A página de Eventos mostra todos os eventos que ocorrem na sua conta, como quando sites e usuários remotos se conectam à Cato Cloud e bloqueiam ações por um firewall ou motor de segurança.
Eventos do Cato fornecem dados detalhados sobre tráfego e atividade na sua conta. Cada evento registra informações sobre algo que ocorreu no ambiente, como uma tentativa de conexão, uma ação de segurança ou uma atividade relacionada à configuração, incluindo o contexto necessário para entender o que aconteceu e como a Cato lidou com isso.
Use a página de Eventos no Aplicativo de Gerenciamento Cato (CMA) para investigar tráfego, monitorar atividade da conta, validar comportamento de política e solucionar problemas operacionais. Você pode restringir os dados de eventos por intervalo de tempo, tipo de evento, valores de campo, predefinições, filtros personalizados ou pesquisa em linguagem natural para se concentrar nos eventos que são relevantes para uma questão específica de rede ou segurança.
Para análise adicional, monitoramento centralizado ou retenção, você pode:
- Enviar eventos para plataformas externas com Integração de Eventos, veja Introdução às Integrações de Eventos
- Exportar dados de eventos da página de Eventos, veja abaixo Exportando Eventos para um Arquivo
Os dados do evento são armazenados no Data Lake da Cato. Para mais informações, veja Guia do Cato Data Lake.
Nota
Notas:
- Após um evento ser gerado, normalmente dentro de um período de tempo de 5 minutos, os dados desse evento são mostrados na página de Eventos. No entanto, é possível que alguns eventos sejam atrasados em até 30 minutos.
- Alterações nos nomes de entidades (como regras de política) podem levar até 24 horas para serem refletidas nos campos relevantes do evento.
A Visualização Rápida é uma opção que exibe menos Campos para cada Evento, a fim de melhorar o desempenho da página. Ativada por padrão, ela exibe os Campos mais comumente necessários para análise. Ela melhora significativamente o desempenho da página de Eventos, assim como o desempenho da exportação quando você seleciona a opção de Exportar na Visualização Rápida.
Qualquer Campo que seja selecionado manualmente ou mencionado em um filtro também é exibido quando a Visualização Rápida está ativada.
Você pode desativar a Visualização Rápida a qualquer momento para carregar todos os campos, no entanto, isso pode impactar o desempenho.
Os seguintes Campos são exibidos para cada Evento quando a Visualização Rápida está ativada. A lista de campos é baseada nos dados de uso do cliente.
- Sempre Ativo
- Categoria de Atividade do Aplicativo
- Aplicação
- Atividade da Aplicação
- Risco da Aplicação
- Método de Autenticação
- Código de Erro de Desconexão BGP
- Método de Ignorar
- Motivo de Ignorar
- Categoria
- Aplicativo Cato
- Nome do Certificado do Cliente
- Classe do Cliente
- Versão do Cliente
- Nome do Host Configurado
- Tipo de Conector
- Categoria Personalizada
- País de Destino
- IP de Destino
- Destino é Site ou Usuário SDP
- Porta de Destino
- Site de Destino
- Certificado de Dispositivo
- Nome do Dispositivo
- Tipo de Sistema Operacional do Dispositivo
- Perfis de Postura de Dispositivo
- IP do Diretório
- Resultado da Sincronização do Diretório
- Perfis de DLP
- Categoria de Proteção DNS
- Consulta DNS
- Nome do Domínio
- Nome de Saída PoP
- Tipo de Evento
- event_message
- Motivo da Falha
- Hash do Arquivo
- Tipo de Arquivo
- URL Completo
- Função HA
- IP do Host
- Endereço MAC do Host
- ID da Interface
- Protocolo IP
- É Aplicativo Autorizado
- Nome do ISP
- Acesso LAN
- Saúde do Link - Perda de Pacotes
- Tipo de Link
- Usuário Conectado
- Tipo de Login
- Regra de Rede
- Tipo de Sistema Operacional
- Nome PoP
- IP de Origem Público
- Prioridade QoS
- URL de Referência
- Aplicativos Relacionados
- Nível de Risco
- Regra
- ID da Regra
- Nome da Conta SAM
- Severidade
- ID da Assinatura
- Redefinir Socket
- País de Origem
- IP de Origem
- Fonte é Site ou Usuário SDP
- IP do Provedor de Serviços de Internet de Origem
- Porta de Origem
- Site de Origem
- Túnel Dividido
- Status
- Nome da Sub-rede
- Sub-Type
- Aceleração TCP
- Nome da Ameaça
- Tipo de Ameaça
- Veredito do Encadeamento
- Tempo
- Erro no Certificado TLS
- Descrição do Erro TLS
- Tipo de Erro TLS
- Nome da Regra TLS
- Direção do Tráfego
- Redes Confiáveis
- Protocolo de Túnel
- URL
- Navegador
- User Display Nae
- E-mail do Usuário
- Nome de Usuário
- Nome Principal do Usuário
- Nome do Domínio Windows
Você pode visualizar eventos para toda a sua conta na página Inicial > Eventos.
