A consulta da API de eventos fornece uma maneira de obter informações resumidas sobre os eventos gerados para uma conta sem precisar extrair os eventos individuais e realizar a análise.
Exemplos do tipo de análise incluído na API de eventos:
-
Número de usuários SDP que fizeram login durante um período específico
-
Percentual de eventos de bloqueio vs. autorização do firewall
-
Mostrar quantos eventos (cardinalidade) foram gerados para cada tipo de evento nos últimos 30 dias
Estes são os argumentos que você pode passar para a chamada da API de eventos para modificar sua operação:
-
ID da Conta
-
medidas
-
filtros
-
dimensões
-
ordenar
-
período de tempo
Este é o ID da Conta para a conta sobre a qual você está executando a consulta.
Nota
Note: This account ID isn't shown in the Cato Management Application, instead it is the number in the URL for the Cato Management Application. For example, the account ID is 26 for the following URL: https://cc.catonetworks.com/#!/26/topology.
O argumento medidas permite definir os campos que você deseja que a consulta eventos examine e a maneira como os resultados devem ser agregados. Para cada campo que você deseja analisar, você deve definir o seguinte:
-
nome do campo - define o campo que você deseja agregar
-
tipo de agregação - define como você deseja que a agregação seja realizada (ex: contagem distinta)
O seguinte exemplo mostra a sintaxe de medidas para uma consulta que retorna a soma dos campos event_count:
"medidas": [
{"nome do campo":"event_count","tipo de agregação":"soma"}
]
O argumento filtros permite definir um filtro que resultará em apenas um subconjunto limitado de eventos sendo examinado. Para cada filtro, você deve definir o seguinte:
-
nome do campo - define o nome do campo que você deseja filtrar
-
operador - define a operação de filtro que deve ser usada para filtrar o campo
-
valores - define o valor do filtro que é usado com o operador
Aqui está um exemplo do argumento filtros usado para selecionar apenas eventos com event_type como Segurança:
"filtros": [
{
"nome do campo": "event_type",
"operador": "é",
"valores": ["Segurança"]
}
]
Use o argumento dimensões para agrupar campos com os mesmos valores em linhas resumidas.
Aqui está um exemplo que agrupa os arquivos de acordo com o event_type:
"dimensões": [
{"nome do campo": "event_type"}
]
O argumento ordenar define como os dados retornados devem ser ordenados. Aqui está um exemplo de uso do argumento ordenar
'ordenar': [
{'nome do campo': 'event_count', 'ordem': 'desc'},
{'nome do campo': 'event_type', 'ordem': 'asc'}
]
Define o período de tempo da consulta. Isso é especificado usando o formato definido pela especificação ISO 8601. Aqui está um exemplo de como você especificaria o período de tempo para os últimos 30 dias:
"período de tempo": "last.P30D"
Nota
Notas:
-
O tempo máximo que pode ser especificado para o argumento período de tempo é atualmente de 89 dias.
-
A especificação ISO 8601 real pode ser obtida aqui, mas não é gratuita. Você também pode consultar este artigo da Wikipedia para mais informações sobre como entender este argumento.
consultar eventos(
$ID da Conta: ID!,
$medidas: [EventsMeasure],
$dimensões: [EventsDimension],
$filtros: [EventsFilter!],
$ordenar: [EventsSort!],
$período de tempo: TimeFrame!,
$limite: Int,
$de: Int) {
eventos(
ID da Conta: $ID da Conta
período de tempo: $período de tempo
medidas: $medidas
dimensões: $dimensões
filtros: $filtros
ordenar: $ordenar ) {
id
de
total
registros(limite: $limite, de: $de) {
fieldsMap
}
}
}
{
"ID da Conta": "1234",
"medidas": [ {
"nome do campo": "event_sub_type",
"tipo de agregação": "contagem distinta"
}
],
"filtros": [ {
"nome do campo": "event_type",
"operador": "é", "valores": ["Segurança"]
}
],
"período de tempo": "last.P1M"
}
0 comentário
Por favor, entre para comentar.