La page Événements affiche tous les événements qui se produisent dans votre compte, tels que lorsque des sites et des utilisateurs distants se connectent au Cloud Cato et bloquent les actions par un pare-feu ou un moteur de sécurité.
Les événements vous fournissent des données détaillées et des journaux d'activité des comptes pour vous aider à surveiller et à gérer leurs environnements efficacement.
Il y a souvent des millions d'Événements pour la Plage de Temps sélectionnée, et la page affiche jusqu'à 100 Événements à la fois.
Cato fournit un certain nombre de moyens pour filtrer les résultats. Nous vous recommandons de continuer à ajouter ou modifier des filtres jusqu'à ce que vous trouviez les événements qui vous donnent les informations pertinentes.
Les données des événements sont stockées dans le Lac de données de Cato. Pour plus d'informations, voir Guide du Lac de Données Cato.
Remarque
Remarques:
-
Après qu'un événement est généré, généralement dans un délai de 5 minutes, les données de cet événement sont affichées sur la page Événements. Cependant, il est possible que certains événements prennent jusqu'à 30 minutes de retard.
-
Les changements de noms d'entités (tels que les règles de politique) peuvent prendre jusqu'à 24 heures pour être reflétés dans les champs d'événements pertinents.
La Vue rapide est une option qui affiche moins de champs pour chaque événement afin d'améliorer les performances de la page. Elle est activée par défaut et affiche les champs les plus couramment nécessaires pour l'analyse. Elle améliore significativement les performances de la page des événements ainsi que celles de l'exportation lorsque vous sélectionnez l'option d'exportation Vue rapide.
Tous les champs qui sont sélectionnés manuellement ou mentionnés dans un filtre sont également affichés lorsque la Vue rapide est activée.
Vous pouvez désactiver la Vue rapide à tout moment pour charger tous les champs, cependant cela peut affecter les performances.
Les champs suivants sont affichés pour chaque événement lorsque la Vue rapide est activée. La liste des champs est basée sur les données d'utilisation des clients.
-
Toujours actif
-
Catégorie d'activité d'application
-
Application
-
Activité de l'Application
-
Risque de l'Application
-
Méthode d'Authentification
-
Code d'Erreur de Déconnexion BGP
-
Méthode de Contournement
-
Raison de Contournement
-
Catégorie
-
Nom de l'application Cato
-
Nom du Certificat Client
-
Classe Client
-
Version du client
-
Nom d'Hôte Configuré
-
Type de Connecteur
-
Catégorie Personnalisée
-
Pays de Destination
-
Adresse IP de Destination
-
Destination est Site ou Utilisateur SDP
-
Port Destination
-
Site de Destination
-
Certificat d'Appareil
-
Nom de l'appareil
-
Type de système d'exploitation de l'appareil
-
Profils de posture d'appareil
-
Adresse IP du Répertoire
-
Résultat de la Synchronisation du Répertoire
-
Profils DLP
-
Catégorie de Protection DNS
-
Requête DNS
-
Nom de domaine
-
Nom de PoP Sortant
-
Type d'événement
-
event_message
-
Raison de l'échec
-
Hachage du Fichier
-
Type de fichier
-
URL Complète
-
Rôle HA
-
Adresse IP de l'hôte
-
Adresse MAC de l'Hôte
-
ID de l'Interface
-
Protocole IP
-
Est Appli Sanctionnée
-
Nom du FAI
-
Accès LAN
-
Santé du Lien - Perte de Paquets
-
Type de Lien
-
Utilisateur Connecté
-
Type de Connexion
-
Règle Réseau
-
Type de système d'exploitation
-
Nom de PoP
-
Source Publique IP
-
Priorité QoS
-
URL de Référence
-
Applications Relatives
-
Niveau de risque
-
Règle
-
ID de Règle
-
Nom du Compte SAM
-
Gravité
-
ID de signature
-
Réinitialisation de Socket
-
Pays source
-
Adresse IP source
-
Source est Site ou Utilisateur SDP
-
Adresse IP du fournisseur d'accès Internet
-
Port Source
-
Site Source
-
Tunnel fractionné
-
Statut
-
Nom de Sous-réseau
-
Sous-Type
-
Accélération TCP
-
Nom de la Menace
-
Type de menace
-
Verdict du Fil
-
Temps
-
Erreur de Certificat TLS
-
Description de l'Erreur TLS
-
Type d'Erreur TLS
-
Nom de la Règle TLS
-
Direction du Trafic
-
Réseaux de Confiance
-
Protocole du Tunnel
-
URL
-
Agent Utilisateur
-
Nom d'Affichage de l'Utilisateur
-
Adresse e-mail de l'utilisateur
-
Nom d'utilisateur
-
Nom principal de l'utilisateur
-
Nom de domaine Windows
Vous pouvez voir les événements de l'ensemble de votre compte dans la page Accueil > Événements.
