Cato API를 사용하기 전에, Cato API 지원 정책을 검토하도록 강력히 권장합니다．

eventsFeed 개요

eventsFeed 쿼리는 네트워킹, 보안, 소켓, Cato 클라이언트 등과 관련된 활동에서 발생한 이벤트를 분석할 수 있도록 도와줍니다. 이 쿼리로 반환되는 이벤트 데이터는 Cato 관리 애플리케이션의 모니터링 > 이벤트 페이지와 유사합니다.

리셀러 계정의 경우, 연결하는 각 고객 계정 내에 별도의 API 키를 생성할 수 있습니다. 속도 제한 및 eventsFeed API 쿼리에 대한 더 많은 정보는 Cato API 속도 제한 이해하기를 참조하십시오．

가져온 이벤트 이해하기

eventsFeed API 호출은 계정 내 높은 용량의 이벤트 분석 및 모니터링을 위해 설계되었습니다． 이 API 쿼리의 데이터는 거의 실시간으로 업데이트됩니다.

Cato는 이전 3일 간의 이벤트 데이터를 저장합니다. 매 24시간마다 3일 이상 지난 데이터가 삭제됩니다.

다음 필드는 이벤트에 대한 페이지네이션과 관련이 있습니다: marker, fetchedCount. 이 필드에 대한 설명은 아래를 참조하십시오.

계정용 eventsFeed 활성화

API 액세스 관리 창을 사용하여 Cato API 서버로 이벤트를 전송할 수 있도록 계정을 활성화합니다. eventsFeed를 활성화한 후, 쿼리에 대한 데이터를 반환할 수 있을 만큼 API 서버가 충분한 이벤트를 수집할 때까지 약 30분을 기다리십시오.

계정용 eventsFeed를 활성화하려면:

1. 내비게이션 창에서 Administration > API & Integrations를 선택하고 Events Integration 탭을 클릭합니다.
2. Cato 이벤트와의 통합 활성화를 선택합니다. 계정이 Cato API 서버로 이벤트를 전송하기 시작합니다.

eventsFeed 필드에 대한 세부정보

쿼리에 대해 eventsFeed 필드가 표시할 수 있는 세부 정보는 다음과 같습니다:

• marker - API 쿼리가 반환한 마지막 이벤트에 대한 고유 식별자입니다.
• fetchedCount - 가져온 이벤트의 수(각 가져오기당 최대 3000개 이벤트)
• accounts(eventsFeedAccountRecords) - 계정에 대한 이벤트 데이터(중첩된 쿼리 및 필드가 있는 배열)

eventsFeed 마커

API 서버 대기열에 이벤트가 3000개 이상 있을 때, 마커 필드는 새 반복의 시작을 나타내는 식별자를 표시합니다. 예를 들어, 쿼리가 7500개의 이벤트를 반환하는 경우, 다음은 가져오기 반복에 대한 결과입니다:

• 첫 번째 반복 - fetchedCount = 3000 (이벤트), marker = 1234abc
• 두 번째 반복 - fetchedCount = 3000 (이벤트), marker = 4567def

• 세 번째 반복 - fetchedCount = 1500 (이벤트), marker = 8901xyz

  마지막 반복에서 마커 값을 무시할 수 있습니다．

마커는 최대 이전 3일까지의 이벤트 대기열을 가리킬 수 있습니다.

eventsFeed fetchedCount

fetchedCount 필드는 현재 가져오기 작업의 총 이벤트 수를 표시합니다． 이 필드의 최대 값은 3000입니다.

eventsFeed 계정

계정(eventsFeedAccountRecords) 필드는 쿼리에 대한 계정 ID와 이벤트 데이터를 보여줍니다. eventsFeedAccountsRecords > EventRecord > EventFieldName 인수를 사용하여 쿼리에 표시되는 이벤트 데이터를 필터링합니다. 이벤트 기록에 대한 자세한 내용은 Cato API - EventsFeed > EventRecord를 참조하십시오．

eventsFeed > records > EventFieldName

다양한 유형의 이벤트에 대한 EventFieldName 열거형 값에 대한 자세한 내용은 Cato Networks GraphQL API 참조를 참조하십시오.

eventsFeed 인수

쿼리로 반환되는 데이터를 정의할 수 있는 인수는 다음과 같습니다:

• accountIDs - 계정 ID(여러 계정의 경우, ID를 배열로 입력)
• filters(EventFieldFilterInput) - 쿼리된 이벤트 및 감사 로그 데이터를 필터링(중첩된 쿼리가 포함된 배열)
• marker - 특정 가져오기 반복에 대한 이벤트만 표시하도록 마커 값에 따라 표시

eventsFeed ID 인수

쿼리가 반환하는 데이터에 대한 하나 이상의 Cato 계정 ID를 입력하십시오. 이 인수는 필수입니다.

이 계정 ID는 Cato 관리 애플리케이션에 표시되지 않으며, 대신 Cato 관리 애플리케이션의 URL에 있는 숫자입니다. 예를 들어, 다음 URL에서의 계정 ID는 26입니다: https://cc2.catonetworks.com/#!/26/topology.

eventsFeed 필터 인수

필터(EventFieldFilterInput) 인수를 사용하여 쿼리에 포함된 특정 이벤트를 정의할 수 있습니다. 정의할 수 있는 인수는 다음과 같습니다:

• fieldName > EventFeedFilterFieldName - Event Discovery에서 이벤트 유형 또는 하위 유형 정의
• operator - 이벤트 데이터를 필터링하기 위한 값을 어떻게 활성화할지 정의
• values - 연산자와 함께 사용되는 필터 값을 정의

다음 필터 구문은 값 보안과 함께 이벤트 유형을 보여주도록 필터링된 쿼리의 예입니다:

"filters": [
{
"fieldName": "event_type",
"operator": "같습니다",
"values": ["보안"]
}
]

다음 필터 구문은 값 인터넷 방화벽과 함께 이벤트 하위 유형만 보여주도록 필터링된 쿼리의 예입니다:

"filters": [
{
"fieldName": "event_sub_type",
"operator": "같습니다",
"values": ["인터넷 방화벽"]
}
]

eventsFeed 마커 인수

마커 인수는 필수이며 특정 가져오기 반복에 대한 이벤트로 쿼리를 제한할 수 있도록 합니다. 예를 들어, 쿼리가 10500개의 이벤트를 반환하는 경우, 다음은 처음 세 번의 가져오기 반복에 대한 결과입니다:

• 첫 번째 반복 - fetchedCount = 3000 (이벤트), marker = 1234abc
• 두 번째 반복 - fetchedCount = 3000 (이벤트), marker = 4567def
• 세 번째 반복 - fetchedCount = 3000 (이벤트), marker = 8901xyz

두 번째 반복의 이벤트만 보려면, 마커 인수를 4567def로 설정합니다.

대기열에 있는 모든 이벤트를 가져오려면 초기 GraphQL 쿼리와 함께 빈 마커 인수(marker:"")로 쿼리를 실행합니다.