Cato API - EventsFeed (Мониторинг событий крупномасштабный)

Мы настоятельно рекомендуем перед началом использования Cato API, пожалуйста, ознакомьтесь с Политика Поддержки для Cato API.

Обзор eventsFeed

Запрос eventsFeed помогает вам анализировать события, которые генерируются в результате активности, связанной с сетевой инфраструктурой, Безопасность, Сокеты, Клиенты Cato и многое другое. Данные события, которые возвращает этот запрос, аналогичны странице Мониторинг > События в Приложение Управления Cato.

Для Учетные записи реселлера, вы можете создавать отдельные ключи API внутри каждой Клиент Учетная запись, к которому вы подключаетесь к Cato API. Больше о лимитах и запросе API eventsFeed, см. Понимание Ограничения скорости API Cato.

Понимание Полученные События

API вызов eventsFeed предназначен для Анализ и Мониторинг событий в вашем акаунте с большим объемом. Данные для этого API запроса обновляются в почти режиме реального времени.

Cato хранит данные событий за предыдущие семь дней. Каждые 24 часа данные старше семи дней удаляются.

Когда в очереди сервера API более 3000 событий, результаты разбиваются на страницы. Это позволяет вам итеративно получать события до окончания очереди.

Эти поля связаны с пагинацией для событий: маркер и fetchedCount. См. ниже объяснения этих полей.

Включение eventsFeed для вашего Аккаунт

Используйте окно Управление Доступом API, чтобы включить ваш аккаунт для отправки событий на сервер Cato API. После того как вы активировали eventsFeed, подождите примерно 30 минут, чтобы сервер API собрал достаточно событий для возврата данных для запроса.

Чтобы активировать eventsFeed для вашего аккаунта:

  1. В навигационной панели выберите Администрирование > API & Интеграции и нажмите вкладку Интеграция событий.
  2. Выберите Включить интеграцию с событиями Cato. Ваш аккаунт начинает отправлять события на сервер Cato API.

EventFeed.png

Детали для Поля eventsFeed

Это детали, которые Поля eventsFeed могут показывать для запроса:

  • маркер - Поле маркер является уникальным идентификатором для последнего события, которое запрос API вернул.
  • fetchedCount - количество извлеченных событий (максимум 3000 событий за одно извлечение)
  • учетные записи (eventsFeedAccountRecords) - данные события для аккаунта (массив с вложенными запросами и полями)

eventsFeed Маркер

Когда в очереди сервера API более 3000 событий, поле маркер показывает идентификатор, который указывает начало новой итерации для получения событий. Например, если запрос возвращает 7500 событий, то вот результаты по итерациям извлечения:

  • первая итерация - fetchedCount = 3000 (событий), маркер = 1234abc
  • вторая итерация - fetchedCount = 3000 (событий), маркер = 4567def
  • третья итерация - fetchedCount = 1500 (событий), маркер = 8901xyz

    Вы можете игнорировать значение маркера для финальной итерации

eventsFeed fetchedCount

Поле fetchedCount показывает общее количество событий в текущем действии извлечения. Максимальное значение для этого поля - 3000.

eventsFeed Учетные записи

Поля Учетные записи (eventsFeedAccountRecords) показывают ID аккаунта и данные событий для этого запроса. Используйте аргумент eventsFeedAccountsRecords > EventRecord > EventFieldName для фильтрации данных событий, которые отображаются для запроса. Для получения дополнительной информации о EventRecords см. Cato API - EventsFeed > EventRecord.

eventsFeed > записи > EventFieldName

Для получения дополнительной информации о значениях перечисления EventFieldName для различных типов событий, см. Cato Networks GraphQL API Справочник.

Аргументы для eventsFeed

Это аргументы, которые вы можете передавать и определять данные, которые возвращаются запросом:

  • ID учетной записи - ID учетной записи (для нескольких учетных записей вводите ID как массив)
  • фильтры (EventFieldFilterInput) - фильтруют данные о событиях и журнале аудита, которые запрашиваются (массив с вложенными запросами)
  • маркер - показывает только события для определенной итерации извлечения в соответствии со значением маркера

Аргумент ID eventsFeed

Введите один или несколько ID аккаунтов Cato для данных, которые возвращает запрос. Этот аргумент обязателен.

Этот ID аккаунта не отображается в Приложении Управления Cato, вместо этого он является номером в URL для Приложения Управления Cato. Например, ID аккаунта равен 26 для следующего URL: https://cc2.catonetworks.com/#!/26/topology.

Аргумент фильтров eventsFeed

Аргумент фильтры (EventFieldFilterInput) позволяет определить конкретные события, включенные в запрос. Это аргументы, которые вы можете определить:

  • fieldName > EventFeedFilterFieldName - определяет Тип события или подтип из Обнаружение событий
  • оператор - определяет, как активировать значения для фильтрации данных о событиях
  • Значения - определяет значение фильтра, используемое с оператором

Следующий синтаксис фильтра является примером запроса, отфильтрованного для отображения типов событий со значением Безопасность:

"filters": [
{
"fieldName": "event_type",
"operator": "is",
"values": ["Безопасность"]
}
]

Следующий синтаксис фильтра является примером запроса, отфильтрованного для отображения только подтипов событий со значением Межсетевой экран:

"filters": [
{
"fieldName": "event_sub_type",
"operator": "is",
"values": ["Межсетевой экран Интернета"]
}
]

Аргумент маркера eventsFeed

Аргумент маркера обязателен и позволяет ограничить запрос событиями для определенной итерации извлечения. Например, если запрос возвращает 10500 событий, тогда результаты за первые три итерации извлечения такие:

  • первая итерация - fetchedCount = 3000 (события), маркер = 1234abc
  • вторая итерация - fetchedCount = 3000 (события), маркер = 4567def
  • третья итерация - fetchedCount = 3000 (события), маркер = 8901xyz

Чтобы показать только события во второй итерации, установите аргумент маркера на 4567def.

Чтобы получить все события в очереди, выполните запрос с пустым аргументом маркера (marker:"") с начальным запросом GraphQL.

Была ли эта статья полезной?

Пользователи, считающие этот материал полезным: 2 из 4

0 комментариев