Cato API - Flux d'audit

Nous vous recommandons vivement de consulter la Politique de Support pour l'API Cato avant de commencer à utiliser l'API Cato.

Présentation du flux d'audit

La requête flux d'audit vous aide à analyser les actions effectuées par les administrateurs dans l'Application de Gestion Cato. Les données que cette requête retourne sont similaires à la fenêtre Système > Suivi d'Audit dans l'Application de Gestion Cato.

Pour les comptes de revendeur, vous pouvez créer des clés API distinctes dans chaque compte client que vous connectez à l'API Cato. Pour plus d'informations sur la limitation du débit et la requête d'API de flux d'audit, voir Comprendre la Limitation de Débit de l'API Cato.

Comprendre les Données Récupérées

L'appel API auditFeed est conçu pour prendre en charge l'extraction de plus de 2 millions d'éléments de données d'audit par heure. Pour aider à paginer les données retournées, lorsqu'il y a plus de 1000 éléments d'audit sur la durée du cadre temporel, la requête itère l'extraction jusqu'à ce qu'elle retourne toutes les données d'audit.

Ces champs sont liés à la pagination des données d'audit : marqueur, fetchedCount et hasMore. Voir ci-dessous pour les explications de ces champs.

Détails des Champs du flux d'audit

Voici les détails que les champs du flux d'audit peuvent montrer pour la requête :

  • de - heure de début
  • à - heure de fin
  • marqueur - Le champ marqueur est un identifiant unique pour le dernier élément de données d'audit que la requête API a retourné
  • fetchedCount - nombre d'éléments extraits (maximum 1000 éléments par extraction)
  • hasMore - lorsque vrai, indique qu'il y a plus d'éléments à extraire pour la requête
  • comptes (auditFeedAccountRecords) - Pour les revendeurs gérant plusieurs comptes, ce champ spécifie le compte qui a été modifié et inclut tous les enregistrements et données d'audit (tableau avec des requêtes et champs imbriqués)

auditFeed Depuis

Le champ Depuis montre l'heure de début pour les données de la requête et est défini dans l'argument cadre temporel.

auditFeed Jusqu'à

Le champ Jusqu'à montre l'heure de fin pour les données de la requête et est défini dans l'argument cadre temporel.

auditFeed Marqueur

Lorsqu'il y a plus de 1000 éléments de données d'audit sur la durée de la requête, le champ Marqueur montre un identifiant qui indique le début d'une nouvelle itération d'extraction des éléments. Par exemple, si la requête retourne 2500 éléments, voici les résultats au cours des itérations d'extraction :

  • première itération - fetchedCount = 1000 (éléments), marqueur = 1234abc, hasMore = vrai
  • deuxième itération - fetchedCount = 1000 (éléments), marqueur = 4567def, hasMore = vrai
  • troisième itération - fetchedCount = 500 (éléments), marqueur = 8901xyz, hasMore = faux

    Vous pouvez ignorer la valeur du marqueur lors de l'itération finale

auditFeed fetchedCount

Les champs fetchedCount montrent le nombre total d'éléments dans l'action d'extraction actuelle. La valeur maximale pour ce champ est 1000.

auditFeed hasMore

Lorsque la valeur du champ hasMore est vraie, il y a une autre itération d'extraction d'éléments après celle-ci.

auditFeed Comptes

Les champs Comptes (auditFeedAccountRecords) montrent les ID administrateur et les données d'audit pour cette requête. Utilisez l'argument auditFeedAccountsRecords > AuditRecord > AuditFieldName pour filtrer les données d'événements affichées pour la requête. Pour plus d'informations sur les champs AuditRecords, voir ci-dessous auditFeed > fieldName > AuditFieldName.

Arguments pour le flux d'audit

Voici les arguments que vous pouvez passer et qui définissent les données retournées par la requête :

  • identifiantsCompte - ID de compte (pour plusieurs comptes, entrez les ID sous forme de tableau)
  • ids - ID de compte (argument hérité)
  • cadreTemporel - heure de début et de fin de la requête
  • filtres (AuditFieldFilterInput) - filtrez les données du journal d'audit interrogées (tableau avec des requêtes imbriquées)
  • marqueur - affichez uniquement les éléments pour une itération d'extraction spécifique en fonction de la valeur du marqueur

auditFeed accountIDs Argument

Entrez un ou plusieurs identifiants de compte pour les données que la requête retourne. Cet argument est obligatoire.

