이벤트 페이지는 사이트 및 원격 사용자가 Cato Cloud에 연결할 때와 방화벽 또는 보안 엔진에 의해 조치가 차단될 때와 같은 계정 내에서 발생하는 모든 이벤트를 보여줍니다.
Cato 이벤트는 트래픽 및 계정 전체 활동에 대한 자세한 데이터를 제공합니다. 각 이벤트는 환경에서 발생한 연결 시도, 보안 작업, 또는 구성 관련된 활동에 대한 정보를 기록하며, 발생한 내용과 Cato가 이를 처리한 방법을 이해하기 위한 컨텍스트를 포함합니다.
Cato 관리 애플리케이션(CMA)의 이벤트 페이지를 사용하여 트래픽을 조사하고, 계정 활동을 모니터링하며, 정책 동작을 검증하고, 운영 문제를 해결합니다. 특정 네트워크 또는 보안 질문과 관련된 이벤트에 집중하기 위해 시간 범위, 이벤트 유형, 필드 값, 프리셋, 사용자 정의 필터 또는 자연어 검색으로 이벤트 데이터를 좁힐 수 있습니다.
추가 분석, 중앙 모니터링 또는 보존을 위해 다음을 수행할 수 있습니다:
- 이벤트 통합을 사용하여 이벤트를 외부 플랫폼에 보내십시오. 자세한 내용은 이벤트 통합 시작하기를 참조하십시오.
- 이벤트 페이지에서 이벤트 데이터를 내보내십시오. 아래를 참조하십시오: 이벤트 파일로 내보내기
이벤트 데이터는 Cato의 데이터 레이크에 저장됩니다. 자세한 정보는 Cato 데이터 레이크 사용 안내를 참조하십시오.
참고
참고:
- 이벤트가 생성된 후, 일반적으로 5분 이내에 그 이벤트의 데이터가 이벤트 페이지에 표시됩니다. 그러나 일부 이벤트는 최대 30분까지 지연될 수 있습니다.
- 정책 규칙과 같은 엔티티 이름 변경은 관련 이벤트 필드에 반영되기까지 최대 24시간이 걸릴 수 있습니다.
빠른 보기 옵션은 페이지 성능을 개선하기 위해 각 이벤트에 대해 더 적은 필드를 표시합니다. 기본적으로 활성화되어 있으며, 분석에 가장 일반적으로 필요한 필드를 표시합니다. 빠른 보기 내보내기 옵션을 선택할 경우, 이벤트 페이지의 성능 및 내보내기 성능이 크게 향상됩니다.
빠른 보기 활성화 시 수동으로 선택되거나 필터에서 언급된 모든 필드도 표시됩니다.
모든 필드를 로드하기 위해 언제든지 빠른 보기를 비활성화할 수 있지만, 이는 성능에 영향을 미칠 수 있습니다.
빠른 보기가 활성화되면 각 이벤트에 대해 다음 필드가 표시됩니다. 필드 목록은 고객 사용 데이터에 기반합니다.
- 항상 적용
- 앱 활동 카테고리
- 애플리케이션
- 애플리케이션 활동
- 애플리케이션 위험
- 인증 방법
- BGP 연결 끊김 오류 코드
- 우회 방법
- 우회 이유
- 카테고리
- Cato 애플리케이션
- 클라이언트 인증서 이름
- 클라이언트 클래스
- 클라이언트 버전
- 구성된 호스트 이름
- 커넥터 유형
- 사용자 정의 카테고리
- 목적지 국가
- 목적지 IP
- 목적지가 사이트 또는 SDP 사용자
- 목적지 포트
- 목적지 사이트
- 장치 인증서
- 장치 이름
- 장치 운영 체제 유형
- 장치 자세 프로필
- 디렉토리 IP
- 디렉토리 동기화 결과
- DLP 프로필
- DNS 보호 카테고리
- DNS 쿼리
- 도메인 이름
- 송신 PoP 이름
- 이벤트 유형
- event_message
- 실패 이유
- 파일 해시
- 파일 유형
- 전체 경로 URL
- HA 역할
- 호스트 IP
- 호스트 MAC 주소
- 인터페이스 ID
- IP 프로토콜
- 동진 앱인지 확인
- ISP 이름
- LAN 액세스
- 링크 건강 - 패킷 손실
- 링크 유형
- 로그인한 사용자
- 로그인 유형
- 네트워크 규칙
- 운영 체제 유형
- PoP 이름
- 공용 소스 IP
- QoS 우선순위
- 참조 URL
- 관련 앱
- 위험 수준
- 규칙
- 규칙 ID
- SAM 계정 이름
- 심각도
- 시그니처 ID
- 소켓 재설정
- 소스 국가
- 소스 IP
- 소스가 사이트 또는 SDP 사용자
- 소스 ISP IP
- 소스 포트
- 소스 사이트
- 분할 터널
- 상태
- 서브넷 이름
- 서브 유형
- TCP 가속
- 위협 이름
- 위협 유형
- 위협 판결
- 시간
- TLS 인증서 오류
- TLS 오류 설명
- TLS 오류 유형
- TLS 규칙 이름
- 트래픽 방향
- 신뢰 네트워크
- 터널 프로토콜
- URL
- 브라우저별 로그인 현황
- 사용자 표시 Nae
- 사용자 이메일
- 사용자 이름
- 사용자 계정 이름
- Windows 도메인 이름
홈 > 이벤트 페이지에서 계정 전체의 이벤트를 볼 수 있습니다.
