Isilon: Liste over dataværdier for Isilon-revision

Følgende er en liste over mulige Isilon-værdier, der kan ses i de rå output af isi_audit resultater.

Denne liste er ikke versionsspecifik: nogle af disse vil kun være på visse versioner af OneFS, mens nyere versioner har udvidede muligheder. Denne liste er tænkt som reference ved gennemgangen af individuelle revisionsbegivenheder generelt.

Når du bruger Isilon-protokolovervågningssystemet, kan du overvåge og spore brugernes handlinger i OneFS-filsystemet på protokoller som SMB og NFS.

De registrerede handlinger i deres rå form vil se sådan ud (der forventes en vis varians mellem versioner og epoker af OneFS):

• klientIPAddr: Strengen for IP-adressen for den bruger, der udfører handlingen.
• klient-IP: IP-adressen på den klient, der startede anmodningen (forårsager hændelsen).
• createDispo: Oprettelsesdisposition angivet af brugeren på oprettelses-/åbningstidspunktet.
• ønsketAdgang: Ønsket adgang angivet af brugeren på oprettelses-/åbningstidspunktet.
• kodet nyt navn: Det kodede nye navn i tilfælde af omdøbning.
• kodet sti: Den kodede UNC-sti til filen.
• kodet RelativePath: Den kodede relative sti.
• kodningstype: Den kodning, der bruges til værdier, hvis værdien indeholder tegn, der ikke kan medtages i XML.
• Begivenhed: Den hændelse, der forårsagede checken.
• Filnavn: Strengen for filens absolutte sti eller "UNKNOWN", hvis revisionen ikke kan hente stien. Stien bruger UNC-stil af kurveseparatorer ("\\").
• Filstørrelse: Størrelsen af filen på tidspunktet for manipulation.
• Flag: En af de CEPP_FLAG_XXX defineret ovenfor.
• fsId: Filsystem-id for overordnet bibliotek. Dette heltal er ID-værdien for det pågældende filsystem (standard 1 ).
• Id: En værdi baseret på klyngens GUID og det overvågede zone-id, som er unik for den overvågede hændelse. Dette er et UUID for den pågældende hændelse.
• Inode: Heltal af inoden i filen eller mappen.
• isDirectory: Boolesk for, om hændelsen er til en fil eller en mappe.
• newFSId: nyt filsystem-id (hvis forskelligt fra fsId) for målmodermappe (omdøb).
• newName: Det nye navn (ved omdøbning).
• newParentInode: inoden i målstammappen (omdøb).
• ntStatus: NTSTATUS-koden for handlingen. 0 er STATUS_SUCCESS.
• ejer-id: Id for ejeren af filen.
• ejerSid: Side af filejeren.
• forælderInode: inoden af den indeholdende mappe.
• partialPath: Streng af den relative sti til filen eller mappen. Stien bruger UNC-stil af kurveseparatorer ("\\").
• partialPathParentInode: overordnet inode af den delvise sti ovenfor.
• path: UNC navn på filen (eller dir) - absolut sti.
• Nyttelast: Den komplette leverede revisionshændelse, der indkapsler de fleste af disse værdier.
• nyttelasttype: Streng af "4b66b1eb-6e1a-416d-b80c-5a642a603a0b: For protokolaktivitetshændelser.
• nyttelasttype: Streng af "7afb8d54-0aa7-4ed4-9691-341313ee37e3: For revisionsdriverindlæste revisionshændelser.
• nyttelasttype: Streng af "bbce6a72-a92d-4330-a1f3-e9fd5aed8152: For overvågning af chauffør aflæs revisionshændelser.
• nyttelasttype: Streng af "c411a642-c139-4c7a-be58-93680bc20b41: For protokoldatahændelser.
• Protokollen: Streng af den protokol, handlingen fandt sted under. Normalt en af følgende i OneFS 7.2 og nyere: "CIFS" (til SMB1); "SMB2"; "NFS" (til NFSv3); "NFS4"; "HDFS".
• relativePath: UNC-navnet på filen (eller dir), som klienten har fået adgang til.
• rootInode: Heltal af inoden i den mappe, hvor partialPath er.
• server-IP: IP-adressen på den server, hvor hændelsen blev optaget.
• Server: Servernavnet, hvor hændelsen fandt sted. Server-IP til NFS.
• Del: Del på serveren. Eksportnavnet for NFS.
• Tidsstempel: Det tidspunkt, hvor hændelsen fandt sted på serveren. Det er en 64 bit værdi, hvor de høje 32 bit repræsenterer tiden og lavere 32 bit repræsenterer mikrosekunderne. Format: 0x1234abcd1234abcd
• type: Fil, mappe osv.
• Userid: Heltal for UID'et for den bruger, der udfører handlingen. (OneFS 7.2 og nyere)
• brugerSID: Streng for SID for den bruger, der udfører handlingen.  ("userSID" er ikke tilgængelig i "logon"-fejlhændelser).
• zoneID: Heltal for det OneFS-adgangszone-id, som handlingen udføres på/gennem.
• zoneNavn: Streng for OneFS-adgangszonenavnet på tidspunktet for den hændelse, som handlingen udføres på/gennem.

