イベントAPIクエリは、アカウント用に生成されたイベントの個別のイベントを抽出して分析を実行することなく、サマリー情報を取得する方法を提供します。
イベントAPIの分析の種類の例:
-
特定の時間枠でログインしたSDPユーザーの数
-
ファイアウォールのブロックイベントと許可イベントの割合
-
過去30日間に各イベントタイプで生成されたイベントの数(カーディナリティ)を表示
イベントAPIコールの操作を変更するために渡せる引数は次のとおりです:
-
accountID
-
measures
-
filters
-
次元
-
並べ替え
-
時間枠
これは、クエリを実行するアカウントのアカウントIDです。
注意
注: このアカウントIDはCato管理アプリケーションには表示されませんが、Cato管理アプリケーションのURLには表示されます。 例えば、次のURLの場合、アカウントIDは26です: https://cc.catonetworks.com/#!/26/topology.
measures引数は、eventsクエリが調べたいフィールドと結果の集計方法を定義することを可能にします。 分析したい各フィールドに対して、次を定義する必要があります:
-
フィールド名 - 集計したいフィールドを定義
-
集計タイプ - 集計をどのように実行するかを定義(例: count_distinct)
次の例は、event_countフィールドの合計を返すクエリに対するmeasuresの構文を示しています:
"measures": [
{"fieldName":"event_count","aggType":"sum"}
]
フィルター引数は、限られたサブセットのイベントのみが調べられるようにするフィルターを定義することを可能にします。 各フィルターの定義に必要な項目:
-
フィールド名 - フィルタリングしたいフィールド名を定義
-
演算子 - フィールドをフィルタリングするために使用するフィルター操作を定義
-
値 - 演算子で使用されるフィルタ値を定義
event_typeがSecurityであるイベントのみを選択するために使用されるフィルター引数の例:
"フィルター": [
{
"フィールド名": "event_type",
"演算子": "is",
"値": ["Security"]
}
]
次元引数を使用して同じ値を持つフィールドをサマリ行にグループ化します。
event_typeに従ってファイルをグループ化する例:
"次元": [
{"フィールド名": "event_type"}
]
並べ替え引数は、返されたデータをどのように並べ替えるかを定義します。 並べ替え引数の使用例:
'並べ替え': [
{'フィールド名': 'event_count', '順序': 'desc'},
{'フィールド名': 'event_type', '順序': 'asc'}
]
クエリの時間枠を定義します。 ISO 8601仕様で定義される形式を使用して指定されます。 過去30日間の時間枠を指定する方法の例:
"時間枠": "last.P30D"
注意
注意:
-
時間枠引数で指定できる最大期間は、現在89日です。
-
実際のISO 8601仕様はこちらで参照できますが、無料ではありません。 この引数を定義する方法を理解するために、Wikipediaの記事を参照することもできます。
クエリイベント(
$accountID: ID!,
$measures: [イベントメジャー],
$dimensions: [イベント次元],
$filters: [イベントフィルター!],
$sort: [イベントソート!],
$timeFrame: 時間枠!,
$limit: 整数,
$from: 整数) {
イベント(
アカウントID: $アカウントID
時間枠: $時間枠
メジャー: $メジャー
次元: $次元
フィルター: $フィルター
並べ替え: $並べ替え ) {
ID
から
合計
レコード(限界: $限界, から: $から) {
フィールドマップ
}
}
}
{
"アカウントID": "1234",
"メジャー": [ {
"フィールド名": "event_sub_type",
"AggregationType": "count_distinct"
}
],
"フィルター": [ {
"フィールド名": "event_type",
"演算子": "is", "値": ["セキュリティ"]
}
],
"時間枠": "last.P1M"
}
0件のコメント
サインインしてコメントを残してください。