Запрос на вывод информации о событиях
15 ноября 2023
ID 248951
Для создания запроса на вывод информации о событиях используется HTTP-метод GET.
При первом запросе Kaspersky Anti Targeted Attack Platform создает ContinuationToken (далее также "токен"). Приложение передает события, доступные в системе на момент создания токена. При создании нового токена Kaspersky Anti Targeted Attack Platform отправляет события, доступные в системе на момент создания этого токена.
Токен содержит информацию о том, какие данные были переданы последними. Если вы хотите получать события, записанные с момента последнего запроса, вам нужно сохранить созданный токен и использовать его в следующих запросах.
Синтаксис команды
Для первого запроса:
GET "<URL-адрес сервера с компонентом Central Node>:<порт, по умолчанию 443>/kata/events_api/v1/<идентификатор external_system_id>/events"
При успешной обработке запроса отобразится информация о запрошенных событиях и значение токена.
Для следующих запросов:
GET "<URL-адрес сервера с компонентом Central Node>:<порт, по умолчанию 443>/kata/events_api/v1/<идентификатор external_system_id>/events&continuation_token=<значение токена, полученное при первом запросе>"
При успешной обработке запроса отобразится информация о событиях, полученных с момента последнего запроса.
Вы можете создать запрос на вывод информации о событиях, указав максимальные время сбора и количество событий, а также параметры фильтрации событий:
GET "<URL-адрес сервера с компонентом Central Node>:<порт, по умолчанию 443>/kata/events_api/v1/<идентификатор external_system_id>/events=?filter=<фильтр для событий>&max_timeout=<максимальное время сбора событий>&max_events=<максимальное количество событий>&continuation_token=<значение токена, полученное при первом запросе>"
Если при первом запросе вы указали значение параметра filter, при повторном запросе вы можете его не указывать: параметры фильтрации сохраняются от предыдущего запроса и используются в случае, если не указаны новые. Если вы не хотите использовать фильтрацию, не указывайте значение для параметра.
Параметры
Параметр | Тип | Описание |
|---|---|---|
| UUID | Уникальный идентификатор внешней системы, используемый для авторизации в Kaspersky Anti Targeted Attack Platform. |
| string | Параметры фильтрации событий. Задаются с помощью языка запросов для работы с событиями. |
| int | Максимальное время сбора событий. Указывается в формате PT<значение, выраженное целым числом>S. Например, PT300S. Сервер отправляет информацию о событиях, собранную за указанное время. Значение по умолчанию – 5 минут. Это значение используется, если в запросе не указано другое. Максимальное время сбора событий не должно превышать 5 минут. Если вы укажете значение, превышающее 5 минут, сервер Central Node вернет ошибку. Фактическое полное время ожидания событий может быть увеличено. |
| int | Максимальное количество событий. Если в запросе не указано значение, Kaspersky Anti Targeted Attack Platform вычисляет его, исходя из количества хостов, на которые установлен компонент Endpoint Agent. Примеры значений для типовых конфигураций:
Указанное в запросе значение не должно их превышать. |
| string | Значение токена. |
Пример ввода команд с параметрами
|
|
Возвращаемое значение
Код возврата | Описание |
|---|---|
| Операция выполнена успешно. |
| Ошибка ввода параметров. |
| Требуется авторизация. |
| Внутренняя ошибка сервера. Повторите запрос позднее. |