다음 이미지와 테이블은 이벤트 탭이 있는 이벤트 페이지의 요소를 설명합니다:
| 항목 | 이름 | 설명 |
|---|---|---|
| 1 | 프리셋 선택 메뉴 | 미리 저장한 사용자 정의 프리셋은 물론, 일반적인 시나리오에 대한 이벤트를 보여주기 위한 프리셋 필터 옵션이 있는 드롭다운 메뉴입니다. |
| 2 | 이벤트 필터 바 | 이벤트에 적용된 필터를 보여줍니다. |
| 3 | 새로고침 | 새로고침은 페이지의 이벤트 데이터를 새로고침합니다 (새로고침하는 데 약 5초 소요). |
| 4 | 시간 범위 |
페이지에 표시된 이벤트의 시간 범위를 선택합니다. 기본 시간 범위는 이날에 대한 이벤트를 표시하는 마지막 2일입니다. 자세한 내용은 시간 범위 설정을 참조하세요. 참고: 이벤트 페이지의 최대 날짜 범위는 31일입니다. |
| 5 | 이벤트 내보내기 메뉴 | 현재 필터의 이벤트를 파일로 내보냅니다. 모든 필드(열) 또는 선택한 필드만 내보낼 수 있습니다. |
| 6 | 사용자 정의 프리셋에 추가 | 현재 필터를 사용자 정의 프리셋에 추가하여 필터를 쉽게 다시 사용할 수 있습니다. |
| 7 | 자연어 검색 | 자연어 필터를 사용하여 이벤트 목록을 필터링합니다. |
| 8 | 수동 필터 토글 | 자연어 검색을 사용한 후 이 버튼은 수동 필터 옵션으로 돌아갑니다. |
| 9 | 이벤트 타임라인 | 필터링된 이벤트의 수를 보여줍니다. 각 이벤트 유형은 다른 색상으로 표시됩니다. |
| 10 | 이벤트 총 수 | 현재 시간 범위 및 필터 설정에 대한 이벤트 총 수를 보여줍니다. |
| 11 | 이벤트 유형 빠른 필터 | 이벤트 유형을 클릭하면 해당 유형의 이벤트가 숨겨집니다. 예를 들어, 네트워크를 클릭하면 네트워크 이벤트가 페이지에 표시되지 않습니다. |
| 12 | 이벤트 데이터 보기 탭 |
탭을 선택하여 이벤트 데이터의 보기를 선택합니다.
|
| 13 | 이벤트 필드 |
필터링된 이벤트의 원시 데이터에 있는 모든 필드입니다. 필터에서 필드를 쉽게 추가하거나 제외할 수 있습니다. 각 필드 범주와 일치하는 이벤트의 기수(독특한 값)를 보여줍니다. 범주를 확장하면 각 이벤트 유형에 대한 이벤트의 총 수를 보여줍니다. |
| 14 | 이벤트에 대한 시간 및 원시 데이터 | 이벤트가 생성된 시간 스탬프 및 이벤트 내 각 필드의 원시 데이터를 보여줍니다. 필드를 새 열로 이 테이블에 추가할 수 있습니다. |
| 15 | QuickView | QuickView는 기본적으로 활성화되어 있으며, 분석에 일반적으로 필요한 모든 필드를 각 이벤트에 대해 표시합니다. 이는 페이지 성능을 현저히 개선합니다. QuickView 내보내기 옵션을 선택하면 내보내기 성능도 개선됩니다. |
이벤트 페이지에는 다음과 같은 이벤트 유형이 있습니다:
-
연결 - 계정 내의 LAN 모니터링, 사이트 및 VPN 클라이언트에 대한 연결과 관련된 이벤트
- 연결 이벤트는 사이트 연결 문제와 관련이 있으며, 예를 들어 패킷 손실률과 관련된 링크 품질을 포함합니다
-
탐지 및 대응 - XOps 스토리와 관련된 이벤트
- 탐지 및 대응 이벤트는 대응 정책에 의해 생성된 새로운 및 업데이트된 XOps 스토리와 관련이 있습니다.
