La page Événements affiche tous les événements qui se produisent dans votre compte, tels que lorsque des sites et des utilisateurs distants se connectent au Cloud Cato et bloquent les actions par un pare-feu ou un moteur de sécurité.
Les Événements Cato fournissent des Données détaillées sur le Trafic et l'Activité de votre Compte. Chaque Événement enregistre des informations sur quelque chose qui s'est produit dans l'environnement, comme une tentative de Connexion, une Action de Sécurité ou une Activité liée à la configuration, y compris le contexte nécessaire pour comprendre ce qui s'est passé et comment Cato l'a géré.
Utilisez la page des Événements dans l'Application de Gestion Cato (CMA) pour enquêter sur le Trafic, surveiller l'activité de Compte, valider le comportement de la Politique et résoudre les Problèmes opérationnels. Vous pouvez restreindre les données d'Événements par Plage de temps, Type d'Événement, valeurs de Champ, préréglages, filtres personnalisés ou recherche en Langage naturel pour vous concentrer sur les Événements pertinents à une question spécifique de Réseau ou de Sécurité.
Pour une analyse supplémentaire, une surveillance centralisée ou une rétention, vous pouvez :
- Envoyez des événements vers des plates-formes externes avec Intégration d'événements, voir Commencer avec l'intégration d'événements
- Exportez les données d'événements de la page Événements, voir ci-dessous Exporter les événements vers un fichier
Les données des événements sont stockées dans le Lac de données de Cato. Pour plus d’informations, voir Guide du lac de données Cato.
Remarque
Remarques:
- Après la génération d'un événement, les données pour cet événement apparaissent généralement dans un délai de 5 minutes sur la page Événements. Cependant, il est possible que certains événements soient retardés jusqu'à 30 minutes.
- Les modifications des noms des entités (comme les règles de politique) peuvent prendre jusqu'à 24 heures pour être reflétées dans les champs d'événements pertinents.
La Vue rapide est une option qui affiche moins de champs pour chaque événement afin d'améliorer les performances de la page. Elle est activée par défaut et affiche les champs les plus couramment nécessaires pour l'analyse. Elle améliore significativement les performances de la page des événements ainsi que celles de l'exportation lorsque vous sélectionnez l'option d'exportation Vue rapide.
Tous les champs qui sont sélectionnés manuellement ou mentionnés dans un filtre sont également affichés lorsque la Vue rapide est activée.
Vous pouvez désactiver la Vue rapide à tout moment pour charger tous les champs, cependant cela peut affecter les performances.
Les champs suivants sont affichés pour chaque événement lorsque la Vue rapide est activée. La liste des champs est basée sur les données d'utilisation des clients.
- Toujours actif
- Catégorie d'activité d'application
- Application
- Activité de l'application
- Risque d'application
- Méthode d'Authentification
- Code d'erreur de déconnexion BGP
- Méthode de contournement
- Raison du contournement
- Catégorie
- Application Cato
- Nom du certificat client
- Classe de client
- Version du client
- Nom de l'hôte configuré
- Type de connecteur
- Catégorie personnalisée
- Pays de Destination
- IP de destination
- La destination est Site ou Utilisateur SDP
- Port de Destination
- Site de destination
- Certificat d'appareil
- Nom de l'Appareil
- Type du système d'exploitation de l'appareil
- Profils de posture de l'appareil
- IP de l'annuaire
- Résultat de la synchronisation de l'annuaire
- Profils DLP
- Catégorie de protection DNS
- Requête DNS
- Nom de domaine
- Nom du PoP sortant
- Type d'événement
- event_message
- Raison de l'échec
- Hachage du fichier
- Type de fichier
- URL complète du chemin
- Rôle HA
- Adresse IP de l'hôte
- Adresse MAC de l'hôte
- ID d'interface
- Protocole IP
- Est-ce une Application autorisée
- Nom de l'ISP
- Accès LAN
- Santé du lien - Perte de paquets
- Type de lien
- Utilisateur connecté
- Type de connexion
- Règle réseau
- Type de système d'exploitation
- Nom du PoP
- IP source publique
- Priorité QoS
- URL de référence
- Applications associées
- Niveau de risque
- Règle
- ID de la règle
- Nom du compte SAM
- Gravité
- ID de signature
- Réinitialisation de socket
- Pays source
- IP source
- La source est Site ou Utilisateur SDP
- IP ISP source
- Port Source
- Site source
- Tunnel fractionné
- Statut
- Nom du sous-réseau
- Sous-type
- Accélération TCP
- Nom de la menace
- Type de menace
- Verdict du thread
- Temps
- Erreur du certificat TLS
- Description de l'erreur TLS
- Type d'erreur TLS
- Nom de la règle TLS
- Direction du trafic
- Réseaux de Confiance
- Protocole de tunnel
- URL
- Agent utilisateur
- User Display Nae
- Email de l'utilisateur
- Nom d'utilisateur
- Nom principal de l'utilisateur
- Nom de domaine Windows
Vous pouvez voir les événements de l'ensemble de votre compte dans la page Accueil > Événements.
