La página de Eventos muestra todos los eventos que ocurren en su cuenta, tales como cuando sitios y usuarios remotos se conectan a la Nube Cato y bloquean acciones de un firewall o motor de seguridad.
Los Eventos de Cato proporcionan datos detallados sobre el tráfico y la actividad en su cuenta. Cada evento registra información sobre algo que ocurrió en el entorno, como un intento de conexión, una acción de seguridad o una actividad relacionada con la configuración, incluyendo el contexto necesario para entender qué sucedió y cómo Cato lo manejó.
Use la página de Eventos en la Aplicación de Gestión de Cato (CMA) para investigar el tráfico, monitorear la actividad de la cuenta, validar el comportamiento de la política de implementación y solucionar problemas operativos. Puede limitar los datos de eventos por rango de tiempo, tipo de evento, valores de campo, preajustes, filtros personalizados o búsqueda en lenguaje natural para centrarse en los eventos que son relevantes para una pregunta específica de red o seguridad.
Para un análisis adicional, monitorización centralizada o retención, puedes:
- Enviar eventos a plataformas externas con Integración de Eventos, ver Comenzando con Integración de Eventos
- Exportar datos de eventos desde la página de Eventos, ver abajo Exportando Eventos a un Archivo
Los datos de eventos se almacenan en el Lago de datos de Cato. Para más información, consulte Guía del Lago de Datos Cato.
Nota
Notas:
- Después de que se genera un evento, típicamente dentro de un período de tiempo de 5 minutos, los datos para ese evento se muestran en la página de Eventos. Sin embargo, es posible que algunos eventos se retrasen hasta 30 minutos.
- Los cambios en los nombres de entidades (como reglas de política) pueden tardar hasta 24 horas en reflejarse en los campos de eventos relevantes.
La Vista rápida es una opción que muestra menos campos para cada Evento con el fin de mejorar el rendimiento de la página. Está habilitada por defecto y muestra los campos que se requieren comúnmente para análisis. Mejora significativamente el rendimiento de la página de Eventos así como el rendimiento de exportación cuando seleccionas la opción de exportación Vista rápida.
Cualquier campo que sea seleccionado manualmente o mencionado en un filtro también se muestra cuando la Vista rápida está activada.
Puede deshabilitar la Vista rápida en cualquier momento para cargar todos los campos, sin embargo, esto puede afectar el rendimiento.
Los siguientes campos se muestran para cada evento cuando la Vista rápida está activada. La lista de campos se basa en los datos de uso del cliente.
- Siempre Activo
- Categoría de Actividad de Aplicación
- Aplicación
- Actividad de Aplicación
- Riesgo de Aplicación
- Método de Autenticación
- Código de Error de Desconexión BGP
- Método de Bypass
- Razón de Bypass
- Categoría
- Aplicación Cato
- Nombre del Certificado del Cliente
- Clase de Cliente
- Versión del Cliente
- Nombre del Host Configurado
- Tipo de Conector
- Categoría Personalizada
- País de Destino
- IP de Destino
- El destino es Sitio o Usuario SDP
- Puerto de Destino
- Sitio de Destino
- Certificado del Dispositivo
- Nombre del Dispositivo
- Tipo de sistema operativo del Dispositivo
- Perfiles de Postura de Dispositivo
- IP de Directorio
- Resultado de Sincronización de Directorio
- Perfiles DLP
- Categoría de Protección DNS
- Consulta DNS
- Nombre de Dominio
- Nombre de PoP de Salida
- Tipo de Evento
- event_message
- Razón del Fallo
- Hash del Archivo
- Tipo de Archivo
- URL Completa
- Rol HA
- Dirección IP del Host
- Dirección MAC del Host
- ID de interfaz
- Protocolo IP
- Es Aplicación Autorizada
- Nombre del Proveedor de Servicios de Internet (ISP)
- Acceso LAN
- Salud del Enlace - Pérdida de Paquetes
- Tipo de Enlace
- Usuario Conectado
- Tipo de Inicio de Sesión
- Regla de Red
- Tipo de sistema operativo
- Nombre de PoP
- IP de Origen Pública
- Prioridad QoS
- URL de Referencia
- Aplicaciones Relacionadas
- Nivel de Riesgo
- Regla
- ID de Regla
- Nombre de Cuenta SAM
- Severidad
- ID de Firma
- Restablecer Socket
- País de Origen
- IP de Origen
- La fuente es Sitio o Usuario SDP
- IP del Proveedor de Servicios de Internet (ISP) de Origen
- Puerto de Origen
- Sitio de Origen
- Túnel Dividido
- Estado
- Nombre de Subred
- Subtipo
- Aceleración TCP
- Nombre de la Amenaza
- Tipo de Amenaza
- Veredicto del Hilo
- Tiempo
- Error de Certificado TLS
- Descripción del Error TLS
- Tipo de Error TLS
- Nombre de la Regla TLS
- Dirección del Tráfico
- Redes de Confianza
- Protocolo de Túnel
- URL
- Agente de Usuario
- Nombre de Mostrar del Usuario
- Correo electrónico del Usuario
- Nombre de Usuario
- Nombre Principal del Usuario
- Nombre de Dominio de Windows
Puede ver eventos para toda su cuenta en la página Inicio > Eventos.
