Мы настоятельно рекомендуем, прежде чем начать использование Cato API, ознакомиться с Политикой поддержки Cato API.
Обзор eventsFeed
Запрос eventsFeed помогает анализировать события, связанные с деятельностью в области сетей, безопасности, Клиентов, сокетов и др. Данные событий, которые возвращает этот запрос, аналогичны странице Мониторинг > События в Приложении управления Cato.
Для учетных записей реселлеров вы можете создавать отдельные ключи API внутри каждой учетной записи клиента, к которой вы подключаетесь к Cato API. Больше о лимитах запросов и API eventsFeed, см. Понимание ограничения скорости API Cato.
Понимание извлеченных событий
API eventsFeed предназначен для высокообъемного анализа и мониторинга событий в вашей учетной записи. Данные для этого запроса API обновляются почти в реальном времени.
Cato хранит данные событий за последние три дня. Каждые 24 часа удаляются данные, которым более трех дней.
Эти поля относятся к разбиению на страницы для событий: маркер и количествоИзвлеченных. Смотрите ниже объяснения этих полей.
Включение eventsFeed для вашей учетной записи
Используйте окно управления доступом API, чтобы включить отправку событий от вашей учетной записи на сервер Cato API. После включения eventsFeed подождите около 30 минут, чтобы сервер API смог собрать достаточное количество событий для возврата данных по запросу.
Для активации eventsFeed для вашей учетной записи:
- В области навигации выберите Администрирование > API & Интеграции и нажмите вкладку Интеграция событий.
- Выберите Включить интеграцию с событиями Cato. Ваша учетная запись начинает отправлять события на сервер Cato API.
Детали Полей eventsFeed
Это детали, которые могут показать поля eventsFeed для запроса:
- маркер - поле маркера уникально идентифицирует последнее событие, которое вернул запрос API
- количествоИзвлеченных - количество извлеченных событий (максимум 3000 событий за один запрос)
- учетныеЗаписи (eventsFeedAccountRecords) - данные событий для учетной записи (массив со вложенными запросами и полями)
Маркер eventsFeed
Когда в очереди сервера API более 3000 событий, поле маркера показывает идентификатор, указывающий на начало новой итерации для извлечения событий. Например, если запрос возвращает 7500 событий, это результаты по итерациям извлечения:
- первый проход - количествоИзвлеченных = 3000 (событий), маркер = 1234abc
- второй проход - количествоИзвлеченных = 3000 (событий), маркер = 4567def
-
Третья итерация - fetchedCount = 1500 (события), маркер = 8901xyz
Вы можете игнорировать значение маркера для финальной итерации
Маркеры могут указывать на очередь событий за предыдущие три дня.
КоличествоИзвлеченных событийFeed
Поле fetchedCount показывает общее количество событий в текущем действии извлечения. Максимальное значение для этого поля - 3000.
Accounts событийFeed
Поля учетныеЗаписи (eventsFeedAccountRecords) показывают идентификаторы учетных записей и данные событий для этого запроса. Используйте аргумент eventsFeedAccountsRecords > EventRecord > НазваниеПоляСобытия для фильтрации отображаемых данных событий по запросу. Для более подробной информации о EventRecords, см. Cato API - EventsFeed > EventRecord.
eventsFeed > записи > НазваниеПоляСобытия
Для дополнительной информации о значениях перечисления НазваниеПоляСобытия для разных типов событий смотрите Cato Networks GraphQL API Reference.
Аргументы для eventsFeed
Это аргументы, которые вы можете передать и определить данные, возвращаемые запросом:
- идентификаторыУчетныхЗаписей - идентификаторы учетных записей (для нескольких учетных записей введите идентификаторы как массив)
- фильтры (EventFieldFilterInput) - фильтруйте данные событий и журнала аудита для запроса (массив с вложенными запросами)
- маркер - показывать только события для определенной итерации запроса согласно значению маркера
Аргумент ID событийFeed
Введите один или несколько идентификаторов учетных записей Cato для данных, которые возвращает запрос. Этот аргумент обязателен.
Этот ID учетной записи не отображается в Приложении управления Cato, вместо этого это номер в URL для Приложения управления Cato. Например, идентификатор учетной записи равен 26 для следующего URL: https://cc2.catonetworks.com/#!/26/topology.
Аргумент фильтров событийFeed
Аргумент фильтры (EventFieldFilterInput) позволяет определить конкретные события, включенные в запрос. Это аргументы, которые вы можете определить:
- названиеПоля > EventFeedFilterFieldName - определите тип или подтип события из Event Discovery
- оператор - определяет, как активировать значения, чтобы отфильтровать данные событий
- значения - определите значение фильтра, используемое с оператором
Следующий синтаксис фильтра является примером запроса, отфильтрованного для показа типа события со значением Безопасность:
"filters": [
{
"fieldName": "event_type",
"operator": "is",
"values": ["Безопасность"]
}
]Следующий синтаксис фильтра является примером запроса, отфильтрованного для показа только подтипов событий со значением Межсетевой экран:
"filters": [
{
"fieldName": "event_sub_type",
"operator": "is",
"values": ["Межсетевой экран для Интернета"]
}
]Аргумент маркера событийFeed
Аргумент маркер является обязательным и позволяет ограничить запрос событиями для определенной итерации извлечения. Например, если запрос возвращает 10500 событий, эти результаты по первым трем итерациям извлечения:
- первая итерация - количествоИзвлеченных = 3000 (событий), маркер = 1234abc
- вторая итерация - количествоИзвлеченных = 3000 (событий), маркер = 4567def
- третья итерация - количествоИзвлеченных = 3000 (событий), маркер = 8901xyz
Чтобы показывать только события во второй итерации, установите значение аргумента маркера в 4567def.
Чтобы извлечь все события из очереди, выполните запрос с пустым аргументом маркера (маркер:"") с начальным запросом GraphQL.
0 комментариев
Войдите в службу, чтобы оставить комментарий.