Cato API - AuditFeed

Recomendamos encarecidamente que antes de comenzar a usar la Cato API, revise la Política de soporte para la Cato API.

Visión general del auditFeed

La consulta auditFeed lo ayuda a analizar las acciones realizadas por los administradores en la Aplicación de Administración de Cato. Los datos que devuelve esta consulta son similares a la ventana Sistema> Rastro de Auditoría en la Aplicación de Administración de Cato.

Para cuentas de revendedor, puede crear claves API separadas dentro de cada cuenta de cliente que está conectando a la Cato API. Para más información sobre la limitación de tasa y la consulta de API de auditFeed, vea Entendiendo la Limitación de Tasas de la Cato API.

Entendiendo los Datos Obtenidos

La llamada API de auditFeed está diseñada para soportar la extracción de más de 2 millones de elementos de datos de auditoría por hora. Para ayudar a paginar los datos devueltos, cuando hay más de 1000 elementos de auditoría durante la duración del marco temporal, la consulta itera la extracción hasta que devuelve todos los datos de auditoría.

Estos campos están relacionados con la paginación de los datos de auditoría: marcador, fetchedCount y hasMore. Vea más abajo las explicaciones de estos campos.

Detalles de los Campos auditFeed

Estos son los detalles que los campos auditFeed pueden mostrar para la consulta:

  • from - hora de inicio
  • to - hora de finalización
  • marker - El campo de marcador es un identificador único para el último elemento de datos de auditoría que la consulta API devolvió
  • fetchedCount - número de elementos obtenidos (máximo 1000 elementos por extracción)
  • hasMore - cuando es verdadero, indica que hay más elementos para que la consulta obtenga
  • accounts (auditFeedAccountRecords) - Para revendedores que manejan múltiples cuentas, este campo especifica la cuenta que fue cambiada e incluye todos los registros y datos de auditoría (matriz con consultas y campos anidados)

auditFeed Desde

El campo Desde muestra la hora de inicio para los datos de consulta y se define en el argumento marco temporal.

auditFeed Hasta

El campo Hasta muestra la hora de finalización para los datos de consulta y se define en el argumento marco temporal.

auditFeed Marcador

Cuando hay más de 1000 elementos de datos de auditoría durante la duración de la consulta, el campo Marcador muestra un identificador que indica el inicio de una nueva iteración para obtener los elementos. Por ejemplo, si la consulta devuelve 2500 elementos, entonces estos son los resultados sobre las iteraciones de extracción:

  • primera iteración - fetchedCount = 1000 (elementos), marcador = 1234abc, hasMore = verdadero
  • segunda iteración - fetchedCount = 1000 (elementos), marcador = 4567def, hasMore = verdadero
  • tercera iteración - fetchedCount = 500 (elementos), marcador = 8901xyz, hasMore = falso

    Puede ignorar el valor del marcador en la iteración final

auditFeed fetchedCount

Los campos fetchedCount muestran el número total de elementos en la acción de extracción actual. El valor máximo para este campo es 1000.

auditFeed hasMore

Cuando el valor del campo hasMore es verdadero, entonces hay otra iteración de obtención de elementos después de esta.

auditFeed Cuentas

Los campos Usuarios (auditFeedAccountRecords) muestran las ID de administradores y los datos de auditoría para esta consulta. Utilice el argumento auditFeedAccountsRecords > AuditRecord > AuditFieldName para filtrar los datos de eventos que se muestran para la consulta. Para más información sobre los campos AuditRecords, vea abajo auditFeed > fieldName > AuditFieldName.

Argumentos para el auditFeed

Estos son los argumentos que puede pasar y definir los datos que devuelve la consulta:

  • accountIDs - ID de cuentas (para múltiples cuentas, ingrese las ID como una matriz)
  • ids - ID de cuenta (argumento heredado)
  • marco temporal - hora de inicio y finalización de la consulta
  • filtros (AuditFieldFilterInput) - filtra los datos del registro de auditoría que se consulta (matriz con consultas anidadas)
  • marker - solo muestra elementos para una iteración de extracción específica de acuerdo con el valor del marcador

Argumento accountIDs del auditFeed

Ingrese una o más ID de cuenta para los datos que devuelve la consulta. Este argumento es obligatorio.