A imagem e a tabela a seguir explicam os elementos da página Eventos com a aba Eventos:
| Item | Nome | Descrição |
|---|---|---|
| 1 | Menu de Selecionar Predefinições | Menu suspenso com opções de filtro de predefinição para mostrar os eventos de cenários comuns, assim como qualquer predefinição personalizada que você tenha salvo manualmente. |
| 2 | Barra de filtro de eventos | Mostra os filtros que são aplicados aos eventos. Clique |
| 3 | Atualizar | Atualiza os dados para eventos na página (leva cerca de 5 segundos para atualizar) |
| 4 | Intervalo de Tempo |
Selecione o intervalo de tempo para os eventos que são mostrados na página. O intervalo de tempo padrão é Últimos 2 Dias, que mostra eventos das últimas 48 horas. Para mais informações, veja Definindo o Filtro de Intervalo de Tempo. Nota: O intervalo máximo de datas para a página de Eventos é de 31 dias. |
| 5 | Menu de exportação de eventos | Exporta eventos no filtro atual para um arquivo. Você pode exportar todos os campos (colunas), ou apenas os que selecionou. |
| 6 | Adicionar aos Meus Presets Personalizados | Adicione o filtro atual aos seus presentes personalizados para que possa usar o filtro novamente com facilidade. |
| 7 | Pesquisa de Linguagem Natural | Filtre a lista de eventos usando filtros de linguagem natural. |
| 8 | Alternar Filtro Manual | Após usar uma pesquisa por linguagem natural, este botão alterna de volta para as opções de filtro manual. |
| 9 | Linha do tempo dos eventos | Mostra o número de eventos filtrados. Cada tipo de evento é representado por uma cor diferente. |
| 10 | Número total de eventos | Mostra o número total de eventos para o intervalo de tempo e configurações de filtro atuais. |
| 11 | Filtros rápidos do tipo de evento | Clique em um tipo de evento para ocultar os eventos desse tipo. Por exemplo, ao clicar Rede, os eventos de Rede não são exibidos na página. |
| 12 | Abas de visualização de dados de eventos |
Selecione a aba para escolher a visão para os dados dos eventos.
|
| 13 | Campos de evento |
Todos os campos que estão nos dados brutos para os eventos filtrados. Você pode facilmente adicionar ou excluir um campo no filtro. Mostra a cardinalidade (valores distintos) de eventos que correspondem a cada categoria de campo. Quando você expande a categoria, mostra o número total de eventos para cada tipo de evento. |
| 14 | Tempo e Dados Brutos para um evento | Mostra o horário em que o evento foi gerado e os dados brutos para cada campo no evento. Você também pode adicionar os campos como novas colunas nesta tabela. |
| 15 | Visualização Rápida | A Visualização Rápida está ativada por padrão, exibindo todos os campos que normalmente são necessários para análise de cada Evento. Isso melhora significativamente o desempenho da página. Isso também melhora o desempenho de exportação quando você seleciona a opção de exportação Visualização Rápida. |
Estes são os tipos de eventos na página de Eventos:
-
Conectividade - Eventos relacionados à conectividade para monitoramento LAN, sites e clientes VPN na conta
- Eventos de conectividade estão relacionados a problemas com a conexão do site, por exemplo, qualidade do link relacionada à perda de pacotes
-
Detecção e Resposta - Eventos relacionados a histórias XOps
- Eventos de Detecção e Resposta estão relacionados a novas e atualizadas histórias XOps geradas pela Política de Resposta
-
Postura - Eventos relacionados a verificações de Postura
- Eventos de Postura estão relacionados a mudanças de pontuação de postura e novas verificações
-
Roteamento - Roteamento e eventos BGP
- Eventos de Roteamento estão relacionados ao status de sessões BGP e rotas
-
Segurança - Eventos gerados por motores de Proteção contra Ameaças e Firewall
- Eventos de segurança estão relacionados a potenciais problemas de segurança e podem ajudá-lo a ajustar as regras do firewall
-
Gerenciamento de Sockets - Eventos relacionados a Sockets, como atualizações de firmware
- Eventos de gerenciamento de sockets estão relacionados a um Socket que foi atualizado com sucesso para a versão mais recente
-
Sistema - Eventos relacionados a LDAP, Consciência do Usuário, licença, e contas
- Eventos de sistema estão relacionados ao estado de uma sincronia de Serviços de Diretório
Você pode filtrar eventos para ajudá-lo a encontrar rapidamente informações relevantes.