L'image et le tableau suivants expliquent les éléments de la page Événements avec l'onglet Événements :
| Élément | Nom | Description |
|---|---|---|
| 1 | Menu de sélection des préréglages | Menu déroulant avec des options de filtre prédéfinies pour afficher les événements pour des scénarios courants ainsi que tout préréglage personnalisé que vous avez enregistré manuellement. |
| 2 | Barre de filtre des événements | Affiche les filtres appliqués aux événements. Cliquez sur |
| 3 | Rafraîchir | Rafraîchit les données pour les événements sur la page (prend environ 5 secondes pour rafraîchir) |
| 4 | Plage de temps |
Sélectionnez la plage de temps pour les événements affichés sur la page. La plage de temps par défaut est les Derniers 2 Jours, qui montre les événements des 48 dernières heures. Pour plus d'informations, consultez Configurer le filtre de plage de temps. Note : La plage de dates maximale pour la page Événements est de 31 jours. |
| 5 | Menu d'export des événements | Exporte les événements dans le filtre actuel vers un fichier. Vous pouvez exporter tous les champs (colonnes), ou uniquement ceux que vous avez sélectionnés. |
| 6 | Ajouter aux préréglages personnalisés | Ajoutez le filtre actuel à vos préréglages personnalisés pour pouvoir utiliser facilement le filtre à nouveau. |
| 7 | Recherche en langage naturel | Filtrez la liste des événements en utilisant des filtres en langage naturel. |
| 8 | Basculer le filtre manuel | Après avoir utilisé une recherche en langage naturel, ce bouton revient aux options de filtres manuels. |
| 9 | Chronologie des événements | Affiche le nombre d'événements filtrés. Chaque type d'événement est représenté par une couleur différente. |
| 10 | Nombre total d'événements | Affiche le nombre total d'événements pour la plage de temps et les paramètres de filtre en cours. |
| 11 | Filtres rapides de type d'événement | Cliquez sur un type d'événement pour masquer les événements de ce type. Par exemple, lorsque vous cliquez sur Réseau, les événements Réseau ne sont pas affichés sur la page. |
| 12 | Onglets de vue des données d'événement |
Sélectionnez l'onglet pour choisir la vue des données de l'événement.
|
| 13 | Champs d'événement |
Tous les champs qui sont dans les données brutes pour les événements filtrés. Vous pouvez facilement ajouter ou exclure un champ dans le filtre. Affiche la cardinalité (valeurs distinctes) des événements qui correspondent à chaque catégorie de champ. Lorsque vous développez la catégorie, cela montre le nombre total d'événements pour chaque type d'événement. |
| 14 | Temps et données brutes pour un événement | Affiche le horodatage lorsque l'événement a été généré et les données brutes pour chaque champ dans l'événement. Vous pouvez également ajouter les champs comme nouvelles colonnes à cette table. |
| 15 | VueRapide | VueRapide est activée par défaut, affichant tous les champs qui sont généralement requis pour l'analyse de chaque Événement. Cela améliore significativement la performance de la page. Cela améliore également la performance d'exportation lorsque vous sélectionnez l'option d'exportation VueRapide. |
Voici les types d'événements sur la page Événements:
-
Connectivité - Événements liés à la connectivité pour la surveillance LAN, les sites, et les clients VPN dans le compte
- Les événements de connectivité sont liés à des problèmes de connexion du site, par exemple la qualité du lien due à la perte de paquets
-
Détection et Réponse - Événements liés aux histoires XOps
- Les événements de Détection et Réponse sont liés aux nouvelles et mises à jour des histoires XOps générées par la Politique de Réponse
-
Posture - Événements liés aux vérifications de posture
- Les événements de posture sont liés aux modifications de score de posture et aux nouvelles vérifications
-
Routage - Événements de Routage et BGP
- Les événements de routage sont liés au statut des sessions et routes BGP
-
Sécurité - Événements générés par les moteurs de protection contre les menaces et de pare-feu
- Les événements de sécurité sont liés à des problèmes de sécurité potentiels et peuvent vous aider à affiner les règles du pare-feu
-
Gestion des sockets - Événements liés aux sockets, tels que les mises à jour de firmware
- Les événements de gestion des sockets sont liés à un socket se mettant à jour avec succès vers la dernière version
-
Système - Événements liés à LDAP, Sensibilisation de l'Utilisateur, licence et comptes utilisateurs
- Les événements système sont liés à l'état de la synchronisation des services d'annuaire
Vous pouvez filtrer les événements pour vous aider à trouver rapidement les informations pertinentes.
