Isilon: Elenco dei valori del payload di audit Isilon

Summary: Un elenco dei possibili valori Isilon che possono essere visualizzati negli output raw dei risultati isi_audit.

This article applies to This article does not apply to This article is not tied to any specific product. Not all product versions are identified in this article.
Check out other resources

Instructions

Di seguito è riportato un elenco dei possibili valori Isilon che possono essere visualizzati negli output raw dei risultati isi_audit.

Questo elenco non è specifico della versione: alcuni di questi saranno disponibili solo su alcune versioni di OneFS, mentre le versioni successive avranno opzioni estese. Questo elenco ha lo scopo di fungere da riferimento per la revisione di singoli eventi di audit in generale.

Quando si utilizza il sistema di verifica del protocollo Isilon, è possibile monitorare e tenere traccia delle azioni degli utenti all'interno del file system OneFS su protocolli come SMB e NFS.

Le azioni registrate, nella loro forma non elaborata, saranno simili a queste (è prevista una certa varianza tra le versioni e le ere di OneFS):

 

{"id":"8f0ae523-1741-12ea-8d1f-010e1ea7b298","timestamp":1575538065995502,"payloadType":"c411a642-c139-4c7a-be58-93680bc20b41","payload":{"protocol":"NFS","zoneID":5,"zoneName":"AuditedZone","eventType":"delete","isDirectory":false,"clientIPAddr":"10.51.221.92","fileName":"\\ifs\\home\\user00001\\staging\\datareview\\infa\\client\\Temp\\datapoint_file.txt","userSID":"S-1-22-2000","userID":2000,"ntStatus":0,"fsId":1,"partialPath":"datapoint_ file.txt","rootInode":4512436961,"inode":5128815920}}     
 
{"id":"87b8bbh5-181c-71ea-8d1f-000g1ia7j295","timestamp":1575522001272734,"payloadType":"c411a642-c139-4c7a-be58-93680bc20b41","payload ":"protocol":"NFS","zoneID":5,"zoneName":"AuditedZone","eventType":"create","createResult":"OPENED","isDirectory":true,"desiredAccess":0,"clientIPAddr":"10.14.73.184","createDispo":1,"userSID":"S-1-22-1-2000","userID":2000,"fileName":"\\ifs\\data\\project00004\\dev\\logs\\ABC\\that-one-project-data","ntStatus":0," fsId":1,"inode":4725492968}}


