我们强烈建议您在开始使用Cato API之前，请先查看Cato API的支持政策。

审计Feed概览

审计Feed查询帮助您分析在Cato管理应用程序中由管理员采取的操作。 这个查询返回的数据与Cato 管理应用程序中的系统 > 审计追踪窗口类似。

对于转售商账户，您可以在您连接到Cato API的每个客户账户中创建单独的API密钥。 有关速率限制和审计Feed API查询的更多信息，请参阅理解Cato API速率限制。

了解获取的数据

审计Feed API调用设计用于支持每小时提取超过2百万个审计数据项目。 为了帮助分页返回的数据，当时间范围内有超过1000个审计项目时，查询会迭代提取，直到返回所有审计数据。

这些字段与审计数据的分页有关：标记，fetchedCount 和 hasMore。 请参阅下方对这些字段的解释。

审计Feed字段的详细信息

以下是审计Feed字段可展示的查询详细信息：

• 从 - 开始时间
• 到 - 结束时间
• 标记 - 标记字段是API查询返回的最后一个审计数据项目的唯一标识符。
• fetchedCount - 已提取的项目数（每次提取最多1000项目）。
• hasMore - 当为true时，表示查询还有更多项可提取
• 账户 (审计Feed账户记录) - 对于管理多个账户的转售商，此字段指定已更改的账户，并包括所有记录和审计数据 (数组带有嵌套查询和字段)

审计Feed来自

来自字段显示查询数据的开始时间，并在时间范围参数中定义。

审计Feed到

到字段显示查询数据的结束时间，并在时间范围参数中定义。

审计Feed标记

当在查询期间有超过1000个审计数据项目时，标记字段显示一个标识符，指示一个新迭代的开始以提取项目。 例如，如果查询返回2500项目，则这些是提取迭代的结果：

• 第一次迭代 - fetchedCount = 1000 (项目)，标记 = 1234abc，hasMore = true。
• 第二次迭代 - fetchedCount = 1000 (项目)，标记 = 4567def，hasMore = true。
• 第三次迭代 - fetchedCount = 500 (项目)，标记 = 8901xyz，hasMore = false。

  在最后一次迭代中，您可以忽略标记值

审计Feed fetchedCount

fetchedCount字段显示当前提取操作中的项目总数。 此字段的最大值为1000。

审计Feed hasMore

当hasMore字段的值为true时，则在此之后还有另一轮提取项的迭代。

审计Feed账户

账户 (审计Feed账户记录) 字段显示此查询的管理员ID和审计数据。 使用审计Feed账户记录 > 审计记录 > 审计字段名称参数来过滤显示的事件数据。 有关审计记录字段的详细信息，请参见下方审计Feed > 字段名称 > 审计字段名称。

审计Feed的参数

这些是您可以传递和定义的参数，由查询返回的数据：

• 账户ID - 账户ID（对于多个账户，将ID作为数组输入）。
• ids - 账户ID（遗留参数）。
• 时间范围 - 查询的开始和结束时间
• 过滤器 (审计字段过滤器输入) - 过滤被查询的审计日志数据 (数组带有嵌套查询)
• 标记 - 仅显示特定提取迭代的项，根据标记值

审计Feed accountIDs 参数。

输入一个或多个账户ID，以获取查询返回的数据。 这个参数是强制性的。

此账户ID不在Cato 管理应用程序中显示，而是在Cato 管理应用程序的URL中显示的数字。 例如，账户ID为26的网址如下：https://cc2.catonetworks.com/#!/26/topology。

审计Feed 时间范围 参数

输入查询返回的数据的时间范围。 该参数的格式为<类型>.<时间值>。 这个参数是强制性的。

以下是支持的选项，用于定义时间范围：

• last.<时间持续时间> - last类型的<时间持续时间>值符合ISO-8601标准，并返回往前特定时间的数据。 例如：
  • 时间范围 = last.PT5M 显示前5分钟。
  • 时间范围 = last.PT2H 显示前2小时。
  • 时间范围 = last.P1D 显示前1天。
  • 时间范围 = last.P3M 显示前3个月。
  • 时间范围 = last.P1Y 显示前1年。
• <时区>.<短时间范围规格> - 时间框架按指定的时区结合起止日期，格式为YY-MM-DD/hh:mm:ss。 例如，时间范围 = utc.2020-02-{11/04:50:00--21/04:50:00} 显示从2020年2月11日4:50:00 am到2020年2月21日4:50:00 am 的分析数据。

审计Feed 过滤器 参数

过滤器 (审计字段过滤器输入) 参数允许您定义包含在审计追踪查询中的特定项。 您可以定义的参数如下：

• 字段名称 > 审计字段名称 - 定义来自审计追踪的项目。
• 操作员 - 定义如何激活值以过滤审计数据
• 值 - 定义与操作员一起使用的过滤器值

审计Feed > 字段名称 > 审计字段名称。

以下是针对系统 > 审计追踪中监控的Cato 管理应用程序配置类型的字段名称。

• 管理员 - 生成该记录的管理员
• model_name - 受影响的对象的名称，例如 站点
• admin_id - 生成该记录的管理员的ID
• 模块 - 更改的系统模块，例如 MFA 配置或 TLS 检查
• insertion_date - 提交或保存更改的时间
• change_type - 描述管理员所做的更改，值为：创建时间，已删除，已修改，已启用，已禁用，已跳过
• creation_date - 更改开始的时间
• 变更 - 以 JSON 格式详细说明的更改内容
• model_type - 改变的对象类型，例如 站点，Socket，SocketInterface

auditFeed 标记参数

标记参数允许您将查询限制为特定抓取迭代的事件。 要显示标记值，请运行带有空值标记参数的查询。 查询返回已定义的时间范围参数的标记值。

例如，如果查询返回2500个事件，则这是前三次抓取迭代的结果：

• 第一次迭代 - fetchedCount = 1000（事件），marker = 1234abc，hasMore = true
• 第二次迭代 - fetchedCount = 1000（事件），marker = 4567def，hasMore = true
• 第三次迭代 - fetchedCount = 1000（事件），marker = 8901xyz，hasMore = true

要仅显示第二次迭代中的事件，请将标记参数设置为4567def。