
• fsId: Filsystem-ID for overordnet katalog. Dette heltallet er ID-verdien til det aktuelle filsystemet (standard 1 ).
• Id: En verdi basert på klynge-GUIDen og den reviderte sone-ID-en, unik for den overvåkede hendelsen. Dette er en UUID for denne hendelsen.
• Inode: Heltall av inoden til filen eller katalogen.
• isDirectory: Boolsk for om hendelsen er for en fil eller en katalog.
• newFSId: nytt filsystem ID (hvis forskjellig fra fsId) av målet overordnede katalogen (endre navn).
• newName: Det nye navnet (i navneendringsoperasjonen).
• newParentInode: Inoden til målkatalogen for overordnede nettverk (endre navn).
• ntStatus: NT-koden for handlingen. 0 er STATUS_SUCCESS.
• ownerId: ID-en til eieren av filen.
• eierSid: Sid til fileieren.
• parentInode: Inoden til den inneholdende katalogen.
• partialPath: Strengen til den relative banen til filen eller katalogen. Banen bruker UNC-stil for baneskilletegn ("\\").
• partialPathParentInode: parent inode av den delvise banen ovenfor.
• path (bane): UNC-navnet på filen (eller dir) - absolutt bane.
• Nyttelast: Den fullstendige leverte revisjonshendelsen, som innkapsler de fleste av disse verdiene.
• payloadType: Streng av "4b66b1eb-6e1a-416d-b80c-5a642a603a0b: For protokollaktivitetshendelser.
• payloadType: Streng av "7afb8d54-0aa7-4ed4-9691-341313ee37e3: For overvåkingssjåfør lastet revisjonshendelser.
• payloadType: Streng av "bbce6a72-a92d-4330-a1f3-e9fd5aed8152: For revisjonssjåførens revisjonshendelser.
• payloadType: Streng av "c411a642-c139-4c7a-be58-93680bc20b41: For protokolldatahendelser.
• Protokollen: Streng av protokollen handlingen skjedde under. Vanligvis ett av følgende i OneFS 7.2 og nyere: "CIFS" (for SMB1); "SMB2"; "NFS" (for NFSv3); "NFS4"; "HDFS".
• relativPath: UNC-navnet på filen (eller dir) som klienten har tilgang til.
• rootInode: Heltall av inoden til katalogen der partialPath er.
• serverIp: IP-adressen til serveren der hendelsen ble registrert.
• Server: Servernavnet der hendelsen oppstod. Server-IP for NFS.
• Dele: Del på serveren. Navnet på eksporten for NFS.
• Tidsstempel: Tidspunktet da hendelsen oppstod på serveren. Det er en 64-biters verdi, der de høye 32 bitene representerer tiden og lavere 32 bits representerer mikrosekundene. Format: 0x1234abcd1234abcd
• type: Fil, katalog osv.
• Brukerid: Heltall for UID-en til brukeren som utfører handlingen. (OneFS 7.2 og nyere)
• userSID: SID-strengen til brukeren som utfører handlingen.  ("userSID" er ikke tilgjengelig i "logon"-feilhendelser.)
• zoneID: Heltall for OneFS-tilgangssone-ID-en handlingen utføres på/gjennom.
• zoneName: Streng for OneFS-tilgangssonenavn på tidspunktet for hendelsen handlingen utføres på/gjennom.

• bytesLes: Heltall av totalt antall byte lest siden åpne / opprette.
• bytesSkrevet: Heltall av totalt antall byte skrevet siden åpningen.
• numberOfReads: Heltall av totalt antall lesninger som er gjort til filen siden åpningen.
• numberOfWrites: Heltall av totalt antall skriveoperasjoner som er gjort til filen.

• bytesLes: Heltall av antall byte som ble lest i første lesning.

• bytesSkrevet: Heltall av antall byte skrevet i den første skrivingen.

• newFileName: Strengen til den absolutte banen til det nye filnavnet eller "UKJENT". Banen bruker UNC-stil for baneskilletegn ("\\").
• newPartialPath: Strengen i den relative banen til det nye filnavnet. Banen bruker UNC-stil for baneskilletegn ("\\").
• newRootInode: Heltall for den nye overordnede katalogens inode som inneholder "newPartialPath".

For overvåkingshendelser med payloadType = "7afb8d54-0aa7-4ed4-9691-341313ee37e3" (overvåkingsdriver lastet revisjonshendelser).

Dette er revisjonshendelser som signaliserer når revisjonsfilterdriveren ble lastet inn.

Disse revisjonshendelsene inneholder en "nyttelast" som inneholder en JSON-streng som angir hvilken revisjonsdriver som lastes inn.

• Revisjonsdriver: flt_audit Loaded: SMB-revisjonsdriver lastet inn.
• Revisjonsdriver: flt_audit_nfs Loaded: NFS-revisjonsdriver lastet inn.
• Revisjonsdriver: flt_audit_hdfs Loaded: HDFS-revisjonsdriveren er lastet inn.

For revisjonshendelser med payloadType = "bbce6a72-a92d-4330-a1f3-e9fd5aed8152" (revisjonsdriver ved revisjonshendelser).

Dette er revisjonshendelser som signaliserer når revisjonsfilterdriveren ble lastet ut.

Disse revisjonshendelsene inneholder en "nyttelast" som inneholder en JSON-streng som angir hvilken revisjonsdriver som stoppet.

• Slå av revisjonsdriveren: flt_audit: SMB-revisjonsdriver stoppet.
• Slå av revisjonsdriveren: flt_audit_nfs: NFS-revisjonsdriver lastet inn.
• Slå av revisjonsdriveren: flt_audit_hdfs: HDFS-revisjonsdriveren er lastet inn.

• Opprette: Opprett eller åpne en fil eller katalog.
• Lukke: Lukk en fil eller katalog.
• Lese: Les først på en fil siden den ble åpnet.
• Skrive: Skriv først på en fil siden du åpnet den.
• Gi nytt navn: Gi nytt navn til en fil eller katalog.
• Slette: Slett en fil eller katalog.
• set-security: Angi sikkerhetsinformasjon/tillatelser for en fil eller katalog.
• Get-security: Få sikkerhetsinformasjon/tillatelser for en fil eller katalog.

• 0 - FILE_SUPERSEDE - Erstatt en eksisterende fil eller opprett den.
• 1 – FILE_OPEN – Åpne en eksisterende fil eller mislykkes.
• 2 – FILE_CREATE – oppretter en ikke-eksisterende fil eller mislykkes.
• 3 – FILE_OPEN_IF – Åpne eller opprett en eksisterende fil.
• 4 – FILE_OVERWRITE – Åpne og overskriv en eksisterende fil eller mislyktes.
• 5 – FILE_OVERWRITE_IF – Åpne og overskriv eller opprett en eksisterende fil.

• ERSTATTET: Filen eksisterte og ble erstattet.
• ÅPNET: Filen eksisterte og ble åpnet.
• OPPRETTET: Filen fantes ikke og ble opprettet.
• FINNES: Filen finnes og ble ikke opprettet.
• DOES_NOT_EXIST: Filen fantes ikke og ble ikke åpnet.
• UKJENT: Ukjent.

• https://docs.microsoft.com/en-us/openspecs/windows_protocols/ms-smb/27f99d29-7784-4684-b6dd-264e9025b286
• https://docs.microsoft.com/en-us/openspecs/windows_protocols/ms-smb/d524144c-3cfc-49c3-903c-284e5adbd60a