L'image et le tableau suivants expliquent les éléments de la page Événements avec l'onglet Événements :
|
Objet |
Nom |
Description |
|---|---|---|
|
1 |
Menu Sélectionner des préréglages |
Menu déroulant avec des options de filtre prédéfinies pour afficher les événements pour des scénarios communs ainsi que tous les préréglages personnalisés que vous avez enregistrés manuellement. |
|
2 |
Barre de filtre des événements |
Montre les filtres appliqués aux événements. Cliquez sur |
|
3 |
Actualiser |
Actualise les données pour les événements sur la page (prend environ 5 secondes pour actualiser) |
|
4 |
Plage temporelle |
Sélectionnez la plage temporelle pour les événements qui sont affichés sur la page. La plage temporelle par défaut est les 2 derniers jours, qui montre les événements des dernières 48 heures. Pour plus d'informations, voir Configuration du Filtre de Plage de Temps. Remarque : L'intervalle maximal de dates pour la page Événements est de 31 jours. |
|
5 |
Menu d'exportation des événements |
Exporte les événements dans le filtre actuel vers un fichier. Vous pouvez exporter tous les champs (colonnes), ou seulement ceux que vous avez sélectionnés. |
|
6 |
Ajouter aux préréglages personnalisés |
Ajoutez le filtre actuel à vos préréglages personnalisés afin que vous puissiez facilement réutiliser le filtre. |
|
7 |
Recherche en Langage Naturel |
Filtrez la liste des événements en utilisant des filtres de langage naturel. Pour plus d'informations, voir Utilisation de la recherche en langage naturel. |
|
8 |
Basculer le Filtre Manuel |
Après avoir utilisé une recherche en langage naturel, ce bouton revient aux options de filtre manuel. |
|
9 |
Chronologie des événements |
Montre le nombre d'événements filtrés. Chaque type d'événement est représenté par une couleur différente. |
|
10 |
Nombre total d'événements |
Montre le nombre total d'événements pour la plage horaire actuelle et les paramètres de filtrage. |
|
11 |
Filtres rapides de types d'événements |
Cliquez sur un type d'événement pour masquer les événements de ce type. Par exemple, lorsque vous cliquez sur Réseau, les événements de réseau ne s'affichent pas sur la page. |
|
12 |
Onglets de vue des données d'événements |
Sélectionnez l'onglet pour choisir la vue des données de l'événement.
|
|
13 |
Champs d'événements |
Tous les champs qui sont dans les données brutes des événements filtrés. Vous pouvez facilement ajouter ou exclure un champ dans le filtre. Montre la cardinalité (valeurs distinctes) des événements qui correspondent à chaque catégorie de champ. Lorsque vous développez la catégorie, elle montre le nombre total d'événements pour chaque type d'événement. |
|
14 |
Temps et données brutes pour un événement |
Montre le timestamp quand l'événement a été généré et les données brutes pour chaque champ dans l'événement. Vous pouvez également ajouter les champs comme nouvelles colonnes à ce tableau. |
|
15 |
Vue Rapide |
La Vue Rapide est activée par défaut, affichant tous les champs habituellement requis pour l'analyse pour chaque événement. Cela améliore considérablement la performance de la page. Cela améliore également la performance de l'exportation lorsque vous sélectionnez l'option d'exportation Vue Rapide. |
Voici les types d'événements sur la page Événements:
-
Sécurité - Événements générés par les moteurs de protection contre les menaces et de pare-feu
-
Les événements de sécurité sont liés à des problèmes de sécurité potentiels et peuvent vous aider à affiner les règles du pare-feu
-
-
Connectivité - Événements liés à la connectivité pour la surveillance LAN, les sites, et les clients VPN dans le compte
-
Les événements de connectivité sont liés à des problèmes de connexion du site, par exemple la qualité du lien due à la perte de paquets
-
-
Système - Événements liés à LDAP, Sensibilisation de l'Utilisateur, licence et comptes utilisateurs
-
Les événements système sont liés à l'état de la synchronisation des services d'annuaire
-
-
Routage - Routage et événements BGP
-
Les événements de routage sont liés à l'état des sessions et des routes BGP
-
-
Gestion des sockets - Événements liés aux sockets, tels que les mises à jour de firmware
-
Les événements de gestion des sockets sont liés à un socket se mettant à jour avec succès vers la dernière version
-
Vous pouvez filtrer les événements pour vous aider à trouver rapidement les informations pertinentes.