La siguiente imagen y tabla explican los elementos de la página Eventos con la pestaña Eventos:
| Artículo | Nombre | Descripción |
|---|---|---|
| 1 | Menú de selección de preajustes | Menú desplegable con opciones de filtro preestablecidas para mostrar los eventos de escenarios comunes, así como cualquier preajuste personalizado que haya guardado manualmente. |
| 2 | Barra de filtros de eventos | Muestra los filtros que son aplicados a los eventos. Haga clic en |
| 3 | Actualizar | Actualiza los datos para eventos en la página (tarda alrededor de 5 segundos en actualizarse) |
| 4 | Rango de Tiempo |
Seleccione el rango de tiempo para los eventos que se muestran en la página. El rango de tiempo predeterminado es los Últimos 2 Días, que muestra eventos de las últimas 48 horas. Para más información, consulte Estableciendo el filtro de rango de tiempo. Nota: El rango máximo de fechas para la página de Eventos es 31 días. |
| 5 | Menú de exportar eventos | Exporta eventos en el filtro actual a un archivo. Puede exportar todos los campos (columnas), o solo los que seleccionó. |
| 6 | Agregar a presets personalizados | Agregue el filtro actual a sus presets personalizados para que pueda utilizar el filtro fácilmente nuevamente. |
| 7 | Búsqueda de lenguaje natural | Filtre la lista de eventos usando filtros de lenguaje natural. |
| 8 | Alternar Filtro Manual | Después de haber utilizado una búsqueda de lenguaje natural, este botón vuelve a las opciones de filtro manual. |
| 9 | Cronología de eventos | Muestra el número de eventos filtrados. Cada tipo de evento está representado por un color diferente. |
| 10 | Número total de eventos | Muestra el número total de eventos para el rango de tiempo y configuraciones de filtro actuales. |
| 11 | Filtros rápidos por tipo de evento | Haga clic en un tipo de evento para ocultar los eventos de ese tipo. Por ejemplo, cuando hace clic Red, los eventos de Red no se muestran en la página. |
| 12 | Pestañas de vista de datos de evento |
Seleccione la pestaña para elegir la vista para los datos del evento.
|
| 13 | Campos de evento |
Todos los campos que están en los datos brutos para los eventos filtrados. Puede agregar o excluir un campo fácilmente en el filtro. Muestra la cardinalidad (valores distintos) de eventos que coinciden con cada categoría de campo. Cuando expande la categoría, se muestra el número total de eventos para cada tipo de evento. |
| 14 | Tiempo y Datos Brutos para un evento | Muestra la marca de tiempo cuando el evento fue generado y los datos brutos para cada campo en el evento. También puede agregar los campos como nuevas columnas a esta tabla. |
| 15 | Vista Rápida | Vista Rápida está habilitada por defecto, mostrando todos los campos que son típicamente requeridos para análisis para cada Evento. Esto mejora significativamente el rendimiento de la página. Esto también mejora el rendimiento de la exportación cuando selecciona la opción de exportación de Vista Rápida. |
Estos son los tipos de eventos en la página de Eventos:
-
Conectividad - Eventos relacionados con la conectividad para el monitoreo de LAN, sitios y clientes de VPN en la cuenta
- Los eventos de conectividad están relacionados con problemas con la conexión del sitio, como la calidad del enlace relacionada con la pérdida de paquetes
-
Detección y Respuesta - Eventos relacionados con historias de XOps
- Los eventos de Detección y Respuesta están relacionados con nuevas y actualizadas historias XOps generadas por la Política de Respuesta
-
Postura - Eventos relacionados con chequeos de Postura
- Los eventos de Postura están relacionados con cambios de puntuación de postura y nuevos chequeos
-
Enrutamiento - Enrutamiento, y eventos BGP
- Los eventos de enrutamiento están relacionados con el estado de sesiones BGP y rutas
-
Seguridad - Eventos generados por las protecciones de amenazas y motores de firewall
- Los eventos de seguridad están relacionados con posibles problemas de seguridad y pueden ayudarlo a ajustar las reglas del firewall
-
Gestión de Sockets - Eventos relacionados con Sockets, como actualizaciones de firmware
- Los eventos de gestión de sockets están relacionados con un socket que se actualiza exitosamente a la versión más reciente
-
Sistema - Eventos relacionados con LDAP, Conciencia del Usuario, licencia y cuentas de usuario
- Los eventos del sistema están relacionados con el estado de la sincronización de servicios de directorio
Puede filtrar eventos para ayudarle a encontrar rápidamente información relevante.
