Isilon: Lijst met Isilon audit payload-waarden

Summary: Een lijst met mogelijke Isilon-waarden die kunnen worden weergegeven in de onbewerkte uitvoer van isi_audit resultaten.

This article applies to This article does not apply to This article is not tied to any specific product. Not all product versions are identified in this article.
Check out other resources

Instructions

Hieronder volgt een lijst met mogelijke Isilon-waarden die kunnen worden weergegeven in de onbewerkte uitvoer van isi_audit resultaten.

Deze vermelding is niet versiespecifiek: sommige hiervan zijn alleen beschikbaar op bepaalde versies van OneFS, met latere versies met uitgebreide opties. Deze lijst is bedoeld als referentie bij de beoordeling van individuele controlegebeurtenissen in het algemeen.

Wanneer u het Isilon protocolcontrolesysteem gebruikt, kunt u de acties van gebruikers binnen het OneFS-bestandssysteem op protocollen zoals SMB en NFS controleren en volgen.

De geregistreerde acties, in hun onbewerkte vorm, zien er als volgt uit (er wordt enige variatie verwacht tussen versies en tijdperken van OneFS):

 

{"id":"8f0ae523-1741-12ea-8d1f-010e1ea7b298","timestamp":1575538065995502,"payloadType":"c411a642-c139-4c7a-be58-93680bc20b41","payload":{"protocol":"NFS","zoneID":5,"zoneName":"AuditedZone","eventType":"delete","isDirectory":false,"clientIPAddr":"10.51.221.92","fileName":"\\ifs\\home\\user00001\\staging\\datareview\\infa\\client\\Temp\\datapoint_file.txt","userSID":"S-1-22-2000","userID":2000,"ntStatus":0,"fsId":1,"partialPath":"datapoint_ file.txt","rootInode":4512436961,"inode":5128815920}}     
 
{"id":"87b8bbh5-181c-71ea-8d1f-000g1ia7j295","timestamp":1575522001272734,"payloadType":"c411a642-c139-4c7a-be58-93680bc20b41","payload ":"protocol":"NFS","zoneID":5,"zoneName":"AuditedZone","eventType":"create","createResult":"OPENED","isDirectory":true,"desiredAccess":0,"clientIPAddr":"10.14.73.184","createDispo":1,"userSID":"S-1-22-1-2000","userID":2000,"fileName":"\\ifs\\data\\project00004\\dev\\logs\\ABC\\that-one-project-data","ntStatus":0," fsId":1,"inode":4725492968}}