All'interno di ciò, i termini sono definiti come:
  • clientIPAddr: Stringa dell'IP dell'utente che esegue l'azione.
  • clientIp: Indirizzo IP del client che ha avviato la richiesta (causando l'evento).
  • createDispo: Disposizione di creazione specificata dall'utente al momento della creazione/apertura.
  • desiredAccess: Accesso desiderato specificato dall'utente al momento della creazione/apertura.
  • encodedNewName: Il nuovo nome codificato in caso di ridenominazione.
  • encodedPath: Il percorso UNC codificato del file.
  • encodedRelativePath: Il percorso relativo codificato.
  • Tipo di codifica: Codifica utilizzata per i valori, se il valore contiene caratteri che non possono essere inclusi in XML.
  • Evento: L'evento che ha causato il controllo.
  • Filename: Stringa del percorso assoluto del file o "UNKNOWN" se il controllo non riesce a ottenere il percorso. Il percorso utilizza lo stile UNC dei separatori di percorso ("\\").
  • Dimensione: Dimensione del file al momento della manipolazione.
  • Bandiera: Uno dei CEPP_FLAG_XXX definiti in precedenza.
  • fsId: ID file system della directory principale. Questo numero intero è il valore ID del file system in questione (1 per impostazione predefinita).
  • id: Un valore basato sul GUID del cluster e sull'ID zona controllato, univoco per l'evento controllato. Questo è un UUID per quell'evento.
  • Inode: Numero intero dell'inode del file o della directory.
  • isDirectory: Booleano per indicare se l'evento è per un file o una directory.
  • newFSId: nuovo ID del file system (se diverso da fsId) della directory padre di destinazione (ridenominazione).
  • Newname: Il nuovo nome (in caso di operazione di ridenominazione).
  • newParentInode: Inode della directory principale di destinazione (ridenominazione).
  • ntStato: Il codice NTSTATUS dell'azione. 0 è STATUS_SUCCESS.
  • ownerId: L'ID del proprietario del file.
  • ownerSid: Sid del proprietario del file.
  • parentInode: Inode della directory che la contiene.
  • Percorso parziale: Stringa del percorso relativo del file o della directory. Il percorso utilizza lo stile UNC dei separatori di percorso ("\\").
  • partialPathParentInode: inode padre del percorso parziale precedente.
  • path: Nome UNC del file (o dir) - percorso assoluto.
  • Payload: L'evento di audit consegnato completo, che incapsula la maggior parte di questi valori.
  • PayloadType: Stringa di "4b66b1eb-6e1a-416d-b80c-5a642a603a0b: Per gli eventi di attività del protocollo.
  • PayloadType: Stringa di "7afb8d54-0aa7-4ed4-9691-341313ee37e3: Per gli eventi di controllo caricati dal driver di audit.
  • PayloadType: Stringa di "bbce6a72-a92d-4330-a1f3-e9fd5aed8152: Per Audit Driver, scaricare gli eventi di audit.
  • PayloadType: Stringa di "c411a642-c139-4c7a-be58-93680bc20b41: Per gli eventi dei dati del protocollo.
  • Protocollo: Stringa del protocollo in base al quale si è verificata l'azione. In genere, in OneFS 7.2 e versioni successive viene eseguito uno dei seguenti: "CIFS" (per SMB1); "SMB2"; "NFS" (per NFSv3); "NFS4"; "HDFS".
  • Relativepath: Nome UNC del file (o della directory) a cui accede il client.
  • rootInode: Numero intero dell'inode della directory in cui si trova partialPath.
  • Server Ip: Indirizzo IP del server in cui è stato registrato l'evento.
  • Server: Il nome del server in cui si è verificato l'evento. IP server per NFS.
  • Condividi: La condivisione sul server. Nome dell'esportazione per NFS.
  • Timestamp: L'ora in cui si è verificato l'evento sul server. Si tratta di un valore a 64 bit, in cui i 32 bit più alti rappresentano l'ora e i 32 bit inferiori rappresentano i microsecondi. Formato: 0x1234abcd1234abcd
  • type: File, directory ecc.
  • Userid: Numero intero dell'UID dell'utente che esegue l'azione. (OneFS 7.2 e versioni successive)
  • SID utente: Stringa del SID dell'utente che esegue l'azione.  ("userSID" non è disponibile negli eventi di errore "logon".)
  • Idarea: Numero intero dell'ID della zona di accesso OneFS su cui viene eseguita l'azione.
  • zoneName: Stringa del nome della zona di accesso OneFS al momento dell'evento in cui l'azione viene eseguita il/attraverso.




Inoltre, ci sono alcuni altri valori e campi che possono avere alcune variabili possibili. 

Per l'oggetto "eventType", alcuni tipi di evento dispongono di campi di payload aggiuntivi elencati sotto i tipi riportati di seguito:
 
eventType = create: Per creare o aprire un file o una directory.

eventType = chiudi: Per chiudere un file o una directory.
Campi di payload aggiuntivi: (significativo solo quando "isDirectory is false / for files")
  • bytesRead: Numero intero del numero totale di byte letti dall'apertura/creazione.
  • bytesScritto: Numero intero del numero totale di byte scritti dall'apertura.
  • numberOfReads: Numero intero del numero totale di letture effettuate nel file dall'apertura.
  • numberOfWrites: Numero intero del numero totale di scritture eseguite sul file.
eventType = lettura: La prima lettura in un file dall'apertura.
Campi di payload aggiuntivi:
  • bytesRead: Numero intero del numero di byte letti nella prima lettura.
eventType = scrivere: La prima scrittura in un file dall'apertura.
Campi di payload aggiuntivi:
  • bytesScritto: Numero intero del numero di byte scritti nella prima scrittura.
eventType = rinominare: Ridenominazione di un file o di una directory.
Campi di payload aggiuntivi:
  • newFileName: Stringa del percorso assoluto del nuovo nome file o "UNKNOWN". Il percorso utilizza lo stile UNC dei separatori di percorso ("\\").
  • newPartialPath: Stringa del percorso relativo del nuovo nome file. Il percorso utilizza lo stile UNC dei separatori di percorso ("\\").
  • newRootInode: Numero intero dell'inode della nuova directory padre che contiene "newPartialPath".
eventType = get-security: Ottenere le informazioni e le autorizzazioni di sicurezza dal file o dalla directory.
                              (nessun campo aggiuntivo)

