Isilon: Liste der Isilon-Auditnutzlastwerte

Summary: Eine Liste möglicher Isilon-Werte, die in den Rohausgaben isi_audit Ergebnisse angezeigt werden.

This article applies to This article does not apply to This article is not tied to any specific product. Not all product versions are identified in this article.
Check out other resources

Instructions

Im Folgenden finden Sie eine Liste möglicher Isilon-Werte, die in den Rohausgaben isi_audit Ergebnisse angezeigt werden.

Diese Liste ist nicht versionsspezifisch: Einige davon sind nur für bestimmte Versionen von OneFS verfügbar, wobei für spätere Versionen erweiterte Optionen verfügbar sind. Diese Liste dient als Referenz bei der Überprüfung einzelner Auditereignisse im Allgemeinen.

Wenn Sie das Isilon-Protokollauditsystem verwenden, können Sie die Aktionen von Nutzern innerhalb des OneFS-Dateisystems für Protokolle wie SMB und NFS überwachen und nachverfolgen.

Die aufgezeichneten Aktionen sehen in ihrer Rohform wie folgt aus (einige Abweichungen sind zwischen den Versionen und Epochen von OneFS zu erwarten):

 

{"id":"8f0ae523-1741-12ea-8d1f-010e1ea7b298","timestamp":1575538065995502,"payloadType":"c411a642-c139-4c7a-be58-93680bc20b41","payload":{"protocol":"NFS","zoneID":5,"zoneName":"AuditedZone","eventType":"delete","isDirectory":false,"clientIPAddr":"10.51.221.92","fileName":"\\ifs\\home\\user00001\\staging\\datareview\\infa\\client\\Temp\\datapoint_file.txt","userSID":"S-1-22-2000","userID":2000,"ntStatus":0,"fsId":1,"partialPath":"datapoint_ file.txt","rootInode":4512436961,"inode":5128815920}}     
 
{"id":"87b8bbh5-181c-71ea-8d1f-000g1ia7j295","timestamp":1575522001272734,"payloadType":"c411a642-c139-4c7a-be58-93680bc20b41","payload ":"protocol":"NFS","zoneID":5,"zoneName":"AuditedZone","eventType":"create","createResult":"OPENED","isDirectory":true,"desiredAccess":0,"clientIPAddr":"10.14.73.184","createDispo":1,"userSID":"S-1-22-1-2000","userID":2000,"fileName":"\\ifs\\data\\project00004\\dev\\logs\\ABC\\that-one-project-data","ntStatus":0", fsId":1,"inode":4725492968}}