-
자세 - 자세 점검과 관련된 이벤트
- 자세 이벤트는 자세 점수 변경 및 새로운 점검과 관련이 있습니다.
-
라우팅 - 라우팅, 그리고 BGP 이벤트
- 라우팅 이벤트는 BGP 세션과 경로의 상태와 관련이 있습니다.
-
보안 - 위협 방지 및 방화벽 엔진에서 생성된 이벤트
- 보안 이벤트는 잠재적인 보안 문제와 관련이 있으며, 방화벽 규칙을 미세 조정하는 데 도움이 될 수 있습니다
-
소켓 관리 - 펌웨어 업데이트와 같은 소켓 관련 이벤트
- 소켓 관리 이벤트는 소켓이 최신 버전으로 성공적으로 업데이트되었음을 나타냅니다
-
시스템 - LDAP, 사용자 인식, 라이센스 및 사용자 계정과 관련된 이벤트
- 시스템 이벤트는 디렉토리 서비스 동기화의 상태와 관련이 있습니다
이벤트를 필터링하여 관련 정보를 빠르게 찾을 수 있습니다.
매일 사용하는 언어로 쉽게 이벤트를 검색하여 페이지의 관련 데이터를 식별할 수 있습니다. 자세한 내용을 보려면 자연어 검색 사용을 참조하세요.
카토의 사전 설정된 필터를 사용하거나 맞춤 필터를 생성하여 관련 이벤트를 찾을 수 있습니다. 자세한 내용은 페이지에서 데이터 필터링을 참조하세요.
이벤트 페이지의 왼쪽 섹션은 이벤트에 포함된 필드와 값을 보여줍니다 (이전 예시의 항목 5). 필드 값을 이벤트 필터에 쉽게 추가하여 관련 이벤트를 찾을 수 있습니다.
다음 표는 이벤트 필드의 버튼을 설명합니다:
| 항목 | 설명 |
|---|---|
| 필드를 선택된 필드 섹션에 추가하고 페이지는 이러한 필드의 이벤트 데이터만 표시합니다. 열의 상단에 있는 X를 눌러 제거합니다. | |
| 필드의 특정 값을 필터에 추가합니다. 이벤트 페이지는 자동으로 업데이트되며 새로운 필터와 일치하는 이벤트를 표시합니다. | |
| 이 필드의 특정 값에 대한 제외를 필터에 추가합니다. 이벤트 페이지는 자동으로 업데이트되며 이 값과 일치하지 않는 이벤트를 표시합니다. |
또한 특정 필드의 이벤트 데이터를 보여주는 새 열을 추가할 수 있습니다. 다음 표는 이벤트 필드의 버튼을 설명합니다:
이벤트 페이지의 이벤트 데이터를 파일로 내보내 추가 분석을 할 수 있습니다. 한 번에 최대 250,000개의 이벤트를 파일로 내보낼 수 있습니다. 현재 필터 및 시간 범위의 모든 이벤트가 내보내기에 포함됩니다. 다음 세 가지 옵션을 사용하여 내보내기에 포함할 이벤트 필드를 제어할 수 있습니다:
- 모든 필드: 내보내기의 모든 이벤트에 대해 모든 필드를 포함합니다.
- 선택된 필드: 내보내기에 추가한 필드만 포함합니다.
- QuickView: QuickView가 활성화되어 있으면, 필터에 명시적으로 언급되거나 수동으로 추가된 필드와 함께 QuickView 필드만 포함됩니다. 이 옵션은 내보내기 성능을 향상시키기 위해 설계되었습니다.
참고
참고:
- 편집자 역할을 가진 CMA 관리자만 CSV 파일로 내보내기 권한이 있습니다. 관리자 역할 구성에 대한 자세한 내용은 관리자 관리를 참조하십시오.
- 때때로 이벤트를 내보내면서 쿼리가 너무 오래 걸려 요청 시간이 초과되어 실패할 수 있습니다. 이벤트 필터의 시간 범위를 줄이거나 QuickView 내보내기 옵션을 사용한 후 다시 시도할 수 있습니다.
- 이벤트 페이지의 이벤트 수는 반올림될 수 있습니다. 예를 들어, 이벤트 페이지에 2K 이벤트가 표시되지만 실제 이벤트 수는 1952입니다.
- 이벤트를 내보낸 후, CSV 파일의 events_count 열은 각 행에 대해 여러 이벤트를 표시할 수 있습니다. 이는 동일한 이벤트가 1분 내에 여러 번 발생할 때 발생합니다. 이 열의 COUNT는 내보낸 이벤트 총계와 다른 숫자를 표시할 수 있습니다. 내보낸 이벤트의 총수를 표시하려면, events_count 열의 SUM을 사용하십시오.
댓글 0개
댓글을 남기려면 로그인하세요.