Isilon： Isilon 稽核承載值清單

以下是可在isi_audit結果的原始輸出中看到的可能 Isilon 值清單。

此清單並非特定版本：其中某些僅適用於特定版本的 OneFS，更高版本具有擴充選項。此清單旨在作為審查一般單個審計事件的參考。

使用 Isilon 通訊協定稽核系統時，您可以在 SMB 和 NFS 等通訊協定上監控和追蹤 OneFS 檔案系統內的使用者動作。

原始形式的記錄動作看起來如下 （OneFS 的版本和時代預期會有所差異）：

• clientIPAddr：執行操作的使用者的IP的字串。
• clientIp：發起請求（導致事件）的用戶端的IP位址。
• createDispo：使用者在建立/開啟時間指定的建立處置。
• desiredAccess：使用者在建立/開啟時間指定的所需存取權。
• 已編碼新名稱：重新命名時編碼的新名稱。
• encodedPath：檔的編碼 UNC 路徑。
• encodedRelativePath：編碼的相對路徑。
• 編碼類型：用於值的編碼（如果值包含不能包含在 XML 中的字元）。
• 事件：導致檢查的事件。
• 檔案名稱：檔案絕對路徑的字串，如果稽核無法取得路徑，則為「UNKNOWN」。路徑使用 UNC 樣式的路徑分隔符 （“\\”）。
• 檔案大小：操作時檔的大小。
• 標誌：上述CEPP_FLAG_XXX之一。
• fsId：父目錄的檔案系統 ID。此整數是相關文件系統的 ID 值（預設為 1）。
• id: 基於群集 GUID 和審核的區域 ID 的值，對於審核的事件是唯一的。這是該事件的 UUID。
• Inode：檔或目錄的 inode 的整數。
• isDirectory：事件是針對文件還是目錄的布爾值。
• newFSId：目標父目錄（重命名）的新文件系統 ID （如果與 fsId 不同）。
• 新名稱：新名稱（在重命名操作中）。
• newParentInode：目標父目錄的 inode （重新命名）。
• ntStatus：動作的 NTSTATUS 代碼。0 為 STATUS_SUCCESS。
• 擁有者 ID：檔擁有者的ID。
• ownerSid：檔案擁有者的 Sid。
• parentInode：包含目錄的 inode。
• partialPath：檔或目錄的相對路徑的字串。路徑使用 UNC 樣式的路徑分隔符 （“\\”）。
• partialPathParentInode：上述部分路徑的父 inode。
• path：檔案的 UNC 名稱 （或 dir） - 絕對路徑。
• 有效載荷：完整交付的審核事件，封裝了其中的大部分值。
• payload 類型：「4b66b1eb-6e1a-416d-b80c-5a642a603a0b：用於協定活動事件。
• payload 類型：“7afb8d54-0aa7-4ed4-9691-341313ee37e3：對於審核驅動程式載入的審核事件。
• payload 類型：「bbce6a72-a92d-4330-a1f3-e9fd5aed8152：對於審核驅動程式卸載審核事件。
• payload 類型：「c411a642-c139-4c7a-be58-93680bc20b41：用於協議數據事件。
• 協定：發生操作的協定的字串。在 OneFS 7.2 及更新版本中通常為下列其中一項：「CIFS」（適用於 SMB1）;“SMB2”;“NFS”（適用於 NFSv3）;“NFS4”;「HDFS」。
• 相對路徑：用戶端存取的檔案 （或目錄） 的 UNC 名稱。
• rootInode：部分路徑所在目錄的 inode 整數。
• serverIp：記錄事件的伺服器的IP位址。
• 伺服器：發生事件的伺服器名稱。NFS 的伺服器 IP。
• 分享：伺服器上的共用。NFS 的匯出名稱。
• 時間戳：事件發生在伺服器上的時間。它是一個 64 位值，其中高 32 位表示時間，低 32 位表示微秒。格式：0x1234abcd1234abcd
• type：檔案、目錄等
• 使用者 ID：執行操作的使用者的UID的整數。（OneFS 7.2 及更新版本）
• userSID：執行操作的使用者的 SID 字串。  （「userSID」在「登入」失敗事件中無法使用。）
• 區域 ID：正在執行/通過其執行操作的 OneFS 存取區域 ID 的整數。
• 區域名稱：執行此動作時的 OneFS 存取區域名稱字串。

