问题

在Cato中，有两种配额：一种与事件有关，另一种与警报有关。 默认限制根据客户拥有的DPA许可证而有所不同。

• 对于拥有DPA 2021许可证的客户，事件生成的默认阈值为每小时2.5百万事件，每个子类型。 
• 在DPA 23上，阈值由客户在续订或接入过程中获取的数据单位数量决定。 具体来说，1个数据单位等于每小时2.5百万事件。（所有子类型的聚合）。 

注意：Cato API eventsFeed速率不受事件配额限制，而是遵循不同的API速率限制，如Cato API速率限制说明中解释的那样。

对于警报，警报生成的默认上限设置为每小时50个警报，每个子类型。 

要了解您拥有哪些DPA许可证，请转到管理>许可证

例如。 的DPA 2021

例如。 的DPA 2023

有关更多信息，请参阅Cato Cloud限制和阈值。

本文旨在提供有关如何解决接收电子邮件通知您事件配额和/或警报配额超出的情况的指导。

故障排除

1. Cato事件配额已超出
2. Cato警报配额已超出

Cato事件配额已超出

当帐户的事件数量超过最大配额时，Cato会生成一个电子邮件警报。 

以下截图显示了事件配额超出信息的示例警报 适用于互联网防火墙事件： 

解决方案 

当特定事件类型的事件数量超过每小时事件的最大限制时，Cato生成事件配额超出警报。 有关事件限制的更多信息，请参阅 Cato Cloud限制和阈值。

WAN和互联网事件

您可以识别生成大量事件的WAN或互联网规则，然后禁用跟踪 > 事件选项。  

识别防火墙规则并禁用跟踪事件选项： 

1. 打开 Cato 管理应用程序并转到 主页 > 事件。 
2. 展开 Rule 字段下的字段 部分。
3. 找到生成大量 事件 的防火墙规则。 

以下截图显示了一个 防火墙规则（允许所有出站）产生了 5.6 百万事件： 

    4. 转到 安全性 > WAN 或 互联网防火墙，找到 上一步骤中的规则，然后编辑跟踪 设置。

5. 禁用此规则的 事件 选项。

   6. 点击 应用 然后点击 保存。

IPS 事件

如果是入侵防护系统引擎阻止了预期流量，例如漏洞扫描，生成了大量事件，可以根据允许列表 IPS 签名中所述来允许流量来源

要识别源 IP 并将其加入允许列表： 

1. 打开Cato 管理应用程序并转到 主页 > 事件. 
2. 选择IPS预设
3. 展开源 IP 字段的 字段 部分并选择具有最多 IPS 事件的 IP 地址。
4. 点击签名 ID并根据需要配置允许列表。 确保跟踪已禁用。
5. 点击应用

Cato 警报配额超出

当每小时生成的警报数量超过账户的 50 个时，会向客户的邮件列表发送一般通知电子邮件。 客户会收到主题为 "Cato 警报 配额超出" 的电子邮件。

解决方案

1. 确定生成超额警报配额电子邮件的具体 Cato 功能。 例如，在上述警报配额超出电子邮件中，是针对 IPS 警报生成的。 
2. 登录到 CMA 以验证此警报的真实性
   • 转到主页 > 事件
   • 在选择预设下，选择 IPS 并根据接收电子邮件的时间自定义时间段。 由于生成警报配额超额电子邮件的阈值为每小时 50 个警报，请自定义时间段，从收到电子邮件前一小时开始。  
     
3. 查看事件以确定警报的原因。 例如，在下面的截图中，可以看到存在多个可能的攻击事件，并且来自同一源。
   
4. 调查事件并采取必要的措施。
5. 如果这些警报被确认是误报，请联系Cato支持。 要打开支持案例，请参考 提交支持工单。
6. 如果您不希望收到后续类似警报的通知，可以转到与此警报相关的相应规则或功能，并禁用电子邮件通知。