Cato API - EventsFeed (Surveillance d'événements à grande échelle)

Nous vous recommandons fortement de revoir la Politique de Support pour l'API de Cato avant de commencer à utiliser l'API de Cato.

Aperçu de eventsFeed

La requête eventsFeed vous aide à analyser les événements générés par les activités liées au réseau, à la sécurité, aux Sockets, aux Clients Cato, et plus encore. Les données d'événement que cette requête renvoie sont similaires à la page Surveillance > Événements dans l'Application de gestion Cato.

Pour les comptes revendeurs, vous pouvez créer des clés API distinctes dans chaque compte client auquel vous vous connectez à l'API Cato. Pour plus de détails sur la limitation du taux et la requête API eventsFeed, consultez Comprendre la Limitation du Taux de l'API de Cato.

Comprendre les événements récupérés

L'appel API eventsFeed est conçu pour l'analyse et la surveillance à grand volume des événements dans votre compte. Les données pour cette requête API sont mises à jour en quasi temps réel.

Cato stocke les données des événements des trois jours précédents. Toutes les 24 heures, les données vieilles de plus de trois jours sont supprimées.

Lorsqu'il y a plus de 3000 événements dans la file d'attente du serveur API, les résultats sont paginés. Cela vous permet de récupérer des événements de manière itérative jusqu'à atteindre la fin de la file d'attente.

Ces champs sont liés à la pagination pour les événements : marker, et fetchedCount. Voir ci-dessous pour les explications de ces champs.

Activation de eventsFeed pour votre compte

Utilisez la fenêtre de gestion de l'accès API pour activer votre compte à envoyer des événements au serveur API Cato. Après avoir activé eventsFeed, attendez environ 30 minutes pour que le serveur API collecte suffisamment d'événements pour renvoyer les données de la requête.

Pour activer eventsFeed pour votre compte :

  1. Dans le volet de navigation, sélectionnez Administration > API & Intégrations et cliquez sur l'onglet Intégration des événements.
  2. Sélectionnez Activer l'intégration avec les événements Cato. Votre compte commence à envoyer des événements au serveur API Cato.

EventFeed.png

Détails des champs eventsFeed

Voici les détails que les champs eventsFeed peuvent montrer pour la requête :

  • marker - Le champ marker est un identifiant unique pour le dernier événement que la requête API a renvoyé
  • fetchedCount - nombre d'événements récupérés (maximum 3000 événements par récupération)
  • comptes (eventsFeedAccountRecords) - données d'événement pour le compte (tableau avec requêtes et champs imbriqués)

eventsFeed Marker

Lorsqu'il y a plus de 3000 événements dans la file d'attente du serveur API, le champ Marker montre un identifiant qui indique le début d'une nouvelle itération pour récupérer des événements. Par exemple, si la requête renvoie 7500 événements, alors voici les résultats sur les itérations de récupération :

  • première itération - fetchedCount = 3000 (événements), marker = 1234abc
  • deuxième itération - fetchedCount = 3000 (événements), marker = 4567def

  • troisième itération - fetchedCount = 1500 (événements), marqueur = 8901xyz

    Vous pouvez ignorer la valeur du marqueur pour la dernière itération

Les markers peuvent pointer vers la file d'attente des événements jusqu'aux trois jours précédents.

eventsFeed fetchedCount

Le champ fetchedCount affiche le nombre total d'événements dans l'action de récupération actuelle. La valeur maximale pour ce champ est 3000.

eventsFeed Comptes

Les champs comptes (eventsFeedAccountRecords) montrent les identifiants de compte et les données d'événement pour cette requête. Utilisez l'argument eventsFeedAccountsRecords > EventRecord > EventFieldName pour filtrer les données d'événement qui sont affichées pour la requête. Pour plus de détails sur les Enregistrements d'Événements, consultez Cato API - EventsFeed > EnregistrementÉvénement.

eventsFeed > records > EventFieldName

Pour plus d'informations sur les valeurs enum EventFieldName pour les différents types d'événements, voir la Cato Networks GraphQL API Reference.

Arguments pour le eventsFeed

Voici les arguments que vous pouvez passer et définir les données qui sont renvoyées par la requête :

  • accountIDs - identifiants de compte (pour plusieurs comptes, entrez les identifiants sous forme de tableau)
  • filters (EventFieldFilterInput) - filtrer les données des événements et du journal d'audit qui sont interrogées (tableau avec requêtes imbriquées)
  • marker - montrer uniquement les événements pour une itération de récupération spécifique selon la valeur du marker

Argument ID de eventsFeed

Entrez un ou plusieurs identifiants de compte Cato pour les données que la requête renvoie. Cet argument est obligatoire.

Cet identifiant de compte n'est pas affiché dans l'Application de gestion Cato, il s'agit plutôt du numéro dans l'URL de l'Application de gestion Cato. Par exemple, l'identifiant de compte est 26 pour l'URL suivante : https://cc2.catonetworks.com/#!/26/topology.

Argument des filtres eventsFeed

L'argument filters (EventFieldFilterInput) vous permet de définir les événements spécifiques qui sont inclus dans la requête. Voici les arguments que vous pouvez définir :

  • fieldName > EventFeedFilterFieldName - définir le type d'événement ou le sous-type à partir de la Découverte des événements
  • operator - définir comment activer les valeurs pour filtrer les données d'événement
  • valeurs - définir la valeur de filtre utilisée avec l'opérateur

La syntaxe suivante de filtre est un exemple d'une requête qui est filtrée pour montrer des types d'événements avec la valeur Sécurité :

"filters": [
{
"fieldName": "event_type",
"operator": "est",
"values": ["Sécurité"]
}
]

La syntaxe suivante de filtre est un exemple d'une requête qui est filtrée pour ne montrer que des sous-types d'événements avec la valeur Pare-feu Internet :

"filters": [
{
"fieldName": "event_sub_type",
"operator": "est",
"values": ["Pare-feu Internet"]
}
]

Argument marker de eventsFeed

L'argument marker est obligatoire et vous permet de limiter la requête aux événements pour une itération de récupération spécifique. Par exemple, si la requête renvoie 10500 événements, alors voici les résultats sur les trois premières itérations de récupération :

  • première itération - fetchedCount = 3000 (événements), marker = 1234abc
  • deuxième itération - fetchedCount = 3000 (événements), marker = 4567def
  • troisième itération - fetchedCount = 3000 (événements), marker = 8901xyz

Pour ne montrer que les événements de la deuxième itération, définissez l'argument marker sur 4567def.

Pour récupérer tous les événements en file d'attente, exécutez la requête avec un argument marker vide (marker:"") avec la requête GraphQL initiale.

Cet article vous a-t-il été utile ?

Utilisateurs qui ont trouvé cela utile : 2 sur 5

0 commentaire