Isilon : Liste des valeurs de charge utile d’audit Isilon

Summary: Liste des valeurs Isilon possibles qui peuvent être consultées dans les sorties brutes des résultats de isi_audit.

This article applies to This article does not apply to This article is not tied to any specific product. Not all product versions are identified in this article.
Check out other resources

Instructions

Vous trouverez ci-dessous une liste des valeurs Isilon possibles qui peuvent être vues dans les sorties brutes des résultats de isi_audit.

Cette liste n’est pas spécifique à une version : certaines d’entre elles ne seront disponibles que sur certaines versions de OneFS, les versions ultérieures ayant des options étendues. Cette liste est destinée à servir de référence pour l’examen des événements d’audit individuels en général.

Lorsque vous utilisez le système d’audit de protocole Isilon, vous pouvez surveiller et suivre les actions des utilisateurs au sein du système de fichiers OneFS sur des protocoles tels que SMB et NFS.

Les actions enregistrées, dans leur forme brute, ressembleront à ceci (on peut s’attendre à des variations entre les versions et les époques de OneFS) :

 

{"id » :"8f0ae523-1741-12ea-8d1f-010e1ea7b298 »,"timestamp » :1575538065995502,"payloadType » :"c411a642-c139-4c7a-be58-93680bc20b41 »,"payload » :{"protocol » :"NFS »,"zoneID » :5,"zoneName » :"AuditedZone »,"eventType » :"delete »,"isDirectory » :false,"clientIPAddr » :"10.51.221.92 »,"fileName » :"\\ifs\\home\\user00001\\staging\\datareview\\infa\\client\\Temp\\datapoint_file.txt »,"userSID » :"S-1-22-2000 »,"userID » :2000,"ntStatus » :0,"fsId » :1,"partialPath » :"datapoint_ file.txt »,"rootInode » :4512436961,"inode » :5128815920}}     
 
{"id » :"87b8bbh5-181c-71ea-8d1f-000g1ia7j295 »,"timestamp » :1575522001272734,"payloadType » :"c411a642-c139-4c7a-be58-93680bc20b41 »,"payload « :"protocol » :"NFS »,"zoneID » :5,"zoneName » :"AuditedZone »,"eventType » :"create »,"createResult » :"OPENED »,"isDirectory » :true,"desiredAccess » :0,"clientIPAddr » :"10.14.73.184 »,"createDispo » :1,"userSID » :"S-1-22-1-2000 »,"userID » :2000,"fileName » :"\\ifs\\data\\project00004\\dev\\logs\\ABC\\that-one-project-data »,"ntStatus » :0 », fsId » :1,"inode » :4725492968}}