Daarbinnen worden de termen gedefinieerd als:
  • clientIPAddr: Tekenreeks van het IP-adres van de gebruiker die de actie uitvoert.
  • clientIp: Het IP-adres van de client die het verzoek heeft geïnitieerd (waardoor de gebeurtenis heeft plaatsgevonden).
  • createDispo: Aanmaakdispositie opgegeven door de gebruiker op het moment van maken/openen.
  • gewenstToegang tot: Gewenste toegang opgegeven door de gebruiker bij het maken/openen.
  • encodedNewName: De gecodeerde nieuwe naam in geval van een hernoeming.
  • encodedPath: Het gecodeerde UNC-pad van het bestand.
  • encodedRelativePath: Het gecodeerde relatieve pad.
  • encodingType: De codering die wordt gebruikt voor waarden, als de waarde tekens bevat die niet kunnen worden opgenomen in XML.
  • Gebeurtenis: De gebeurtenis die de controle heeft veroorzaakt.
  • Bestandsnaam: Tekenreeks van het absolute pad van het bestand of "UNKNOWN" als de audit het pad niet kan ophalen. Het pad maakt gebruik van de UNC-stijl van padscheidingstekens ("\\").
  • Bestandsgrootte: Grootte van het bestand op het moment van manipulatie.
  • Vlag: Een van de hierboven gedefinieerde CEPP_FLAG_XXX.
  • fsId: Bestandssysteem-ID van bovenliggende map. Dit gehele getal is de ID-waarde van het betreffende bestandssysteem (standaard 1 ).
  • Id: Een waarde op basis van de cluster-GUID en de gecontroleerde zone-ID, uniek voor de gecontroleerde gebeurtenis. Dit is een UUID voor die gebeurtenis.
  • Inode: Geheel getal van de inode van het bestand of de map.
  • isDirectory: Booleaans voor de vraag of de gebeurtenis voor een bestand of een map is.
  • newFSId: nieuwe bestandssysteem-ID (indien verschillend van fsId) van de bovenliggende map van het doel (naam wijzigen).
  • Newname: De nieuwe naam (bij een naamswijziging).
  • newParentInode: De inode van de bovenliggende doelmap (naam wijzigen).
  • ntStatus: De NTSTATUS-code van de actie. 0 is STATUS_SUCCESS.
  • ownerId: De ID van de eigenaar van het bestand.
  • eigenaarSid: Sid van de eigenaar van het bestand.
  • parentInode: De inode van de map die de map bevat.
  • partialPath: Tekenreeks van het relatieve pad van het bestand of de map. Het pad maakt gebruik van de UNC-stijl van padscheidingstekens ("\\").
  • partialPathParentInode: bovenliggende inode van het gedeeltelijke pad hierboven.
  • path: UNC-naam van het bestand (of dir) - absoluut pad.
  • Nettolading: De volledige geleverde auditgebeurtenis, waarin de meeste van deze waarden zijn opgenomen.
  • payloadType: String van "4b66b1eb-6e1a-416d-b80c-5a642a603a0b: Voor protocolactiviteitsgebeurtenissen.
  • payloadType: Reeks van "7afb8d54-0aa7-4ed4-9691-341313ee37e3: Voor auditdriver geladen auditgebeurtenissen.
  • payloadType: Reeks van "bbce6a72-a92d-4330-a1f3-e9fd5aed8152: Voor auditdriver-unload-auditgebeurtenissen.
  • payloadType: Reeks van "c411a642-c139-4c7a-be58-93680bc20b41: Voor protocolgegevensgebeurtenissen.
  • Protocol: Tekenreeks van het protocol waaronder de actie heeft plaatsgevonden. Meestal een van de volgende in OneFS 7.2 en hoger: "CIFS" (voor SMB1); "SMB2"; "NFS" (voor NFSv3); "NFS4"; "HDFS".
  • relativePath: UNC-naam van het bestand (of dir) zoals geopend door de client.
  • rootInode: Geheel getal van de inode van de directory waar het partialPath zich bevindt.
  • serverIp: Het IP-adres van de server waarop de gebeurtenis is geregistreerd.
  • Server: De servernaam waar de gebeurtenis heeft plaatsgevonden. Server-IP voor NFS.
  • Delen: De share op de server. De exportnaam voor NFS.
  • Tijdstempel: Het tijdstip waarop de gebeurtenis op de server heeft plaatsgevonden. Het is een waarde van 64 bits, waarbij de hoge 32 bits de tijd vertegenwoordigen en de onderste 32 bits de microseconden. Formaat: 0x1234abcd1234abcd
  • type: Bestand, directory enz.
  • Userid: Geheel getal van de UID van de gebruiker die de actie uitvoert. (OneFS 7.2 en hoger)
  • userSID: Tekenreeks van de SID van de gebruiker die de actie uitvoert.  ("userSID" is niet beschikbaar in "logon"-foutgebeurtenissen.)
  • Zone: Geheel getal van de OneFS toegangszone-ID waar de actie op/doorheen wordt uitgevoerd.
  • Zonenaam: Tekenreeks van de naam van de OneFS-toegangszone op het moment van de gebeurtenis waarop de actie wordt uitgevoerd op/door.




Daarnaast zijn er nog enkele andere waarden en velden die enkele mogelijke variabelen kunnen hebben. 

Voor het object "eventType" hebben sommige gebeurtenistypen extra payload-velden die worden vermeld onder de onderstaande typen:
 
eventType = create: Voor het maken of openen van een bestand of map.

eventType = close: Voor het sluiten van een bestand of map.
Extra payload-velden: (Alleen zinvol als "isDirectory false / for files.)
  • bytesLezen: Geheel getal van het totale aantal bytes dat is gelezen sinds openen /maken.
  • bytesGeschreven: Geheel getal van het totale aantal bytes dat sinds de opening is geschreven.
  • numberOfReads: Geheel getal van het totale aantal leesbewerkingen in het bestand sinds het openen.
  • numberOfWrites: Geheel getal van het totale aantal schrijfbewerkingen naar het bestand.
eventType = lezen: De eerste keer dat een bestand wordt gelezen sinds het geopend is.
Extra payload-velden:
  • bytesLezen: Geheel getal van het aantal bytes dat bij de eerste leesbewerking wordt gelezen.
eventType = schrijven: De eerste keer dat u naar een bestand schrijft sinds u het hebt geopend.
Extra payload-velden:
  • bytesGeschreven: Geheel getal van het aantal bytes dat bij de eerste schrijfbewerking wordt geschreven.
eventType = rename: Naam van een bestand of map wijzigen.
Extra payload-velden:
  • newFileName: Tekenreeks van het absolute pad van de nieuwe bestandsnaam of "UNKNOWN". Het pad maakt gebruik van de UNC-stijl van padscheidingstekens ("\\").
  • newPartialPath: Tekenreeks van het relatieve pad van de nieuwe bestandsnaam. Het pad maakt gebruik van de UNC-stijl van padscheidingstekens ("\\").
  • newRootInode: Geheel getal van de inode van de nieuwe bovenliggende directory die "newPartialPath" bevat.
eventType = get-security: Haal beveiligingsinformatie/machtigingen op uit het bestand of de map.
                              (geen extra velden)

