Cato API を使用開始する前に、Cato API のサポートポリシーを必ず確認してください。

eventsFeedの概要

eventsFeedクエリは、ネットワーク機器、セキュリティ、ソケット、Catoクライアントなどに関連するアクティビティによって生成されたイベントを分析するのに役立ちます。このクエリが返すイベントデータは、Cato管理画面のモニタリング> イベントページに類似しています。

リセラーアカウントに対して、接続する顧客アカウントごとに別々のAPIキーを作成できます。レート制限とeventsFeed APIクエリについて詳しくは、Cato APIのレート制限の理解を参照してください。

取得したイベントの理解

eventsFeed API 呼び出しは、アカウント内のイベントを大量に分析およびモニタリングするために設計されています。このAPIクエリのデータはほぼリアルタイムで更新されます。

Catoは過去7日間のイベントデータを保存しています。 24時間ごとに、7日以上前のデータが削除されます。

APIサーバーキューに3,000以上のイベントがある場合、結果はページ付けされます。 これにより、キューの終わりに到達するまでイベントを反復的に取得することができます。

これらのフィールドは、イベントのページネーションに関連しています: マーカー、fetchedCount。これらのフィールドの説明については、以下を参照してください。

アカウント用のeventsFeedの有効化

APIアクセス管理ウィンドウを使用して、Cato APIサーバーにイベントを送信するためにアカウントを有効にします。 eventsFeedを有効化した後、APIサーバーがクエリのデータを返すために十分なイベントを収集するまで約30分待ちます。

アカウント用のeventsFeedを有効にするには：

ナビゲーションペインで管理> API & 統合を選択し、イベント統合タブをクリックします。
Catoイベントとの統合を有効にする を選択します。アカウントがCato APIサーバーにイベントを送信し始めます。

eventsFeed項目の詳細

これらは、クエリに対してeventsFeed項目が表示できる詳細です：

マーカー - マーカーフィールドは、APIクエリが返した最後のイベントのユニーク識別子です
fetchedCount - 取得されたイベントの数（1回の取得あたり最大 3000 イベント）
アカウント (eventsFeedAccountRecords) - アカウントのイベントデータ (ネストされたクエリとフィールドを含む配列)

eventsFeed マーカー

APIサーバーのキューに3,000を超えるイベントがある場合、マーカーフィールドは新しい繰り返しの開始を示す識別子を表示します。例として、クエリが7500イベントを返す場合、取得の反復中の結果は次のとおりです：

1番目の反復 - fetchedCount = 3000（イベント）、マーカー = 1234abc
2番目の反復 - fetchedCount = 3000（イベント）、マーカー = 4567def
3番目の反復 - fetchedCount = 1500（イベント）、マーカー = 8901xyz
最終的な反復のために、マーカーの値を無視することができます

eventsFeed fetchedCount

fetchedCountフィールドは、現在の取得アクションでのイベントの総数を示します。このフィールドの最大値は3,000です。

eventsFeed アカウント

アカウント (eventsFeedAccountRecords) フィールドは、このクエリのアカウントIDとイベントデータを示します。クエリで表示されるイベントデータをフィルタリングするには、eventsFeedAccountsRecords > EventRecord > EventFieldName 引数を使用してください。 EventRecordsの詳細については、Cato API - EventsFeed > EventRecordを参照してください。

eventsFeed > records > EventFieldName

さまざまな種類のイベントのEventFieldName列挙値の詳細については、Cato Networks GraphQL APIリファレンスを参照してください。

eventsFeedの引数

これらは、クエリによって返されるデータを渡して定義できる引数です：

accountIDs - アカウントID（複数のアカウントの場合、IDを配列として入力）
フィルター (EventFieldFilterInput) - クエリされたイベントと監査ログデータをフィルタリング (ネストされたクエリを含む配列)
マーカー - マーカー値に応じて特定の取得反復のイベントのみを表示

eventsFeed ID 引数

クエリで返されるデータ用に1つ以上のCatoアカウントIDを入力してください。この引数は必須です。

このアカウントIDはCato管理画面に表示されず、代わりにCato管理画面のURLにある番号です。例えば、次のURLの場合、アカウントIDは26です： https://cc2.catonetworks.com/#!/26/topology。

eventsFeed フィルター引数

フィルター (EventFieldFilterInput) 引数を使用して、クエリに含まれる特定のイベントを定義できます。次の引数を定義できます：

fieldName > EventFeedFilterFieldName - イベント探索からイベントタイプまたはサブタイプを定義
operator - イベントデータをフィルタリングするために値を有効化する方法を定義
値 - オペレーターと共に使用されるフィルタ値を定義

次のフィルタ構文は、セキュリティの値を持つイベントタイプを表示するようフィルタリングされたクエリの例です：

"filters": [
{
"fieldName": "event_type",
"operator": "is",
"values": ["セキュリティ"]
}
]

次のフィルタ構文は、インターネットファイアウォールの値を持つイベントサブタイプのみを表示するようフィルタリングされたクエリの例です：

"filters": [
{
"fieldName": "event_sub_type",
"operator": "is",
"values": ["インターネットファイアウォール"]
}
]

eventsFeed マーカー引数

マーカー引数は必須であり、特定のフェッチ反復のイベントに対してクエリを制限することができます。例えば、クエリが10500のイベントを返した場合、これが最初の3つのフェッチ反復の結果です：

1番目の反復 - fetchedCount = 3000 (イベント), マーカー = 1234abc
2番目の反復 - fetchedCount = 3000 (イベント), マーカー = 4567def
3番目の反復 - fetchedCount = 3000 (イベント), マーカー = 8901xyz

2番目の反復のみのイベントを表示するには、マーカー引数を4567defに設定します。

すべてのキューに入ったイベントをフェッチするには、初期GraphQLクエリで空のマーカー引数 (marker:"") を使用してクエリを実行します。

Cato API - EventsFeed（大規模イベントモニタリング）