分析您的网络中的事件

事件页面显示您账户中的所有事件，例如当站点和远程用户连接到Cato云时，以及防火墙或安全引擎阻止操作时。

概述

事件为您提供详细的数据和账户活动日志，以帮助您高效地监控和管理他们的环境。

在选定的时间范围内，通常会有数百万个事件，页面每次最多显示 100 个事件。

Cato提供多种方法来过滤结果。我们建议您继续添加或修改过滤器，直到找到为您提供相关信息的事件。

事件数据存储在Cato的数据湖中。有关详细信息，请参阅Cato 数据湖指南。

注意

注意:

事件生成后，通常在5分钟内该事件的数据会显示在事件页面。但是，一些事件可能会延迟到30分钟。
实体名称（如策略规则）的更改可能需要长达24小时才能反映在相关事件字段中。

使用快速查看查看事件字段

快速查看是一种显示每个事件较少字段的选项，以改善页面性能。它默认已启用，并显示分析中最常需要的字段。选择快速查看导出选项时，它显著提升了事件页面的性能以及导出性能。

启用快速查看时，任何手动选择或在过滤器中提到的字段也会显示。

您随时可以禁用快速查看以加载所有字段，但这可能会影响性能。

快速查看中包含的字段

启用快速查看时，将为每个事件显示以下字段。字段列表基于客户使用数据。

始终开启
应用活动类别
应用程序
应用程序活动
应用程序风险
身份验证方法
BGP 断开错误代码
绕过方法
绕过原因
类别
Cato 应用程序
客户端证书名称
客户端
客户端版本
已配置主机名
连接器类型
自定义类别
目的地国家
目的 IP
目的地是站点或SDP 用户
目标端口
目标站点
设备证书
设备名称
设备操作系统类型
设备状态配置文件
目录 IP
目录同步结果
DLP 配置文件
DNS 保护类别
DNS 查询
域名
出口 PoP 名称
事件类型
事件消息
失败原因
文件哈希值
文件类型
完整路径 URL
HA 角色
主机 IP
主机 MAC 地址
接口 ID
IP 协议
是否是批准的应用
ISP 名称
LAN 访问
链接健康 - 数据包丢失
链接类型
已登录用户
登录类型
网络规则
操作系统类型
PoP 名称
公共源 IP
QoS 优先级
参考网址
相关应用
风险等级
规则
规则 ID
SAM账户名称
严重程度
签名 ID
套接字重置
来源国家
源 IP
源是站点或SDP用户
源 ISP IP
源端口
源站点
分流隧道
状态
子网名称
子类型
TCP加速
威胁名称
威胁类型
线程判定
时间
TLS 证书错误
TLS 错误描述
TLS 错误类型
TLS 规则名称
流量方向
受信任的网络
隧道协议
URL
用户代理
User Display Nae
用户电子邮件
用户名
用户主体名称
Windows域名

