Isilon. Список значений полезных данных аудита Isilon

Ниже приведен список возможных значений Isilon, которые можно увидеть в необработанных выходных данных результатов isi_audit.

Этот список не относится к конкретной версии: некоторые из них будут доступны только в определенных версиях OneFS, а в более поздних версиях будут расширены параметры. Данный список предназначен в качестве справочного материала при рассмотрении отдельных событий аудита в целом.

При использовании системы аудита протоколов Isilon можно наблюдать за действиями пользователей в файловой системе OneFS на таких протоколах, как SMB и NFS.

Записанные действия в исходном виде будут выглядеть следующим образом (ожидается некоторое отличие между версиями и эпохами OneFS):

• clientIPAddr: Строка IP-адреса пользователя, выполняющего действие.
• IP-адрес клиента: IP-адрес клиента, который инициировал запрос (вызвавший событие).
• createDispo: Расположение создания, указанное пользователем во время создания или открытия.
• desiredAccess: Требуемый доступ, указанный пользователем во время создания/открытия.
• encodedNewName: Закодированное новое имя в случае переименования.
• encodedPath: Закодированный UNC-путь файла.
• encodedRelativePath: Закодированный относительный путь.
• encodingType: Кодировка, используемая для значений, если значение содержит символы, которые не могут быть включены в XML.
• Событие: Событие, вызвавшее проверку.
• Имени файла: Строка абсолютного пути к файлу или "UNKNOWN", если аудит не может получить путь. В пути используются разделители путей в стиле UNC ("\\").
• Размер файла: Размер файла на момент выполнения манипуляции.
• Флаг: Один из CEPP_FLAG_XXX, определенных выше.
• fsId: Идентификатор родительского каталога файловой системы. Это целое число является значением идентификатора рассматриваемой файловой системы (по умолчанию 1).
• id: Значение, основанное на идентификаторе GUID кластера и проверяемой зоне, уникальное для события аудита. Это UUID для этого события.
• Inode: Целое число индексного дескриптора файла или каталога.
• isDirectory: Логическое значение для файла или каталога.
• newFSId: новый идентификатор файловой системы (если отличается от fsId) родительского каталога цели (переименовать).
• Newname: Новое имя (при операции переименования).
• newParentInode: Индексный дескриптор целевого родительского каталога (переименовать).
• ntStatus: Код NTSTATUS действия. 0 — это STATUS_SUCCESS.
• Идентификатор владельца: Идентификатор владельца файла.
• ownerSid: Sid владельца файла.
• parentInode: Индексный дескриптор каталога, содержащего его.
• partialPath: Строка относительного пути к файлу или каталогу. В пути используются разделители путей в стиле UNC ("\\").
• partialPathParentInode: родительский индексный дескриптор частичного пути выше.
• path: UNC-имя файла (или каталога) - абсолютный путь.
• Полезной нагрузки: Полное предоставляемое событие аудита, содержащее большую часть этих значений.
• payloadType: Строка «4b66b1eb-6e1a-416d-b80c-5a642a603a0b: Для событий активности протокола.
• payloadType: Строка «7afb8d54-0aa7-4ed4-9691-341313ee37e3: Для событий аудита, загруженных драйвером аудита.
• payloadType: Строка «bbce6a72-a92d-4330-a1f3-e9fd5aed8152»: Для драйвера аудита выгрузите события аудита.
• payloadType: Строка «c411a642-c139-4c7a-be58-93680bc20b41»: Для событий данных протокола.
• Протокол: Строка протокола, в рамках которого было выполнено действие. Обычно в OneFS 7.2 и более поздних версиях выполняется одно из следующих событий: «CIFS» (для SMB1); «СМБ2»; «NFS» (для NFSv3); «NFS4»; «HDFS».
• relativePath: UNC-имя файла (или каталога), к которому обращается клиент.
• rootInode: Целое число индексного дескриптора каталога, в котором находится partialPath.
• IP-адрес сервера: IP-адрес сервера, на котором было записано событие.
• Сервера: Имя сервера, на котором произошло событие. IP-адрес сервера для NFS.
• Предоставить общий доступ: Общий ресурс на сервере. Имя экспорта для NFS.
• Timestamp: Время, когда событие произошло на сервере. Это 64-битное значение, где старшие 32 бита представляют время, а младшие 32 бита представляют микросекунды. Формат: 0x1234abcd1234abcd
• type: Файл, каталог и т.д.
• Userid: Целое число идентификатора UID пользователя, выполняющего действие. (OneFS 7.2 и более поздние версии)
• userSID: Строка идентификатора SID пользователя, выполняющего действие.  ("userSID" недоступен в событиях сбоя входа в систему.)
• Идентификатор зоны: Целое число идентификатора зоны доступа OneFS, в которой или через которую выполняется действие.
• Имя зоны: Строка с именем зоны доступа OneFS на момент события, в котором выполняется действие.

