Cato API - EventsFeed (大型事件监控)

我们强烈建议在开始使用 Cato API 之前,请先查看 Cato API 支持政策

eventsFeed 概览

eventsFeed 查询帮助您分析由与网络设备、安全性、Sockets、Cato 客户端等相关活动生成的事件。 此查询返回的事件数据与 Cato 管理应用程序中的 监控 > 事件 页面类似。

对于经销商账户,您可以在连接到 Cato API 的每个客户帐户中创建单独的 API 密钥。 有关速率限制和 eventsFeed API 查询的更多信息,请参阅 了解 Cato API 速率限制

了解提取的事件

eventsFeed API 调用旨在对您帐户中的事件进行大量分析和监控。 此 API 查询的数据几乎是实时更新的。

Cato 存储了过去七天的事件数据。 每 24 小时,超过七天的数据将被删除。

当 API 服务器队列中有超过 3000 个事件时,结果将被分页。 这使您可以迭代地抓取事件,直到它们到达队列的末端。

这些字段与事件的分页有关:标记和提取计数。 请参阅下面关于这些字段的解释。

启用您帐户的 eventsFeed

使用 API 访问权限管理窗口启用您的账户以向 Cato API 服务器发送事件。 启用 eventsFeed 后,等待大约 30 分钟,以便 API 服务器收集足够的事件以返回查询的数据。

要为您的帐户启用 eventsFeed:

  1. 在导航窗格中,选择 管理 > API & 集成,然后单击 事件集成 标签页。
  2. 选择 启用与 Cato 事件的集成。 您的账户开始向 Cato API 服务器发送事件。

EventFeed.png

eventsFeed 字段的详细信息

以下是 eventsFeed 字段可以为查询显示的详细信息:

  • 标记 - 标记字段是 API 查询返回的最后一个事件的唯一标识符
  • 提取计数 - 提取的事件数量(每次提取最多 3000 个事件)
  • 账户 (eventsFeedAccountRecords) - 帐户的事件数据(包含嵌套查询和字段的数组)

eventsFeed 标记

当 API 服务器队列中有超过 3000 个事件时,标记字段显示一个标识符,指示开始新的迭代以获取事件。 例如,如果查询返回 7500 个事件,那么这些是提取迭代的结果:

  • 第一次迭代 - 提取计数 = 3000 (事件),标记 = 1234abc
  • 第二次迭代 - 提取计数 = 3000 (事件),标记 = 4567def
  • 第三次迭代 - 提取计数 = 1500 (事件),标记 = 8901xyz

    对于最后的迭代,您可以忽略标记值

eventsFeed 提取计数

提取计数字段显示当前提取操作中的事件总数。 此字段的最大值为 3000。

eventsFeed 帐户

账户 (eventsFeedAccountRecords) 字段显示此查询的账户 ID 和事件数据。 使用 eventsFeedAccountsRecords > EventRecord > EventFieldName 参数来过滤为查询显示的事件数据。 有关 EventRecords 的更多信息,请参阅 Cato API - EventsFeed > EventRecord

eventsFeed > 记录 > EventFieldName

有关不同类型事件的 EventFieldName 枚举值的更多信息,请参阅 Cato Networks GraphQL API 参考

eventsFeed 参数

以下是您可以传递的参数,并定义查询返回的数据:

  • 账户ID - 账户ID(对于多个账户,将 ID 作为数组输入)
  • 过滤器 (EventFieldFilterInput) - 筛选查询的事件和审计日志数据(带有嵌套查询的数组)
  • 标记 - 根据标记值仅显示特定提取迭代的事件

eventsFeed ID 参数

输入一个或多个 Cato 帐户 ID 以返回查询的数据。 此参数是强制性的。

此账户 ID 不在 Cato 管理应用程序中显示,而是 Cato 管理应用程序网址中的编号。 例如,对于以下网址,账户 ID 是 26:https://cc2.catonetworks.com/#!/26/topology。

eventsFeed 过滤器参数

过滤器 (EventFieldFilterInput) 参数允许您定义查询中包含的特定事件。 您可以定义以下参数:

  • 字段名称 > EventFeedFilterFieldName - 定义事件信息搜集中的事件类型或子类型
  • 运算符 - 定义如何激活值以过滤事件数据
  • 值 - 定义与运算符一起使用的过滤值

以下过滤器语法是一个查询示例,该查询被过滤以显示事件类型具有值 安全性

"过滤器": [
{
"字段名称": "event_type",
"运算符": "是",
"值": ["Security"]
}
]

以下过滤器语法是一个查询示例,该查询被过滤以仅显示事件子类型具有值 互联网防火墙

"过滤器": [
{
"字段名称": "event_sub_type",
"运算符": "是",
"值": ["Internet Firewall"]
}
]

eventsFeed 标记参数

标记参数是强制性的,允许您将查询限制为特定提取迭代的事件。 例如,如果查询返回 10500 个事件,那么这些是前三次提取迭代的结果:

  • 第一次迭代 - 提取计数 = 3000 (事件),标记 = 1234abc
  • 第二次迭代 - 提取计数 = 3000 (事件),标记 = 4567def
  • 第三次迭代 - fetchedCount = 3000 (事件), marker = 8901xyz

要仅显示第二次迭代中的事件,请将标记参数设置为4567def

要获取所有排队事件,请使用初始GraphQL查询运行标记参数为空(marker:"")的查询。

这篇文章有帮助吗?

4 人中有 2 人觉得有帮助

0 条评论