イベントページでは、サイトやリモートユーザーがCato Cloudに接続したとき、あるいはファイアウォールやセキュリティエンジンによってアクションがブロックされたときなど、アカウント内で発生するすべてのイベントを表示します。
イベントは、アカウント活動の詳細データとログを提供し、環境を効率的に監視および管理するのに役立ちます。
選択した時間範囲にはしばしば数百万のイベントがありますが、ページには一度に最大100件のイベントが表示されます。
Catoはいくつかの方法で結果をフィルタリングすることができます。 関連情報を取得できるイベントに出会うまで、フィルターを追加または修正し続けることをお勧めします。
イベントデータはCatoのデータレイクに保存されます。 詳細については、カトデータレイクのガイドを参照してください。
注意
注意:
-
イベントが生成された後、通常は5分の時間枠内でそのイベントのデータがイベントページに表示されます。 ただし、一部のイベントは最大30分まで遅延する可能性があります。
-
エンティティ名(ポリシールールなど)の変更は、関連するイベントフィールドに反映されるまで最大24時間かかる場合があります。
クイックビューは、ページのパフォーマンスを向上させるために各イベントのフィールドを少なく表示するオプションです。 デフォルトで有効化されており、分析に最も一般的に必要とされるフィールドを表示します。 クイックビューエクスポートオプションを選択した場合、イベントページのパフォーマンスやエクスポートのパフォーマンスを大幅に向上させます。
クイックビューが有効な場合、手動で選択またはフィルターで指定されたすべてのフィールドも表示されます。
クイックビューを無効にすることで、すべてのフィールドをいつでも読み込むことができますが、これによりパフォーマンスに影響を与える可能性があります。
クイックビューが有効な場合、各イベントに対して次のフィールドが表示されます。 フィールドのリストは顧客の使用データに基づいています。
-
常時オン
-
アプリケーションアクティビティカテゴリ
-
アプリケーション
-
アプリケーションアクティビティ
-
アプリケーションリスク
-
認証方法
-
BGP切断エラーコード
-
バイパスメソッド
-
バイパス理由
-
カテゴリ
-
Catoアプリ
-
クライアント証明書名
-
クライアントクラス
-
クライアントバージョン
-
設定されたホスト名
-
コネクタタイプ
-
カスタムカテゴリ
-
宛先国
-
宛先IP
-
宛先はサイトまたはSDPユーザです
-
宛先ポート
-
宛先サイト
-
デバイス証明書
-
デバイス名
-
デバイスOSタイプ
-
デバイスポスチャプロファイル
-
ディレクトリIP
-
ディレクトリ同期結果
-
DLPプロファイル
-
DNS保護カテゴリ
-
DNSクエリ
-
ドメイン名
-
出力PoP名
-
イベントタイプ
-
イベントメッセージ
-
失敗の理由
-
ファイルハッシュ
-
ファイルタイプ
-
フルパスURL
-
HAロール
-
ホストIP
-
ホストMACアドレス
-
インターフェースID
-
IPプロトコル
-
承認済みアプリ
-
ISP名
-
LANアクセス
-
リンクヘルス - パケットロス
-
リンクタイプ
-
ログイン中のユーザー
-
ログインタイプ
-
ネットワークルール
-
OSタイプ
-
PoP名
-
公開ソースIP
-
QoSプライオリティ
-
参照URL
-
関連アプリ
-
リスクレベル
-
ルール
-
ルールID
-
SAMアカウント名
-
セベリティ
-
署名ID
-
ソケットリセット
-
送信元国
-
送信元IP
-
送信元はサイトまたはSDPユーザーです
-
ソースISP IP
-
ソースポート
-
ソースサイト
-
スプリットトンネル
-
ステータス
-
サブネット名
-
サブタイプ
-
TCPアクセラレーション
-
脅威名
-
脅威の種類
-
スレッド判定
-
時間
-
TLSエラー
-
TLSエラー説明
-
TLSエラータイプ
-
TLSルール名
-
トラフィックの方向
-
信頼できるネットワーク
-
トンネルプロトコル
-
URL
-
ユーザーエージェント
-
User Display Nae
-
ユーザーメールアドレス
-
ユーザー名
-
ユーザープリンシパル名
-
