Анализирование событий в вашей сети

Страница События показывает все события, которые происходят в вашем аккаунте, например, когда сайты и удаленные пользователи подключаются к Cato Cloud, а также блокируют действия файервола или двигателя безопасности.

Обзор

События предоставляют вам подробные данные и журналы активности учетной записи, чтобы помочь вам эффективно контролировать и управлять их средами. 

Часто бывает миллионы Событий для выбранного Диапазонa времени, и страница отображает до 100 Событий одновременно.

Cato предлагает несколько способов фильтрации результатов. Мы рекомендуем продолжать добавлять или изменять фильтры до тех пор, пока вы не найдете события, которые предоставят вам соответствующую информацию.

Данные о событиях хранятся в Озере данных Cato. Для более подробной информации смотрите Руководство по Озеру данных Cato.

Примечание

Примечания:

  • После создания события данные для этого события обычно отображаются на странице События в течение 5 минут. Однако возможно, что некоторые события будут задержаны до 30 минут.

  • Изменения названий сущностей (например, правил политики) могут занять до 24 часов, чтобы отразиться в соответствующих полях событий.

Просмотр Полей событий с использованием Быстрого просмотра

Быстрый просмотр — это опция, которая отображает меньше полей для каждого События, чтобы улучшить производительность страницы. Она включена по умолчанию и отображает поля, которые чаще всего требуются для анализа. Она значительно улучшает производительность страницы Событий, а также производительность экспорта, когда вы выбираете опцию экспорта Быстрого просмотра.

Любые поля, которые выбраны вручную или упомянуты в фильтре, также отображаются, когда Быстрый просмотр включен.

Вы можете отключить Быстрый просмотр в любое время для загрузки всех полей, однако это может повлиять на производительность.

Поля, включённые в Быстрый просмотр

Следующие поля отображаются для каждого события, когда Быстрый просмотр включен. Список полей основан на данных о использовании клиентов.

  • Всегда включено

  • Категория активности приложения

  • Приложение

  • Активность приложения

  • Риск приложения

  • Метод аутентификации

  • Код ошибки отключения BGP

  • Метод обхода

  • Причина обхода

  • Категория

  • Приложение Cato

  • Имя сертификата клиента

  • Класс клиента

  • Версия клиента

  • Настроенное имя хоста

  • Тип коннектора

  • Пользовательская категория

  • Страна назначения

  • IP-адрес назначения

  • Назначение - сайт или пользователь SDP

  • Порт назначения

  • Сайт назначения

  • Сертификат устройства

  • Имя устройства

  • Тип операционной системы устройства

  • Профили состояния устройства

  • IP-адрес каталога

  • Результат синхронизации каталога

  • Профили DLP

  • Категория защиты DNS

  • DNS-запрос

  • Имя домена

  • Исходящий PoP Имя

  • Тип события

  • сообщение_события

  • Причина отказа

  • Хеш файла

  • Тип файла

  • Полный путь URL

  • Роль HA

  • IP-адрес хоста

  • MAC-адрес хоста

  • Идентификатор интерфейса

  • IP протокол

  • Это санкционированное приложение

  • Имя провайдера интернет-услуг

  • Доступ к LAN

  • Здоровье связи - Потеря пакетов

  • Тип связи

  • Выполнивший вход пользователь

  • Тип входа

  • Сетевое правило

  • Тип операционной системы

  • Имя PoP

  • Публичный IP-адрес источника

  • Приоритет QoS

  • URL-ссылка

  • Связанные приложения

  • Уровень риска

  • Правило

  • ID Правила

  • Имя аккаунта SAM

  • Серьезность

  • ID подписи

  • Сброс сокета

  • Страна источника

  • IP-адрес источника

  • Источник - Сайт или Пользователь SDP

  • ISP IP источника

  • Исходный порт

  • Исходный сайт

  • Раздельный туннель

  • Статус

  • Имя подсети

  • Подтип

  • Ускорение TCP

  • Имя угрозы

  • Тип угрозы

  • Вердикт потока

  • Время

  • Ошибка сертификата TLS

  • Описание ошибки TLS

  • Тип ошибки TLS

  • Имя правила TLS

  • Направление трафика

  • Доверенные сети

  • Протокол туннеля

  • URL

  • Пользовательский агент

  • Имя отображения пользователя

  • Электронная почта пользователя

  • Имя пользователя

  • Имя участника-пользователя

  • Имя домена Windows

Просмотр страницы Событий

Вы можете просматривать события для всей учетной записи на странице Домашняя > События.