In diesem Zusammenhang werden die Begriffe wie folgt definiert:
  • clientIPAddr: Zeichenfolge der IP-Adresse des Nutzers, der die Aktion ausführt.
  • clientIp: Die IP-Adresse des Clients, der die Anforderung initiiert hat (verursacht das Ereignis).
  • createDispo: Die Erstellungsdisposition wird vom Nutzer zum Zeitpunkt der Erstellung/des Öffnens angegeben.
  • desiredAccess: Der gewünschte Zugriff, der vom Nutzer zum Zeitpunkt der Erstellung/des Öffnens angegeben wird.
  • encodedNewName: Der codierte neue Name im Falle einer Umbenennung.
  • encodedPath: Der codierte UNC-Pfad der Datei.
  • encodedRelativePath: Der codierte relative Pfad.
  • encodingType: Die Codierung für Werte, wenn der Wert Zeichen enthält, die nicht in XML enthalten sein können.
  • Ereignis: Das Ereignis, das die Prüfung ausgelöst hat.
  • Dateiname: Zeichenkette des absoluten Pfads der Datei oder "UNKNOWN", wenn das Audit den Pfad nicht abrufen kann. Der Pfad verwendet Pfadtrennzeichen im UNC-Stil ("\\").
  • Dateigröße: Größe der Datei zum Zeitpunkt der Manipulation.
  • Flag: Einer der oben definierten CEPP_FLAG_XXX.
  • fsId: Dateisystem-ID des übergeordneten Verzeichnisses. Diese Ganzzahl ist der ID-Wert des betreffenden Dateisystems (Standardwert 1 ).
  • id: Ein Wert, der auf der Cluster-GUID und der überwachten Zonen-ID basiert und für das überwachte Ereignis eindeutig ist. Dies ist eine UUID für dieses Ereignis.
  • Inode: Ganzzahl des Inodes der Datei oder des Verzeichnisses.
  • Isdirectory: Boolescher Wert, der angibt, ob das Ereignis für eine Datei oder ein Verzeichnis gilt.
  • newFSId: neue Dateisystem-ID (falls unterschiedlich von fsId) des übergeordneten Zielverzeichnisses (umbenennen).
  • Newname: Der neue Name (bei einem Umbenennungsvorgang).
  • newParentInode: Der Inode des übergeordneten Zielverzeichnisses (umbenennen).
  • ntStatus: Der NTSTATUS-Code der Aktion. 0 ist STATUS_SUCCESS.
  • Eigentümer-ID: Die ID des Eigentümers der Datei.
  • ownerSid: SID des Dateieigentümers.
  • parentInode: Der Inode des enthaltenden Verzeichnisses.
  • partialPath: Zeichenkette des relativen Pfads der Datei oder des Verzeichnisses. Der Pfad verwendet Pfadtrennzeichen im UNC-Stil ("\\").
  • partialPathParentInode: übergeordneter Inode des obigen partiellen Pfads.
  • path: UNC-Name der Datei (oder des Verzeichnisses) – absoluter Pfad.
  • Nutzlast: Das vollständige bereitgestellte Auditereignis, das die meisten dieser Werte umfasst.
  • payloadType: Zeichenfolge von "4b66b1eb-6e1a-416d-b80c-5a642a603a0b: Für Protokollaktivitätsereignisse.
  • payloadType: Zeichenfolge von "7afb8d54-0aa7-4ed4-9691-341313ee37e3: Für von Audittreibern geladene Auditereignisse.
  • payloadType: Zeichenfolge von "bbce6a72-a92d-4330-a1f3-e9fd5aed8152: Für Audittreiber-Auditereignisse zum Entladen.
  • payloadType: Zeichenfolge von "c411a642-c139-4c7a-be58-93680bc20b41: Für Protokolldatenereignisse.
  • Protokoll: Zeichenfolge des Protokolls, unter dem die Aktion stattgefunden hat. In OneFS 7.2 und höher in der Regel eine der folgenden Optionen: "CIFS" (für SMB1) "SMB2"; "NFS" (für NFSv3); "NFS4"; "HDFS".
  • Relativepath: UNC-Name der Datei (oder des Verzeichnisses), auf die der Client zugegriffen hat.
  • rootInode: Ganzzahl des Inodes des Verzeichnisses, in dem partialPath liegt.
  • Server-IP: Die IP-Adresse des Servers, auf dem das Ereignis aufgezeichnet wurde.
  • Server: Name des Servers, auf dem das Ereignis aufgetreten ist. Server-IP für NFS.
  • Freigeben: Die Freigabe auf dem Server. Der Exportname für NFS.
  • Timestamp: Der Zeitpunkt, zu dem das Ereignis auf dem Server aufgetreten ist. Es handelt sich um einen 64-Bit-Wert, wobei die oberen 32 Bit die Zeit und die unteren 32 Bit die Mikrosekunden darstellen. Format: 0x1234abcd1234abcd
  • type: Datei, Verzeichnis usw.
  • Userid: Ganzzahl der UID des Nutzers, der die Aktion ausführt. (OneFS 7.2 und höher)
  • userSID: Zeichenfolge der SID des Nutzers, der die Aktion ausführt.  ("userSID" ist in "logon"-Fehlerereignissen nicht verfügbar.)
  • Zonen-ID: Ganzzahl der OneFS-Zugriffszonen-ID, auf der die Aktion durchgeführt wird.
  • Zonename: Zeichenfolge des OneFS-Zugriffszonennamens zum Zeitpunkt des Ereignisses, auf dem die Aktion durchgeführt wird.




Darüber hinaus gibt es einige andere Werte und Felder, die möglicherweise einige mögliche Variablen haben. 

Für das Objekt "eventType" verfügen einige Ereignistypen über zusätzliche Payload-Felder, die unter den folgenden Typen aufgeführt sind:
 
eventType = erstellen: Zum Erstellen oder Öffnen einer Datei oder eines Verzeichnisses.

eventType = schließen: Zum Schließen einer Datei oder eines Verzeichnisses.
Zusätzliche Payload-Felder: (Nur sinnvoll, wenn "isDirectory ist falsch / für Dateien.)
  • bytesRead: Ganzzahl der Gesamtzahl der Byte, die seit dem Open/Erstellen gelesen wurden.
  • bytesWritten: Ganzzahl der Gesamtzahl der Byte, die seit der Eröffnung geschrieben wurden.
  • numberOfReads: Ganzzahl der Gesamtzahl der Lesevorgänge in der Datei seit dem Öffnen.
  • numberOfWrites: Ganzzahl der Gesamtzahl der Schreibvorgänge in die Datei.
eventType = lesen: Der erste Lesevorgang in einer Datei seit dem Öffnen der Datei.
Zusätzliche Payload-Felder:
  • bytesRead: Ganzzahl der Anzahl der Byte, die beim ersten Lesevorgang gelesen wurden.
eventType = schreiben: Der erste Schreibvorgang in eine Datei seit dem Öffnen.
Zusätzliche Payload-Felder:
  • bytesWritten: Ganzzahl der Anzahl der Byte, die beim ersten Schreibvorgang geschrieben wurden.
eventType = umbenennen: Umbenennen einer Datei oder eines Verzeichnisses.
Zusätzliche Payload-Felder:
  • newFileName: Zeichenkette des absoluten Pfades des neuen Dateinamens oder "UNKNOWN". Der Pfad verwendet Pfadtrennzeichen im UNC-Stil ("\\").
  • newPartialPath: Zeichenkette des relativen Pfads des neuen Dateinamens. Der Pfad verwendet Pfadtrennzeichen im UNC-Stil ("\\").
  • newRootInode: Ganzzahl des Inode des neuen übergeordneten Verzeichnisses, der "newPartialPath" enthält.
eventType = get-security: Rufen Sie Sicherheitsinformationen/Berechtigungen aus der Datei oder dem Verzeichnis ab.
                              (keine zusätzlichen Felder)