• 讀取位元組：自打開/創建以來讀取的總位元組數的整數。
• 寫入位元組：自打開以來寫入的總位元組數的整數。
• 讀取次數：自打開以來對文件進行的讀取總數的整數。
• 寫入數量：對文件進行的總寫入次數的整數。

• 讀取位元組：第一次讀取時讀取的位元組數的整數。

• 寫入位元組：第一次寫入時寫入的位元組數的整數。

• new檔案名稱：新檔名或「UNKNOWN」的絕對路徑字串。路徑使用 UNC 樣式的路徑分隔符 （“\\”）。
• newPartialPath：新檔名的相對路徑的字串。路徑使用 UNC 樣式的路徑分隔符 （“\\”）。
• newRootInode：包含「newPartialPath」的新父目錄 inode 的整數。

對於有效負載類型 = “7afb8d54-0aa7-4ed4-9691-341313ee37e3”（審核驅動程式載入的審核事件）的審核事件。

這些是載入審核篩選器驅動程式時發出的審核事件信號。

這些審核事件包含一個「有效負載」，其中包含指定載入的審核驅動程式的 JSON 字串。

• 稽核驅動程式：flt_audit載入：SMB 稽核驅動程式已載入。
• 稽核驅動程式：flt_audit_nfs 已載入：已載入 NFS 稽核驅動程式。
• 稽核驅動程式：flt_audit_hdfs載入：已載入 HDFS 稽核驅動程式。

針對有效負載類型 = “bbce6a72-a92d-4330-a1f3-e9fd5aed8152” （稽核驅動程式卸載稽核事件） 的稽核事件。

這些是卸載審核篩選器驅動程式時的審核事件信號。

這些稽核事件包含一個「payload」，其中包含指定哪個稽核驅動程式停止的 JSON 字串。

• 關閉稽核驅動程式：flt_audit：SMB 稽核驅動程式已停止。
• 關閉稽核驅動程式：flt_audit_nfs：已載入 NFS 稽核驅動程式。
• 關閉稽核驅動程式：flt_audit_hdfs：已載入 HDFS 稽核驅動程式。

• 建立：建立或開啟檔案或目錄。
• 關閉：關閉檔案或目錄。
• 閱讀：開啟檔案後首次讀取。
• 寫：打開檔後首先寫入檔。
• 重新命名：重新命名檔案或目錄。
• 刪除：刪除檔案或目錄。
• 設定安全性：在檔案或目錄上設定安全性資訊/權限。
• 取得安全性：獲取檔或目錄的安全資訊/許可權。

• 0 - FILE_SUPERSEDE - 取代現有檔案或建立現有檔案。
• 1 - FILE_OPEN - 開啟現有檔案或失敗。
• 2 - FILE_CREATE - 建立不存在的檔案或失敗。
• 3 - FILE_OPEN_IF - 開啟現有檔案或建立檔案。
• 4 - FILE_OVERWRITE - 開啟並覆寫現有檔案或失敗。
• 5 - FILE_OVERWRITE_IF - 開啟並覆寫現有檔案或建立檔案。

• 已取代：檔案存在並已取代。
• 已開啟：檔案存在且已開啟。
• 建立：檔案不存在且已建立。
• 存在：檔案存在且未建立。
• DOES_NOT_EXIST：檔案不存在且未開啟。
• 未知：不得而知。

• https://docs.microsoft.com/en-us/openspecs/windows_protocols/ms-smb/27f99d29-7784-4684-b6dd-264e9025b286
• https://docs.microsoft.com/en-us/openspecs/windows_protocols/ms-smb/d524144c-3cfc-49c3-903c-284e5adbd60a