Isilon: Isilon-valvonnan tietosisällön arvojen luettelo

Seuraavassa on luettelo mahdollisista Isilon-arvoista, jotka näkyvät isi_audit tulosten raakatuotoksissa.

Nämä tiedot eivät ole versiokohtaisia: jotkin niistä koskevat vain tiettyjä OneFS-versioita, ja myöhemmissä versioissa on laajennetut vaihtoehdot. Tämä luettelo on tarkoitettu viitteeksi tarkasteltaessa yksittäisiä auditointitapahtumia yleensä.

Kun käytät Isilon-protokollan tarkastusjärjestelmää, voit valvoa ja seurata käyttäjien toimia OneFS-tiedostojärjestelmässä SMB- ja NFS-protokollissa.

Tallennetut toiminnot näyttävät raakamuodossa tältä: (OneFS-versioiden ja aikakausien välillä on odotettavissa jonkin verran vaihtelua):

• clientIPAddr: Toiminnon suorittavan käyttäjän IP-osoitteen merkkijono.
• asiakasIp: Pyynnön käynnistäneen asiakkaan IP-osoite (tapahtuman aiheuttaja).
• createDispo: Käyttäjän määrittämä luonti-/käyttötapa luonti-/avaushetkellä.
• haluttu pääsy: Käyttäjän määrittämä haluttu käyttöoikeus luonti-/avaushetkellä.
• encodedNewName: Koodattu uusi nimi, jos nimi nimetään uudelleen.
• encodedPath: Tiedoston koodattu UNC-polku.
• encodedRelativePath: Koodattu suhteellinen polku.
• encodingType: Arvoille käytetty koodaus, jos arvo sisältää merkkejä, joita ei voi sisällyttää XML:ään.
• Tapahtuma: Tapahtuma, joka aiheutti tarkistuksen.
• Tiedostonimi: Tiedoston absoluuttisen polun merkkijono tai "UNKNOWN", jos seuranta ei saa polkua. Polku käyttää UNC-tyylisiä polun erottimia ("\\").
• Tiedostokoko: Tiedoston koko käsittelyn aikana.
• Lippu: Yksi edellä määritellyistä CEPP_FLAG_XXX.
• FSID: Päähakemiston tiedostojärjestelmätunnus. Tämä kokonaisluku on kyseisen tiedostojärjestelmän ID-arvo (oletus 1 ).
• id: Klusterin GUID-tunnukseen ja auditoituun vyöhyketunnukseen perustuva arvo, joka on yksilöllinen auditoidulle tapahtumalle. Tämä on kyseisen tapahtuman UUID.
• inode: Tiedoston tai hakemiston inodin kokonaisluku.
• isDirectory: Totuusarvo, josta käy ilmi, koskeeko tapahtuma tiedostoa vai hakemistoa.
• newFSId: kohdepäähakemiston uusi tiedostojärjestelmätunnus (jos eri kuin fsId) (nimeä uudelleen).
• uusiNimi: Uusi nimi (uudelleennimeämistoiminnossa).
• newParentInode: Päähakemiston (nimeä uudelleen) inodi.
• ntTila: Toiminnon NTSTATUS-koodi. 0 on STATUS_SUCCESS.
• ownerId: Tiedoston omistajan tunnus.
• ownerSid: Tiedoston omistajan sid.
• parentInode: Sisältävän hakemiston inodi.
• partialPath: Tiedoston tai hakemiston suhteellisen polun merkkijono. Polku käyttää UNC-tyylisiä polun erottimia ("\\").
• partialPathParentInode: yllä olevan osittaisen polun vanhempi inodi.
• path: Tiedoston UNC-nimi (tai dir) - absoluuttinen polku.
• Hyötykuorma: Täydellinen toimitettu auditointitapahtuma, joka kiteytti suurimman osan näistä arvoista.
• payloadType: Merkkijono "4b66b1eb-6e1a-416d-b80c-5a642a603a0b: Protokollan aktiviteettitapahtumat.
• payloadType: Merkkijono "7afb8d54-0aa7-4ed4-9691-341313ee37e3: Auditointiajurille ladatut auditointitapahtumat.
• payloadType: Merkkijono "bbce6a72-a92d-4330-a1f3-e9fd5aed8152: Suorita auditointiohjain purkamalla valvontatapahtumat.
• payloadType: Merkkijono "c411a642-c139-4c7a-be58-93680bc20b41: Protokollatietotapahtumat.
• Protokolla: Sen protokollan merkkijono, jossa toiminto tapahtui. OneFS 7.2 -versiossa ja uudemmissa on yleensä jokin seuraavista: "CIFS" (SMB1); "SMB2"; "NFS" (NFSv3); "NFS4"; "HDFS".
• relativePath: Tiedoston UNC-nimi (tai hakemisto) sellaisena kuin asiakas käyttää sitä.
• rootInode: Sen hakemiston inodin kokonaisluku, jossa partialPath on.
• serverIp: Sen palvelimen IP-osoite, johon tapahtuma tallennettiin.
• Palvelin: Palvelimen nimi, jossa tapahtuma ilmeni. Palvelimen IP NFS: lle.
• Jaa: Jaa palvelimella. NFS:n vientinimi.
• Aikaleima: Aika, jolloin tapahtuma tapahtui palvelimessa. Se on 64-bittinen arvo, jossa korkeat 32 bittiä edustavat aikaa ja alemmat 32 bittiä mikrosekunteja. Muodossa: 0x1234abcd1234abcd
• type: Tiedosto, hakemisto jne.
• Käyttäjätunnus: Toiminnon suorittavan käyttäjän UID-tunnuksen kokonaisluku. (OneFS 7.2 ja uudemmat)
• userSID: Toiminnon suorittavan käyttäjän SID-tunnuksen merkkijono.  ("userSID" ei ole käytettävissä kirjautumisvirhetapahtumissa.)
• zoneID: OneFS-käyttöoikeusvyöhykkeen tunnuksen kokonaisluku, jossa toiminto suoritetaan/jonka kautta toiminto suoritetaan.
• zoneName: OneFS-tukialueen nimen merkkijono sen tapahtuman aikana, jolloin toiminto suoritetaan tai jonka kautta toiminto suoritetaan.