eventType = set-security: Legen Sie Sicherheitsinformationen/Berechtigungen für die Datei oder das Verzeichnis fest.
(keine zusätzlichen Felder)
 
eventType = löschen: Löschen Sie eine Datei oder ein Verzeichnis.
(keine zusätzlichen Felder)
 
eventType = Anmeldung: Anmeldung.
(keine zusätzlichen Felder)
 
eventType = Abmeldung: Abmelden.
(keine zusätzlichen Felder)
 
eventType = tree-connect: Durchführen einer SMB-Strukturverbindung.
(keine zusätzlichen Felder)



Für Auditereignisse mit payloadType = "7afb8d54-0aa7-4ed4-9691-341313ee37e3" (Auditereignisse vom Audittreiber geladen).

Dies sind Auditereignisse, die signalisieren, wann der Auditfiltertreiber geladen wurde.

Diese Auditereignisse enthalten eine "Payload", die eine JSON-Zeichenfolge enthält, die angibt, welcher Audittreiber geladen wurde.

  • Audittreiber: flt_audit geladen: SMB-Audittreiber geladen.
  • Audittreiber: flt_audit_nfs geladen: NFS-Audittreiber geladen.
  • Audittreiber: flt_audit_hdfs geladen: HDFS-Audittreiber geladen.



Für Auditereignisse mit payloadType = "bbce6a72-a92d-4330-a1f3-e9fd5aed8152" (Auditereignisse beim Entladen des Audittreibers).

Dies sind Auditereignisse, die signalisieren, wann der Auditfiltertreiber entladen wurde.

Diese Auditereignisse enthalten eine "Payload", die eine JSON-Zeichenfolge enthält, die angibt, welcher Audittreiber beendet wurde.

  • Herunterfahren des Audittreibers: flt_audit: SMB-Audittreiber gestoppt.
  • Audittreiber wird heruntergefahren: flt_audit_nfs: NFS-Audittreiber geladen.
  • Audittreiber wird heruntergefahren: flt_audit_hdfs: HDFS-Audittreiber geladen.


Eventtype: Zeichenfolge des Auditereignistyps/Aktionstyps. Eine der folgenden Optionen:
  • Erstellen: Erstellen oder öffnen Sie eine Datei oder ein Verzeichnis.
  • Schließen: Schließen Sie eine Datei oder ein Verzeichnis.
  • Lesen: Lesen Sie eine Datei zum ersten Mal seit dem Öffnen.
  • Schreiben: Schreiben Sie zum ersten Mal auf eine Datei seit dem Öffnen.
  • Umbenennen: Benennen Sie eine Datei oder ein Verzeichnis um.
  • Löschen: Löschen Sie eine Datei oder ein Verzeichnis.
  • set-security: Legen Sie Sicherheitsinformationen/Berechtigungen für eine Datei oder ein Verzeichnis fest.
  • get-security: Rufen Sie Sicherheitsinformationen/Berechtigungen für eine Datei oder ein Verzeichnis ab.


createDispo: Ganzzahl der Erstellungs-/Öffnungsdisposition. Dies ist die Anforderung, wie die Datei / das Verzeichnis geöffnet bzw. angelegt werden soll:
  • 0 – FILE_SUPERSEDE – Ersetzt eine vorhandene Datei oder erstellt sie.
  • 1 – FILE_OPEN – Öffnen einer vorhandenen Datei oder Fehlschlagen.
  • 2 – FILE_CREATE – Erstellen Sie eine nicht vorhandene Datei oder schlagen Sie fehl.
  • 3 - FILE_OPEN_IF - Öffnen Sie eine vorhandene Datei oder erstellen Sie sie.
  • 4 – FILE_OVERWRITE – Öffnen und Überschreiben einer vorhandenen Datei oder Fehlschlagen
  • 5 – FILE_OVERWRITE_IF – Öffnen und Überschreiben einer vorhandenen Datei oder Erstellen einer vorhandenen Datei


createResult: Zeichenfolge des Erstellungs-/Öffnungsergebnisses. Eine der folgenden Optionen:
  • ERSETZT: Die Datei war vorhanden und wurde ersetzt.
  • GEÖFFNET: Die Datei war vorhanden und wurde geöffnet.
  • ERSTELLT: Die Datei war nicht vorhanden und wurde erstellt.
  • EXISTIERT: Die Datei ist vorhanden und wurde nicht erstellt.
  • DOES_NOT_EXIST: Die Datei war nicht vorhanden und wurde nicht geöffnet.
  • UNBEKANNT: Unbekannt.


desiredAccess: Ganzzahl des bitweise kombinierten gewünschten Zugriffs der folgenden Komponenten:

Affected Products

Isilon

Products

Isilon
Article Properties
Article Number: 000019850
Article Type: How To
Last Modified: 18 Dec 2022
Version:  4
Find answers to your questions from other Dell users
Support Services
Check if your device is covered by Support Services.