Hiểu về định dạng Syslog giao thức trong PowerScale OneFS

Gần đây tôi nhận được một số câu hỏi về định dạng của giao thức kiểm toán syslog trong PowerScale. Nó hơi phức tạp vì những lý do sau:

Đối với các hoạt động giao thức khác nhau (như MỞ và ĐÓNG), nhiều trường khác nhau đã được xác định để đáp ứng các mục tiêu kiểm tra.
Một số trường dễ phân tích cú pháp, một số trường khác thì khó hơn.
Hiện tại chưa có tài liệu nào ghi chép lại.

Định dạng Syslog

Bảng sau đây hiển thị thông tin chi tiết về định dạng giao thức syslog trong PowerScale. (Bảng này rất rộng. Mở rộng trình duyệt của bạn để hiển thị tất cả 13 trường.):

Hoạt động

Trường 1

Trường 2

Trường 3

Trường 4

Trường 5

Trường 6

Trường 7

Trường 8

Trường 9

Trường 10

Trường 11

Trường 12

Trường 13

ĐĂNG NHẬP

người dùngSID

Tên vùng

Mã vùng

khách hàngIPAddr

giao thức

hoạt động

Trạng thái nt

tên người dùng

ĐĂNG XUẤT

người dùngSID

Tên vùng

Mã vùng

khách hàngIPAddr

giao thức

hoạt động

Trạng thái nt

tên người dùng

TREE-CONNECT

người dùngSID

Tên vùng

Mã vùng

khách hàngIPAddr

giao thức

hoạt động

Trạng thái nt

ĐỌC

người dùngSID

ID người dùng

Tên vùng

Mã vùng

khách hàngIPAddr

giao thức

hoạt động

Trạng thái nt

làThư mục

inode/lin

tên tập tin

VIẾT

người dùngSID

ID người dùng

Tên vùng

Mã vùng

khách hàngIPAddr

giao thức

hoạt động

Trạng thái nt

làThư mục

inode /lin

tên tập tin

ĐÓNG

người dùngSID

ID người dùng

Tên vùng

Mã vùng

khách hàngIPAddr

giao thức

hoạt động

Trạng thái nt

làThư mục

byteĐọc

byteViết

inode /lin

tên tập tin

XÓA BỎ

người dùngSID

ID người dùng

Tên vùng

Mã vùng

khách hàngIPAddr

giao thức

hoạt động

Trạng thái nt

làThư mục

inode /lin

tên tập tin

NHẬN_BẢO_MẬT

người dùngSID

ID người dùng

Tên vùng

Mã vùng

khách hàngIPAddr

giao thức

hoạt động

Trạng thái nt

làThư mục

inode /lin

tên tập tin

ĐẶT_BẢO MẬT

người dùngSID

ID người dùng

Tên vùng

Mã vùng

khách hàngIPAddr

giao thức

hoạt động

Trạng thái nt

làThư mục

inode /lin

tên tập tin

MỞ

người dùngSID

ID người dùng

Tên vùng

Mã vùng

khách hàngIPAddr

giao thức

hoạt động

Trạng thái nt

mong muốnTruy cập

làThư mục

tạoKết quả

inode /lin

tên tập tin

ĐỔI TÊN

người dùngSID

ID người dùng

Tên vùng

Mã vùng

khách hàngIPAddr

giao thức

hoạt động

Trạng thái nt

làThư mục

inode /lin

tên tập tin

Tên Tệp mới

Một số lưu ý :

Bắt đầu từ OneFS 9.2.0.0, chúng tôi áp dụng RFC 5425 làm tiêu chuẩn cho giao thức syslog.
userSID: UserSID là mã định danh duy nhất cho một đối tượng trong miền Active Directory hoặc NT4. Trên máy chủ tệp Windows gốc (cũng như một số triển khai máy chủ CIFS khác), SID này được sử dụng trực tiếp để xác định danh tính của người dùng và thường được lưu trữ trên mọi tệp hoặc thư mục trong hệ thống tệp mà người dùng có quyền. SID thường bắt đầu bằng chữ cái `S’ và bao gồm một chuỗi số và dấu gạch ngang.
userID: Trên hầu hết các hệ thống dựa trên UNIX, quyền tệp và thư mục được gán cho UID và GID (thường thấy nhất trong /etc/passwd và /etc/group).
giao thức: là một trong những giao thức sau:
1. Doanh nghiệp vừa và nhỏ
2. NFS
3. HDFS

SMB cũng được trả về cho các hoạt động LOGON, LOGOFF và TREE-CONNECT.

5. Trạng thái nt:

Nếu trường ntStatus là 0, nó sẽ trả về “SUCCESS”.
Nếu trường ntStatus khác không, nó sẽ trả về “FAILD: <Mã trạng thái NT>”.
Nếu trường ntStatus không có trong payload, nó sẽ trả về “ERROR”.
Bạn có thể tham khảo Microsoft Open Specification ( https://docs.microsoft.com/en-us/openspecs/windows_protocols/ms-erref/596a1078-e883-4972-9bbc-49e60bebca55 ) để biết giá trị và mô tả của Mã trạng thái NT.

6. isDirectory: