Cato APIを使用開始する前に、Cato APIのサポートポリシーを確認することを強くお勧めします。

eventsFeed の概要

eventsFeed クエリは、ネットワークやセキュリティ、ソケット、Catoクライアントに関連するアクティビティから生成されたイベントを分析するのに役立ちます。 このクエリが返すイベントデータは、Cato管理画面のモニタリング > イベントページに類似しています。

リセラーアカウントの場合、Cato API に接続する各顧客アカウント内で別々のAPIキーを作成できます。 レート制限とeventsFeed APIクエリについて詳しくは、Cato APIのレート制限の理解を参照してください。

取り込まれたイベントの理解

eventsFeed APIコールは、高容量分析およびアカウント内のイベントモニタリング用に設計されています。 このAPIクエリのデータは、ほぼリアルタイムで更新されます。

Catoは過去3日間のイベントデータを保存します。 24時間ごとに、3日より古いデータが削除されます。

これらのフィールドは、イベントのページネーションに関連しています：マーカー、fetchedCount。 これらのフィールドの説明については下記をご覧ください。

アカウントのeventsFeed有効化

APIアクセス管理ウィンドウを使用して、アカウントがCato APIサーバーにイベントを送信できるようにします。 eventsFeedを有効化した後、APIサーバーがクエリ用のデータを返すのに十分なイベントを収集するのに30分ほど待ちます。

アカウントのeventsFeedを有効化するには：

1. ナビゲーションペインで管理 > API & 統合を選択し、イベント統合タブをクリックします。
2. Catoイベントとの統合を有効化するを選択します。 アカウントはCato APIサーバーにイベントの送信を開始します。

eventsFeedフィールドの詳細

これらはクエリで示されるeventsFeedフィールドの詳細です：

• マーカー - APIクエリが最後に返したイベントの一意の識別子
• fetchedCount - 取得されたイベントの数（1回の取得で最大3000イベント）
• accounts（eventsFeedAccountRecords） - アカウント（ネストされたクエリとフィールドを含む配列）のイベントデータ

eventsFeedマーカー

APIサーバーのキューに3000件を超えるイベントがある場合、マーカーフィールドはイベント取得の新しい反復の開始を示す識別子を表示します。 たとえば、クエリが7500イベントを返す場合、これが取得反復を超えた結果です：

• 第1回 - fetchedCount = 3000（イベント）、marker = 1234abc
• 第2回 - fetchedCount = 3000（イベント）、marker = 4567def

• 3番目のイテレーション - fetchedCount = 1500 (イベント)、マーカー = 8901xyz

  最終イテレーションのマーカー値は無視できます。

マーカーは最大で過去3日間のイベントキューを指すことができます。

eventsFeed fetchedCount

fetchedCountフィールドは、現在のフェッチアクションにおけるイベントの総数を表示します。 このフィールドの最大値は3000です。

eventsFeedアカウント

アカウント（eventsFeedAccountRecords）フィールドは、このクエリのためのアカウントIDとイベントデータを示します。 eventsFeedAccountsRecords > EventRecord > EventFieldName引数を使用して、クエリに表示されるイベントデータをフィルタリングします。 EventRecordsの詳細については、Cato API - EventsFeed > EventRecordを参照してください。

eventsFeed > レコード > EventFieldName

さまざまなタイプのイベントのEventFieldName列挙値について詳しくは、Cato Networks GraphQL API リファレンスを参照してください。

eventsFeedの引数

これらはクエリによって返されるデータを定義するためにパスと定義できる引数です：

• accountIDs - アカウントID（複数のアカウントの場合、IDを配列として入力）
• フィルタ（EventFieldFilterInput） - クエリされるイベントと監査ログデータをフィルタリング（ネストされたクエリを含む配列）
• マーカー - 特定の取得反復に対してマーカー値に従ってイベントのみを表示

eventsFeed ID 引数

クエリが返すデータのために一つまたは複数のCatoアカウントIDを入力します。 この引数は必須です。

このアカウントIDはCato管理画面には表示されず、Cato管理画面のURL内の番号です。 たとえば、以下のURLの場合、アカウントIDは26です： https://cc2.catonetworks.com/#!/26/topology。

eventsFeedフィルタ引数

フィルタ（EventFieldFilterInput）引数を使用して、クエリに含まれる特定のイベントを定義します。 これらは定義できる引数です：

• fieldName > EventFeedFilterFieldName - イベントディスカバリーからイベントタイプやサブタイプを定義
• オペレーター - イベントデータをフィルタリングするための値の選択方法を定義
• 値 - オペレーターと一緒に使用されるフィルタ値を定義

次のフィルタ構文は、セキュリティという値を持つイベントタイプのみを表示するようにフィルタリングされたクエリの例です：

"フィルター": [
{
"フィールド名": "イベントタイプ",
"演算子": "該当",
"値": ["セキュリティ"]
}
]

次のフィルタ構文は、インターネットファイアウォールという値を持つイベントサブタイプのみを表示するようにフィルタリングされたクエリの例です：

"フィルター": [
{
"フィールド名": "イベントサブタイプ",
"演算子": "該当",
"値": ["インターネットファイアウォール"]
}
]

eventsFeedマーカー引数

マーカー引数は必須であり、特定の取得反復のイベントのクエリを制限することができます。 たとえば、クエリが10500イベントを返す場合、これが最初の3つの取得反復にわたる結果です：

• 第1回 - fetchedCount = 3000（イベント）、marker = 1234abc
• 第2回 - fetchedCount = 3000（イベント）、marker = 4567def
• 第3回 - fetchedCount = 3000（イベント）、marker = 8901xyz

第2回のイベントのみを表示するには、マーカー引数を4567defに設定します。

キューされたすべてのイベントを取得するには、初期GraphQLクエリで空のマーカー引数（marker:""）を使用してクエリを実行します。