Cato API - EventsFeed (大型事件监控)

我们强烈建议在开始使用 Cato API 之前,请先查看 Cato API 访问权限策略

事件馈送概述

eventsFeed 查询可帮助您分析由网络、安全性、Socket、Cato 客户端等相关活动生成的事件。 此查询返回的事件数据类似于 Cato 管理应用程序中的 监控 > 事件 页面。

对于经销商账户,您可以在每个与 Cato API 连接的客户账户中创建单独的 API 密钥。 有关速率限制和 eventsFeed API 查询的更多信息,请参阅 了解 Cato API 速率限制

了解提取的事件

eventsFeed API 调用旨在对您账户中的事件进行大规模分析和监控。 此 API 查询的数据会接近实时更新。

Cato 存储前三天的事件数据。 每 24 小时删除超过三天的数据。

当 API 服务器队列中的事件超过 3000 个时,结果会被分页。 这允许您迭代式地提取事件,直到它们到达队列的末尾。

这些字段与事件分页相关:标记和提取计数。 请参见下方这些字段的解释。

为您的账户启用 eventsFeed

使用 API 访问管理窗口使您的账户能够发送事件到 Cato API 服务器。 启用 eventsFeed 后,等待大约 30 分钟,以便 API 服务器收集足够的事件以返回查询数据。

要为您的账户启用 eventsFeed:

  1. 在导航窗格中选择 管理 > API 和集成,然后单击 事件集成 标签页。
  2. 选择 启用与 Cato 事件的集成。 您的账户开始发送事件到 Cato API 服务器。

EventFeed.png

eventsFeed 字段的详细信息

这些是 eventsFeed 字段可显示的查询详细信息:

  • 标记 - 标记字段是 API 查询返回的最后一个事件的唯一标识符
  • 提取计数 - 提取的事件数量(每次最多提取 3000 个事件)
  • 账户 (eventsFeedAccountRecords) - 账户的事件数据(数组包含嵌套查询和字段)

eventsFeed 标记

当 API 服务器队列中的事件超过 3000 个时,“标记”字段会显示标识符,表示开始新的迭代以提取事件。 例如,如果查询返回 7500 个事件,则这些是提取迭代的结果:

  • 第一次迭代 - fetchedCount = 3000 (事件),标记 = 1234abc
  • 第二次迭代 - fetchedCount = 3000 (事件),标记 = 4567def

  • 第三次迭代 - fetchedCount = 1500 (事件),标记 = 8901xyz

    您可以忽略最终迭代的标记值。

标记最多可以指向前面三天的事件队列。

eventsFeed 提取计数

fetchedCount 字段显示了当前获取操作中的事件总数。 此字段的最大值为 3000。

eventsFeed 账户

账户 (eventsFeedAccountRecords) 字段显示此查询的账户 ID 和事件数据。 使用 eventsFeedAccountsRecords > EventRecord > EventFieldName 参数过滤查询显示的事件数据。 有关 EventRecords 的更多信息,请参阅 Cato API - EventsFeed > EventRecord

eventsFeed > records > EventFieldName

关于不同事件类型的 EventFieldName 枚举值的更多信息,请参见 Cato Networks GraphQL API 参考

事件馈送的参数

这些是您可以传递的参数并定义查询返回的数据:

  • accountIDs - 账户 ID(对于多个账户,请将 ID 作为数组输入)
  • filters (EventFieldFilterInput) - 过滤查询的事件和审计日志数据(具有嵌套查询的数组)
  • 标记 - 仅显示特定提取迭代的事件,依据标记值

eventsFeed ID 参数

输入一个或多个 Cato 账户 ID 以返回查询数据。 此参数为必填项。

此账户 ID 不会在 Cato 管理应用程序中显示,而是 Cato 管理应用程序 URL 中的数字。 例如,对于以下 URL,账户 ID 为 26:https://cc2.catonetworks.com/#!/26/topology。

eventsFeed 过滤器参数

filters (EventFieldFilterInput) 参数允许您定义查询中包含的特定事件。 您可以定义的参数如下:

  • fieldName > EventFeedFilterFieldName - 在事件发现中定义事件类型或子类型
  • 操作员 - 定义如何激活值以过滤事件数据
  • 值 - 定义与操作员一起使用的过滤值

以下过滤器语法是显示事件类型值为 安全 的过滤查询示例:

"filters": [
{
"fieldName": "event_type",
"operator": "is",
"values": ["安全性"]
}
]

以下过滤器语法是显示事件子类型值为 互联网防火墙 的过滤查询示例:

"filters": [
{
"fieldName": "event_sub_type",
"operator": "is",
"values": ["互联网防火墙"]
}
]

eventsFeed 标记参数

标记参数为必填项,可限制查询到特定提取迭代的事件。 例如,如果查询返回 10500 个事件,则这三个提取迭代的结果为:

  • 第一次迭代 - fetchedCount = 3000 (事件),标记 = 1234abc
  • 第二次迭代 - fetchedCount = 3000 (事件),标记 = 4567def
  • 第三次迭代 - fetchedCount = 3000 (事件),标记 = 8901xyz

要仅显示第二次迭代中的事件,请将标记参数设置为 4567def

要提取所有排队的事件,请使用初始 GraphQL 查询运行带有空标记参数(marker:"")。

这篇文章有帮助吗?

5 人中有 2 人觉得有帮助

0 条评论