Dans ce cadre, les termes sont définis comme suit :
  • clientIPAddr : Chaîne de l’adresse IP de l’utilisateur effectuant l’action.
  • clientIp : Adresse IP du client à l’origine de la demande (à l’origine de l’événement).
  • createDispo : Disposition de création spécifiée par l’utilisateur au moment de la création/de l’ouverture.
  • desiredAccess : Accès souhaité spécifié par l’utilisateur au moment de la création/de l’ouverture.
  • encodedNewName : Nouveau nom codé en cas de changement de nom.
  • encodedPath : Chemin UNC codé du fichier.
  • encodedRelativePath : Chemin relatif codé.
  • encodingType : Codage utilisé pour les valeurs, si la valeur contient des caractères qui ne peuvent pas être inclus dans XML.
  • Événement: L’événement à l’origine de la vérification.
  • Fichier: Chaîne du chemin absolu du fichier ou « INCONNU » si l’audit ne peut pas obtenir le chemin. Le chemin utilise le style UNC des séparateurs de chemin (« \\ »).
  • Taille: Taille du fichier au moment de la manipulation.
  • Drapeau: L’un des CEPP_FLAG_XXX définis ci-dessus.
  • fsId : ID du système de fichiers du répertoire parent. Cet entier est la valeur ID du système de fichiers en question (1 par défaut).
  • id : Valeur basée sur le GUID du cluster et l’ID de zone audité, unique pour l’événement audité. Il s’agit d’un UUID pour cet événement.
  • Inode: Nombre entier de l’inode du fichier ou du répertoire.
  • isDirectory : Booléen pour indiquer si l’événement concerne un fichier ou un répertoire.
  • newFSId : nouvel ID de système de fichiers (s’il est différent de fsId) du répertoire parent cible (renommer).
  • Newname: Nouveau nom (lors d’une opération de changement de nom).
  • newParentInode : Inode du répertoire parent cible (renommer).
  • ntStatus : Code NTSTATUS de l’action. 0 correspond à STATUS_SUCCESS.
  • ownerId : ID du propriétaire du fichier.
  • ownerSid : ID du propriétaire du fichier.
  • parentInode : Inode du répertoire conteneur.
  • partialPath : Chaîne du chemin relatif du fichier ou du répertoire. Le chemin utilise le style UNC des séparateurs de chemin (« \\ »).
  • partialPathParentInode : inode parent du chemin partiel ci-dessus.
  • path : Nom UNC du fichier (ou rép) : chemin absolu.
  • Charge: L’événement d’audit livré complet, encapsulant la plupart de ces valeurs.
  • payloadType : String of « 4b66b1eb-6e1a-416d-b80c-5a642a603a0b : Pour les événements d’activité de protocole.
  • payloadType : String of « 7afb8d54-0aa7-4ed4-9691-341313ee37e3 : Pour les événements d’audit chargés du pilote d’audit.
  • payloadType : Chaîne de « bbce6a72-a92d-4330-a1f3-e9fd5aed8152 : Pour le pilote d’audit, déchargez les événements d’audit.
  • payloadType : Chaîne de « c411a642-c139-4c7a-be58-93680bc20b41 : Pour les événements de données de protocole.
  • Protocole: Chaîne du protocole sous lequel l’action s’est produite. En général, l’une des options suivantes dans OneFS 7.2 et versions ultérieures : « CIFS » (pour SMB1) ; « SMB2 » ; « NFS » (pour NFSv3) ; « NFS4 » ; « HDFS ».
  • relativePath : Nom UNC du fichier (ou du rép) auquel le client a accédé.
  • rootInode : Entier de l’inode du répertoire où se trouve le partialPath.
  • serverIp : Adresse IP du serveur sur lequel l’événement a été enregistré.
  • Serveur: Nom du serveur sur lequel l’événement s’est produit. Adresse IP du serveur pour NFS.
  • Partager: Partage sur le serveur. Nom de l’exportation pour NFS.
  • Timestamp: Heure à laquelle l’événement s’est produit sur le serveur. Il s’agit d’une valeur de 64 bits, où les 32 bits les plus élevés représentent l’heure et les 32 bits inférieurs représentent les microsecondes. Format: 0x1234abcd1234abcd
  • type : Fichier, répertoire, etc.
  • Userid: Nombre entier de l’UID de l’utilisateur qui exécute l’action. (OneFS 7.2 et versions ultérieures)
  • userSID : Chaîne du SID de l’utilisateur effectuant l’action.  (« userSID » n’est pas disponible dans les événements d’échec de « connexion »).
  • zoneID : Nombre entier de l’ID de zone d’accès OneFS sur lequel l’action est exécutée.
  • zoneName : Chaîne du nom de la zone d’accès OneFS au moment de l’exécution de l’action sur/par.




En outre, il existe d’autres valeurs et champs qui peuvent avoir quelques variables possibles. 

Pour l’objet « eventType », certains types d’événements ont des champs de charge utile supplémentaires répertoriés sous les types ci-dessous :
 
eventType = create : Pour créer ou ouvrir un fichier ou un répertoire.

eventType = close : Pour fermer un fichier ou un répertoire.
Champs de charge utile supplémentaires : (Significatif uniquement lorsque « isDirectory » est faux / pour les fichiers.)
  • bytesRead : Nombre entier du nombre total d’octets lus depuis l’ouverture / la création.
  • bytesWritten : Nombre entier du nombre total d’octets écrits depuis l’ouverture.
  • numberOfReads : Nombre entier du nombre total de lectures effectuées dans le fichier depuis son ouverture.
  • numberOfWrites : Nombre entier du nombre total d’écritures effectuées dans le fichier.
eventType = read : Première lecture d’un fichier depuis son ouverture.
Champs de charge utile supplémentaires :
  • bytesRead : Nombre entier du nombre d’octets lus lors de la première lecture.
eventType = write : Première écriture dans un fichier depuis son ouverture.
Champs de charge utile supplémentaires :
  • bytesWritten : Nombre entier du nombre d’octets écrits lors de la première écriture.
eventType = rename : Renommer un fichier ou un répertoire.
Champs de charge utile supplémentaires :
  • newFileName : Chaîne du chemin absolu du nouveau nom de fichier ou « UNKNOWN ». Le chemin utilise le style UNC des séparateurs de chemin (« \\ »).
  • newPartialPath : Chaîne du chemin relatif du nouveau nom de fichier. Le chemin utilise le style UNC des séparateurs de chemin (« \\ »).
  • newRootInode : Entier de l’inode du nouveau répertoire parent qui contient « newPartialPath ».
eventType = get-security : Obtenez les informations de sécurité/autorisations à partir du fichier ou du répertoire.
                              (pas de champs supplémentaires)