• bytesLæs: Heltal af det samlede antal bytes, der er læst siden åbningen / oprettelsen.
• bytesSkrevet: Heltal af det samlede antal bytes skrevet siden åbningen.
• numberOfReads: Heltal af det samlede antal læsninger, der er foretaget i filen siden åbning.
• numberOfWrites: Heltal af det samlede antal skrivninger, der er foretaget i filen.

• bytesLæs: Heltal af antallet af bytes, der læses i den første læsning.

• bytesSkrevet: Heltal af antallet af bytes skrevet i den første skrivning.

• newFileName: Strengen til den absolutte sti til det nye filnavn eller "UNKNOWN". Stien bruger UNC-stil af kurveseparatorer ("\\").
• newPartialPath: Strengen for den relative sti til det nye filnavn. Stien bruger UNC-stil af kurveseparatorer ("\\").
• newRootInode: Heltal for inoden i den nye overordnede mappe, der indeholder "newPartialPath".

For overvågningshændelser med payloadType = "7afb8d54-0aa7-4ed4-9691-341313ee37e3" (overvågningsdriverindlæste revisionshændelser).

Dette er overvågningshændelser, der signalerer, hvornår revisionsfilterdriveren blev indlæst.

Disse overvågningshændelser indeholder en "nyttelast", som indeholder en JSON-streng, der angiver, hvilken overvågningsdriver der er indlæst.

• Revisionsdriver: flt_audit indlæst: SMB-revisionsdriver indlæst.
• Revisionsdriver: flt_audit_nfs indlæst: NFS-overvågningsdriver indlæst.
• Revisionsdriver: flt_audit_hdfs indlæst: HDFS-overvågningsdriver indlæst.

For overvågningshændelser med payloadType = "bbce6a72-a92d-4330-a1f3-e9fd5aed8152" (overvågningsdriverens aflæsningsovervågningshændelser).

Dette er overvågningshændelser, der signalerer, hvornår revisionsfilterdriveren blev fjernet.

Disse overvågningshændelser indeholder en "nyttelast", som indeholder en JSON-streng, der angiver, hvilken overvågningsdriver der stoppede.

• Lukning af revisionsdriver: flt_audit: SMB-revisionsdriveren stoppede.
• Lukning af revisionsdriver: flt_audit_nfs: NFS-overvågningsdriver indlæst.
• Lukning af revisionsdriver: flt_audit_hdfs: HDFS-overvågningsdriver indlæst.

• Oprette: Opret eller åbn en fil eller mappe.
• Tæt: Luk en fil eller mappe.
• Læse: Læs først på en fil, siden du åbnede den.
• Skrive: Skriv først på en fil, siden du åbnede den.
• Omdøbe: Omdøb en fil eller mappe.
• Slette: Slet en fil eller mappe.
• Indstil sikkerhed: Indstil sikkerhedsoplysninger / tilladelser på en fil eller mappe.
• get-sikkerhed: Få sikkerhedsoplysninger/tilladelser til en fil eller mappe.

• 0 - FILE_SUPERSEDE - Erstat en eksisterende fil, eller opret den.
• 1 - FILE_OPEN - Åbn en eksisterende fil eller mislykket.
• 2 - FILE_CREATE - Opret en ikke-eksisterende fil eller mislykkes.
• 3 - FILE_OPEN_IF - Åbn en eksisterende fil, eller opret den.
• 4 - FILE_OVERWRITE - Åbn og overskriv en eksisterende fil eller mislykkes.
• 5 - FILE_OVERWRITE_IF - Åbn og overskriv en eksisterende fil, eller opret den.

• AFLØST: Filen eksisterede og blev udskiftet.
• ÅBNET: Filen eksisterede og blev åbnet.
• LAVET: Filen eksisterede ikke og blev oprettet.
• FINDES: Filen findes og blev ikke oprettet.
• DOES_NOT_EXIST: Filen fandtes ikke og blev ikke åbnet.
• UKENDT: Ukendt.

• https://docs.microsoft.com/en-us/openspecs/windows_protocols/ms-smb/27f99d29-7784-4684-b6dd-264e9025b286
• https://docs.microsoft.com/en-us/openspecs/windows_protocols/ms-smb/d524144c-3cfc-49c3-903c-284e5adbd60a