• bytesRead: Целое число общего числа байтов, прочитанных с момента открытия / create.
• байтовЗаписано: Целое число байтов, записанных с момента открытия.
• numberOfReads: Целое число общего числа операций чтения файла с момента открытия.
• numberOfWrites: Целое число от общего числа операций записи в файл.

• bytesRead: Целое число байтов, считанных при первом чтении.

• байтовЗаписано: Целое число байтов, записанных при первой записи.

• newFileName: Строка абсолютного пути к имени нового файла или "UNKNOWN". В пути используются разделители путей в стиле UNC ("\\").
• newPartialPath: Строка относительного пути к новому имени файла. В пути используются разделители путей в стиле UNC ("\\").
• newRootInode: Целое число индексного дескриптора нового родительского каталога, содержащего «newPartialPath».

Для событий аудита с payloadType = "7afb8d54-0aa7-4ed4-9691-341313ee37e3" (Audit Driver Loaded Audit Events).

Это события аудита, сигнализирующие о том, что драйвер фильтра аудита был загружен.

Эти события аудита содержат полезные данные, которые содержат строку JSON, указывающую загруженный драйвер аудита.

• Драйвер аудита: flt_audit Загружено: Драйвер аудита SMB загружен.
• Драйвер аудита: flt_audit_nfs Загружено: Драйвер аудита NFS загружен.
• Драйвер аудита: flt_audit_hdfs Загружено: Драйвер аудита HDFS загружен.

Для событий аудита с payloadType = "bbce6a72-a92d-4330-a1f3-e9fd5aed8152" (Audit Driver Unload Audit Events).

Это события аудита, сигнализирующие о том, что драйвер фильтра аудита был выгружен.

Эти события аудита содержат полезные данные, которые содержат строку JSON, указывающую, какой драйвер аудита остановлен.

• Драйвер аудита завершения работы: flt_audit: Драйвер аудита SMB остановлен.
• Драйвер аудита завершения работы: flt_audit_nfs: Драйвер аудита NFS загружен.
• Драйвер аудита завершения работы: flt_audit_hdfs: Драйвер аудита HDFS загружен.

• Создать: Создайте или откройте файл или каталог.
• Закрыть: Закройте файл или каталог.
• Прочитать: Первое чтение файла после его открытия.
• Написать: Первая запись в файл после его открытия.
• Переименовать: Переименование файла или каталога.
• Удалить: Удаление файла или каталога.
• set-security: Задание информации/разрешений безопасности для файла или каталога.
• get-security: Получение информации о безопасности / разрешений для файла или каталога.

• 0 - FILE_SUPERSEDE - Заменить существующий файл или создать его.
• 1 - FILE_OPEN - Открыть существующий файл или завершить ошибкой.
• 2 - FILE_CREATE - Создать несуществующий файл или завершить ошибкой.
• 3 - FILE_OPEN_IF - Открыть существующий файл или создать его.
• 4 - FILE_OVERWRITE - Открыть и перезаписать существующий файл или завершить сбоем.
• 5 - FILE_OVERWRITE_IF - Открыть и перезаписать существующий файл или создать его.

• ЗАМЕНЕН: Файл существовал и был заменен.
• ОТКРЫТЫ: Файл существовал и был открыт.
• СОЗДАН: Файл не существовал и был создан.
• СУЩЕСТВУЕТ: Файл существует, но не был создан.
• DOES_NOT_EXIST: Файл не существовал и не был открыт.
• НЕИЗВЕСТНЫЙ: Неизвестный.

• https://docs.microsoft.com/en-us/openspecs/windows_protocols/ms-smb/27f99d29-7784-4684-b6dd-264e9025b286
• https://docs.microsoft.com/en-us/openspecs/windows_protocols/ms-smb/d524144c-3cfc-49c3-903c-284e5adbd60a