Isilon: Lista wartości ładunku kontrolnego Isilon

Poniżej przedstawiono listę możliwych wartości Isilon, które można zobaczyć w nieprzetworzonych danych wyjściowych isi_audit wyników.

Ta lista nie jest specyficzna dla wersji: niektóre z nich będą dostępne tylko w niektórych wersjach OneFS, a późniejsze wersje mają rozszerzone opcje. Lista ta ma służyć jako punkt odniesienia przy ogólnym przeglądzie poszczególnych zdarzeń inspekcji.

Korzystając z systemu inspekcji protokołów Isilon, można monitorować i śledzić działania użytkowników w systemie plików OneFS na protokołach takich jak SMB i NFS.

Zarejestrowane działania, w ich surowej formie, będą wyglądać następująco (można oczekiwać pewnych różnic między wersjami i erami OneFS):

• clientIPAddr: Ciąg adresu IP użytkownika wykonującego akcję.
• klientIp: Adres IP klienta, który zainicjował żądanie (powodując zdarzenie).
• createDispo: Dyspozycja tworzenia określona przez użytkownika w czasie tworzenia/otwarcia.
• pożądany dostęp: Pożądany dostęp określony przez użytkownika w czasie tworzenia/otwierania.
• encodedNewName: Zakodowana nowa nazwa w przypadku zmiany nazwy.
• encodedPath: Zakodowana ścieżka UNC pliku.
• encodedRelativePath: Zakodowana ścieżka względna.
• encodingType: Kodowanie używane dla wartości, jeśli wartość zawiera znaki, których nie można zawrzeć w pliku XML.
• Zdarzenie: Zdarzenie, które spowodowało sprawdzenie.
• Pod nazwą: Ciąg bezwzględnej ścieżki pliku lub "UNKNOWN", jeśli inspekcja nie może pobrać ścieżki. Ścieżka używa separatorów ścieżek w stylu UNC ("\\").
• fileSize: Rozmiar pliku w momencie manipulacji.
• Flaga: Jedna z CEPP_FLAG_XXX zdefiniowanych powyżej.
• Identyfikator fs: Identyfikator systemu plików katalogu nadrzędnego. Ta liczba całkowita jest wartością ID danego systemu plików (domyślnie 1 ).
• id: Wartość oparta na identyfikatorze GUID klastra i identyfikatorze strefy inspekcji, unikatowa dla zdarzenia inspekcji. Jest to identyfikator UUID dla tego zdarzenia.
• Inode: Liczba całkowita i-węzła pliku lub katalogu.
• isDirectory: Wartość logiczna określająca, czy zdarzenie dotyczy pliku, czy katalogu.
• newFSId: nowy identyfikator systemu plików (jeśli różni się od fsId) docelowego katalogu nadrzędnego (zmień nazwę).
• Newname: Nowa nazwa (w operacji zmiany nazwy).
• newParentInode: I-węzeł docelowego katalogu nadrzędnego (zmiana nazwy).
• Status: Kod NTSTATUS operacji. 0 to STATUS_SUCCESS.
• Identyfikator właściciela: Identyfikator właściciela pliku.
• ownerSid: Identyfikator właściciela pliku.
• parentInode: I-węzeł katalogu zawierającego.
• ścieżka częściowa: Ciąg względnej ścieżki pliku lub katalogu. Ścieżka używa separatorów ścieżek w stylu UNC ("\\").
• partialPathParentInode: i-węzeł nadrzędny częściowej ścieżki powyżej.
• path: Nazwa UNC pliku (lub katalogu) - ścieżka bezwzględna.
• Ładunku: Kompletne dostarczone zdarzenie inspekcji, obejmujące większość tych wartości.
• payloadType: Ciąg "4b66b1eb-6e1a-416d-b80c-5a642a603a0b: Dla zdarzeń działania protokołu.
• payloadType: Ciąg "7afb8d54-0aa7-4ed4-9691-341313ee37e3: Dla zdarzeń inspekcji załadowanego sterownika.
• payloadType: Ciąg "bbce6a72-a92d-4330-a1f3-e9fd5aed8152: W przypadku zdarzeń inspekcji zwalniania sterowników inspekcji.
• payloadType: Ciąg "c411a642-c139-4c7a-be58-93680bc20b41: Dla zdarzeń danych protokołu.
• Protokół: Ciąg protokołu, na podstawie którego wystąpiła akcja. W OneFS 7.2 i nowszych zwykle jeden z następujących elementów: "CIFS" (dla SMB1); "SMB2"; "NFS" (dla NFSv3); "NFS4"; "HDFS".
• ścieżka względna: Nazwa UNC pliku (lub katalogu), do którego uzyskuje dostęp klient.
• rootInode: Liczba całkowita i-węzła katalogu, w którym znajduje się ścieżka partialPath.
• Adres IP serwera: Adres IP serwera, na którym zarejestrowano zdarzenie.
• Serwera: Nazwa serwera, na którym wystąpiło zdarzenie. Adres IP serwera dla NFS.
• Udostępnij: Udział na serwerze. Nazwa eksportu NFS.
• Sygnatury czasowej: Czas, w którym wystąpiło zdarzenie na serwerze. Jest to wartość 64-bitowa, gdzie górne 32 bity reprezentują czas, a dolne 32 bity reprezentują mikrosekundy. Formacie: 0x1234abcd1234abcd
• type: Plik, katalog itp.
• Userid: Liczba całkowita identyfikatora UID użytkownika wykonującego działanie. (OneFS 7.2 i nowsze wersje)
• identyfikator userSID: Ciąg identyfikatora SID użytkownika wykonującego akcję.  ("identyfikator userSID" nie jest dostępny w zdarzeniach niepowodzenia "logowania").
• zoneID: Liczba całkowita identyfikatora strefy dostępu OneFS, na której jest wykonywana akcja i za jej pośrednictwem jest wykonywana.
• Nazwa_strefy: Ciąg nazwy strefy dostępu OneFS w momencie zdarzenia, na którym jest wykonywane działanie.