Элементы на странице Событий

Следующее изображение и таблица объясняют элементы страницы События с вкладкой События:

events_elements_on_page.jpg

Элемент

Имя

Описание

1

Меню Выбрать пресеты

Выпадающее меню с предустановленными параметрами фильтра для отображения событий в общих сценариях, а также любых пользовательских пресетов, сохраненных вручную.

2

Панель фильтра событий

Показывает примененные к событиям фильтры. Нажмите Add2.png (Добавить), чтобы вручную настроить настройки для фильтра.

3

Обновить

Обновляет данные о событиях на странице (занимает около 5 секунд для обновления)

4

Диапазон времени

Выберите диапазон времени для событий, показанных на странице.

Временной интервал по умолчанию - Последние 2 дня, который показывает события за последние 48 часов. Дополнительную информацию смотрите в Установка фильтра диапазона времени.

Примечание: Максимальный временной интервал для страницы События составляет 31 день.

5

Меню экспорта событий

Экспортирует события в текущий фильтр в файл. Вы можете экспортировать все поля (столбцы) или только выбранные вами.

6

Добавить в мои пресеты

Добавьте текущий фильтр в свои пресеты, чтобы вы могли легко использовать фильтр снова.

7

Поиск на естественном языке

Отфильтруйте список событий, используя фильтры на естественном языке. Для получения дополнительной информации см. Использование поиска на естественном языке.

8

Переключение ручного фильтра

После того как вы использовали поиск на естественном языке, эта кнопка переключает обратно на параметры ручного фильтра.

9

Хронология событий

Показывает количество отфильтрованных событий. Каждый тип события представлен отдельным цветом.

10

Общее количество событий

Показывает общее количество событий для текущего временного интервала и настроек фильтра.

11

Быстрые фильтры типа событий

Нажмите на тип события, чтобы скрыть события этого типа. Например, когда вы нажимаете Сеть, сетевые события не отображаются на странице.

12

Вкладки просмотра данных событий

Выберите вкладку, чтобы выбрать представление для данных события.

  • События: Показывает все данные события в компактной строке. При расширении строки каждый элемент данных отображается на отдельной строке.

  • Интеллектуальный просмотр: Показывает данные события в удобочитаемом формате, предоставляющем быстрые инсайты. Когда вы раскрываете строку, данные отображаются так же, как и на вкладке События.

  • Топ распределений: Показывает процент событий в соответствии с этими диаграммами:

    • Распределение типов событий - Показывает общее количество событий и процент для каждого из типов событий

    • Распределение событий соединения - Показывает основное действие для событий соединения

    • Топ Событий Безопасности - Показывает топ действия для событий безопасности

    • Топ исходных сайтов и пользователей SDP - Показывает основные источники трафика с сайтов и имена пользователей SDP

    • Топ исходных IP-адресов - Показывает основные источники трафика на основе IP-адреса

    • Топ Целевых Имен Хостов - Показывает топ целевого трафика (назначения) на основе имени хоста

    • Наиболее часто проверяемые файлы - Показывает основные имена файлов, проверенных движками защиты от угроз

13

Поля событий

Все поля, которые находятся в необработанных данных для отфильтрованных событий. Вы можете легко добавить или исключить поле в фильтр.

Показывает уникальность (различные значения) событий, соответствующих каждой категории полей. Когда вы разворачиваете категорию, показывается общее количество событий для каждого типа события.

14

Время и исходные данные для события

Показывает временную метку, когда событие было сгенерировано, и исходные данные для каждого поля в событии. Вы также можете добавить поля как новые столбцы в эту таблицу.

15

Быстрый просмотр

Быстрый просмотр включен по умолчанию, отображая все поля, обычно необходимые для анализа для каждого события. Это значительно улучшает производительность страницы. Это также улучшает производительность экспорта, когда вы выбираете опцию экспорта Быстрый просмотр.

Понимание типов событий

Это типы событий на странице События:

  • Безопасность - События, генерируемые движками Защиты от угроз и Файервола

    • События безопасности связаны с потенциальными проблемами безопасности и могут помочь вам настроить правила для файервола

  • Соединение - События, связанные с соединением для LAN мониторинга, площадок и VPN Клиентов в учетной записи

    • События соединения связаны с проблемами соединения площадки, например качество связи, связанное с потерей пакетов

  • Система - События, связанные с LDAP, Осведомленность Пользователя, лицензией и учетными записями

    • Системные события связаны со статусом синхронизации Служб каталогов

  • Маршрутизация - События маршрутизации и BGP

    • События маршрутизации связаны со статусом BGP сессий и маршрутов

  • Управление сокетами - События, связанные с Сокетами, такие как обновления прошивки

    • События управления сокетами связаны с успешным обновлением Сокета до новейшей версии

Фильтрация и Сортировка Событий

Вы можете фильтровать события, чтобы помочь вам быстро найти соответствующую информацию.

