이벤트 페이지는 사이트 및 원격 사용자가 Cato Cloud에 연결할 때와 방화벽 또는 보안 엔진에 의해 조치가 차단될 때와 같은 계정 내에서 발생하는 모든 이벤트를 보여줍니다.
이벤트는 계정 활동의 상세한 데이터와 로그를 제공하여 환경을 효율적으로 모니터링하고 관리할 수 있도록 도와줍니다.
선택한 시간 범위에는 종종 수백만 개의 이벤트가 있으며, 페이지는 한 번에 최대 100개의 이벤트를 표시합니다.
Cato는 결과를 필터링할 수 있는 다양한 방법을 제공합니다. 관련 정보를 제공하는 이벤트를 찾을 때까지 필터를 추가하거나 수정하는 것을 권장합니다.
이벤트 데이터는 Cato의 데이터 레이크에 저장됩니다. 자세한 내용은 Cato 데이터 레이크 안내서를 참조하십시오.
참고
참고:
-
이벤트가 생성된 후 일반적으로 5분 이내에 해당 이벤트의 데이터가 이벤트 페이지에 표시됩니다. 그러나 일부 이벤트는 최대 30분까지 지연될 수 있습니다.
-
엔터티 이름(규칙 등)의 변경은 관련 이벤트 필드에 반영되기까지 최대 24시간이 걸릴 수 있습니다.
빠른 보기 옵션은 페이지 성능을 개선하기 위해 각 이벤트에 대해 더 적은 필드를 표시합니다. 기본적으로 활성화되어 있으며, 분석에 가장 일반적으로 필요한 필드를 표시합니다. 빠른 보기 내보내기 옵션을 선택할 경우, 이벤트 페이지의 성능 및 내보내기 성능이 크게 향상됩니다.
빠른 보기 활성화 시 수동으로 선택되거나 필터에서 언급된 모든 필드도 표시됩니다.
모든 필드를 로드하기 위해 언제든지 빠른 보기를 비활성화할 수 있지만, 이는 성능에 영향을 미칠 수 있습니다.
빠른 보기가 활성화되면 각 이벤트에 대해 다음 필드가 표시됩니다. 필드 목록은 고객 사용 데이터에 기반합니다.
-
항상 적용
-
앱 활동 카테고리
-
애플리케이션
-
애플리케이션 활동
-
애플리케이션 위험
-
인증 방법
-
BGP 연결 해제 오류 코드
-
우회 방법
-
우회 이유
-
카테고리
-
Cato 애플리케이션
-
클라이언트 인증서 이름
-
클라이언트 클래스
-
클라이언트 버전
-
구성된 호스트 이름
-
커넥터 유형
-
사용자 정의 카테고리
-
목적지 국가
-
목적지 IP
-
목적지는 사이트 또는 SDP 사용자
-
목적지 포트
-
목적지 사이트
-
장치 인증서
-
장치 이름
-
장치 운영 체제 유형
-
장치 상태 프로필
-
디렉토리 IP
-
디렉토리 동기화 결과
-
DLP 프로필
-
DNS 보호 카테고리
-
DNS쿼리
-
도메인 이름
-
송신 PoP 이름
-
이벤트 유형
-
event_message
-
실패 이유
-
파일 해시
-
파일 유형
-
전체 경로 URL
-
HA 역할
-
호스트 IP
-
호스트 MAC 주소
-
인터페이스 ID
-
IP 프로토콜
-
승인된 애플리케이션
-
ISP 이름
-
LAN 액세스
-
링크 상태 - 패킷 손실률
-
링크 유형
-
로그인한 사용자
-
로그인 유형
-
네트워크 규칙
-
운영 체제 유형
-
PoP 이름
-
공용 소스 IP
-
QoS 우선순위
-
참조 URL
-
관련 앱
-
위험 수준
-
규칙
-
규칙 ID
-
SAM 계정 이름
-
심각도
-
시그니처 ID
-
소켓 리셋
-
소스 국가
-
소스 IP
-
소스는 사이트 또는 SDP 사용자
-
소스 ISP IP
-
소스 포트
-
소스 사이트
-
분할 터널
-
상태
-
서브넷 이름
-
서브 유형
-
TCP 가속
-
위협 이름
-
위협 유형
-
스레드 판결
-
시간
-
TLS 인증서 오류
-
TLS 오류 설명
-
TLS 오류 유형
-
TLS 규칙 이름
-
트래픽 방향
-
신뢰 네트워크
-
터널 프로토콜
-
URL
-
사용자 에이전트
-
사용자 표시 이름
-
사용자 이메일
-
사용자 이름
-
사용자 계정 이름
-
Windows 도메인 이름
홈 > 이벤트 페이지에서 계정 전체의 이벤트를 볼 수 있습니다.