Vous pouvez facilement rechercher des événements en utilisant un langage courant pour approfondir et identifier les données pertinentes sur la page. Pour plus de détails, consultez Utiliser la Recherche en Langage Naturel.
Vous pouvez utiliser les filtres prédéfinis par Cato ou créer des filtres personnalisés pour vous aider à trouver les événements pertinents. Pour les détails, consultez Filtration des Données sur une Page
La section de gauche de la page Événements montre les champs et valeurs inclus dans les événements (élément 5 dans l'exemple précédent). Vous pouvez facilement ajouter une valeur de champ au filtre d'événements pour approfondir et identifier les événements pertinents.
Le tableau suivant explique les boutons dans les champs d'événements :
| Élément | Description |
|---|---|
| Ajoute le champ à la section Champs Sélectionnés, et la page ne montre que les données d'événements pour ces champs. Cliquez sur X en haut de la colonne pour l'enlever. | |
| Ajoute la valeur spécifique du champ au filtre. La page Événements se met à jour automatiquement et affiche les événements correspondant au nouveau filtre. | |
| Ajoute une exclusion pour cette valeur spécifique de ce champ au filtre. La page Événements se met à jour automatiquement et affiche les événements qui ne correspondent PAS à cette valeur. |
De plus, vous pouvez ajouter une nouvelle colonne qui montre des données d'événements pour le champ spécifique. Le tableau suivant explique les boutons dans les champs d'événements :
Pour ajouter une valeur d'événement au filtre :
-
Sur la page Événements, cliquez sur le champ pour développer les valeurs.
-
Pour la valeur spécifique, cliquez sur le bouton pour ajouter la valeur ou l'exclusion au filtre.
La page Événements se rafraîchit et montre les événements qui correspondent au nouveau filtre. La valeur du champ montre le nombre d'événements correspondants.
Vous pouvez exporter les données des événements de la page Événements vers un fichier pour une analyse supplémentaire. Vous pouvez exporter jusqu'à 250 000 évènements en une seule fois vers un fichier. Tous les événements du filtre et de la plage de temps actuels sont inclus dans l'exportation. Vous pouvez utiliser les trois options suivantes pour contrôler quels champs d'événement sont inclus dans l'exportation :
- Tous les champs : Inclure tous les champs pour chaque événement dans l'exportation.
- Champs sélectionnés : Inclure uniquement les champs que vous avez ajoutés dans l'exportation.
- Vue Rapide : Lorsque la Vue Rapide est activée, cela inclut uniquement les champs Vue Rapide ainsi que tout champ ajouté manuellement ou mentionné explicitement dans le filtre. Cette option est conçue pour améliorer la performance de l'exportation.
Note
Remarques :
- Seuls les administrateurs CMA avec un rôle Éditeur ont la permission d'exporter vers un fichier CSV. Pour plus sur la configuration des rôles d'admin, voir Gestion des Admins.
- Parfois, tenter d'exporter des événements échoue car la requête prend trop de temps et la requête aboutit à un dépassement de délai. Vous pouvez réduire la période du filtre d'événements ou utiliser l'option d'exportation Vue Rapide, puis réessayer.
- Le nombre d'événements sur la page Événements peut être arrondi. Par exemple, la page Événements affiche 2K événements, et le nombre réel d'événements est 1952.
- Après l'exportation des événements, la colonne events_count dans le fichier CSV peut afficher plusieurs événements pour chaque ligne, cela se produit lorsque le même événement s'est produit plus d'une fois au cours de l'intervalle d'une minute. Le COMPTE de cette colonne peut montrer un nombre différent du total des événements exportés. Pour montrer le nombre total d'événements exportés, utilisez la SOMME de la colonne events_count.
Pour exporter des événements vers un fichier CSV :
- (Optionnel) Cliquez sur Ajouter pour les champs que vous exportez.
- Depuis la page des Événements, cliquez sur Exporter les événements.
-
Sélectionnez la portée de l'exportation : Tous les champs dans les événements, les Champs sélectionnés dans le filtre, ou les champs inclus dans Vue Rapide.
- Tous les champs dans les événements
- Champs sélectionnés dans le filtre
- Champs inclus dans Vue Rapide
- Cliquez sur OK. Les événements sont exportés vers le fichier CSV et le fichier est téléchargé selon les paramètres de votre navigateur Internet.
0 commentaire
Vous devez vous connecter pour laisser un commentaire.