• bytesRead: Liczba całkowita całkowitej liczby bajtów odczytanych od momentu otwarcia/utworzenia.
• bytesWritten: Liczba całkowita całkowitej liczby bajtów zapisanych od otwarcia.
• numberOfReads: Liczba całkowita liczby odczytów dokonanych w pliku od momentu otwarcia.
• numberOfWrites: Liczba całkowita całkowitej liczby zapisów dokonanych w pliku.

• bytesRead: Liczba całkowita liczby bajtów odczytanych przy pierwszym odczycie.

• bytesWritten: Liczba całkowita liczby bajtów zapisanych przy pierwszym zapisie.

• newFileName: Ciąg bezwzględnej ścieżki pliku o nowej nazwie, czyli "UNKNOWN". Ścieżka używa separatorów ścieżek w stylu UNC ("\\").
• newPartialPath: Ciąg względnej ścieżki nowej nazwy pliku. Ścieżka używa separatorów ścieżek w stylu UNC ("\\").
• newRootInode: Liczba całkowita i-węzła nowego katalogu nadrzędnego, który zawiera "newPartialPath".

W przypadku zdarzeń inspekcji z parametrem payloadType = "7afb8d54-0aa7-4ed4-9691-341313ee37e3" (Zdarzenia inspekcji załadowanego sterownika).

Są to zdarzenia inspekcji sygnalizujące załadowanie sterownika filtra inspekcji.

Te zdarzenia inspekcji zawierają ładunek danych, który zawiera ciąg JSON określający, który sterownik inspekcji został załadowany.

• Sterownik audytu: flt_audit załadowany: Załadowano sterownik audytu SMB.
• Sterownik audytu: flt_audit_nfs załadowany: Załadowano sterownik audytu NFS.
• Sterownik audytu: Załadowano flt_audit_hdfs: Załadowano sterownik audytu HDFS.

W przypadku zdarzeń inspekcji z payloadType = "bbce6a72-a92d-4330-a1f3-e9fd5aed8152" (Zdarzenia inspekcji zwalniania sterownika inspekcji).

Są to zdarzenia inspekcji sygnalizujące wyładowanie sterownika filtra inspekcji.

Te zdarzenia inspekcji zawierają "ładunek", który zawiera ciąg JSON określający, który sterownik inspekcji został zatrzymany.

• Wyłączanie sterownika audytu: flt_audit: Sterownik inspekcji SMB został zatrzymany.
• Wyłączanie sterownika audytu: flt_audit_nfs: Załadowano sterownik audytu NFS.
• Wyłączanie sterownika audytu: flt_audit_hdfs: Załadowano sterownik audytu HDFS.

• Utworzyć: Utwórz lub otwórz plik lub katalog.
• Zamknij: Zamknij plik lub katalog.
• Odczytu: Pierwszy odczyt pliku od momentu jego otwarcia.
• Napisz: Najpierw napisz na pliku od momentu jego otwarcia.
• Zmienić nazwę: Zmień nazwę pliku lub katalogu.
• Usunąć: Usuń plik lub katalog.
• set-security: Ustawianie informacji zabezpieczających / uprawnień do pliku lub katalogu.
• get-security: Uzyskiwanie informacji o zabezpieczeniach / uprawnień do pliku lub katalogu.

• 0 - FILE_SUPERSEDE - Zastąp istniejący plik lub utwórz go.
• 1 - FILE_OPEN - Otwórz istniejący plik lub zakończ niepowodzenie.
• 2 - FILE_CREATE - Utwórz nieistniejący plik lub niepowodzenie.
• 3 - FILE_OPEN_IF - Otwórz istniejący plik lub utwórz go.
• 4 - FILE_OVERWRITE - Otwórz i zastąp istniejący plik lub zakończ się niepowodzeniem.
• 5 - FILE_OVERWRITE_IF - Otwórz i nadpisz istniejący plik lub utwórz go.

• ZASTĄPIONE: Plik istniał i został zastąpiony.
• OTWARTE: Plik istniał i został otwarty.
• UTWORZONE: Plik nie istniał i został utworzony.
• ISTNIEJE: Plik istnieje, ale nie został utworzony.
• DOES_NOT_EXIST: Plik nie istnieje i nie został otwarty.
• NIEZNANY: Nieznany.

• https://docs.microsoft.com/en-us/openspecs/windows_protocols/ms-smb/27f99d29-7784-4684-b6dd-264e9025b286
• https://docs.microsoft.com/en-us/openspecs/windows_protocols/ms-smb/d524144c-3cfc-49c3-903c-284e5adbd60a