Запрос на вывод информации о событиях
06 сентября 2024
ID 248951
Для создания запроса на вывод информации о событиях используется HTTP-метод GET.
Вы можете задавать параметры выполнения команды cURL с помощью дополнительных ключей (см. таблицу ниже).
Подробную информацию о ключах команд cURL см. в документации cURL.
При первом запросе Kaspersky Anti Targeted Attack Platform создает ContinuationToken (далее также "токен"). Приложение передает события, доступные в системе на момент создания токена. При создании нового токена Kaspersky Anti Targeted Attack Platform отправляет события, доступные в системе на момент создания этого токена.
Токен содержит информацию о том, какие данные были переданы последними. Если вы хотите получать события, записанные с момента последнего запроса, вам нужно сохранить созданный токен и использовать его в следующих запросах.
Синтаксис команды
Для первого запроса:
curl --cert <путь к файлу TLS-сертификата> --key <путь к файлу закрытого ключа> -X GET "<URL-адрес сервера с компонентом Central Node>:<порт, по умолчанию 443>/kata/events_api/v1/<идентификатор external_system_id>/events"
При успешной обработке запроса отобразится информация о запрошенных событиях и значение токена.
Для следующих запросов:
curl --cert <путь к файлу TLS-сертификата> --key <путь к файлу закрытого ключа> -X GET "<URL-адрес сервера с компонентом Central Node>:<порт, по умолчанию 443>/kata/events_api/v1/<идентификатор external_system_id>/events&continuation_token=<значение токена, полученное при первом запросе>"
При успешной обработке запроса отобразится информация о событиях, полученных с момента последнего запроса.
Вы можете создать запрос на вывод информации о событиях, указав максимальные время сбора и количество событий, а также параметры фильтрации событий:
curl --cert <путь к файлу TLS-сертификата> --key <путь к файлу закрытого ключа> -X GET "<URL-адрес сервера с компонентом Central Node>:<порт, по умолчанию 443>/kata/events_api/v1/<идентификатор external_system_id>/events?filter=<фильтр для событий>&max_timeout=<максимальное время сбора событий>&max_events=<максимальное количество событий>&continuation_token=<значение токена, полученное при первом запросе>"
Если при первом запросе вы указали значение параметра filter
, при повторном запросе вы можете его не указывать: параметры фильтрации сохраняются от предыдущего запроса и используются в случае, если не указаны новые. Если вы не хотите использовать фильтрацию, не указывайте значение для параметра.
Параметры
Параметр | Тип | Описание |
---|---|---|
| UUID | Уникальный идентификатор внешней системы, используемый для авторизации в Kaspersky Anti Targeted Attack Platform. |
| string | Параметры фильтрации событий. Задаются с помощью языка запросов для работы с событиями. |
| int | Максимальное время сбора событий. Указывается в формате PT<значение, выраженное целым числом>S. Например, PT300S. Сервер отправляет информацию о событиях, собранную за указанное время. Значение по умолчанию – 5 минут. Это значение используется, если в запросе не указано другое. Максимальное время сбора событий не должно превышать 5 минут. Если вы укажете значение, превышающее 5 минут, сервер Central Node вернет ошибку. Фактическое полное время ожидания событий может быть увеличено. |
| int | Максимальное количество событий. Если в запросе не указано значение, Kaspersky Anti Targeted Attack Platform вычисляет его, исходя из количества хостов, на которые установлен компонент Endpoint Agent. Примеры значений для типовых конфигураций:
Указанное в запросе значение не должно их превышать. |
| string | Значение токена. |
Пример ввода команд с параметрами
|
|
Если значения параметров содержат специальные символы, вам необходимо в запросах использовать кодирование URL или команду --data-urlencode
.
Пример ввода команд с параметрами c использованием кодирования URL
|
Пример ввода команд с параметрами c использованием команды --data-urlencode
|
Ответ
HTTP-код: 200
Формат: JSON
|
Возвращаемое значение
Код возврата | Описание |
---|---|
| Ошибка ввода параметров. |
| Требуется авторизация. |
| Внутренняя ошибка сервера. Повторите запрос позднее. |