Фильтрация событий с помощью поиска на естественном языке

Вы можете легко искать события, используя повседневный язык, чтобы углубиться и идентифицировать соответствующие данные на странице. Для получения подробностей см. Использование поиска на естественном языке

Фильтрация Событий с использованием Настоящих или Пользовательских Фильтров

Вы можете использовать предустановленные фильтры Cato или создать пользовательские фильтры, чтобы помочь вам найти соответствующие события. Для деталей см. Фильтрация данных на странице

Добавление значений событий в фильтр событий

Левая часть страницы События показывает поля и значения, которые включены в события (элемент 5 в предыдущем примере). Вы можете легко добавить значение поля в фильтр событий, чтобы подробно изучить и выявить соответствующие события.

Следующая таблица объясняет кнопки в полях событий:

Элемент

Описание
Add_button.png

Добавляет поле в раздел Выбранные Поля, и страница показывает данные событий только для этих полей. Нажмите X в верхней части столбца, чтобы удалить его.
Include_button.png

Добавляет конкретное значение для поля в фильтр. Страница События автоматически обновляется и показывает события, соответствующие новому фильтру.
Exclude_button.png

Добавляет исключение для этого конкретного значения поля в фильтр. Страница События автоматически обновляется и показывает события, которые НЕ соответствуют этому значению.

Кроме того, вы можете добавить новый столбец, который показывает данные событий для конкретного поля. Следующая таблица объясняет кнопки в полях событий:

Чтобы добавить значение события в фильтр:

  1. На странице События нажмите поле, чтобы развернуть значения.

    EventValue.png

  2. Для конкретного значения нажмите кнопку, чтобы добавить значение или исключение в фильтр.

    Страница События обновляется и показывает события, которые соответствуют новому фильтру. Значение поля показывает количество соответствующих событий.

Экспорт Событий в Файл

Вы можете экспортировать данные событий со страницы События в файл для дополнительного анализа. You can export up to 250,000 events at one time to a file. Все события в текущем фильтре и диапазоне времени включены в экспорт. Вы можете использовать следующие три варианта, чтобы контролировать, какие поля событий включены в экспорт:

  • Все поля: Включить все поля для каждого события в экспорте. 

  • Выбранные поля: Включать только поля, которые вы добавили в экспорт. 

  • Быстрый просмотр: Когда включен Быстрый просмотр, включаются только поля Быстрого просмотра, а также любые поля, добавленные вручную или явно указанные в фильтре. Эта опция предназначена для улучшения производительности экспорта.

Примечание

Примечания:

  • Только у администраторов CMA с ролью Редактор есть разрешение на экспорт в файл CSV. Чтобы узнать больше о настройке ролей администраторов, см. Управление администраторами.

  • Иногда попытка экспорта событий не удается, потому что запрос занимает слишком много времени и превышает время ожидания. Вы можете сократить временной интервал фильтра событий или использовать опцию экспорта Быстрый просмотр, а затем попробовать снова.

  • Количество событий на странице События может быть округлено. Например, страница События показывает 2K событий, а фактическое число событий - 1952.

  • После экспорта событий колонка events_count в CSV файле может показать несколько событий для каждой строки, это происходит, когда одно и то же событие произошло более одного раза за интервал времени в одну минуту. Количество в этой колонке может показывать другое число, чем общее количество экспортированных событий. Чтобы показать общее количество экспортированных событий, используйте СУММУ колонки events_count.

Чтобы экспортировать события в CSV-файл:

  1. (Необязательно) Нажмите Добавить для полей, которые вы экспортируете.

  2. На странице События нажмите Экспорт Событий.

  3. Выберите область экспорта: Все поля в событиях, Выбранные поля в фильтре или поля, включенные в Быстрый просмотр.

    • Все поля в событиях

    • Выбранные поля в фильтре

    • Поля, включенные в Быстрый просмотр

  4. Нажмите ОК. События экспортируются в CSV-файл, и файл скачивается в соответствии с настройками вашего браузера Интернет.

Была ли эта статья полезной?

Пользователи, считающие этот материал полезным: 3 из 3

0 комментариев