다음 이미지와 테이블은 이벤트 탭이 있는 이벤트 페이지의 요소를 설명합니다:
|
항목 |
이름 |
설명 |
|---|---|---|
|
1 |
프리셋 선택 메뉴 |
공통 시나리오에 대한 이벤트와 수동으로 저장한 모든 사용자 정의 프리셋을 보여주는 사전 설정 필터 옵션이 포함된 드롭다운 메뉴입니다. |
|
2 |
이벤트 필터 바 |
이벤트에 적용된 필터를 표시합니다. 필터의 설정을 수동으로 구성하려면 |
|
3 |
새로고침 |
페이지의 이벤트 데이터를 새로 고칩니다 (새로고침하는 데 약 5초가 소요됩니다) |
|
4 |
시간 범위 |
페이지에 표시되는 이벤트의 시간 범위를 선택합니다. 기본 시간 범위는 지난 2일이며, 이는 지난 48시간 동안의 이벤트를 표시합니다. 자세한 내용은 시간 범위 필터 설정을 참조하십시오. 참고: 이벤트 페이지의 최대 날짜 범위는 31일입니다. |
|
5 |
이벤트 내보내기 메뉴 |
현재 필터의 이벤트를 파일로 내보냅니다. 모든 필드(열)를 내보내거나 선택한 것만 내보낼 수 있습니다. |
|
6 |
사용자 정의 프리셋에 추가 |
현재 필터를 사용자 정의 프리셋에 추가하여 필터를 쉽게 다시 사용할 수 있습니다. |
|
7 |
자연어 검색 |
자연어 필터를 사용하여 이벤트 목록을 필터링합니다. 자세한 내용은 자연어 검색 사용을 참조하십시오. |
|
8 |
수동 필터 전환 |
자연어 검색을 사용한 후, 이 버튼을 사용하여 수동 필터 옵션으로 되돌아갑니다. |
|
9 |
이벤트 타임라인 |
필터링된 이벤트 수를 표시합니다. 각 이벤트 유형은 다른 색상으로 표시됩니다. |
|
10 |
이벤트 수 총계 |
현재 시간 범위 및 필터 설정에 대한 이벤트 총계를 표시합니다. |
|
11 |
이벤트 유형 빠른 필터 |
이벤트 유형을 클릭하여 해당 유형의 이벤트를 숨깁니다. 예를 들어, 네트워크를 클릭하면 네트워크 이벤트가 페이지에 표시되지 않습니다. |
|
12 |
이벤트 데이터 보기 탭 |
탭을 선택하여 이벤트 데이터에 대한 보기를 선택합니다.
|
|
13 |
이벤트 필드 |
필터링된 이벤트의 원시 데이터에 있는 모든 필드입니다. 필터에서 필드를 쉽게 추가하거나 제외할 수 있습니다. 각 필드 카테고리에 맞는 이벤트의 기수(고유 값)를 표시합니다. 카테고리를 확장하면 각 이벤트 유형의 이벤트 총계를 표시합니다. |
|
14 |
이벤트에 대한 시간 및 원시 데이터 |
이벤트가 생성된 시간 스탬프와 이벤트 내 각 필드의 원시 데이터를 표시합니다. 필드를 이 표의 새로운 열로 추가할 수도 있습니다. |
|
15 |
빠른 보기 |
빠른 보기가 기본적으로 활성화되어 각 이벤트에 대해 분석에 보통 필요한 모든 필드를 표시합니다. 이것은 페이지 성능을 크게 향상시킵니다. 빠른 보기 내보내기 옵션을 선택할 때 내보내기 성능도 향상됩니다. |
이벤트 페이지에는 다음과 같은 이벤트 유형이 있습니다:
-
보안 - 위협 방지 및 방화벽 엔진에서 생성된 이벤트
-
보안 이벤트는 잠재적인 보안 문제와 관련이 있으며, 방화벽 규칙을 미세 조정하는 데 도움이 될 수 있습니다
-
-
연결 - 계정 내의 LAN 모니터링, 사이트 및 VPN 클라이언트에 대한 연결과 관련된 이벤트
-
연결 이벤트는 사이트 연결 문제와 관련이 있으며, 예를 들어 패킷 손실률과 관련된 링크 품질을 포함합니다
-
-
시스템 - LDAP, 사용자 인식, 라이센스 및 사용자 계정과 관련된 이벤트
-
시스템 이벤트는 디렉토리 서비스 동기화의 상태와 관련이 있습니다
-
-
라우팅 - 라우팅 및 BGP 이벤트
-
라우팅 이벤트는 BGP 세션 및 라우트의 상태와 관련이 있습니다
-
-
소켓 관리 - 펌웨어 업데이트와 같은 소켓 관련 이벤트
-
소켓 관리 이벤트는 소켓이 최신 버전으로 성공적으로 업데이트되었음을 나타냅니다
-
이벤트를 필터링하여 관련 정보를 빠르게 찾을 수 있습니다.
