eventsFeed > EventRecord 概述

EventRecord 字段包含 API 查询返回的事件数据。

EventsFields 的解释请参阅 Cato API - EventsFeed（大规模事件监控）。

eventsFeedAccountRecord 字段的详细信息

这些是事件反馈字段在查询时可以显示的详细信息：

• ID - 账户 ID
• eventRecord - 查询返回的事件数据（具有嵌套查询和字段的数组）

  使用 eventRecord > EventFieldName 参数过滤查询结果。

eventsFeedAccountRecord ID

ID字段显示每个账户的ID。

eventsFeedAccountRecord > eventRecord

eventRecord 字段显示事件的数据。

• eventRecord > time - 事件的时间戳
• eventRecord > EventField - 包含事件特定数据的每个事件字段，例如源和目标 IP 地址（具有嵌套字段的数组）
• eventRecord > fieldsMap - 事件字段和数据是映射格式中的键值对{"key1":"value1", "key2:"value2"}
• eventRecord > flatFields - 事件字段和数据显示为名称-值元组数组{"name1":"value1", "name2:"value2"}

eventRecord 时间

时间字段显示事件生成的时间戳。

eventRecord 字段

字段显示EventFieldName 和 EventFieldValue的特定事件数据。

EventFieldName

EventFieldName 显示事件字段的名称，例如源和目标端口、 IP 地址等。 有关 EventFieldName 值的更多信息，请参阅 Cato API - EventsFeed（大规模事件监控）。

EventFieldValue

显示 eventField 的数据。 EventField > Value 是这些类型的联合：字符串，日期和实体。

• string - 事件数据以字符串形式返回，例如： "name": "os_type", "value": {"string": "OS_LINUX",} 显示此事件的操作系统是 Linux OS
• date - 显示事件生成时的时间戳
• entity - 指示 Cato 管理应用程序中使用的对象，例如："name": "src_isp_ip", "value": {"id": "192.168.1.26","type": "ip","__typename": "Entity"} 显示该事件的源 ISP IP 地址为 192.168.1.26，此值在 Cato 管理应用程序中是一个 IP 实体

eventRecord fieldsMap

fieldsMap字段显示事件的字段和值为键值对象。

eventRecord flatFields

flatFields 字段显示事件字段和值的简化输出，数据显示为名称值元组的数组。 例如， [["dest_country":"Australia"], ["src_isp_ip":"192.168.1.26"]]

eventRecord > fieldNames 参数

fieldNames 参数允许您根据事件发现中的不同事件类型过滤 API 调用。

EventFields 的解释请参阅 Cato API - EventsFeed（大规模事件监控）。