Isilon: Isilon 审核有效负载值列表

Summary: 可在isi_audit结果的原始输出中看到的可能 Isilon 值的列表。

This article applies to This article does not apply to This article is not tied to any specific product. Not all product versions are identified in this article.
Check out other resources

Instructions

以下是可在isi_audit结果的原始输出中看到的可能 Isilon 值的列表。

此列表不是特定于版本的:其中一些仅适用于 OneFS 的某些版本,更高版本具有扩展选项。此列表旨在作为一般审查单个审核事件的参考。

使用 Isilon 协议审核系统时,您可以监视和跟踪 OneFS 文件系统内用户对 SMB 和 NFS 等协议的操作。

记录的操作以其原始形式如下所示(OneFS 的版本和时代之间预计会存在一些差异):

 

{“id”:“8f0ae523-1741-12ea-8d1f-010e1ea7b298”,“timestamp”:1575538065995502,“payloadType”:“c411a642-c139-4c7a-be58-93680bc20b41”,“payload”:{“protocol”:“NFS”,“zoneID”:5,“zoneName”:“AuditedZone”,“eventType”:“delete”,“isDirectory”:false,“clientIPAddr”:“10.51.221.92”,“fileName”:“\\ifs\\home\\user00001\\staging\\datareview\\infa\\client\\Temp\\datapoint_file.txt”,“userSID”:“S-1-22-2000”,“userID”:2000,“ntStatus”:0,“fsId”:1,“partialPath”:“datapoint_file.txt“,”rootInode“:4512436961,”inode“:5128815920}}     
 
{“id”:“87b8bbh5-181c-71ea-8d1f-000g1ia7j295”,“timestamp”:1575522001272734,“payloadType”:“c411a642-c139-4c7a-be58-93680bc20b41”,“payload”:“protocol”:“NFS”,“zoneID”:5,“zoneName”:“AuditedZone”,“eventType”:“create”,“createResult”:“OPENED”,“isDirectory”:true,“desiredAccess”:0,“clientIPAddr”:“10.14.73.184”,“createDispo”:1,“userSID”:“S-1-22-1-2000”,“userID”:2000,“fileName”:“\\ifs\\data\\project00004\\dev\\logs\\ABC\\that-one-project-data”,“ntStatus”:0,”fsId“:1,”inode“:4725492968}}


其中,术语定义为:
  • clientIPAddr:执行操作的用户的 IP 的字符串。
  • clientIp:发起请求(导致事件)的客户端的 IP 地址。
  • createDispo:用户在创建/打开时指定的创建处置。
  • desiredAccess:用户在创建/打开时指定的所需访问权限。
  • encodedNewName:重命名时编码的新名称。
  • encodedPath:文件的编码 UNC 路径。
  • encodedRelativePath:编码的相对路径。
  • encodingType:用于值的编码(如果值包含无法包含在 XML 中的字符)。
  • 事件:导致检查的事件。
  • 文件名:文件的绝对路径的字符串,如果审核无法获取路径,则为“UNKNOWN”。路径使用 UNC 样式的路径分隔符 (“\\”)。
  • fileSize:操作时的文件的大小。
  • 国旗:上面定义的CEPP_FLAG_XXX之一。
  • fsId:父目录的文件系统 ID。此整数是相关文件系统的 ID 值(默认值为 1)。
  • id:基于群集 GUID 和审核的区域 ID 的值,对于审核的事件是唯一的。这是该事件的 UUID。
  • Inode:文件或目录的信息节点的整数。
  • isDirectory:布尔值表示事件是针对文件还是目录。
  • newFSId:目标父目录的新文件系统 ID(如果与 fsId 不同)(重命名)。
  • newName:新名称(在重命名操作中)。
  • newParentInode:目标父目录的信息节点(重命名)。
  • ntStatus:操作的 NTSTATUS 代码。0 是 STATUS_SUCCESS。
  • ownerId:文件所有者的 ID。
  • ownerSid:文件所有者的 Sid。
  • parentInode:包含目录的信息节点。
  • partialPath:文件或目录的相对路径的字符串。路径使用 UNC 样式的路径分隔符 (“\\”)。
  • partialPathParentInode:上述部分路径的父信息节点。
  • path:文件(或目录)的 UNC 名称 — 绝对路径。
  • 负载:Complete Delivered 审核事件,封装了其中的大部分值。
  • payloadType:“4b66b1eb-6e1a-416d-b80c-5a642a603a0b”的字符串:对于协议活动事件。
  • payloadType:字符串“7afb8d54-0aa7-4ed4-9691-341313ee37e3:对于审核驱动程序加载的审核事件。
  • payloadType:“bbce6a72-a92d-4330-a1f3-e9fd5aed8152”的字符串:对于审核驱动程序,请卸载审核事件。
  • payloadType:“c411a642-c139-4c7a-be58-93680bc20b41”的字符串:适用于协议数据事件。
  • 协议:发生操作的协议的字符串。在 OneFS 7.2 及更高版本中,通常是以下状态之一:“CIFS”(用于 SMB1);“SMB2”;“NFS”(用于 NFSv3);“NFS4”;“HDFS”。
  • relativePath:客户端访问的文件(或目录)的 UNC 名称。
  • rootInode:partialPath 所在目录的索引节点的整数。
  • serverIp:记录事件的服务器的 IP 地址。
  • 服务器:发生事件的服务器名称。NFS 的服务器 IP。
  • 共享:服务器上的共享。NFS 的导出名称。
  • 时间 戳:服务器上发生事件的时间。它是一个 64 位值,其中高 32 位表示时间,低 32 位表示微秒。格式:0x1234abcd1234abcd
  • type:文件、目录等
  • 用户 ID:执行操作的用户的 UID 的整数。(OneFS 7.2 及更高版本)
  • userSID:执行操作的用户的 SID 的字符串。  (“userSID”在“登录”失败事件中不可用。)
  • zoneID:对其执行操作的 OneFS 访问分区 ID 的整数。
  • zoneName:在其上/直通上执行操作的事件时的 OneFS 访问分区名称的字符串。