매일 사용하는 언어로 쉽게 이벤트를 검색하여 페이지의 관련 데이터를 식별할 수 있습니다. 자세한 내용은 자연어 검색 사용을 참조하십시오.
카토의 사전 설정된 필터를 사용하거나 맞춤 필터를 생성하여 관련 이벤트를 찾을 수 있습니다. 자세한 내용은 페이지에서 데이터 필터링을 참조하십시오
이벤트 페이지의 왼쪽 섹션은 이벤트에 포함된 필드와 값을 보여줍니다 (이전 예시의 항목 5). 필드 값을 이벤트 필터에 쉽게 추가하여 관련 이벤트를 찾을 수 있습니다.
다음 표는 이벤트 필드의 버튼을 설명합니다:
|
항목 |
설명 |
|---|---|
|
|
필드를 선택된 필드 섹션에 추가하고 페이지는 이러한 필드의 이벤트 데이터만 표시합니다. 열의 상단에 있는 X를 눌러 제거합니다. |
|
|
필드의 특정 값을 필터에 추가합니다. 이벤트 페이지는 자동으로 업데이트되며 새로운 필터와 일치하는 이벤트를 표시합니다. |
|
|
이 필드의 특정 값에 대한 제외를 필터에 추가합니다. 이벤트 페이지는 자동으로 업데이트되며 이 값과 일치하지 않는 이벤트를 표시합니다. |
또한 특정 필드의 이벤트 데이터를 보여주는 새 열을 추가할 수 있습니다. 다음 표는 이벤트 필드의 버튼을 설명합니다:
이벤트 페이지의 이벤트 데이터를 파일로 내보내 추가 분석을 할 수 있습니다. 한 번에 최대 250,000개의 이벤트를 파일로 내보낼 수 있습니다. 현재 필터 및 시간 범위의 모든 이벤트가 내보내기에 포함됩니다. 다음 세 가지 옵션을 사용하여 내보내기에 포함할 이벤트 필드를 제어할 수 있습니다:
-
모든 필드: 내보내기의 모든 이벤트에 대해 모든 필드를 포함합니다.
-
선택된 필드: 내보내기에 추가한 필드만 포함합니다.
-
QuickView: QuickView가 활성화되어 있으면, 필터에 명시적으로 언급되거나 수동으로 추가된 필드와 함께 QuickView 필드만 포함됩니다. 이 옵션은 내보내기 성능을 향상시키기 위해 설계되었습니다.
참고
참고:
-
편집자 역할을 가진 CMA 관리자만 CSV 파일로 내보내기 권한이 있습니다. 관리자 역할 구성에 대한 자세한 내용은 관리자 관리를 참조하십시오.
-
때때로 이벤트를 내보내면서 쿼리가 너무 오래 걸려 요청 시간이 초과되어 실패할 수 있습니다. 이벤트 필터의 시간 범위를 줄이거나 QuickView 내보내기 옵션을 사용한 후 다시 시도할 수 있습니다.
-
이벤트 페이지의 이벤트 수는 반올림될 수 있습니다. 예를 들어, 이벤트 페이지에 2K 이벤트가 표시되지만 실제 이벤트 수는 1952입니다.
-
이벤트를 내보낸 후, CSV 파일의 events_count 열은 각 행에 대해 여러 이벤트를 표시할 수 있습니다. 이는 동일한 이벤트가 1분 내에 여러 번 발생할 때 발생합니다. 이 열의 COUNT는 내보낸 이벤트 총계와 다른 숫자를 표시할 수 있습니다. 내보낸 이벤트의 총수를 표시하려면, events_count 열의 SUM을 사용하십시오.
댓글 0개
댓글을 남기려면 로그인하세요.