Esta ID de cuenta no se muestra en la Aplicación de Administración de Cato, en su lugar es el número en la URL para la Aplicación de Administración de Cato. Por ejemplo, la ID de cuenta es 26 para la siguiente URL: https://cc2.catonetworks.com/#!/26/topology.

Argumento marco temporal del auditFeed

Ingrese el periodo de tiempo para los datos que devuelve la consulta. El argumento está en el formato <type>.<tiempo valor>. Este argumento es obligatorio.

Estas son las opciones compatibles para definir el periodo de tiempo:

  • last.<duración del tiempo> - El valor <duración del tiempo> para el tipo último es según ISO-8601 y devuelve datos para los tiempos específicos anteriores. Por ejemplo:
    • marco temporal = último.PT5M muestra los 5 minutos anteriores
    • marco temporal = último.PT2H muestra las 2 horas anteriores
    • marco temporal = último.P1D muestra el día anterior 1
    • marco temporal = último.P3M muestra los 3 meses anteriores
    • marco temporal = último.P1Y muestra el año anterior 1
  • <zona horaria>.<especificación-de-marco-temporal-corto> - El marco temporal combina una fecha de inicio y fin en el formato AA-MM-DD/hh:mm:ss según la zona horaria especificada. Por ejemplo, marco temporal = utc.2020-02-{11/04:50:00--21/04:50:00} muestra datos de análisis desde el 11 de febrero de 2020 4:50:00 am hasta el 21 de febrero de 2020 4:50:00 am.

Argumento filtros del auditFeed

El argumento filtros (AuditFieldFilterInput) le permite definir el elemento específico que se incluye en la consulta de rastro de auditoría. Estos son los argumentos que puede definir:

  • fieldName > AuditFieldName - defina los elementos de Rastro de Auditoría
  • operator - defina cómo activar los valores para filtrar los datos de auditoría
  • values - defina el valor de filtro que se usa con el operador

auditFeed > fieldName > AuditFieldName

Estos son los nombres de los campos para los diferentes tipos de configuraciones de la Aplicación de Administración de Cato monitoreadas en Sistema > Rastro de Auditoría.

  • admin - el administrador cuya acción generó el registro
  • model_name - el nombre del objeto que se vio afectado, por ejemplo Mi Sitio
  • admin_id - la ID del administrador cuya acción generó el registro
  • module - módulo del sistema que se cambió, por ejemplo Configuración de MFA o Inspección de TLS
  • insertion_date - hora en que se realizó o guardó el cambio
  • change_type - describe el cambio que realizó el administrador, los valores son: CREADO, ELIMINADO, MODIFICADO, HABILITADO, DESHABILITADO, OMITIDO
  • creation_date - hora en que se comenzó el cambio
  • change - una descripción detallada del cambio en formato JSON
  • model_type - el tipo de objeto que se cambió, por ejemplo Sitio, Socket, SocketInterface

Argumento marcador del auditFeed

El argumento del marcador le permite limitar la consulta a los eventos para una iteración de extracción específica. Para mostrar los valores del marcador, ejecute la consulta con el argumento del marcador con un valor vacío. La consulta devuelve los valores del marcador para el argumento marco temporal definido.

Por ejemplo, si la consulta devuelve 2500 eventos, entonces estos son los resultados sobre las primeras tres iteraciones de extracción:

  • primera iteración - fetchedCount = 1000 (eventos), marcador = 1234abc, hasMore = verdadero
  • segunda iteración - fetchedCount = 1000 (eventos), marcador = 4567def, hasMore = verdadero
  • tercera iteración - fetchedCount = 1000 (eventos), marcador = 8901xyz, hasMore = verdadero

Para mostrar solo los eventos en la segunda iteración, establezca el argumento marcador a 4567def.

¿Fue útil este artículo?

Usuarios a los que les pareció útil: 0 de 2

0 comentarios