Você pode facilmente pesquisar eventos usando linguagem comum para aprofundar e identificar dados relevantes na página. Para mais detalhes, veja Using Natural Language Search.
Você pode usar os filtros predefinidos da Cato ou criar filtros personalizados para ajudar a encontrar os eventos relevantes. Para detalhes, veja Filtering Data on a Page
A seção à esquerda da página de Eventos mostra os campos e valores que estão incluídos nos eventos (item 5 no exemplo anterior). Você pode facilmente adicionar um valor de campo ao filtro de eventos para detalhar e identificar os eventos relevantes.
A tabela a seguir explica os botões nos campos de eventos:
| Item | Descrição |
|---|---|
| Adiciona o campo à seção de Campos Selecionados, e a página só mostra dados de eventos para esses campos. Clique em X no topo da coluna para removê-la. | |
| Adiciona o valor específico para o campo ao filtro. A página Eventos atualiza automaticamente e mostra eventos que correspondem ao novo filtro. | |
| Adiciona uma exclusão para esse valor específico deste campo ao filtro. A página Eventos atualiza-se automaticamente e mostra eventos que NÃO correspondem a este valor. |
Além disso, você pode adicionar uma nova coluna que mostra dados de eventos para o campo específico. A tabela a seguir explica os botões nos campos de eventos:
Para adicionar um valor de evento ao filtro:
-
Na página de Eventos, clique no campo para expandir os valores.
-
Para o valor específico, clique no botão para adicionar o valor ou a exclusão ao filtro.
A página de Eventos atualiza e mostra os eventos que correspondem ao novo filtro. O valor do campo mostra o número de eventos correspondentes.
Você pode exportar os dados do evento na página de Eventos para um arquivo para análise adicional. Você pode exportar até 250.000 eventos de uma só vez para um arquivo. Todos os eventos no filtro e intervalo de tempo atuais estão incluídos na exportação. Você pode usar as três opções a seguir para controlar quais campos de eventos são incluídos na exportação:
- Todos os campos: Incluir todos os campos para cada evento na exportação.
- Campos Selecionados: Incluir apenas os campos que você adicionou na exportação.
- QuickView: Quando o QuickView está habilitado, isso inclui apenas os campos do QuickView, além de quaisquer campos adicionados manualmente ou mencionados explicitamente no filtro. Esta opção é projetada para melhorar o desempenho da exportação.
Nota
Notas:
- Somente os administradores CMA com uma Função de Editor têm permissão para exportar para um arquivo CSV. Para mais sobre configuração de funções de administrador, consulte Managing Admins.
- Às vezes, tentar exportar eventos falhará porque a consulta demora muito e a solicitação expira. Você pode reduzir o período de tempo do filtro de eventos ou usar a opção de exportação QuickView e então tentar novamente.
- O número de eventos na página de Eventos pode ser arredondado. Por exemplo, a página de Eventos mostra 2K eventos, e o número real de eventos é 1952.
- Após exportar os eventos, a coluna events_count no arquivo CSV pode mostrar múltiplos eventos para cada linha, isso acontece quando o mesmo evento ocorreu mais de uma vez no período de um minuto. A CONTAGEM desta coluna pode mostrar um número diferente do total de eventos exportados. Para mostrar o número total de eventos exportados, use a SOMA da coluna events_count.
Para exportar eventos para um arquivo CSV:
- (Opcional) Clique em Adicionar para os campos que você está exportando.
- Na página Eventos, clique em Exportar Eventos.
-
Selecione o escopo da exportação: Todos os campos nos eventos, os Campos Selecionados no filtro, ou os campos incluídos no QuickView.
- Todos os campos nos eventos
- Campos Selecionados no filtro
- Campos incluídos no QuickView
- Clique em OK. Os eventos são exportados para o arquivo CSV e o arquivo é baixado de acordo com as configurações do seu navegador de Internet.
0 comentário
Por favor, entre para comentar.