Cato API - 审计反馈

我们强烈建议在开始使用 Cato API 之前,请查看 Cato API 支持政策

审计反馈概述

审计反馈查询帮助您分析 Cato 管理应用程序中管理员的操作。 此查询返回的数据类似于 Cato 管理应用程序中的 系统> 审计追踪 窗口。

对于经销商账户,您可以在每个连接到 Cato API 的客户账户中创建单独的 API 密钥。 有关速率限制和审计反馈 API 查询的更多信息,请参阅 了解 Cato API 速率限制

了解获取的数据

审计反馈 API 调用旨在支持每小时获取超过 200 万条审计数据。 为了帮助分页返回的数据,当时间范围内有超过 1000 条审计项目时,查询会迭代获取,直到返回所有审计数据。

这些字段与审计数据的分页相关:标记,已获取计数,以及是否有更多。 请参阅下方对于这些字段的解释。

审计反馈字段详情

以下是审计反馈字段可以为查询显示的详情:

  • 从 - 开始时间
  • 到 - 结束时间
  • 标记 - 标记字段是 API 查询返回的最后一条审计数据的唯一标识符
  • 已获取计数 - 获取的项目数量(每次获取最多 1000 项)
  • 是否有更多 - 当为真时,表示查询还有更多项目要获取
  • 账户(审计反馈账户记录)- 对于管理多个账户的经销商,此字段指定已更改的账户,并包含所有记录和审计数据(包含嵌套查询和字段的数组)

审计反馈从

从字段显示查询数据的开始时间,并在 timeFrame 参数中定义。

审计反馈到

到字段显示查询数据的结束时间,并在 timeFrame 参数中定义。

审计反馈标记

当查询持续时间内的审计数据超过 1000 项时,标记字段显示一个标识符,指示开始新一次迭代以获取项目。 例如,如果查询返回 2500 项,则以下是获取迭代的结果:

  • 第一次迭代 - 已获取计数 = 1000 (项目),标记 = 1234abc,是否有更多 = 真
  • 第二次迭代 - 已获取计数 = 1000 (项目),标记 = 4567def,是否有更多 = 真
  • 第三次迭代 - 已获取计数 = 500 (项目),标记 = 8901xyz,是否有更多 = 假

    在最后一次迭代中可以忽略标记值

审计反馈已获取计数

已获取计数字段显示当前获取操作中的项目总数。 此字段的最大值为 1000。

审计反馈是否有更多

当是否有更多字段的值为真时,那么在此之后还有一次迭代来获取项目。

审计反馈账户

账户(审计反馈账户记录)字段显示管理员 ID 和审计数据。 使用审计反馈账户记录 > 审计记录 > 审计字段名称参数过滤为查询显示的事件数据。 有关审计记录字段的更多信息,请参阅下方 审计反馈 > 字段名称 > 审计字段名称

审计反馈参数

这些是您可以传递的参数,定义查询返回的数据:

  • 账户 ID - 账户 ID (对于多个账户,将 ID 输入为数组)
  • ID - 账户 ID (遗留参数)
  • 时间范围 - 查询的开始和结束时间
  • 过滤器(审计字段过滤输入)- 过滤被查询的审计日志数据(包含嵌套查询的数组)
  • 标记 - 根据标记值仅显示特定获取迭代的项目

审计反馈账户 ID 参数

输入一个或多个账户 ID,以获取查询返回的数据。 此参数是强制性的。

此账户 ID 未在 Cato 管理应用程序中显示,而是 Cato 管理应用程序 URL 中的编号。 例如,以下 URL 的账户 ID 是 26: https://cc2.catonetworks.com/#!/26/topology。

审计反馈时间范围参数

输入查询返回数据的时间范围。 该参数格式为 <type>.<time value>. 此参数是强制性的。

以下是用于定义时间范围的支持选项:

  • 最后.<时间期限> - last 类型的 <时间期限> 值依照 ISO-8601 标准,返回特定时间前的数据。 例如:
    • timeFrame = last.PT5M 显示前 5 分钟的数据
    • timeFrame = last.PT2H 显示前 2 小时的数据
    • timeFrame = last.P1D 显示前 1 天的数据
    • timeFrame = last.P3M 显示前 3 个月的数据
    • timeFrame = last.P1Y 显示前 1 年的数据
  • <时区>.<短时间范围规格> - 时间范围根据指定的时区,以 YY-MM-DD/hh:mm:ss 格式组合开始和结束日期。 例如,timeFrame = utc.2020-02-{11/04:50:00--21/04:50:00} 显示从 2020 年 2 月 11 日 4:50:00 到 2020 年 2 月 21 日 4:50:00 的分析数据。

审计反馈过滤器参数

过滤器(审计字段过滤输入)参数让您定义在审计追踪查询中包含的特定项目。 这些是您可以定义的参数:

  • 字段名称 > 审计字段名称 - 定义来自审计追踪的项目
  • 操作员 - 定义如何激活过滤审计数据的值
  • 值 - 定义与操作员使用的过滤器值

审计反馈 > 字段名称 > 审计字段名称

这些是 Cato 管理应用程序配置监控在 系统> 审计追踪 中不同类型的字段名称。

  • 管理员 - 生成记录的管理员
  • 模型名称 - 受影响对象的名称,例如我的站点
  • 管理员 ID - 生成记录的管理员 ID
  • 模块 - 被更改的系统模块,例如 MFA 配置或 TLS 检查
  • 插入日期 - 更改已提交或保存的时间
  • 更改类型 - 描述管理员所做的更改,值为:已创建,已删除,已修改,已启用,已禁用,已跳过
  • 创建日期 - 更改开始的时间
  • 更改 - 以 JSON 格式详细记录的更改
  • 模型类型 - 已更改对象的类型,例如站点,Socket,Socket 接口

审计反馈标记参数

标记参数允许您将查询限制为特定获取迭代的事件。 要显示标记值,请使用标记参数并设置为空值运行查询。 查询返回已定义时间范围参数的标记值。

例如,如果查询返回 2500 个事件,则以下是前三次获取迭代的结果:

  • 第一次迭代 - 已获取计数 = 1000 (事件),标记 = 1234abc,是否有更多 = 真
  • 第二次迭代 - 已获取计数 = 1000 (事件),标记 = 4567def,是否有更多 = 真
  • 第三次迭代 - 已获取计数 = 1000 (事件),标记 = 8901xyz,是否有更多 = 真

要仅显示第二次迭代中的事件,将标记参数设置为 4567def

这篇文章有帮助吗?

2 人中有 0 人觉得有帮助

0 条评论