Поддержка

Поддержка приложений для бизнеса

Kaspersky Symphony XDR: SMP

REST API

API-операции

Поиск событий

Kaspersky Symphony XDR: Single Management Platform
Онлайн-справка
FAQ Форум Запрос в поддержку Утилиты для лечения

Поиск событий

15 мая 2024

ID 270062

Скачать PDF

POST /api/v1/kuma/events

Разрешены только поисковые или агрегационные запросы (SELECT).

Доступ: Главный администратор, Администратор тенанта, Аналитик второго уровня, Аналитик первого уровня, Младший аналитик, Доступ к объектам НКЦКИ, Доступ к объектам КИИ, Наблюдатель.

Тело запроса

Формат: JSON

Запрос

Имя

Тип данных

Обязательное ли поле

Описание

Пример значения

period

Period

Да

Период поиска

 

sql

Строка

Да

SQL-запрос

SELECT * FROM events WHERE Type = 3 ORDER BY Timestamp DESC LIMIT 1000

SELECT sum(BytesOut) as TotalBytesSent, SourceAddress FROM events WHERE DeviceVendor = 'netflow' GROUP BY SourceAddress LIMIT 1000

SELECT count(Timestamp) as TotalEvents FROM events LIMIT 1

clusterID

Строка

Нет, если кластер единственный

Идентификатор Storage кластера. Можно найти запросив список сервисов с kind = storage. Идентификатор кластера будет в поле resourceID.

00000000-0000-0000-0000-000000000000

rawTimestamps

bool

Нет

Отображать timestamp'ы в исходном виде - Milliseconds since EPOCH. По умолчанию false.

true или false

emptyFields

bool

Нет

Отображать пустые поля нормализованных событий. По умолчанию false.

true или false

Period

Имя

Тип данных

Обязательное ли поле

Описание

Пример значения

from

Строка

Да

Нижняя граница периода в формате RFC3339. Timestamp >= <from>

2021-09-06T00:00:00Z (UTC)

2021-09-06T00:00:00.000Z (UTC, с указанием миллисекунд)

2021-09-06T00:00:00Z+00:00 (MSK)

to

Строка

Да

Верхняя граница периода в формате RFC3339.

Timestamp <= <to>

2021-09-06T00:00:00Z (UTC)

2021-09-06T00:00:00.000Z (UTC, с указанием миллисекунд)

2021-09-06T00:00:00Z+00:00 (MSK)

Действие по реагированию

HTTP-код: 200

Формат: JSON

Результат выполнения SQL-запроса

Возможные ошибки

HTTP-код

Описание

Значение поля message

Значение поля details

400

Нижняя граница диапазона не указана

period.from required

-

400

Нижняя граница диапазона указана в неподдерживаемом формате

cannot parse period.from

Переменная.

400

Нижняя граница диапазона равна нулю

period.from cannot be 0

-

400

Верхняя граница диапазона не указана

period.to required

-

400

Верхняя граница диапазона указана в неподдерживаемом формате

cannot parse period.to

Переменная.

400

Верхняя граница диапазона равна нулю

period.to cannot be 0

-

400

Нижняя граница диапазона больше верхней

period.from cannot be greater than period.to

-

400

Неверный SQL-запрос

invalid sql

Переменная.

400

В SQL-запросе фигурирует неверная таблица

the only valid table is `events`

-

400

В SQL-запросе отсутствует LIMIT

sql: LIMIT required

-

400

LIMIT в SQL-запросе превышает максимальный (1000)

sql: maximum LIMIT is 1000

-

404

Storage cluster не найден

cluster not found

-

406

Параметр clusterID не был указан и в KUMA зарегистрировано множество кластеров

multiple clusters found, please provide clusterID

-

500

Нет доступных нод кластера

no nodes available

-

50x

Любая другая внутренняя ошибка.

event search failed

Переменная.

Вам помогла эта статья?
Что нам нужно улучшить?
Спасибо за ваш отзыв, вы помогаете нам становиться лучше!
Спасибо за ваш отзыв, вы помогаете нам становиться лучше!