Isilon: Isilon 稽核承載值清單

Summary: 可在isi_audit結果的原始輸出中看到的可能 Isilon 值清單。

This article applies to This article does not apply to This article is not tied to any specific product. Not all product versions are identified in this article.
Check out other resources

Instructions

以下是可在isi_audit結果的原始輸出中看到的可能 Isilon 值清單。

此清單並非特定版本:其中某些僅適用於特定版本的 OneFS,更高版本具有擴充選項。此清單旨在作為審查一般單個審計事件的參考。

使用 Isilon 通訊協定稽核系統時,您可以在 SMB 和 NFS 等通訊協定上監控和追蹤 OneFS 檔案系統內的使用者動作。

原始形式的記錄動作看起來如下 (OneFS 的版本和時代預期會有所差異):

 

{“id”:“8f0ae523-1741-12ea-8d1f-010e1ea7b298”,“timestamp”:1575538065995502,“payloadType”:“c411a642-c139-4c7a-be58-93680bc20b41”,“payload”:{“protocol”:“NFS”,“zoneID”:5,“zoneName”:“AuditedZone”,“eventType”:“delete”,“isDirectory”:false,“clientIPAddr”:“10.51.221.92”,“fileName”:“\\ifs\\home\\user00001\\staging\\datareview\\infa\\client\\Temp\\datapoint_file.txt”,“userSID”:“S-1-22-2000”,“userID”:2000,“ntStatus”:0,“fsId”:1,“partialPath”:“datapoint_file.txt“,”rootInode“:4512436961,”inode“:5128815920}}     
 
{“id”:“87b8bbh5-181c-71ea-8d1f-000g1ia7j295”,“timestamp”:1575522001272734,“payloadType”:“c411a642-c139-4c7a-be58-93680bc20b41”,“payload ”:“protocol”:“NFS”,“zoneID”:5,“zoneName”:“AuditedZone”,“eventType”:“create”,“createResult”:“OPENED”,“isDirectory”:true,“desiredAccess”:0,“clientIPAddr”:“10.14.73.184”,“createDispo”:1,“userSID”:“S-1-22-1-2000”,“userID”:2000,“fileName”:“\\ifs\\data\\project00004\\dev\logs\\\ABC\\that-one-project-data”,“ntStatus”:0,”fsId“:1,”inode“:4725492968}}


其中,術語被定義為:
  • clientIPAddr:執行操作的使用者的IP的字串。
  • clientIp:發起請求(導致事件)的用戶端的IP位址。
  • createDispo:使用者在建立/開啟時間指定的建立處置。
  • desiredAccess:使用者在建立/開啟時間指定的所需存取權。
  • 已編碼新名稱:重新命名時編碼的新名稱。
  • encodedPath:檔的編碼 UNC 路徑。
  • encodedRelativePath:編碼的相對路徑。
  • 編碼類型:用於值的編碼(如果值包含不能包含在 XML 中的字元)。
  • 事件:導致檢查的事件。
  • 檔案名稱:檔案絕對路徑的字串,如果稽核無法取得路徑,則為「UNKNOWN」。路徑使用 UNC 樣式的路徑分隔符 (“\\”)。
  • 檔案大小:操作時檔的大小。
  • 標誌:上述CEPP_FLAG_XXX之一。
  • fsId:父目錄的檔案系統 ID。此整數是相關文件系統的 ID 值(預設為 1)。
  • id: 基於群集 GUID 和審核的區域 ID 的值,對於審核的事件是唯一的。這是該事件的 UUID。
  • Inode:檔或目錄的 inode 的整數。
  • isDirectory:事件是針對文件還是目錄的布爾值。
  • newFSId:目標父目錄(重命名)的新文件系統 ID (如果與 fsId 不同)。
  • 新名稱:新名稱(在重命名操作中)。
  • newParentInode:目標父目錄的 inode (重新命名)。
  • ntStatus:動作的 NTSTATUS 代碼。0 為 STATUS_SUCCESS。
  • 擁有者 ID:檔擁有者的ID。
  • ownerSid:檔案擁有者的 Sid。
  • parentInode:包含目錄的 inode。
  • partialPath:檔或目錄的相對路徑的字串。路徑使用 UNC 樣式的路徑分隔符 (“\\”)。
  • partialPathParentInode:上述部分路徑的父 inode。
  • path:檔案的 UNC 名稱 (或 dir) - 絕對路徑。
  • 有效載荷:完整交付的審核事件,封裝了其中的大部分值。
  • payload 類型:「4b66b1eb-6e1a-416d-b80c-5a642a603a0b:用於協定活動事件。
  • payload 類型:“7afb8d54-0aa7-4ed4-9691-341313ee37e3:對於審核驅動程式載入的審核事件。
  • payload 類型:「bbce6a72-a92d-4330-a1f3-e9fd5aed8152:對於審核驅動程式卸載審核事件。
  • payload 類型:「c411a642-c139-4c7a-be58-93680bc20b41:用於協議數據事件。
  • 協定:發生操作的協定的字串。在 OneFS 7.2 及更新版本中通常為下列其中一項:「CIFS」(適用於 SMB1);“SMB2”;“NFS”(適用於 NFSv3);“NFS4”;「HDFS」。
  • 相對路徑:用戶端存取的檔案 (或目錄) 的 UNC 名稱。
  • rootInode:部分路徑所在目錄的 inode 整數。
  • serverIp:記錄事件的伺服器的IP位址。
  • 伺服器:發生事件的伺服器名稱。NFS 的伺服器 IP。
  • 分享:伺服器上的共用。NFS 的匯出名稱。
  • 時間戳:事件發生在伺服器上的時間。它是一個 64 位值,其中高 32 位表示時間,低 32 位表示微秒。格式:0x1234abcd1234abcd
  • type:檔案、目錄等
  • 使用者 ID:執行操作的使用者的UID的整數。(OneFS 7.2 及更新版本)
  • userSID:執行操作的使用者的 SID 字串。  (「userSID」在「登入」失敗事件中無法使用。)
  • 區域 ID:正在執行/通過其執行操作的 OneFS 存取區域 ID 的整數。
  • 區域名稱:執行此動作時的 OneFS 存取區域名稱字串。




