La consulta de la API de eventos proporciona una forma de obtener información resumida sobre los eventos generados para una cuenta sin tener que extraer primero los eventos individuales y realizar el análisis.
Ejemplos del tipo de análisis que incluye la API de eventos:
-
Número de usuarios de SDP que iniciaron sesión durante un marco de tiempo específico
-
Porcentaje de eventos de bloqueo vs. permitir del firewall
-
Muestra cuántos eventos (cardinalidad) se generaron para cada tipo de evento en los últimos 30 días
Estos son los argumentos que puedes pasar a la llamada API de eventos para modificar su operación:
-
accountID
-
medidas
-
filtros
-
dimensiones
-
ordenar
-
marcoDeTiempo
Este es el accountID de la cuenta contra la que estás ejecutando la consulta.
Nota
Nota: Este ID de cuenta no se muestra en la Aplicación de Gestión de Cato, sino que es el número en la URL para la Aplicación de Gestión de Cato. Por ejemplo, el ID de cuenta es 26 para la siguiente URL: https://cc.catonetworks.com/#!/26/topology.
El argumento medidas te permite definir los campos que deseas que la consulta de eventos examine y la forma en que deberían agregarse los resultados. Para cada campo que desees analizar, debes definir lo siguiente:
-
nombreDelCampo - define el campo que deseas agregar
-
tipoAgregación - define cómo deseas que se realice la agregación (ej. conteo_distinct)
El siguiente ejemplo muestra la sintaxis de medidas para una consulta que devuelve la suma de los campos event_count:
"medidas": [
{"nombreDelCampo":"event_count","tipoAgregación":"suma"}
]
El argumento filtros te permite definir un filtro que resultará en solo un subconjunto limitado de los eventos que se examinarán. Para cada filtro debes definir lo siguiente:
-
nombreDelCampo - define el nombre del campo que deseas filtrar
-
operador - define la operación del filtro que debe usarse para filtrar el campo
-
valores - define el valor del filtro que se utiliza con el operador
Aquí tienes un ejemplo del argumento filtros utilizado para seleccionar solo eventos con un tipo_de_evento de Seguridad:
"filtros": [
{
"nombreDelCampo": "tipo_de_evento",
"operador": "es",
"valores": ["Seguridad"]
}
]
Usa el argumento dimensiones para agrupar campos con los mismos valores en filas resumen.
Aquí tienes un ejemplo que agrupa los archivos según el tipo_de_evento:
"dimensiones": [
{"nombreDelCampo": "tipo_de_evento"}
]
El argumento ordenar define cómo deben ordenarse los datos devueltos. Aquí tienes un ejemplo de uso del argumento ordenar
'ordenar': [
{'nombreDelCampo': 'event_count', 'orden': 'desc'},
{'nombreDelCampo': 'tipo_de_evento', 'orden': 'asc'}
]
Define el marco_de_tiempo de la consulta. Esto se especifica utilizando el formato definido por la especificación ISO 8601. Aquí tienes un ejemplo de cómo especificar el marco de tiempo para los últimos 30 días:
"marcoDeTiempo": "last.P30D"
Nota
Notas:
-
La duración máxima que se puede especificar para el argumento de marcoDeTiempo es actualmente de 89 días.
-
La especificación real de ISO 8601 se puede obtener aquí, pero no es gratuita. También puedes consultar este artículo de Wikipedia para obtener más información sobre cómo definir este argumento.
consulta eventos(
$accountID: ID!,
$medidas: [EventsMeasure],
$dimensiones: [EventsDimension],
$filtros: [EventsFilter!],
$ordenar: [EventsSort!],
$marcoDeTiempo: TimeFrame!,
$límite: Int,
$desde: Int) {
eventos(
accountID: $accountID
timeFrame: $marcoDeTiempo
measures: $medidas
dimensions: $dimensiones
filters: $filtros
sort: $ordenar ) {
id
desde
total
registros(límite: $límite, desde: $desde) {
campoMapa
}
}
}
{
"accountID": "1234",
"medidas": [ {
"nombreDelCampo": "event_sub_type",
"tipoAgregación": "conteo_distinct"
}
],
"filtros": [ {
"nombreDelCampo": "tipo_de_evento",
"operador": "es", "valores": ["Seguridad"]
}
],
"marcoDeTiempo": "last.P1M"
}
0 comentarios
Inicie sesión para dejar un comentario.