Cato APIの使用を開始する前に、Cato APIのサポートポリシーを確認することを強くお勧めします。

監査フィードの概要

監査フィードクエリは、Cato管理アプリケーション内で管理者によって実行されたアクションを分析するのに役立ちます。 このクエリが返すデータは、Cato管理画面のシステム> 監査証跡ウィンドウに似ています。

リセラーアカウントの場合、Cato APIに接続している各顧客アカウント内で個別のAPIキーを作成できます。 レート制限と監査フィードAPIクエリについて詳しくは、Cato APIレート制限の理解をご覧ください。

取得したデータを理解する

監査フィードAPIコールは、1時間あたり2百万以上の監査データアイテムの取得をサポートするように設計されています。 返されたデータのページネーションを支援するために、時間枠の期間中に1000以上の監査アイテムがある場合、クエリはすべての監査データを返すまでフェッチを繰り返します。

これらのフィールドは監査データのページネーションに関連しています: marker、fetchedCount、およびhasMore。 これらのフィールドの説明については以下を参照してください。

監査フィード項目の詳細

これらは、監査フィードフィールドがクエリに対して表示できる詳細です：

• から - 開始時間
• まで - 終了時間
• marker - マーカー項目は、APIクエリが返した最後の監査データ項目の一意の識別子です
• fetchedCount - 取得したアイテムの数 (最大 1000 アイテム/取得)
• hasMore - trueの場合、クエリにさらに取得するアイテムがあることを示します
• アカウント (auditFeedAccountRecords) - 複数のアカウントを管理するリセラーの場合、このフィールドは変更されたアカウントを指定し、すべての記録と監査データを含みます（ネストされたクエリとフィールドを含む配列）

監査フィードから

開始フィールドは、クエリデータの開始時間を示し、時間枠引数で定義されています。

監査フィードまで

終了フィールドは、クエリデータの終了時間を示し、時間枠引数で定義されています。

監査フィードマーカー

クエリの期間中に1000以上の監査データ項目がある場合、マーカーフィールドは、アイテムを取得するための新しいイテレーションの開始を示す識別子を表示します。 例えば、クエリが2500個のアイテムを返す場合、これらはフェッチイテレーションに基づく結果です：

• 最初のイテレーション - fetchedCount = 1000 (アイテム), marker = 1234abc, hasMore = true
• 2番目のイテレーション - fetchedCount = 1000 (アイテム), マーカー = 4567def, 展開 = 真
• 3番目のイテレーション - fetchedCount = 500 (アイテム), マーカー = 8901xyz, 展開 = 偽

  最終イテレーションではマーカー値を無視できます

auditFeed fetchedCount

fetchedCount項目は現在の取得アクションのアイテムの総数を表示します。 この項目の最大値は1000です。

auditFeed 展開

hasMore項目の値が真の場合、その後にアイテムを取得する別のイテレーションがあります。

auditFeed アカウント

アカウント (auditFeedAccountRecords) 項目は、このクエリの管理者IDと監査データを表示します。 クエリ用に表示されるイベントデータをフィルタするには、auditFeedAccountRecords > AuditRecord > AuditFieldName 引数を使用します。 AuditRecords項目についてさらに詳しくは、auditFeed > 項目名 > AuditFieldNameをご覧ください。

auditFeedの引数

これらは、クエリが返すデータを定義するために渡すことができる引数です：

• アカウントID - アカウントID（複数のアカウントの場合は、IDを配列として入力）
• ids - アカウントID（レガシー引数）
• 時間枠 - クエリの開始および終了時間
• フィルター（AuditFieldFilterInput） - クエリされた監査ログデータをフィルター（配列でネストされたクエリ）
• マーカー - 特定のフェッチイテレーションのアイテムのみをマーカー値に従って表示

auditFeed アカウントID 引数

クエリが返すデータのために1つ以上のアカウントIDを入力してください。 この引数は必須です。

このアカウントIDはCato管理画面には表示されず、代わりにCato管理画面のURLにある数字です。 例えば、次のURLではアカウントIDは26です： https://cc2.catonetworks.com/#!/26/topology。

auditFeed 時間枠 引数

クエリが返すデータの時間枠を入力してください。 引数はフォーマット<種類>.<時間 値>です。 この引数は必須です。

時間枠を定義するためにサポートされているオプションは以下のとおりです：

• 最後に.<時間 持続時間> - 最後に 種類の<時間 持続時間> 値はISO-8601に準拠しており、以前の特定時間に関するデータを返します。 例：
  • 時間枠 = 最後に.PT5M 過去5分を表示
  • timeFrame = last.PT2H は過去2時間を表示します
  • timeFrame = last.P1D は過去1日を表示します
  • timeFrame = last.P3M は過去3ヶ月を表示します
  • timeFrame = last.P1Y は過去1年を表示します
• <タイムゾーン>.<短時間枠仕様> - 指定されたタイムゾーンに従って開始日と終了日をYY-MM-DD/hh:mm:ss形式で組み合わせます。 例: timeFrame = utc.2020-02-{11/04:50:00--21/04:50:00} は2020年2月11日午前4時50分から2020年2月21日午前4時50分までの分析データを表示します。

監査フィードフィルタ引数

フィルタ（AuditFieldFilterInput）引数を使用すると監査証跡クエリに含まれる特定のアイテムを定義できます。 これらは定義できる引数です：

• グローバル設定の名前 > AuditFieldName - 監査証跡のアイテムを定義
• 演算子 - 監査データをフィルタリングするための値を有効化する方法を定義
• 値 - 演算子で使用されるフィルタ値を定義

監査フィード > グローバル設定の名前 > AuditFieldName

これらはシステム > 監査証跡で監視されているCato管理アプリケーションコンフィグの異なるタイプのフィールド名です。

• 管理者 - アクションによってレコードが生成された管理者
• model_name - 影響を受けたオブジェクトの名前, 例: サイト
• admin_id - アクションによってレコードが生成された管理者のID
• モジュール - 変更されたシステムモジュール 例: 2要素認証 構成 または TLS インスペクション
• 挿入日 - 変更が確定または保存された時間
• 変更タイプ - 管理者が行った変更を説明し、値は次のとおりです: 作成、削除済み、変更、有効、無効、スキップ
• 作成日 - 変更が開始された時間
• 変更 - JSON形式での変更の詳細な説明
• model_type - 変更されたオブジェクトの種類 例: サイト、ソケット、SocketInterface

監査フィードマーカー引数

マーカー引数を使用すると、特定のフェッチイテレーションに対するイベントでクエリを制限できます。 マーカー値を表示するには、空の値を持つマーカー引数でクエリを実行します。 クエリは定義された時間枠引数のためのマーカー値を返します。

例: クエリが2500件のイベントを返す場合、これは最初の3つのフェッチイテレーションの結果です：

• 1番目の繰り返し - fetchedCount = 1000 (イベント), マーカー = 1234abc, hasMore = true
• 2番目の繰り返し - fetchedCount = 1000 (イベント), マーカー = 4567def, hasMore = true
• 3番目の繰り返し - fetchedCount = 1000 (イベント), マーカー = 8901xyz, hasMore = true

2番目の繰り返しに含むイベントのみを表示するには、マーカー引数を4567defに設定します。