Cato API - 監査フィード

Cato APIを使用する前に、Cato APIサポートポリシーを確認することを強くお勧めします。

監査フィードの概要

監査フィードクエリは、Cato管理画面で管理者が行ったアクションを分析するのに役立ちます。 このクエリが返すデータは、Cato管理画面のSystem> Audit Trailウィンドウと類似しています。

リセラーモードのアカウントでは、接続する各顧客アカウント内に個別のAPIキーを作成できます。 レート制限と監査フィードAPIクエリについて詳しくは、Cato APIのレート制限の理解を参照してください。

取得データの理解

監査フィードAPI呼び出しは、毎時2M以上の監査データ項目を取得することをサポートするように設計されています。 返されるデータをページングするために、期間中に1000以上の監査項目がある場合、クエリはすべての監査データを返すまでフェッチを繰り返します。

これらのフィールドは監査データのページネーションに関連しています:marker、fetchedCount、hasMore。 これらのフィールドの説明は以下を参照してください。

監査フィードフィールドの詳細

監査フィードフィールドのクエリに表示できる詳細は以下の通りです。

  • from - 開始日時
  • to - 終了日時
  • marker - markerフィールドは、APIクエリが返した最後の監査データ項目の一意識別子です
  • fetchedCount - フェッチされた項目数(1回のフェッチで最大1000項目)
  • hasMore - trueの場合、クエリがフェッチするべきアイテムがさらにあることを示します
  • accounts(auditFeedAccountRecords) - 複数アカウントを管理するリセラーのために、このフィールドは変更されたアカウントを指定し、すべてのレコードと監査データを含みます(ネストされたクエリとフィールドを持つ配列)

監査フィード開始

Fromフィールドはクエリデータの開始時間を示し、timeFrame引数で定義されます。

監査フィード終了

Toフィールドはクエリデータの終了時間を示し、timeFrame引数で定義されます。

監査フィードマーカー

クエリで1000項目以上の監査データがある場合、マーカーフィールドは、項目をフェッチするための新しいイテレーションの開始を示す識別子を表示します。 例えば、クエリが2500項目を返す場合、これらはフェッチイテレーションの結果です:

  • 1回目のイテレーション - fetchedCount = 1000(項目)、marker = 1234abc、hasMore = true
  • 2回目のイテレーション - fetchedCount = 1000(項目)、marker = 4567def、hasMore = true
  • 3回目のイテレーション - fetchedCount = 500(項目)、marker = 8901xyz、hasMore = false

    最終イテレーションの前にはmarker値を無視できます

監査フィードfetchedCount

fetchedCountフィールドは、現在のフェッチアクションの項目の総数を示します。 このフィールドの最大値は1000です。

監査フィードhasMore

hasMoreフィールドの値がtrueの場合、このフェッチの後にもう一つのイテレーションがあることを示します。

監査フィードアカウント

アカウント(auditFeedAccountRecords)フィールドは、このクエリの管理者IDと監査データを表示します。 auditFeedAccountsRecords > AuditRecord > AuditFieldName引数を使用して、クエリに表示されるイベントデータをフィルターします。 AuditRecordsフィールドについてさらに詳しくは、以下のauditFeed > fieldName > AuditFieldNameを参照してください。

監査フィード引数

クエリによって返されるデータを定義できる引数は以下の通りです:

  • accountIDs - アカウントID(複数のアカウントに対しては、IDを配列として入力)
  • ids - アカウントID(レガシー引数)
  • timeFrame - クエリの開始時間と終了時間
  • filters(AuditFieldFilterInput) - クエリされる監査ログデータをフィルタ(ネストされたクエリを持つ配列)
  • marker - marker値に従って特定のフェッチイテレーションの項目のみを表示

監査フィードaccountIDs引数

クエリで返されるデータのために1つ以上のアカウントIDを入力してください。 この引数は必須です。

このアカウントIDはCato管理画面には表示されません。代わりに、Cato管理画面のURLにある数字です。 例えば、以下のURLではアカウントIDは26です: https://cc2.catonetworks.com/#!/26/topology。

監査フィードtimeFrame引数

クエリで返されるデータの時間枠を入力してください。 引数は<type>.<time value>の形式で。 この引数は必須です。

時間枠を定義するためのサポートされるオプションは以下の通りです:

  • last.<time duration> - lastタイプの<time duration>値はISO-8601に準拠しており、前の特定の時間のデータを返します。 例:
    • timeFrame = last.PT5Mは前の5分を表示
    • timeFrame = last.PT2Hは前の2時間を表示
    • timeFrame = last.P1Dは前の1日を表示
    • timeFrame = last.P3Mは前の3ヶ月を表示
    • timeFrame = last.P1Yは前の1年を表示
  • <timezone>.<short-time-frame-spec> - 時間枠は指定されたタイムゾーンに従ってYY-MM-DD/hh:mm:ss形式で開始と終了の日付を組み合わせています。 例えば、timeFrame = utc.2020-02-{11/04:50:00--21/04:50:00}は2020年2月11日4:50:00 AMから2月21日4:50:00 AMまでのアナリティクスデータを表示します。

監査フィードフィルター引数

filters(AuditFieldFilterInput)引数は、監査トレイルクエリに含まれる特定の項目を定義できます。 定義できる引数は以下の通りです:

  • fieldName > AuditFieldName - 監査トレイルからアイテムを定義
  • operator - 監査データをフィルタするための値を有効化する方法を定義
  • values - 演算子と共に使用されるフィルタ値を定義

監査フィード > fieldName > AuditFieldName

様々なCato管理アプリケーション設定で監視されるフィールド名はSystem > 監査トレイルです。

  • admin - アクションによりレコードが生成された管理者
  • model_name - 影響を受けたオブジェクトの名前、例: My Site
  • admin_id - アクションによりレコードが生成された管理者のID
  • module - 変更されたシステムモジュール、例: MFA Configuration、TLS Inspection
  • insertion_date - 変更がコミットまたは保存された日時
  • change_type - 管理者が行った変更を記述し、値は:作成、削除、変更、無効、スキップ
  • creation_date - 変更が開始された日時
  • change - JSON形式での詳細な変更の記述
  • model_type - 変更されたオブジェクトの種類、例: Site, Socket, SocketInterface

監査フィードマーカー引数

marker引数により、特定のフェッチイテレーションのイベントにクエリを制限できます。 空の値でmarker引数を使用してクエリを実行すると、marker値が表示されます。 クエリは定義されたtimeFrame引数に対してmarker値を返します。

例えば、クエリが2500イベントを返す場合、最初の3回のフェッチイテレーションの結果は以下の通りです:

  • 1回目のイテレーション - fetchedCount = 1000(イベント)、marker = 1234abc、hasMore = true
  • 2回目のイテレーション - fetchedCount = 1000(イベント)、marker = 4567def、hasMore = true
  • 3回目のイテレーション - fetchedCount = 1000(イベント)、marker = 8901xyz、hasMore = true

2回目のイテレーションのみを表示するには、marker引数を4567defに設定します。

この記事は役に立ちましたか?

2人中0人がこの記事が役に立ったと言っています

0件のコメント