Cato API - EventsFeed (Monitoreo de Eventos a Gran Escala)

Recomendamos encarecidamente que antes de comenzar a usar la API de Cato, revise la Política de Soporte para la API de Cato.

Descripción general de eventsFeed

La consulta eventsFeed te ayuda a analizar eventos generados por actividades relacionadas con redes, seguridad, Sockets, clientes de Cato, y más. Los datos de eventos que devuelve esta consulta son similares a la página de Monitoreo > Eventos en la Aplicación de Gestión de Cato.

Para cuentas de revendedores, puedes crear claves API separadas dentro de cada cuenta de cliente a la que te estás conectando a la API de Cato. Para más información sobre la limitación de velocidad y la consulta de la API eventsFeed, consulta Comprender la Limitación de Velocidad de la API de Cato.

Entendiendo los Eventos Obtenidos

La llamada de API eventsFeed está diseñada para análisis y monitoreo de alto volumen de eventos en tu cuenta. Los datos para esta consulta API se actualizan casi en tiempo real.

Cato almacena datos de eventos durante los siete días anteriores. Cada 24 horas, se eliminan los datos que tienen más de siete días.

Cuando hay más de 3000 eventos en la cola del servidor de la API, los resultados se paginan. Esto te permite obtener eventos de forma iterativa hasta que lleguen al final de la cola.

Estos campos están relacionados con la paginación de los eventos: marcador y contadorObtenido. Consulta a continuación las explicaciones de estos campos.

Habilitando eventsFeed para Tu Cuenta

Usa la ventana de Gestión de Acceso API para permitir que tu cuenta envíe eventos al servidor de la API de Cato. Después de habilitar eventsFeed, espera unos 30 minutos para que el servidor de API recopile suficientes eventos para devolver datos para la consulta.

Para habilitar eventsFeed para tu cuenta:

  1. En el panel de navegación, selecciona Administración > API & Integraciones y haz clic en la pestaña Integración de Eventos.
  2. Selecciona Habilitar integración con eventos de Cato. Tu cuenta comienza a enviar eventos al servidor de la API de Cato.

EventFeed.png

Detalles para los Campos de eventsFeed

Estos son los detalles que los campos de eventsFeed pueden mostrar para la consulta:

  • marcador - El campo marcador es un identificador único para el último evento que devolvió la consulta API
  • contadorObtenido - número de eventos obtenidos (máximo 3000 eventos por obtención)
  • cuentas (registrosDeCuentaEventsFeed) - datos de eventos para la cuenta (matriz con consultas y campos anidados)

Marcador de eventsFeed

Cuando hay más de 3000 eventos en la cola del servidor de la API, el campo Marcador muestra un identificador que indica el inicio de una nueva iteración para obtener eventos. Por ejemplo, si la consulta devuelve 7500 eventos, entonces estos son los resultados a lo largo de las iteraciones de obtención:

  • primera iteración - contadorObtenido = 3000 (eventos), marcador = 1234abc
  • segunda iteración - contadorObtenido = 3000 (eventos), marcador = 4567def
  • tercera iteración - contadorObtenido = 1500 (eventos), marcador = 8901xyz

    Puedes ignorar el valor del marcador para la iteración final

contadorObtenido de eventsFeed

El campo contadorObtenido muestra el número total de eventos en la acción de obtención actual. El valor máximo para este campo es 3000.

cuentas de eventsFeed

Los campos de Cuentas (registrosDeCuentaEventsFeed) muestran los ID de cuenta y datos de eventos para esta consulta. Usa el argumento registrosDeEventosFeedCuentas > registroDeEventos > nombreDeCampoEvento para filtrar los datos de eventos que se muestran para la consulta. Para más información sobre los RegistrosDeEventos, consulta Cato API - EventsFeed > RegistroDeEvento.

eventsFeed > registros > nombreDeCampoEvento

Para más información sobre los valores del enumerador nombreDeCampoEvento para los diferentes tipos de eventos, consulta la Referencia de la API GraphQL de Cato Networks.

Argumentos para eventsFeed

Estos son los argumentos que puedes pasar y definir los datos que devuelve la consulta:

  • ID de cuenta - ID de cuenta (para múltiples cuentas, introduce los ID como una matriz)
  • filtros (EntradaFiltroCampoEvento) - filtra los datos de eventos y registros de auditoría que se consultan (matriz con consultas anidadas)
  • marcador - muestra solo eventos para una iteración de obtención específica según el valor del marcador

Argumento ID de eventsFeed

Introduce uno o más ID de cuenta de Cato para los datos que devuelve la consulta. Este argumento es obligatorio.

Este ID de cuenta no se muestra en la Aplicación de Gestión de Cato, sino que es el número en la URL para la Aplicación de Gestión de Cato. Por ejemplo, el ID de cuenta es 26 para la siguiente URL: https://cc2.catonetworks.com/#!/26/topology.

Argumento de filtros de eventsFeed

El argumento filtros (EntradaFiltroCampoEvento) te permite definir los eventos específicos que se incluyen en la consulta. Estos son los argumentos que puedes definir:

  • nombreDeCampo > NombreDeCampoFiltroEvento - define el tipo o subtipo de evento de Descubrimiento de Eventos
  • operador - define cómo activar los valores para filtrar los datos de eventos
  • valores - define el valor del filtro que se usa con el operador

La siguiente sintaxis de filtro es un ejemplo de una consulta que se filtra para mostrar tipos de eventos con el valor Seguridad:

"filters": [
{
"fieldName": "event_type",
"operator": "is",
"values": ["Security"]
}
]

La siguiente sintaxis de filtro es un ejemplo de una consulta que se filtra para mostrar solo subtipos de eventos con el valor Firewall de Internet:

"filters": [
{
"fieldName": "event_sub_type",
"operator": "is",
"values": ["Internet Firewall"]
}
]

Argumento del marcador de eventsFeed

El argumento marcador es obligatorio y te permite limitar la consulta a los eventos de una iteración de obtención específica. Por ejemplo, si la consulta devuelve 10500 eventos, entonces estos son los resultados a lo largo de las primeras tres iteraciones de obtención:

  • primera iteración - contadorObtenido = 3000 (eventos), marcador = 1234abc
  • segunda iteración - contadorObtenido = 3000 (eventos), marcador = 4567def
  • tercera iteración - contadorObtenido = 3000 (eventos), marcador = 8901xyz

Para mostrar solo los eventos en la segunda iteración, establece el argumento marcador en 4567def.

Para obtener todos los eventos en cola, ejecuta la consulta con un argumento marcador vacío (marcador:"") con la consulta inicial de GraphQL.

¿Fue útil este artículo?

Usuarios a los que les pareció útil: 2 de 4

0 comentarios