Cato API - EventsFeed (Surveillance d'Événements à Grande Échelle)

Nous vous recommandons vivement de revoir la Politique de Support pour l'API de Cato avant de commencer à utiliser l'API de Cato.

Aperçu de eventsFeed

La requête eventsFeed vous aide à analyser les événements générés par les activités liées au réseau, à la sécurité, aux Sockets, aux Clients Cato, et plus encore. Les données d'événements que cette requête retourne sont similaires à la page Monitoring > Events de l'application de gestion Cato.

Pour les comptes revendeurs, vous pouvez créer des clés API séparées dans chaque compte client auquel vous vous connectez avec l'API de Cato. Pour en savoir plus sur la limitation du taux et la requête API eventsFeed, consultez Comprendre la Limitation du Taux de l'API de Cato.

Comprendre les Événements Obtenus

L'appel API eventsFeed est conçu pour l'analyse et la surveillance de haut volume des événements dans votre compte. Les données pour cette requête API sont mises à jour en quasi-temps réel.

Cato stocke les données d'événements des sept jours précédents. Toutes les 24 heures, les données de plus de sept jours sont supprimées.

Lorsqu'il y a plus de 3000 événements dans la file d'attente du serveur API, les résultats sont paginés. Cela vous permet d'obtenir les événements de manière itérative jusqu'à ce qu'ils atteignent la fin de la file d'attente.

Ces champs sont liés à la pagination des événements : marqueur et compteurObtenu. Voir ci-dessous pour des explications sur ces champs.

Activation de eventsFeed pour Votre Compte

Utilisez la fenêtre de Gestion de l'Accès API pour permettre à votre compte d'envoyer des événements au serveur API de Cato. Après avoir activé eventsFeed, attendez environ 30 minutes pour que le serveur API collecte suffisamment d'événements pour renvoyer des données pour la requête.

Pour activer eventsFeed pour votre compte :

  1. Dans le volet de navigation, sélectionnez Administration > API & Intégrations et cliquez sur l'onglet Intégration des Événements.
  2. Sélectionnez Activer l'intégration avec les événements de Cato. Votre compte commence à envoyer des événements au serveur API de Cato.

EventFeed.png

Détails pour les Champs de eventsFeed

Voici les détails que les champs de eventsFeed peuvent montrer pour la requête :

  • marqueur - Le champ marqueur est un identifiant unique pour le dernier événement que la requête API a retourné
  • compteurObtenu - nombre d'événements obtenus (maximum de 3000 événements par obtention)
  • comptes (recordsCompteEventsFeed) - données d'événements pour le compte (tableau avec des requêtes et des champs imbriqués)

Marqueur de eventsFeed

Lorsqu'il y a plus de 3000 événements dans la file d'attente du serveur API, le champ Marqueur affiche un identifiant qui indique le début d'une nouvelle itération pour obtenir des événements. Par exemple, si la requête retourne 7500 événements, voici les résultats sur les itérations d'obtention :

  • première itération - compteurObtenu = 3000 (événements), marqueur = 1234abc
  • deuxième itération - compteurObtenu = 3000 (événements), marqueur = 4567def
  • troisième itération - compteurObtenu = 1500 (événements), marqueur = 8901xyz

    Vous pouvez ignorer la valeur du marqueur pour l'itération finale

compteurObtenu de eventsFeed

Le champ compteurObtenu montre le nombre total d'événements dans l'action d'obtention en cours. La valeur maximale pour ce champ est de 3000.

comptes de eventsFeed

Les champs de Comptes (recordsCompteEventsFeed) montrent les identifiants des comptes et les données d'événements pour cette requête. Utilisez l'argument recordsCompteEventsFeed > EnregistrementÉvénement > NomChampÉvénement pour filtrer les données d'événement affichées pour la requête. Pour en savoir plus sur les Enregistrements d'Événements, consultez Cato API - EventsFeed > EnregistrementÉvénement.

eventsFeed > enregistrements > NomChampÉvénement

Pour plus d'informations sur les valeurs enum de NomChampÉvénement pour les différents types d'événements, voir la Référence de l'API GraphQL de Cato Networks.

Arguments pour eventsFeed

Voici les arguments que vous pouvez passer et définir les données que la requête retourne :

  • ID de compte - identifiants de compte (pour plusieurs comptes, entrez les identifiants sous forme de tableau)
  • filtres (EntréeFiltreChampÉvénement) - filtrez les données de journal d'événements et d'audit qui sont interrogées (tableau avec des requêtes imbriquées)
  • marqueur - affiche uniquement les événements pour une itération d'obtention spécifique selon la valeur du marqueur

Identifiant Argument de eventsFeed

Entrez un ou plusieurs identifiants de compte Cato pour les données que la requête retourne. Cet argument est obligatoire.

Cet identifiant de compte n'est pas affiché dans l'application de gestion Cato, il s'agit plutôt du numéro dans l'URL pour l'application de gestion Cato. Par exemple, l'identifiant de compte est 26 pour l'URL suivante : https://cc2.catonetworks.com/#!/26/topology.

Argument de filtres de eventsFeed

L'argument filtres (EntréeFiltreChampÉvénement) vous permet de définir les événements spécifiques inclus dans la requête. Voici les arguments que vous pouvez définir :

  • nomDeChamp > NomChampFiltreÉvénement - définissez le type ou le sous-type d'événement depuis Découverte d'Événements
  • opérateur - définissez comment activer les valeurs pour filtrer les données d'événement
  • valeurs - définissez la valeur du filtre utilisée avec l'opérateur

La syntaxe de filtre suivante est un exemple de requête filtrée pour montrer les types d'événements avec la valeur Security :

"filtres": [
{
"nomDeChamp": "event_type",
"opérateur": "est",
"valeurs": ["Security"]
}
]

La syntaxe de filtre suivante est un exemple de requête filtrée pour ne montrer que les sous-types d'événements avec la valeur Pare-feu Internet :

"filtres": [
{
"nomDeChamp": "event_sub_type",
"opérateur": "est",
"valeurs": ["Internet Firewall"]
}
]

Argument du marqueur de eventsFeed

L'argument marqueur est obligatoire et vous permet de limiter la requête aux événements pour une itération d'obtention spécifique. Par exemple, si la requête retourne 10500 événements, voici les résultats sur les trois premières itérations d'obtention :

  • première itération - compteurObtenu = 3000 (événements), marqueur = 1234abc
  • deuxième itération - compteurObtenu = 3000 (événements), marqueur = 4567def
  • troisième itération - compteurObtenu = 3000 (événements), marqueur = 8901xyz

Pour ne montrer que les événements de la deuxième itération, définissez l'argument marqueur sur 4567def.

Pour obtenir tous les événements en file d'attente, exécutez la requête avec un argument de marqueur vide (marqueur:"") avec la requête initiale GraphQL.

Cet article vous a-t-il été utile ?

Utilisateurs qui ont trouvé cela utile : 2 sur 4

0 commentaire