查看事件页面

您可以在主页 > 事件页面查看整个账户的事件。

事件页面上的元素

下图和表格解释了带有事件选项卡的事件页面中的元素：

项目	名称	描述
1	选择预设菜单	带有预设过滤选项的下拉菜单，用于显示常见场景的事件以及您手动保存的任何自定义预设。
2	事件过滤栏	显示应用于事件的过滤器。单击 (添加) 以手动配置过滤器的设置。
3	刷新	刷新页面上的事件数据（约需5秒钟刷新）
4	时间范围	选择页面上显示的事件的时间范围。默认的时间范围是过去2天，显示过去48小时的事件。有关详细信息，请参阅设置时间范围过滤器。注意: 事件页面的最大日期范围为31天。
5	导出事件菜单	导出当前筛选器中的事件到文件。您可以导出所有字段（列），或者仅导出您选择的字段。
6	添加到自定义预设	将当前过滤器添加到您的自定义预设中，以便您可以轻松地再次使用该过滤器。
7	自然语言搜索	使用自然语言过滤器过滤事件列表。有关详细信息，请参阅使用自然语言搜索。
8	手动过滤切换	在使用自然语言搜索后，此按钮切换回手动过滤选项。
9	事件时间轴	显示筛选后的事件数量。每种事件类型由不同的颜色表示。
10	事件总数	显示当前时间范围和过滤设置的事件总数。
11	事件类型快速筛选器	点击事件类型以隐藏该类型的事件。例如，当您点击Network时，页面不显示网络事件。
12	事件数据视图选项卡	选择选项卡以选择事件数据的视图。事件: 以简洁的行显示所有事件数据。展开行时，每个数据项都在不同的行上。智能视图: 以易于阅读的格式显示事件数据，提供快速洞察。当您展开行时，数据以与事件选项卡相同的方式显示。顶级分布：根据这些图表显示事件的百分比：事件类型分布 - 显示每种事件类型的总事件数和百分比顶级连接事件 - 显示连接事件的顶级操作顶级安全事件 - 显示安全事件的主要操作顶级源站点和SDP用户 - 显示来自站点和SDP用户名的顶级流量来源顶级源IP - 显示基于IP地址的顶级流量来源顶级目标主机名称 - 根据主机名称显示流量目标（目的地）常检查的文件或顶级检查 - 显示威胁防护引擎检查的顶级文件名称
13	事件字段	所有在过滤事件的原始数据中的字段。您可以轻松地在筛选器中添加或排除字段。显示与每个字段类别匹配的事件的基数（不同值）。当您展开类别时，它会显示每种事件类型的事件总数。
14	事件时间和原始数据	显示事件生成时的时间戳和事件中每个字段的原始数据。您还可以将字段作为新列添加到此表中。
15	快速查看	快速查看默认已启用，显示每个事件分析通常所需的所有字段。这显著提高了页面性能。当选择快速查看导出选项时，这也提高了导出的性能。

事件类型理解

在事件页面上的这些是事件类型：

安全 - 由威胁防护和防火墙引擎生成的事件
- 安全事件与潜在的安全问题相关，可以帮助您微调防火墙规则
连接 - 与 LAN 监控、站点和账户中的 VPN 客户端连接相关的事件
- 连接事件与站点连接问题相关，例如与数据包丢失相关的链路质量
系统 - 与LDAP、用户意识、许可证和用户账户相关的事件
- 系统事件与目录服务同步的状态相关
路由 - 路由和 BGP 事件
- 路由事件与 BGP 会话和路由的状态相关
Socket 管理 - 与 Socket 相关的事件，例如固件更新
- Socket 管理事件与 Socket 成功更新到最新版本相关

过滤和排序事件

您可以过滤事件以帮助您快速找到相关信息。

使用自然语言搜索过滤事件

您可以轻松使用日常语言搜索事件，以深入并识别页面上的相关数据。有关详情，请参阅使用自然语言搜索。

使用当前或自定义过滤器过滤事件

您可以使用 Cato 的预设过滤器或创建自定义过滤器以帮助您找到相关事件。有关详情，请参阅页面上的数据过滤。

将事件值添加到事件筛选器

事件页面的左侧部分显示事件中包含的字段和值（之前示例中的项目5）。您可以轻松地将字段值添加到事件过滤器中，以深入分析并识别相关事件。

下表解释了事件字段中的按钮：

项目	说明
	将字段添加到选定字段部分，页面仅显示这些字段的事件数据。点击列顶部的X以将其删除。
	将字段的特定值添加到过滤器中。事件页面自动更新并显示与新过滤器匹配的事件。
	将字段的此特定值的排除添加到过滤器中。事件页面自动更新并显示不匹配该值的事件。

此外，您可以添加一个新列以显示特定字段的事件数据。下表解释了事件字段中的按钮：

将事件值添加到筛选器：

在事件页面中，点击字段以展开值。
对于特定值，点击按钮以将值或排除添加到筛选器中。

事件页面刷新并显示与新过滤器匹配的事件。字段值显示匹配事件的数量。

导出事件到文件

您可以将事件页面中的事件数据导出到文件中以进行其他分析。您可以一次性导出多达250,000个事件到文件。当前过滤器和时间范围内的所有事件都包含在导出中。您可以使用以下三个选项来控制导出中包括哪些事件字段：

所有字段: 导出中的每个事件都包括所有字段。
已选字段: 仅包括您在导出中添加的字段。
快速查看: 启用快速查看时，仅包括快速查看字段以及在过滤器中手动添加或明确提到的任何字段。此选项旨在提高导出性能。

注意