Windowsドメイン名
ホーム > イベントページでアカウント全体のイベントを表示できます。
次の画像と表は、イベントページのイベントタブを説明します:
|
アイテム |
名称 |
説明 |
|---|---|---|
|
1 |
プリセット選択メニュー |
共通シナリオのイベントを表示するためのプリセットフィルターオプションを備えたドロップダウンメニューと、手動で保存したカスタムプリセット。 |
|
2 |
イベントフィルタバー |
イベントに適用されたフィルターを表示します。 |
|
3 |
更新 |
イベントのデータをページ上で更新します(更新には約5秒かかります) |
|
4 |
時間範囲 |
ページに表示されるイベントの時間範囲を選択します。 デフォルトの時間範囲は最後の2日間で、これは過去48時間のイベントを示します。 詳細については、時間範囲フィルタの設定を参照してください。 注意: イベントページの最大日付範囲は31日です。 |
|
5 |
イベントのエクスポートメニュー |
現在のフィルターのイベントをファイルにエクスポートします。 すべてのフィールド(列)または選択したものだけをエクスポートできます。 |
|
6 |
カスタムプリセットに追加 |
現在のフィルターをカスタムプリセットに追加して、フィルターを再利用しやすくします。 |
|
7 |
自然言語検索 |
自然言語フィルターを使用してイベントのリストをフィルターします。 詳細については、自然言語検索の使用を参照してください。 |
|
8 |
手動フィルタの切り替え |
自然言語検索を使用した後、このボタンで手動フィルタオプションに切り替えます。 |
|
9 |
イベントタイムライン |
フィルターされたイベントの数を表示します。 各イベントタイプは異なる色で表されます。 |
|
10 |
イベントの総数 |
現在の時間範囲とフィルター設定について、イベントの総数を表示します。 |
|
11 |
イベントタイプのクイックフィルター |
イベントタイプをクリックして、そのタイプのイベントを非表示にします。 例えば、ネットワークをクリックすると、ページ上のネットワークイベントは表示されません。 |
|
12 |
イベントデータ表示タブ |
イベントデータの表示を選択するためにタブを選択します。
|
|
13 |
イベントフィールド |
フィルターされたイベントの生データにあるすべてのフィールド。 フィルターにフィールドを簡単に追加または除外できます。 各フィールドカテゴリーに一致するイベントのカーディナリティ(異なる値)を表示します。 カテゴリーを展開すると、各イベントタイプのイベントの総数を表示します。 |
|
14 |
イベントの時間と生データ |
イベントが生成されたときのタイムスタンプと、イベント内の各フィールドの生データを表示します。 このテーブルに新しい列としてフィールドを追加することもできます。 |
|
15 |
クイックビュー |
クイックビューはデフォルトで有効になっており、各イベントの分析に通常必要なすべてのフィールドを表示します。 これにより、ページのパフォーマンスが大幅に向上します。 これにより、クイックビューのエクスポートオプションを選択した場合のエクスポートパフォーマンスも向上します。 |
イベント ページには次の種類のイベントがあります:
-
セキュリティ - 脅威保護およびファイアウォールエンジンによって生成されたイベント
-
セキュリティイベントは潜在的なセキュリティ問題に関連しており、ファイアウォールのルールを微調整するのに役立ちます
-
-
接続性 - アカウント内のLANモニタリング、サイト、およびVPNクライアントに関する接続性に関連するイベント
-
接続性イベントはサイト接続の問題に関連しており、例えばパケットロスに関連するリンク品質が含まれます
-
-
システム - LDAP、ユーザー認識、ライセンス、ユーザーアカウントに関連するイベント
-
システムイベントはディレクトリサービスの同期のステータスと関連しています
-
-
ルーティング - ルーティングおよびBGPイベント
-
ルーティングイベントはBGPセッションおよびルートのステータスに関連しています
-
-
ソケット管理 - ソケットに関連するイベント、例えばファームウェアの更新
-