此外,還有一些其他值和欄位可能有一些可能的變數。

對於「eventType」物件,某些事件類型在以下類型下列出了額外的有效負載欄位:
 
事件類型 = 建立:用於建立或開啟檔案或目錄。

事件類型 = 關閉:用於關閉檔案或目錄。
額外裝載欄位:(僅在「isDirectory 為 false/for files」時才有意義。)
  • 讀取位元組:自打開/創建以來讀取的總位元組數的整數。
  • 寫入位元組:自打開以來寫入的總位元組數的整數。
  • 讀取次數:自打開以來對文件進行的讀取總數的整數。
  • 寫入數量:對文件進行的總寫入次數的整數。
事件類型 = 讀取:自打開檔以來首次讀取檔。
額外裝載欄位:
  • 讀取位元組:第一次讀取時讀取的位元組數的整數。
事件類型 = 寫入:自打開檔以來首次寫入檔。
額外裝載欄位:
  • 寫入位元組:第一次寫入時寫入的位元組數的整數。
事件類型 = 重新命名:重新命名檔案或目錄。
額外裝載欄位:
  • new檔案名稱:新檔名或「UNKNOWN」的絕對路徑字串。路徑使用 UNC 樣式的路徑分隔符 (“\\”)。
  • newPartialPath:新檔名的相對路徑的字串。路徑使用 UNC 樣式的路徑分隔符 (“\\”)。
  • newRootInode:包含「newPartialPath」的新父目錄 inode 的整數。
eventType = get-security:從檔案或目錄取得安全性資訊/權限。
                              (沒有額外的欄位)

eventType = set-security:在檔案或目錄上設定安全性資訊/權限。
(沒有額外的欄位)
 
事件類型 = 刪除:刪除檔案或目錄。
(沒有額外的欄位)
 
事件類型 = 登入:登錄。
(沒有額外的欄位)
 
事件類型 = 登出:登出。
(沒有額外的欄位)
 
事件類型 = 樹連線:執行 SMB 樹狀結構連線。
(沒有額外的欄位)



對於有效負載類型 = “7afb8d54-0aa7-4ed4-9691-341313ee37e3”(審核驅動程式載入的審核事件)的審核事件。

這些是載入審核篩選器驅動程式時發出的審核事件信號。

這些審核事件包含一個「有效負載」,其中包含指定載入的審核驅動程式的 JSON 字串。

  • 稽核驅動程式:flt_audit載入:SMB 稽核驅動程式已載入。
  • 稽核驅動程式:flt_audit_nfs 已載入:已載入 NFS 稽核驅動程式。
  • 稽核驅動程式:flt_audit_hdfs載入:已載入 HDFS 稽核驅動程式。



針對有效負載類型 = “bbce6a72-a92d-4330-a1f3-e9fd5aed8152” (稽核驅動程式卸載稽核事件) 的稽核事件。

這些是卸載審核篩選器驅動程式時的審核事件信號。

這些稽核事件包含一個「payload」,其中包含指定哪個稽核驅動程式停止的 JSON 字串。

  • 關閉稽核驅動程式:flt_audit:SMB 稽核驅動程式已停止。
  • 關閉稽核驅動程式:flt_audit_nfs:已載入 NFS 稽核驅動程式。
  • 關閉稽核驅動程式:flt_audit_hdfs:已載入 HDFS 稽核驅動程式。


事件類型:審核事件類型/操作類型的字串。以下其一:
  • 建立:建立或開啟檔案或目錄。
  • 關閉:關閉檔案或目錄。
  • 閱讀:開啟檔案後首次讀取。
  • 寫:打開檔後首先寫入檔。
  • 重新命名:重新命名檔案或目錄。
  • 刪除:刪除檔案或目錄。
  • 設定安全性:在檔案或目錄上設定安全性資訊/權限。
  • 取得安全性:獲取檔或目錄的安全資訊/許可權。


createDispo:創建/打開配置的整數。這是應如何開啟或建立檔案/目錄的請求:
  • 0 - FILE_SUPERSEDE - 取代現有檔案或建立現有檔案。
  • 1 - FILE_OPEN - 開啟現有檔案或失敗。
  • 2 - FILE_CREATE - 建立不存在的檔案或失敗。
  • 3 - FILE_OPEN_IF - 開啟現有檔案或建立檔案。
  • 4 - FILE_OVERWRITE - 開啟並覆寫現有檔案或失敗。
  • 5 - FILE_OVERWRITE_IF - 開啟並覆寫現有檔案或建立檔案。


創造結果:創建/打開結果的字串。以下其一:
  • 已取代:檔案存在並已取代。
  • 已開啟:檔案存在且已開啟。
  • 建立:檔案不存在且已建立。
  • 存在:檔案存在且未建立。
  • DOES_NOT_EXIST:檔案不存在且未開啟。
  • 未知:不得而知。


desiredAccess:按位組合的以下所需存取的整數:

Affected Products

Isilon

Products

Isilon
Article Properties
Article Number: 000019850
Article Type: How To
Last Modified: 18 Dec 2022
Version:  4
Find answers to your questions from other Dell users
Support Services
Check if your device is covered by Support Services.