eventType = set-security: Stel beveiligingsinformatie/machtigingen in voor het bestand of de map.
(geen extra velden)
 
eventType = delete: Verwijder een bestand of map.
(geen extra velden)
 
eventType = logon: Aanmelden.
(geen extra velden)
 
eventType = logoff: Afmelden.
(geen extra velden)
 
eventType = tree-connect: Een SMB-boomstructuurverbinding uitvoeren.
(geen extra velden)



Voor auditgebeurtenissen met payloadType = "7afb8d54-0aa7-4ed4-9691-341313ee37e3" (auditdriver geladen auditgebeurtenissen).

Dit zijn auditgebeurtenissen die aangeven wanneer de auditfilterdriver is geladen.

Deze auditgebeurtenissen bevatten een "payload" die een JSON-tekenreeks bevat die aangeeft welke auditdriver is geladen.

  • Audit Driver: flt_audit Loaded: SMB-auditdriver geladen.
  • Audit Driver: flt_audit_nfs Loaded: NFS-auditdriver geladen.
  • Audit Driver: flt_audit_hdfs Loaded: HDFS-auditdriver geladen.



Voor auditgebeurtenissen met payloadType = "bbce6a72-a92d-4330-a1f3-e9fd5aed8152" (auditgebeurtenissen auditdriver ongedaan maken).

Dit zijn auditgebeurtenissen die aangeven wanneer de auditfilterdriver is gelost.

Deze auditgebeurtenissen bevatten een "payload" die een JSON-tekenreeks bevat die aangeeft welke auditdriver is gestopt.

  • Auditdriver uitschakelen: flt_audit: SMB-auditdriver is gestopt.
  • Auditdriver uitschakelen: flt_audit_nfs: NFS-auditdriver geladen.
  • Auditdriver afsluiten: flt_audit_hdfs: HDFS-auditdriver geladen.


eventType: Tekenreeks van het type auditgebeurtenis/type actie. Een van:
  • Maken: Maak of open een bestand of map.
  • Sluiten: Sluit een bestand of map.
  • Lezen: Lees voor het eerst over een bestand sinds je het hebt geopend.
  • Schrijven: Schrijf eerst in een bestand sinds je het hebt geopend.
  • Hernoemen: Wijzig de naam van een bestand of map.
  • Verwijderen: Verwijder een bestand of map.
  • Set-beveiliging: Stel beveiligingsinformatie/machtigingen in voor een bestand of map.
  • Get-Security: Beveiligingsinformatie/machtigingen ophalen voor een bestand of map.


createDispo: Geheel getal van de dispositie maken/openen. Dit is de vraag hoe het bestand / de map moet worden geopend of gemaakt:
  • 0 - FILE_SUPERSEDE - Vervang een bestaand bestand of maak het aan.
  • 1 - FILE_OPEN - Open een bestaand bestand of mislukt.
  • 2 - FILE_CREATE - Maak een niet-bestaand bestand of mislukt.
  • 3 - FILE_OPEN_IF - Open een bestaand bestand of maak het aan.
  • 4 - FILE_OVERWRITE - Open en overschrijf een bestaand bestand of misluk.
  • 5 - FILE_OVERWRITE_IF - Open en overschrijf een bestaand bestand of maak het aan.


createResult: Tekenreeks van het resultaat maken/openen. Een van:
  • VERVANGEN: Bestand bestond en is vervangen.
  • GEOPEND: Bestand bestond en werd geopend.
  • GEMAAKT: Bestand bestond niet en is gemaakt.
  • BESTAAT: Bestand bestaat en is niet aangemaakt.
  • DOES_NOT_EXIST: Het bestand bestond niet en werd niet geopend.
  • ONBEKENDE: Onbekende.


gewenstToegang tot: Geheel getal van de bitsgewijze gecombineerde gewenste toegang tot het volgende:

Affected Products

Isilon

Products

Isilon
Article Properties
Article Number: 000019850
Article Type: How To
Last Modified: 18 Dec 2022
Version:  4
Find answers to your questions from other Dell users
Support Services
Check if your device is covered by Support Services.