Cet ID de compte n'est pas affiché dans l'Application de Gestion Cato, c'est le numéro dans l'URL pour l'Application de Gestion Cato. Par exemple, l'ID de compte est 26 pour l'URL suivante : https://cc2.catonetworks.com/#!/26/topology.

argument cadreTemporal du flux d'audit

Entrez la période de temps pour les données que la requête retourne. L'argument est au format <type>.<valeur temps>. Cet argument est obligatoire.

Voici les options prises en charge pour définir la période de temps :

  • dernier.<durée du temps> - La valeur <durée du temps> pour le type dernier est conforme à ISO-8601 et retourne les données pour les temps spécifiques précédents. Par exemple :
    • cadreTemporel = dernier.PT5M montre les 5 dernières minutes
    • cadreTemporel = dernier.PT2H montre les 2 dernières heures
    • cadreTemporel = dernier.P1D montre le jour précédent 1
    • cadreTemporel = dernier.P3M montre les 3 derniers mois
    • cadreTemporel = dernier.P1Y montre l'année précédente 1
  • <fuseau horaire>.<spécification de durée courte> - Le cadre temporel combine une date de début et de fin au format AA-MM-JJ/hh:mm:ss selon le fuseau horaire spécifié. Par exemple, cadreTemporel = utc.2020-02-{11/04:50:00--21/04:50:00} montre les données d'analyse du 11 février 2020 4:50:00 am au 21 février 2020 4:50:00 am.

argument filtres du flux d'audit

L'argument filtres (AuditFieldFilterInput) vous permet de définir l'élément spécifique inclus dans la requête de suivi d'audit. Voici les arguments que vous pouvez définir :

  • nomChamp > AuditFieldName - définissez les éléments du Suivi d'Audit
  • opérateur - déterminez comment activer les valeurs pour filtrer les données d'audit
  • valeurs - définissez la valeur de filtre utilisée avec l'opérateur

auditFeed > nomChamp > AuditFieldName

Voici les noms des champs pour les différents types de configurations de l'Application de Gestion Cato surveillés dans Système > Suivi d'Audit.

  • admin - l'admin dont l'action a généré l'enregistrement
  • nomModèle - le nom de l'objet qui a été affecté, par exemple Mon Site
  • id_admin - l'ID de l'admin dont l'action a généré l'enregistrement
  • module - module système qui a été changé, par exemple Configuration MFA ou Inspection TLS
  • date_insertion - heure à laquelle le changement a été effectué ou enregistré
  • type_changement - décrit le changement effectué par l'admin, les valeurs sont : CRÉÉ, SUPPRIMÉ, MODIFIÉ, ACTIVÉ, DÉSACTIVÉ, PASSÉ
  • date_creation - heure à laquelle le changement a commencé
  • changement - un compte-rendu détaillé du changement au format JSON
  • type_modèle - le type d'objet qui a été changé, par exemple Site, Socket, InterfaceSocket

argument marqueur du flux d'audit

L'argument marqueur vous permet de limiter la requête aux événements pour une itération d'extraction spécifique. Pour montrer les valeurs du marqueur, exécutez la requête avec l'argument marqueur avec une valeur vide. La requête retourne les valeurs du marqueur pour l'argument cadre temporel défini.

Par exemple, si la requête retourne 2500 événements, alors voici les résultats sur les trois premières itérations d'extraction :

  • première itération - fetchedCount = 1000 (événements), marqueur = 1234abc, hasMore = vrai
  • deuxième itération - fetchedCount = 1000 (événements), marqueur = 4567def, hasMore = vrai
  • troisième itération - fetchedCount = 1000 (événements), marqueur = 8901xyz, hasMore = vrai

Pour montrer uniquement les événements dans la deuxième itération, définissez l'argument marqueur sur 4567def.

Cet article vous a-t-il été utile ?

Utilisateurs qui ont trouvé cela utile : 0 sur 2

0 commentaire