事件页面显示您账户中的所有事件,例如当站点和远程用户连接到Cato云时,以及防火墙或安全引擎阻止操作时。
Cato事件提供详细的数据关于流量和活动在您的账户。 每个事件记录有关在环境中发生的事情的信息,如连接尝试、安全操作或配置相关活动,包括理解发生的事情及Cato如何处理它所需的上下文。
在Cato管理应用程序(CMA)的事件页面中调查流量、监控账户活动、验证政策行为,并解决操作问题。 您可以通过时间范围、事件类型、字段值、预设、自定义过滤器或自然语言搜索来缩小事件数据,以关注特定网络或安全问题相关的事件。
为了额外的分析、集中监控或保留期,您可以:
事件数据存储在Cato的数据湖中。 有关更多信息,请参阅Cato 数据湖指南。
注意
注意:
- 在事件生成后,通常在 5 分钟时间框架内,事件的数据会显示在事件页面。 然而,某些事件可能会延迟最多 30 分钟。
- 对实体名称(如策略规则)的更改可能需要长达 24 小时才能反映在相关的事件字段中。
快速查看是一种显示每个事件较少字段的选项,以改善页面性能。 它默认已启用,并显示分析中最常需要的字段。 选择快速查看导出选项时,它显著提升了事件页面的性能以及导出性能。
启用快速查看时,任何手动选择或在过滤器中提到的字段也会显示。
您随时可以禁用快速查看以加载所有字段,但这可能会影响性能。
启用快速查看时,将为每个事件显示以下字段。 字段列表基于客户使用数据。
- 始终强制
- 应用活动类别
- 应用程序
- 应用程序活动
- 应用程序风险
- 认证方法
- BGP 断开错误代码
- 绕过方法
- 绕过原因
- 类别
- Cato 应用程序
- 客户端证书名称
- 客户端类别
- 客户端版本
- 配置的主机名称
- 连接器类型
- 自定义类别
- 目的地国家
- 目标 IP
- 目的地是站点或 SDP 用户
- 目标端口
- 目标站点
- 设备证书
- 设备名称
- 设备操作系统类型
- 设备姿态配置文件
- 目录 IP
- 目录同步结果
- DLP 配置文件
- DNS 保护类别
- DNS 查询
- 域名
- 出口 PoP 名称
- 事件类型
- 事件消息
- 失败原因
- 文件哈希值
- 文件类型
- 完整路径 URL
- HA 角色
- 主机 IP
- 主机 MAC 地址
- 接口 ID
- IP 协议
- 是否为批准的应用
- ISP 名称
- 局域网访问
- 连接健康 - 丢包率
- 连接类型
- 已登录用户
- 登录类型
- 网络规则
- 操作系统类型
- PoP 名称
- 公共源 IP
- QoS 优先级
- 参考网址
- 相关应用程序
- 风险等级
- 规则
- 规则 ID
- SAM 账户名称
- 严重程度
- 签名 ID
- Socket 重置
- 来源国家
- 源 IP
- 来源是站点或 SDP 用户
- 源 ISP IP
- 源端口
- 源站点
- 分流隧道
- 访问令牌状态
- 子网名称
- 子类型
- TCP 加速
- 威胁名称
- 威胁类型
- 线程判定
- 时间
- TLS 证书错误
- TLS 错误描述
- TLS 错误类型
- TLS 规则名称
- 流量方向
- 受信任的网络
- 隧道协议
- 网址
- 用户代理
- 用户显示名称
- 用户电子邮件
- 用户名
- 用户主体名称
- Windows 域名
您可以在主页 > 事件页面查看整个账户的事件。
下图和表格解释了带有事件选项卡的事件页面中的元素:
| 项目 | 名称 | 描述 |
|---|---|---|
| 1 | 选择预设菜单 | 带有预设过滤选项的下拉菜单,用于显示常见场景的事件以及您手动保存的任何自定义预设。 |
| 2 | 事件过滤器栏 | 显示应用于事件的过滤器。 单击 |
| 3 | 刷新 | 刷新页面上的事件数据(刷新大约需要5秒钟)。 |
| 4 | 时间范围 |
选择页面显示的事件的时间范围。 默认时间范围是最后2天,显示过去48小时的事件。 有关详细信息,请参阅 设置时间范围过滤器。 注意: 事件 页面上的最大日期范围为31天。 |
| 5 | 导出事件菜单 | 将当前过滤器中的事件导出到文件。 您可以导出所有字段(列),或仅导出您选择的字段。 |
| 6 | 添加到自定义预设 | 将当前过滤器添加到自定义预设,以便您可以轻松再次使用过滤器。 |
| 7 | 自然语言搜索 | 使用自然语言过滤器过滤事件列表。 |