ソケット管理イベントは、ソケットが最新バージョンに正常に更新されたことに関連しています
-
関連情報をすばやく見つけるのに役立つようにイベントをフィルターできます。
日常の言語を使用してイベントを簡単に検索でき、ページ上の関連データを絞り込んで識別できます。 詳細については、自然言語検索の使用を参照してください。
Catoのプリセットフィルターを使用するか、関連イベントを見つけるのに役立つカスタムフィルターを作成できます。 詳細については、ページでのデータフィルタリングを参照してください
イベントページの左側のセクションにはイベントに含まれるフィールドと値が表示されます(前の例の項目5) フィールド値をイベントフィルターに簡単に追加して、関連するイベントを特定できます。
次の表は、イベントフィールド内のボタンについて説明しています:
|
アイテム |
説明 |
|---|---|
|
|
フィールドを選択されたフィールドセクションに追加し、ページはこれらのフィールドのイベントデータのみを表示します。 それを削除するには、列の上部にあるXをクリックします。 |
|
|
フィルターにフィールドの特定の値を追加します。 イベントページは自動的に更新され、新しいフィルターに一致するイベントを表示します。 |
|
|
このフィールドのこの特定の値の除外をフィルターに追加します。 イベントページは自動的に更新され、この値に一致しないイベントを表示します。 |
さらに、特定のフィールドのイベントデータを表示する新しい列を追加できます。 次の表は、イベントフィールド内のボタンについて説明しています:
イベントページのイベントデータをエクスポートして、追加の分析のためにファイルに保存できます。 一度に最大250,000件のイベントをファイルにエクスポートできます。 現在のフィルターと時間範囲のすべてのイベントがエクスポートに含まれます。 エクスポートに含めるイベントフィールドを制御するために、次の3つのオプションを使用できます:
-
すべてのフィールド:エクスポートのすべてのイベントにすべてのフィールドを含めます。
-
選択されたフィールド:エクスポートで追加したフィールドのみを含めます。
-
クイックビュー:クイックビューが有効な場合、手動で追加またはフィルターで明示的に言及されたフィールドとともにクイックビューフィールドのみを含めます。 このオプションは、エクスポートのパフォーマンスを向上させるために設計されています。
注意
注:
-
編集者のロールを持つCMA管理者のみがCSVファイルにエクスポートする権限を持っています。 管理者ロールの設定について詳しくは、管理者の管理を参照してください。
-
時々、イベントをエクスポートしようとしても、クエリが時間がかかりすぎてリクエストがタイムアウトするため失敗します。 イベントフィルターの時間枠を縮小するか、クイックビューのエクスポートオプションを使用してから再試行できます。
-
イベントページのイベント数は四捨五入されることがあります。 例えば、イベントページには2Kイベントが表示され、実際のイベント数は1952です。
-
イベントをエクスポートした後、CSVファイルのevents_count列に各行に対して複数のイベントが表示される場合があります。これは、同じイベントが1分間の間に複数回発生した場合に発生します。 この列のCOUNTは、エクスポートされたイベントの合計とは異なる数を示すことがあります。 エクスポートされたイベントの総数を表示するには、events_count列のSUMを使用します。
イベントをCSVファイルにエクスポートするには:
-
(オプション) エクスポートする項目を選択するために追加をクリックします。
-
イベントページから、イベントのエクスポートをクリックします。
-
エクスポートの範囲を選択します:イベント内のすべてのフィールド、フィルタ内の選択されたフィールド、またはクイックビューに含まれるフィールド。
-
すべてのフィールド in the events
-
選択されたフィールド in the フィルター
-
QuickViewに 含む フィールド
-
-
OKをクリックします。 イベントはCSVファイルにエクスポートされ、ファイルはインターネットブラウザの設定に従ってダウンロードされます。
0件のコメント
サインインしてコメントを残してください。