Cato API - AuditFeed

Мы настоятельно рекомендуем перед началом использования Cato API ознакомиться с Политикой поддержки Cato API.

Обзор auditFeed

Запрос auditFeed помогает анализировать действия, совершенные администраторами в Приложении Управления Cato. Данные, которые возвращает этот запрос, схожи с окном System> Audit Trail в Приложении Управления Cato.

Для аккаунтов реселлеров вы можете создать отдельные API-ключи внутри каждой учетной записи клиента, к которой вы подключаетесь через Cato API. Для получения дополнительной информации об ограничении скорости и запросе auditFeed API, смотрите Понимание ограничения скорости Cato API.

Понимание полученных данных

Вызов API auditFeed разработан для поддержки извлечения более 2M элементов аудита в час. Чтобы помочь разбить возвращаемые данные на страницы, если в течение времени timeFrame больше 1000 элементов аудита, запрос проходит по итерациям, пока не вернет все данные аудита.

Эти поля связаны с разбиением на страницы данных аудита: marker, fetchedCount и hasMore. Смотрите ниже объяснения этих полей.

Детали полей auditFeed

Это детали, которые поля auditFeed могут показать для запроса:

  • from - время начала
  • to - время окончания
  • marker - поле маркера является уникальным идентификатором последнего элемента данных аудита, который вернул API запрос.
  • fetchedCount - количество извлеченных элементов (максимум 1000 элементов за извлечение)
  • hasMore - если true, указывает на наличие дополнительных элементов для извлечения запросом
  • accounts (auditFeedAccountRecords) - для реселлеров, управляющих несколькими учетными записями, это поле указывает на измененную учетную запись и включает все записи и данные аудита (массив с вложенными запросами и полями)

auditFeed From

Поле From показывает время начала данных запроса и определяется аргументом timeFrame.

auditFeed To

Поле To показывает время окончания данных запроса и определяется аргументом timeFrame.

auditFeed Marker

Когда количество элементов аудита превышает 1000 за период запроса, поле Marker показывает идентификатор, указывающий на начало новой итерации для извлечения элементов. Например, если запрос возвращает 2500 элементов, то это результаты по итерациям извлечения:

  • первая итерация - fetchedCount = 1000 (элементов), marker = 1234abc, hasMore = true
  • вторая итерация - fetchedCount = 1000 (элементов), marker = 4567def, hasMore = true
  • третья итерация - fetchedCount = 500 (элементов), marker = 8901xyz, hasMore = false

    Значение маркера последней итерации можно игнорировать

auditFeed fetchedCount

Поля fetchedCount показывают общее количество элементов в текущем действии извлечения. Максимальное значение для этого поля - 1000.

auditFeed hasMore

Когда значение поля hasMore истинно, это означает, что после текущей итерации будет еще одно извлечение элементов.

auditFeed Accounts

Поля Accounts (auditFeedAccountRecords) показывают ID администраторов и данные аудита для этого запроса. Используйте аргумент auditFeedAccountsRecords > AuditRecord > AuditFieldName для фильтрации отображаемых данных события запроса. Для получения дополнительной информации о полях AuditRecords смотрите ниже auditFeed > fieldName > AuditFieldName.

Аргументы для auditFeed

Это аргументы, которые вы можете передать и определить данные, возвращаемые запросом:

  • accountIDs - ID учетной записи (для нескольких аккаунтов введите ID в виде массива)
  • ids - ID учетной записи (устаревший аргумент)
  • timeFrame - время начала и окончания запроса
  • filters (AuditFieldFilterInput) - фильтрует данные журнала аудита, которые запрашиваются (массив с вложенными запросами)
  • marker - показывает только элементы для конкретной итерации извлечения согласно значению маркера

auditFeed accountIDs Аргумент

Введите один или более ID учетной записи для данных, возвращаемых запросом. Этот аргумент обязателен.

Этот ID учетной записи не отображается в Приложении Управления Cato, вместо этого он является номером в URL для Приложения Управления Cato. Например, ID учетной записи - 26 для следующего URL: https://cc2.catonetworks.com/#!/26/topology.

auditFeed timeFrame Argument

Введите временные рамки для данных, возвращаемых запросом. Аргумент имеет формат <type>.<time value>. Этот аргумент обязателен.

Это поддерживаемые опции для определения временных рамок:

  • last.<time duration> - Значение <time duration> для типа last задано в соответствии с ISO-8601 и возвращает данные за предыдущий указанный период. Например:
    • timeFrame = last.PT5M показывает предыдущие 5 минут
    • timeFrame = last.PT2H показывает предыдущие 2 часа
    • timeFrame = last.P1D показывает предыдущий 1 день
    • timeFrame = last.P3M показывает предыдущие 3 месяца
    • timeFrame = last.P1Y показывает предыдущий 1 год
  • <timezone>.<short-time-frame-spec> - Временные рамки состоят из даты начала и окончания в формате YY-MM-DD/hh:mm:ss в соответствии с указанной временной зоной. Например, timeFrame = utc.2020-02-{11/04:50:00--21/04:50:00} показывает аналитические данные с 11 февраля 2020 года 4:50:00 до 21 февраля 2020 года 4:50:00.

auditFeed фильтры Аргумент

Аргумент фильтры (AuditFieldFilterInput) позволяет определить конкретные элементы, включенные в запрос журнала аудита. Это аргументы, которые вы можете задать:

  • fieldName > AuditFieldName - определите элементы из журнала аудита
  • operator - определите, как активировать значения для фильтрации данных аудита
  • values - задаjte значение фильтра, используемое с оператором

auditFeed > fieldName > AuditFieldName

Это имена полей для различных типов конфигураций Приложения Управления Cato, контролируемых в System > Audit Trail.

  • admin - администратор, чье действие сгенерировало запись
  • model_name - название объекта, который был затронут, например, Площадка
  • admin_id - ID администратора, чье действие сгенерировало запись
  • module - системный модуль, который был изменен, например, Конфигурация MFA или Инспекция TLS
  • insertion_date - время, когда изменение было завершено или сохранено
  • change_type - описывает изменение, которое сделал администратор, возможные значения: СОЗДАНО, УДАЛЕНО, ИЗМЕНЕНО, ВКЛЮЧЕНО, ВЫКЛЮЧЕНО, ПРОПУЩЕНО
  • creation_date - время, когда изменение началось
  • change - подробное описание изменения в формате JSON
  • model_type - тип измененного объекта, например, Площадка, Сокет, Интерфейс сокета

auditFeed маркер Аргумент

Аргумент маркера позволяет ограничить запрос событиями для конкретной итерации извлечения. Чтобы показать значения маркера, выполните запрос с аргументом маркера с пустым значением. Запрос возвращает значения маркеров для заданного аргумента timeFrame.

Например, если запрос возвращает 2500 событий, то это результаты первых трех итераций извлечения:

  • первая итерация - fetchedCount = 1000 (событий), marker = 1234abc, hasMore = true
  • вторая итерация - fetchedCount = 1000 (событий), marker = 4567def, hasMore = true
  • третья итерация - fetchedCount = 1000 (событий), marker = 8901xyz, hasMore = true

Чтобы показать только события во второй итерации, установите аргумент маркера на 4567def.

Была ли эта статья полезной?

Пользователи, считающие этот материал полезным: 0 из 2

0 комментариев