Puede buscar eventos fácilmente usando lenguaje cotidiano para profundizar e identificar datos relevantes en la página. Para más detalles, consulte Usando búsqueda de lenguaje natural.
Puede utilizar los filtros predeterminados de Cato o crear filtros personalizados para ayudarle a encontrar los eventos relevantes. Para detalles, consulte Filtrando Datos en una Página
La sección izquierda de la página de Eventos muestra los campos y valores que están incluidos en los eventos (elemento 5 en el ejemplo anterior). Puede añadir fácilmente un valor de campo al filtro de eventos para profundizar e identificar los eventos relevantes.
La siguiente tabla explica los botones en los campos de eventos:
| Elemento | Descripción |
|---|---|
| Agrega el campo a la sección de Campos seleccionados, y la página solo muestra datos de eventos para estos campos. Haga clic en X en la parte superior de la columna para eliminarlo. | |
| Agrega el valor específico para el campo al filtro. La página Eventos se actualiza automáticamente y muestra los eventos que coinciden con el nuevo filtro. | |
| Agrega una exclusión para este valor específico de este campo al filtro. The Events page automatically updates and shows events that do NOT match this value. |
Además, puede agregar una nueva columna que muestre datos de eventos para el campo específico. La siguiente tabla explica los botones en los campos de eventos:
Para añadir un valor de evento al filtro:
-
En la página de Eventos, haga clic en el campo para expandir los valores.
-
Para el valor específico, haga clic en el botón para agregar el valor o la exclusión al filtro.
La página de Eventos se actualiza y muestra los eventos que coinciden con el nuevo filtro. El valor del campo muestra el número de eventos coincidentes.
Puede exportar los datos del evento en la página de Eventos a un archivo para análisis adicional. Puede exportar hasta 250.000 eventos a la vez a un archivo. Todos los eventos en el filtro y rango de tiempo actuales están incluidos en la exportación. Puede utilizar las siguientes tres opciones para controlar qué campos de eventos se incluyen en la exportación:
- Todos los campos: Incluir todos los campos para cada evento en la exportación.
- Campos seleccionados: Incluir solo los campos que haya agregado en la exportación.
- Vista Rápida: Cuando Vista Rápida está habilitada, esto solo incluye campos de Vista Rápida como así como también cualquier campo que fue agregado manualmente o mencionado explícitamente en el filtro. Esta opción está diseñada para mejorar el rendimiento de la exportación.
Nota
Notas:
- Solo los administradores CMA con un rol de Editor tienen permiso para exportar a un archivo CSV. Para más sobre cómo configurar roles de administrador, consulte Administrando Administradores.
- A veces, intentar exportar eventos fallará porque la consulta toma demasiado tiempo y la solicitud caduca. Puede reducir el marco de tiempo del filtro de eventos o utilizar la opción de exportación Vista Rápida y luego intentarlo de nuevo.
- El número de eventos en la página de Eventos puede aproximarse. Por ejemplo, la página de Eventos muestra 2K eventos, y el número real de eventos es 1952.
- Después de exportar los eventos, la columna events_count en el archivo CSV puede mostrar múltiples eventos por cada fila, esto ocurre cuando el mismo evento ocurrió más de una vez en el lapso de un minuto. El CONTAR de esta columna puede mostrar un número diferente al total de eventos exportados. Para mostrar el número total de eventos exportados, use la SUMA de la columna events_count.
Para exportar eventos a un archivo CSV:
- (Opcional) Haga clic en Añadir para los campos que está exportando.
- Desde la página de Eventos, haga clic en Exportar Eventos.
-
Seleccione el alcance de la exportación: Todos los campos en los eventos, los Campos seleccionados en el filtro, o los campos incluidos en Vista Rápida.
- Todos los campos en los eventos
- Campos seleccionados en el filtro
- Campos incluidos en Vista Rápida
- Haga clic en OK. Los eventos se exportan al archivo CSV y el archivo se descarga de acuerdo a la configuración de su navegador de Internet.
0 comentarios
Inicie sesión para dejar un comentario.