Vous pouvez facilement rechercher des événements en utilisant un langage courant pour approfondir et identifier les données pertinentes sur la page. Pour plus de détails, voir Utilisation de la recherche en langage naturel.
Vous pouvez utiliser les filtres prédéfinis par Cato ou créer des filtres personnalisés pour vous aider à trouver les événements pertinents. Pour plus de détails, voir Filtrage des données sur une page
La section de gauche de la page Événements montre les champs et valeurs inclus dans les événements (élément 5 dans l'exemple précédent). Vous pouvez facilement ajouter une valeur de champ au filtre d'événements pour approfondir et identifier les événements pertinents.
Le tableau suivant explique les boutons dans les champs d'événements :
|
Élément |
Description |
|---|---|
|
|
Ajoute le champ à la section Champs Sélectionnés, et la page ne montre que les données d'événements pour ces champs. Cliquez sur X en haut de la colonne pour l'enlever. |
|
|
Ajoute la valeur spécifique du champ au filtre. La page Événements se met à jour automatiquement et affiche les événements correspondant au nouveau filtre. |
|
|
Ajoute une exclusion pour cette valeur spécifique de ce champ au filtre. La page Événements se met à jour automatiquement et affiche les événements qui ne correspondent PAS à cette valeur. |
De plus, vous pouvez ajouter une nouvelle colonne qui montre des données d'événements pour le champ spécifique. Le tableau suivant explique les boutons dans les champs d'événements :
Pour ajouter une valeur d'événement au filtre :
-
Sur la page Événements, cliquez sur le champ pour développer les valeurs.
-
Pour la valeur spécifique, cliquez sur le bouton pour ajouter la valeur ou l'exclusion au filtre.
La page Événements se rafraîchit et montre les événements qui correspondent au nouveau filtre. La valeur du champ montre le nombre d'événements correspondants.
Vous pouvez exporter les données des événements de la page Événements vers un fichier pour une analyse supplémentaire. Vous pouvez exporter jusqu'à 250 000 évènements en une seule fois vers un fichier. Tous les événements du filtre et de la plage de temps actuels sont inclus dans l'exportation. Vous pouvez utiliser les trois options suivantes pour contrôler quels champs d'événement sont inclus dans l'exportation :
-
Tous les champs : Inclure tous les champs pour chaque événement dans l'exportation.
-
Champs sélectionnés : Inclure uniquement les champs que vous avez ajoutés dans l'exportation.
-
Vue Rapide : Lorsque la Vue Rapide est activée, cela inclut uniquement les champs Vue Rapide ainsi que tout champ ajouté manuellement ou mentionné explicitement dans le filtre. Cette option est conçue pour améliorer la performance de l'exportation.
Remarque
Remarques :
-
Seuls les administrateurs CMA avec un rôle Éditeur ont la permission d'exporter vers un fichier CSV. Pour plus d'informations sur la configuration des rôles d'admin, voir Managing Admins.
-
Parfois, tenter d'exporter des événements échoue car la requête prend trop de temps et la requête aboutit à un dépassement de délai. Vous pouvez réduire la période du filtre d'événements ou utiliser l'option d'exportation Vue Rapide, puis réessayer.
-
Le nombre d'événements sur la page Événements peut être arrondi. Par exemple, la page Événements affiche 2K événements, et le nombre réel d'événements est 1952.
-
Après l'exportation des événements, la colonne events_count dans le fichier CSV peut afficher plusieurs événements pour chaque ligne, cela se produit lorsque le même événement s'est produit plus d'une fois au cours de l'intervalle d'une minute. Le COMPTE de cette colonne peut montrer un nombre différent du total des événements exportés. Pour montrer le nombre total d'événements exportés, utilisez la SOMME de la colonne events_count.
Pour exporter des événements vers un fichier CSV :
-
(Optionnel) Cliquez sur Ajouter pour les champs que vous exportez.
-
Depuis la page des Événements, cliquez sur Exporter les événements.
-
Sélectionnez la portée de l'exportation : Tous les champs dans les événements, les Champs sélectionnés dans le filtre, ou les champs inclus dans Vue Rapide.
-
Tous les champs dans les événements
-
Champs sélectionnés dans le filtre
-
Champs inclus dans Vue Rapide
-
-
Cliquez sur OK. Les événements sont exportés vers le fichier CSV et le fichier est téléchargé selon les paramètres de votre navigateur Internet.
0 commentaire
Vous devez vous connecter pour laisser un commentaire.