eventType = set-security : Définissez les informations de sécurité/les autorisations sur le fichier ou le répertoire.
(pas de champs supplémentaires)
 
eventType = delete : Supprimer un fichier ou un répertoire.
(pas de champs supplémentaires)
 
eventType = logon : Connexion.
(pas de champs supplémentaires)
 
eventType = logoff : Déconnexion.
(pas de champs supplémentaires)
 
eventType = tree-connect : Exécution d’une connexion à l’arborescence SMB.
(pas de champs supplémentaires)



Pour les événements d’audit avec payloadType = « 7afb8d54-0aa7-4ed4-9691-341313ee37e3 » (Audit Driver Loaded Audit Events).

Il s’agit d’événements d’audit signalant le chargement du pilote de filtre d’audit.

Ces événements d’audit contiennent une « charge utile » qui contient une chaîne JSON spécifiant le pilote d’audit chargé.

  • Pilote d’audit : flt_audit Loaded : Pilote d’audit SMB chargé.
  • Pilote d’audit : flt_audit_nfs Loaded : Pilote d’audit NFS chargé.
  • Pilote d’audit : flt_audit_hdfs Loaded : Pilote d’audit HDFS chargé.



Pour les événements d’audit avec payloadType = « bbce6a72-a92d-4330-a1f3-e9fd5aed8152 » (Audit Driver Unload Audit Events).

Il s’agit d’événements d’audit signalant le moment où le pilote du filtre d’audit a été déchargé.

Ces événements d’audit contiennent une « charge utile » qui contient une chaîne JSON spécifiant le pilote d’audit arrêté.

  • Shutting audit driver : flt_audit : Le pilote d’audit SMB a été arrêté.
  • Shutting audit driver : flt_audit_nfs : Pilote d’audit NFS chargé.
  • Shutting audit driver : flt_audit_hdfs : Pilote d’audit HDFS chargé.


Eventtype: Chaîne du type d’événement d’audit/type d’action. Oneof:
  • Créer: Créez ou ouvrez un fichier ou un répertoire.
  • Proche: Fermez un fichier ou un répertoire.
  • Lire: Première lecture d’un fichier depuis son ouverture.
  • Écrire: Première écriture sur un fichier depuis son ouverture.
  • Renommer: Renommer un fichier ou un répertoire.
  • Supprimer: Supprimer un fichier ou un répertoire.
  • set-security : Définir les informations de sécurité/les autorisations sur un fichier ou un répertoire.
  • get-security : Obtenir des informations/autorisations de sécurité sur un fichier ou un répertoire.


createDispo : Nombre entier de la disposition create/open. Il s’agit de la demande d’ouverture ou de création du fichier/répertoire :
  • 0 - FILE_SUPERSEDE : remplacer un fichier existant ou le créer.
  • 1 - FILE_OPEN : ouvrez un fichier existant ou échouez.
  • 2 - FILE_CREATE : création d’un fichier inexistant ou échec.
  • 3 - FILE_OPEN_IF : ouvrez un fichier existant ou créez-le.
  • 4 - FILE_OVERWRITE : ouverture et écrasement d’un fichier existant ou échec.
  • 5 - FILE_OVERWRITE_IF - Ouvrez et écrasez un fichier existant ou créez-le.


createResult : Chaîne du résultat de création/ouverture. Oneof:
  • REMPLACÉE: Le fichier existait et a été remplacé.
  • OUVERT: Le fichier existait et a été ouvert.
  • CRÉÉ: Le fichier n’existait pas et a été créé.
  • EXISTE: Le fichier existe et n’a pas été créé.
  • DOES_NOT_EXIST : Le fichier n’existait pas et n’a pas été ouvert.
  • INCONNU: Inconnu.


desiredAccess : Nombre entier de l’accès souhaité combiné au niveau du bit pour les éléments suivants :

Affected Products

Isilon

Products

Isilon
Article Properties
Article Number: 000019850
Article Type: How To
Last Modified: 18 Dec 2022
Version:  4
Find answers to your questions from other Dell users
Support Services
Check if your device is covered by Support Services.