此外,还有一些其他值和字段可能具有一些可能的变量。

对于“eventType”对象,某些事件类型具有在以下类型下列出的额外有效负载字段:
 
eventType = 创建:用于创建或打开文件或目录。

eventType = close:用于关闭文件或目录。
额外有效负载字段:(仅当“isDirectory 为 false / for files.”时才有意义。
  • bytesRead:自打开/创建以来读取的总字节数的整数。
  • bytesWritten:自打开以来写入的总字节数的整数。
  • numberOfReads:自打开以来对文件执行的总读取次数的整数。
  • numberOfWrites:对文件进行的总写入次数的整数。
eventType = read:自打开文件以来首次读取文件。
额外有效负载字段:
  • bytesRead:第一次读取时读取的字节数的整数。
eventType = write:自打开文件以来的首次写入。
额外有效负载字段:
  • bytesWritten:第一次写入时写入的字节数的整数。
eventType = rename:重命名文件或目录。
额外有效负载字段:
  • newFileName:新文件名的绝对路径或“UNKNOWN”的字符串。路径使用 UNC 样式的路径分隔符 (“\\”)。
  • newPartialPath:新文件名的相对路径的字符串。路径使用 UNC 样式的路径分隔符 (“\\”)。
  • newRootInode:包含“newPartialPath”的新父目录信息节点的整数。
eventType = get-security:从文件或目录中获取安全信息/权限。
                              (无额外字段)

eventType = 设置安全性:在文件或目录上设置安全信息/权限。
(无额外字段)
 
eventType = delete:删除文件或目录。
(无额外字段)
 
eventType = 登录:登录。
(无额外字段)
 
eventType = 注销:注销。
(无额外字段)
 
eventType = tree-connect:执行 SMB 树连接。
(无额外字段)



对于 payloadType = “7afb8d54-0aa7-4ed4-9691-341313ee37e3” 的审核事件 (审核驱动程序加载的审核事件) 。

这些是加载审核筛选器驱动程序时发出的审核事件信号。

这些审核事件包含一个“有效负载”,其中包含一个 JSON 字符串,该字符串指定加载的审核驱动程序。

  • Audit Driver: flt_audit Loaded:SMB 审核驱动程序已加载。
  • Audit Driver: flt_audit_nfs Loaded:NFS 审核驱动程序已加载。
  • Audit Driver: flt_audit_hdfs Loaded:已加载 HDFS 审核驱动程序。



对于 payloadType = “bbce6a72-a92d-4330-a1f3-e9fd5aed8152” 的审核事件(审核驱动程序卸载审核事件)。

这些是卸载审核筛选器驱动程序时发出的审核事件信号。

这些审核事件包含一个“有效负载”,其中包含一个 JSON 字符串,该字符串指定哪个审核驱动程序已停止。

  • 关闭审核驱动程序:flt_audit:SMB 审核驱动程序已停止。
  • 关闭审核驱动程序:flt_audit_nfs:NFS 审核驱动程序已加载。
  • 关闭审核驱动程序:flt_audit_hdfs:已加载 HDFS 审核驱动程序。


eventType:审核事件类型/操作类型的字符串。以下选项之一:
  • 创建:创建或打开文件或目录。
  • 关闭:关闭文件或目录。
  • 读:自打开文件以来首次读取文件。
  • 写:自打开文件以来首次写入文件。
  • 重 命名:重命名文件或目录。
  • 删除:删除文件或目录。
  • set-security:在文件或目录上设置安全信息/权限。
  • get-security:获取文件或目录的安全信息/权限。


createDispo:创建/打开处置的整数。这是应如何打开或创建文件/目录的请求:
  • 0 - FILE_SUPERSEDE - 替换现有文件或创建它。
  • 1 - FILE_OPEN - 打开现有文件或失败。
  • 2 - FILE_CREATE - 创建不存在的文件或失败。
  • 3 - FILE_OPEN_IF - 打开现有文件或创建它。
  • 4 - FILE_OVERWRITE - 打开并覆盖现有文件或失败。
  • 5 - FILE_OVERWRITE_IF - 打开并覆盖现有文件或创建它。


createResult:创建/打开结果的字符串。以下选项之一:
  • 取代:文件已存在并已被替换。
  • 打开:文件已存在并已打开。
  • 创建:文件不存在且已创建。
  • 存在:文件存在但未创建。
  • DOES_NOT_EXIST:文件不存在且未打开。
  • 未知:未知。


desiredAccess:按位组合所需访问的整数,可访问以下内容:

Affected Products

Isilon

Products

Isilon
Article Properties
Article Number: 000019850
Article Type: How To
Last Modified: 18 Dec 2022
Version:  4
Find answers to your questions from other Dell users
Support Services
Check if your device is covered by Support Services.