| 8 | 手动过滤切换 | 使用自然语言搜索后,此按钮切换回手动过滤选项。 |
| 9 | 事件时间线 | 显示过滤事件的数量。 每种事件类型以不同的颜色呈现。 |
| 10 | 事件总数 | 显示当前时间范围和过滤器设置的事件总数。 |
| 11 | 事件类型快速过滤器 | 单击事件类型以隐藏该类型的事件。 例如,当您单击 网络 时,页面上不会显示网络事件。 |
| 12 | 事件数据查看选项卡 |
选择选项卡以选择事件数据的视图。
|
| 13 | 事件字段 |
过滤事件的原始数据中的所有字段。 您可以轻松地在过滤器中添加或排除字段。 显示匹配每个字段类别的事件的基数(唯一值)。 展开类别时,会显示每种事件类型的事件总数。 |
| 14 | 事件的时间和原始数据 | 显示事件生成的时间戳和事件中每个字段的原始数据。 您还可以将字段添加为新列到此表中。 |
| 15 | 快速查看 | 默认启用快速查看,显示通常需要分析的所有字段。 这显著提高了页面的性能。 选择快速查看导出选项时,这也提高了导出性能。 |
在 事件 页面上的这些是事件类型:
-
连接 - 与 LAN 监控、站点和账户中的 VPN 客户端连接相关的事件
- 连接事件与站点连接问题相关,例如与数据包丢失相关的链路质量
-
检测和响应 - 与XOps故事相关的事件
- 检测和响应事件与响应策略生成的新和更新的XOps故事相关
-
姿态 - 与姿态检查相关的事件
- 姿态事件与姿态分数变动和新检查相关
-
路由 - 路由和BGP事件
- 路由事件与BGP会话和路由的状态有关
-
安全 - 由威胁防护和防火墙引擎生成的事件
- 安全事件与潜在的安全问题相关,可以帮助您微调防火墙规则
-
Socket 管理 - 与 Socket 相关的事件,例如固件更新
- Socket 管理事件与 Socket 成功更新到最新版本相关
-
系统 - 与LDAP、用户意识、许可证和用户账户相关的事件
- 系统事件与目录服务同步的状态相关
您可以过滤事件以帮助您快速找到相关信息。
您可以轻松使用日常语言搜索事件,以深入并识别页面上的相关数据。 有关更多详细信息,请参阅 使用自然语言搜索。
您可以使用 Cato 的预设过滤器或创建自定义过滤器以帮助您找到相关事件。 有关详细信息,请参阅 在页面上过滤数据
事件页面的左侧部分显示事件中包含的字段和值(之前示例中的项目5)。 您可以轻松地将字段值添加到事件过滤器中,以深入分析并识别相关事件。
下表解释了事件字段中的按钮:
| 项目 | 说明 |
|---|---|
| 将字段添加到选定字段部分,页面仅显示这些字段的事件数据。 点击列顶部的X以将其删除。 | |
| 将字段的特定值添加到过滤器中。 事件页面自动更新并显示与新过滤器匹配的事件。 | |
| 将字段的此特定值的排除添加到过滤器中。 事件 页面自动更新并显示不匹配该值的事件。 |
此外,您可以添加一个新列以显示特定字段的事件数据。 下表解释了事件字段中的按钮:
您可以将事件页面中的事件数据导出到文件中以进行其他分析。 您可以一次性导出多达250,000个事件到文件。 当前过滤器和时间范围内的所有事件都包含在导出中。 您可以使用以下三个选项来控制导出中包括哪些事件字段:
- 所有字段: 导出中的每个事件都包括所有字段。
- 已选字段: 仅包括您在导出中添加的字段。
- 快速查看: 启用快速查看时,仅包括快速查看字段以及在过滤器中手动添加或明确提到的任何字段。 此选项旨在提高导出性能。
注意
注意:
- 只有拥有编辑者角色的CMA管理员才有权限导出到CSV文件。 有关配置管理员角色的更多信息,请参阅 管理管理员。
- 有时,尝试导出事件会失败,因为查询耗时过长且请求超时。 您可以减少事件过滤器的时间范围或使用快速查看导出选项,然后再重试。
- 事件页面中的事件数量可以四舍五入。 For example, the Events page shows 2K events, and the actual number of events is 1952.
- 导出事件后,CSV文件中的events_count列可以显示每行多个事件,当同一事件在一分钟内发生多次时会出现这种情况。 此列的计数可能与导出的事件总数不同。 要显示导出事件的总数,请使用events_count列的总和。
0 条评论
请登录写评论。