查询事件信息的请求
要创建获取事件信息的请求,请使用 HTTP GET 方法。
您可以使用附加开关来设置执行 cURL 命令的参数(请参见下表)。
有关 cURL 命令开关的更多信息,请参阅 cURL 文档。
在第一次请求时,Kaspersky Anti Targeted Attack Platform 会创建一个ContinuationToken(以下也称为“令牌”)。应用程序在创建令牌时会发送系统中可用的事件。创建新令牌时,Kaspersky Anti Targeted Attack Platform 会发送创建此令牌时系统中可用的事件。
令牌包含有关最后传输的数据的信息。如果您想接收上次请求后记录的事件,则必须保存创建的令牌并在以后的请求中使用它。
命令语法
对于第一个请求:
curl --cert <TLS 证书文件的路径> --key <私钥文件的路径> -X GET "<Central Node 组件服务器的 URL>:<端口,默认为 443>/kata/events_api /v1/<external_system_id>/events"
如果请求处理成功,会显示有关请求的事件和令牌值的信息。
对于后续请求:
curl --cert <TLS 证书文件的路径> --key <私钥文件的路径> -X GET "<Central Node 组件服务器的 URL>:<端口,默认为 443>/kata/events_api /v1/<external_system_id>/events&continuation_token=<第一个请求收到的令牌值>"
如果请求处理成功,会显示自上次请求以来收到的事件的信息。
您可以通过指定最大收集时间和事件数量以及事件筛选参数来创建输出事件信息的请求:
curl --cert <TLS 证书文件的路径> --key <私钥文件的路径> -X GET "<Central Node 组件服务器的 URL>:<端口,默认为 443>/kata/events_api /v1/<external_system_id>/events?filter=<事件筛选器>&max_timeout=<最大事件收集时间>&max_events=<最大事件数>&continuation_token=<第一个请求收到的令牌值>"
如果您为第一个请求指定了筛选
参数的值,则不必在后续请求中指定它:筛选参数会从上一个请求中保存下来,并且在后续请求中没有传递新参数时使用。如果您不想使用筛选,请不要指定该参数的值。
Settings
参数 | 类型 | 描述 |
---|---|---|
| UUID | 用于 Kaspersky Anti Targeted Attack Platform 授权的外部系统的唯一 ID。 |
| string | 事件筛选设置。这些是使用事件查询语言设置的。 |
| int | 最大事件收集时间。按以下格式指定:PT<整数值>S。例如,PT300S。服务器发送在指定时间内收集的事件的信息。 默认值为 5 分钟。除非请求中另有指定,否则使用该值。 最大事件收集时间不得超过 5 分钟。如果指定的值大于 5 分钟,Central Node 服务器将返回错误。 等待事件的实际总时间可能会增加。 |
| int | 最大事件数 如果请求中未指定值,Kaspersky Anti Targeted Attack Platform 将根据安装了 Endpoint Agent 组件的主机数量来计算该值。 典型配置的值示例:
请求中指定的值不得超过这些限制。 |
| string | 令牌值。 |
输入带有参数的命令的示例
|
|
如果参数值包含特殊字符,则必须使用 URL 编码或
请求中的--data-urlencode
选项。
带有 URL 编码参数的命令示例
|
带有使用--data-urlencode
选项的参数的命令示例
|
Response
HTTP 代码:200
格式:JSON
|
返回值
返回码 | 描述 |
---|---|
| 参数不正确。 |
| 需要授权。 |
| 内部服务器错误。稍后重复该请求。 |