eventType = set-security: Impostare le informazioni e le autorizzazioni di sicurezza per il file o la directory.
(nessun campo aggiuntivo)
 
eventType = eliminare: Eliminare un file o una directory.
(nessun campo aggiuntivo)
 
eventType = accesso: Accesso effettuato.
(nessun campo aggiuntivo)
 
eventType = logoff: Disconnessione in corso.
(nessun campo aggiuntivo)
 
eventType = tree-connect: Esecuzione di una connessione alla struttura ad albero SMB.
(nessun campo aggiuntivo)



Per gli eventi di controllo con payloadType = "7afb8d54-0aa7-4ed4-9691-341313ee37e3" (Audit Driver Loaded Audit Events).

Si tratta di eventi di controllo che segnalano quando è stato caricato il driver del filtro di controllo.

Questi eventi di controllo contengono un "payload" che contiene una stringa JSON che specifica quale driver di controllo è stato caricato.

  • Driver di audit: flt_audit caricato: Driver di audit SMB caricato.
  • Driver di audit: flt_audit_nfs caricati: Driver di audit NFS caricato.
  • Driver di audit: flt_audit_hdfs caricati: Driver di audit HDFS caricato.



Per gli eventi di controllo con payloadType = "bbce6a72-a92d-4330-a1f3-e9fd5aed8152" (Audit Driver Unload Audit Events).

Si tratta di eventi di controllo che segnalano quando è stato scaricato il driver del filtro di controllo.

Questi eventi di controllo contengono un "payload" che contiene una stringa JSON che specifica quale driver di controllo è stato arrestato.

  • Arresto del driver di audit: flt_audit: Driver di audit SMB interrotto.
  • Arresto del driver di controllo: flt_audit_nfs: Driver di audit NFS caricato.
  • Arresto del driver di audit: flt_audit_hdfs: Driver di audit HDFS caricato.


Eventtype: Stringa del tipo/tipo di azione dell'evento di audit. Una delle seguenti:
  • Creare: Creare o aprire un file o una directory.
  • Vicino: Chiudere un file o una directory.
  • Leggere: Prima lettura su un file da quando è stato aperto.
  • Scrivere: Scrivere prima su un file dopo averlo aperto.
  • Rinominare: Rinominare un file o una directory.
  • Elimina: Eliminare un file o una directory.
  • set-security: Impostare le informazioni e le autorizzazioni di sicurezza per un file o una directory.
  • get-security: Ottenere informazioni/autorizzazioni di sicurezza per un file o una directory.


createDispo: Numero intero della disposizione di creazione/apertura. Questa è la richiesta di come il file / directory deve essere aperto o creato:
  • 0 - FILE_SUPERSEDE - Sostituire un file esistente o crearlo.
  • 1 - FILE_OPEN - Aprire un file esistente o l'operazione avrà esito negativo.
  • 2 - FILE_CREATE - Crea un file non esistente o fallisci.
  • 3 - FILE_OPEN_IF - Aprire un file esistente o crearlo.
  • 4 - FILE_OVERWRITE - Aprire e sovrascrivere un file esistente o non riuscire.
  • 5 - FILE_OVERWRITE_IF - Aprire e sovrascrivere un file esistente o crearlo.


createResult: Stringa del risultato di creazione/apertura. Una delle seguenti:
  • SOSTITUITO: Il file esisteva ed è stato sostituito.
  • APERTO: Il file esisteva ed è stato aperto.
  • CREATO: Il file non esisteva ed è stato creato.
  • ESISTE: Il file esiste e non è stato creato.
  • DOES_NOT_EXIST: Il file non esisteva e non è stato aperto.
  • SCONOSCIUTO: Sconosciuto.


desiredAccess: Numero intero dell'accesso desiderato combinato bit per bit dei seguenti elementi:

Affected Products

Isilon

Products

Isilon
Article Properties
Article Number: 000019850
Article Type: How To
Last Modified: 18 Dec 2022
Version:  4
Find answers to your questions from other Dell users
Support Services
Check if your device is covered by Support Services.