Cato API - EventsFeed (Monitoreo de Eventos a Gran Escala)

Recomendamos encarecidamente que antes de comenzar a usar la API de Cato, revise la Política de Soporte para la API de Cato.

Visión general de eventsFeed

La consulta de eventsFeed le ayuda a analizar eventos generados por actividades relacionadas con redes, seguridad, Sockets, Clientes de Cato y más. Los datos de eventos que devuelve esta consulta son similares a la página Monitoreo > Eventos en la Aplicación de Gestión de Cato.

Para cuentas de revendedor, puede crear claves de API separadas dentro de cada cuenta de cliente que esté conectando a la API de Cato. Para más información sobre la limitación de velocidad y la consulta de la API eventsFeed, consulta Comprender la Limitación de Velocidad de la API de Cato.

Comprensión de los Eventos Recuperados

La llamada a la API eventsFeed está diseñada para el análisis y monitorización de eventos de gran volumen en su cuenta. Los datos para esta consulta de API se actualizan casi en tiempo real.

Cato almacena datos de eventos de los tres días anteriores. Cada 24 horas, se eliminan los datos que tienen más de tres días.

Cuando hay más de 3000 eventos en la cola del servidor de API, los resultados se paginan. Esto le permite recuperar eventos de forma iterativa hasta que llegue al final de la cola.

Estos campos están relacionados con la paginación para los eventos: marcador y recuentoRecuperado. Vea a continuación las explicaciones de estos campos.

Habilitar eventsFeed para su Cuenta

Use la ventana de Gestión de Acceso de API para habilitar su cuenta para enviar eventos al servidor de API de Cato. Después de habilitar eventsFeed, espere aproximadamente 30 minutos para que el servidor de API recopile suficientes eventos para devolver datos para la consulta.

Para habilitar eventsFeed para su cuenta:

  1. En el panel de navegación, seleccione Administración > API & Integraciones y haga clic en la pestaña Integración de Eventos.
  2. Seleccione Habilitar integración con eventos de Cato. Su cuenta comienza a enviar eventos al servidor de API de Cato.

EventFeed.png

Detalles de los Campos de eventsFeed

Estos son los detalles que los campos de eventsFeed pueden mostrar para la consulta:

  • marcador - El campo marcador es un identificador único para el último evento que devolvió la consulta de API
  • recuentoRecuperado - número de eventos recuperados (máximo 3000 eventos por recuperación)
  • cuentas (eventsFeedAccountRecords) - datos de eventos para la cuenta (arreglo con consultas y campos anidados)

Marcador de eventsFeed

Cuando hay más de 3000 eventos en la cola del servidor de API, el campo Marcador muestra un identificador que indica el inicio de una nueva iteración para recuperar eventos. Por ejemplo, si la consulta devuelve 7500 eventos, entonces estos son los resultados a lo largo de las iteraciones de recuperación:

  • primera iteración - recuentoRecuperado = 3000 (eventos), marcador = 1234abc
  • segunda iteración - recuentoRecuperado = 3000 (eventos), marcador = 4567def

  • tercera iteración - fetchedCount = 1500 (eventos), marcador = 8901xyz

    Puede ignorar el valor del marcador para la iteración final

Los marcadores pueden apuntar a la cola de eventos hasta los tres días anteriores.

eventsFeed recuentoRecuperado

El campo fetchedCount muestra el número total de eventos en la acción de recuperación actual. El valor máximo para este campo es de 3000.

accounts de eventsFeed

Los campos de Cuentas (eventsFeedAccountRecords) muestran los ID de cuenta y los datos de eventos para esta consulta. Use el argumento eventsFeedAccountsRecords > EventRecord > EventFieldName para filtrar los datos de eventos que se muestran para la consulta. Para más información sobre los RegistrosDeEventos, consulta Cato API - EventsFeed > RegistroDeEvento.

eventsFeed > records > EventFieldName

Para más información sobre los valores enum de EventFieldName para los diferentes tipos de eventos, consulte la Referencia de API GraphQL de Cato Networks.

Argumentos para eventsFeed

Estos son los argumentos que puede pasar y definir los datos que devuelve la consulta:

  • accountIDs - ID de cuenta (para múltiples cuentas, ingrese los ID como un arreglo)
  • filtros (EventFieldFilterInput) - filtrar los datos del evento y registro de auditoría que se consultan (arreglo con consultas anidadas)
  • marcador - muestra solo eventos para una iteración de recuperación específica según el valor del marcador

Argumento ID de eventsFeed

Ingrese uno o más ID de cuenta de Cato para los datos que devuelve la consulta. Este argumento es obligatorio.

Este ID de cuenta no se muestra en la Aplicación de Gestión de Cato, en su lugar es el número en la URL para la Aplicación de Gestión de Cato. Por ejemplo, el ID de cuenta es 26 para la siguiente URL: https://cc2.catonetworks.com/#!/26/topology.

Argumento de filtros de eventsFeed

El argumento filtros (EventFieldFilterInput) le permite definir los eventos específicos que se incluyen en la consulta. Estos son los argumentos que puede definir:

  • fieldName > EventFeedFilterFieldName - define el tipo de evento o subtipo de Descubrimiento de Eventos
  • operador - define cómo activar los valores para filtrar los datos del evento
  • valores - define el valor de filtro que se utiliza con el operador

La siguiente sintaxis de filtro es un ejemplo de una consulta que se filtra para mostrar tipos de evento con el valor Seguridad:

"filters": [
{
"fieldName": "event_type",
"operator": "es",
"values": ["Seguridad"]
}
]

La siguiente sintaxis de filtro es un ejemplo de una consulta que se filtra para solo mostrar subtipos de evento con el valor Cortafuegos de Internet:

"filters": [
{
"fieldName": "event_sub_type",
"operator": "es",
"values": ["Cortafuegos de Internet"]
}
]

Argumento del marcador de eventsFeed

El argumento de marcador es obligatorio y le permite limitar la consulta a los eventos para una iteración de recuperación específica. Por ejemplo, si la consulta devuelve 10500 eventos, entonces estos son los resultados a lo largo de las tres primeras iteraciones de recuperación:

  • primera iteración - recuentoRecuperado = 3000 (eventos), marcador = 1234abc
  • segunda iteración - recuentoRecuperado = 3000 (eventos), marcador = 4567def
  • tercera iteración - recuentoRecuperado = 3000 (eventos), marcador = 8901xyz

Para mostrar solo los eventos en la segunda iteración, establezca el argumento de marcador en 4567def.

Para recuperar todos los eventos en cola, ejecute la consulta con un argumento de marcador vacío (marcador:"") con la consulta inicial de GraphQL.

¿Fue útil este artículo?

Usuarios a los que les pareció útil: 2 de 5

0 comentarios