• tavua Lue: Kokonaisluku luettujen tavujen kokonaismäärästä avaamisen / luomisen jälkeen.
• kirjoitetut tavut: Avaamisen jälkeen kirjoitettujen tavujen kokonaismäärä.
• lukujen lukumäärä: Kokonaisluku, joka kuvaa tiedostoon avaamisen jälkeen tehtyjen lukujen kokonaismäärää.
• numberOfWrites: Tiedostoon tehtyjen kirjoitusten kokonaismäärän kokonaisluku.

• tavua Lue: Ensimmäisessä luvussa luettujen tavujen kokonaismäärä.

• kirjoitetut tavut: Ensimmäisessä kirjoituksessa kirjoitettujen tavujen lukumäärän kokonaisluku.

• newFileName: Uuden tiedostonimen tai UNKNOWN-nimen absoluuttisen polun merkkijono. Polku käyttää UNC-tyylisiä polun erottimia ("\\").
• newPartialPath: Uuden tiedostonimen suhteellisen polun merkkijono. Polku käyttää UNC-tyylisiä polun erottimia ("\\").
• newRootInode: Uuden päähakemiston inodin kokonaisluku, joka sisältää arvon "newPartialPath".

Auditointitapahtumille, joiden payloadType on = "7afb8d54-0aa7-4ed4-9691-341313ee37e3" (valvonta-ajurin lataamat valvontatapahtumat).

Nämä ovat valvontatapahtumia, jotka ilmaisevat, milloin valvontasuodattimen ohjain ladattiin.

Nämä valvontatapahtumat sisältävät hyötykuorman, joka sisältää JSON-merkkijonon, joka määrittää, mikä valvontaohjain on ladattu.

• Valvonta-ajuri: flt_audit ladattu: PK-yrityksen auditointiohjain ladattu.
• Auditointiohjain: flt_audit_nfs ladattu: NFS-auditointiohjain ladattu.
• Valvonta-ajuri: flt_audit_hdfs ladattu: HDFS-auditointiohjain ladattu.

Auditointitapahtumille, joiden payloadType on = "bbce6a72-a92d-4330-a1f3-e9fd5aed8152" (valvonta-ajurin purkamisen valvontatapahtumat).

Nämä ovat valvontatapahtumia, jotka ilmaisevat, milloin valvontasuodattimen ohjain purettiin.

Nämä valvontatapahtumat sisältävät hyötykuorman, joka sisältää JSON-merkkijonon, joka määrittää, mikä valvonta-ajuri pysäytettiin.

• Valvontaohjaimen sammuttaminen: flt_audit: PK-yritysten valvonta-ajuri pysäytetty.
• Valvontaohjaimen sammuttaminen: flt_audit_nfs: NFS-auditointiohjain ladattu.
• Valvontaohjaimen sammuttaminen: flt_audit_hdfs: HDFS-auditointiohjain ladattu.

• Luoda: Luo tai avaa tiedosto tai hakemisto.
• Lähellä: Sulje tiedosto tai hakemisto.
• Lukea: Lue tiedosto ensimmäisen kerran sen avaamisen jälkeen.
• Kirjoittaa: Kirjoita tiedostoon ensimmäisen kerran sen avaamisen jälkeen.
• Nimeä: Nimeä tiedosto tai hakemisto uudelleen.
• Poista: Poista tiedosto tai hakemisto.
• Set-Security: Määritä suojaustiedot / käyttöoikeudet tiedostolle tai hakemistolle.
• Hanki suojaus: Hae suojaustiedot/käyttöoikeudet tiedostoon tai hakemistoon.

• 0 - FILE_SUPERSEDE - Korvaa olemassa oleva tiedosto tai luo se.
• 1 - FILE_OPEN - Avaa olemassa oleva tiedosto tai epäonnistui.
• 2 - FILE_CREATE - Luo tiedosto, jota ei ole olemassa tai virhe.
• 3 - FILE_OPEN_IF - Avaa olemassa oleva tiedosto tai luo se.
• 4 - FILE_OVERWRITE - Avaa ja korvaa olemassa oleva tiedosto tai epäonnistui.
• 5 - FILE_OVERWRITE_IF - Avaa ja korvaa olemassa oleva tiedosto tai luo se.

• KORVATTU: Tiedosto oli olemassa ja korvattiin.
• AVATTU: Tiedosto oli olemassa ja avattiin.
• LUOTU: Tiedostoa ei ollut ja se luotiin.
• OLEMASSA: Tiedosto on olemassa, mutta sitä ei ole luotu.
• DOES_NOT_EXIST: Tiedostoa ei ollut eikä sitä avattu.
• TUNTEMATON: Tuntematon.

• https://docs.microsoft.com/en-us/openspecs/windows_protocols/ms-smb/27f99d29-7784-4684-b6dd-264e9025b286
• https://docs.microsoft.com/en-us/openspecs/windows_protocols/ms-smb/d524144c-3cfc-49c3-903c-284e5adbd60a