查询事件信息的请求

技术支持

企业产品

Kaspersky Anti Targeted Attack (KATA) Platform

通过 API 与外部系统交互

外部系统可用来接收应用程序事件信息的 API

查询事件信息的请求

2024年6月26日

ID 248951

另存为 PDF

要创建获取事件信息的请求，请使用 HTTP GET 方法。

您可以使用附加开关来设置执行 cURL 命令的参数（请参见下表）。

有关 cURL 命令开关的更多信息，请参阅 cURL 文档。

在第一次请求时，Kaspersky Anti Targeted Attack Platform 会创建一个ContinuationToken（以下也称为“令牌”）。应用程序在创建令牌时会发送系统中可用的事件。创建新令牌时，Kaspersky Anti Targeted Attack Platform 会发送创建此令牌时系统中可用的事件。

令牌包含有关最后传输的数据的信息。如果您想接收上次请求后记录的事件，则必须保存创建的令牌并在以后的请求中使用它。

命令语法

对于第一个请求：

curl --cert <TLS 证书文件的路径> --key <私钥文件的路径> -X GET "<Central Node 组件服务器的 URL>:<端口，默认为 443>/kata/events_api /v1/<external_system_id>/events"

如果请求处理成功，会显示有关请求的事件和令牌值的信息。

对于后续请求：

curl --cert <TLS 证书文件的路径> --key <私钥文件的路径> -X GET "<Central Node 组件服务器的 URL>:<端口，默认为 443>/kata/events_api /v1/<external_system_id>/events&continuation_token=<第一个请求收到的令牌值>"

如果请求处理成功，会显示自上次请求以来收到的事件的信息。

您可以通过指定最大收集时间和事件数量以及事件筛选参数来创建输出事件信息的请求：

curl --cert <TLS 证书文件的路径> --key <私钥文件的路径> -X GET "<Central Node 组件服务器的 URL>:<端口，默认为 443>/kata/events_api /v1/<external_system_id>/events?filter=<事件筛选器>&max_timeout=<最大事件收集时间>&max_events=<最大事件数>&continuation_token=<第一个请求收到的令牌值>"

如果您为第一个请求指定了筛选参数的值，则不必在后续请求中指定它：筛选参数会从上一个请求中保存下来，并且在后续请求中没有传递新参数时使用。如果您不想使用筛选，请不要指定该参数的值。

Settings

参数	类型	描述
`external_system_id`	UUID	用于 Kaspersky Anti Targeted Attack Platform 授权的外部系统的唯一 ID。
`filter`	string	事件筛选设置。这些是使用事件查询语言设置的。
`max_timeout`	int	最大事件收集时间。按以下格式指定：PT<整数值>S。例如，PT300S。服务器发送在指定时间内收集的事件的信息。默认值为 5 分钟。除非请求中另有指定，否则使用该值。最大事件收集时间不得超过 5 分钟。如果指定的值大于 5 分钟，Central Node 服务器将返回错误。等待事件的实际总时间可能会增加。
`max_events`	int	最大事件数如果请求中未指定值，Kaspersky Anti Targeted Attack Platform 将根据安装了 Endpoint Agent 组件的主机数量来计算该值。典型配置的值示例：对于 1000 台主机：64000。对于 5000 台主机：128000。对于 10000 台主机：208000。对于 15000 名主机：288000。对于 30000 台主机：528000。请求中指定的值不得超过这些限制。
`continuation_token`	string	令牌值。

输入带有参数的命令的示例

curl --cert <TLS 证书文件的路径> --key <私钥文件的路径> -X GET "https://10.10.0.22:443/kata/events_api/v1/c440a37b-5c01-4505-a30e -3d23b20dd609/events”

curl --cert <TLS 证书文件的路径> --key <私钥文件的路径> -X GET "https://10.10.0.22:443/kata/events_api/v1/c440a37b-5c01-4505-a30e-3d23b20dd609/events?
filter=EventType=='threatdetect' OR EventType=='threatprocessingresult'&max_timeout=PT300S&max_events=64000&continuation_token=
CiQyZDcyNjNiOS0zZmNlLTQxNzktYTdhOC03N2E0ZmUwNjNjMTkSBAgAEAoSBAgBEAMSBAgCEAsSBAgDEAcSBAgEEAgSBAgFEAkSBAgGEAQSBAg
HEAUSBAgIEAcSBAgJEAMYiYyCmvIw"

如果参数值包含特殊字符，则必须使用 URL 编码或
请求中的--data-urlencode选项。

带有 URL 编码参数的命令示例

curl --cert <TLS 证书文件的路径> --key <私钥文件的路径> GET "https://10.10.0.22:443/kata/events_api/v1/c440a37b-5c01-4505-a30e-3d23b20dd609/events?
filter=EventType=='threatdetect' OR EventType=='threatprocessingresult'&max_timeout=PT300S&max_events=64000&continuation_token=
CiQ%3Dcy%7ENiOS0zZmNlLTQxNzktYTdhOC03N2E0Z40%wNjNjMTkSBAgAEAoSBAgB%5EMSB%3CEAsSBAgDEAcSBAgEEAgSBAgFEAkSBAgGEAQSBAg
HEAUSBAgIEAcSBAgJEAMYiYyCmvIw"

带有使用--data-urlencode选项的参数的命令示例

curl --cert <TLS 证书的路径> --key <私钥文件的路径> --GET -d "max_events=64000" -d "max_timeout=PT300S" -d "filter=EventType=='threatdetect' “--data-urlencode”continuation_token=
CiQ?Dcy~NiOS0zZmNlLTQxNzktYTdhOC03N2E0Z@wNjNjMTkSBAgAEAoSBAgB^MSB?CEAsSBAgDEAcSBAgEEAgSBAgFEAkSBAgGEAQSBag
HEAUSBAgIEAcSBAgJEAMYiYyCmvIw" https://10.10.0.22:443/kata/events_api/v1/c440a37b-5c01-4505-a30e-3d23b20dd609/events

Response

HTTP 代码：200

格式：JSON

type Response struct {

Events array `json:"events"`

ContinuationToken string `json:"continuationToken"`

}

返回值

返回码	描述
`400`	参数不正确。
`401`	需要授权。
`500, 502, 503, 504`	内部服务器错误。稍后重复该请求。

Kaspersky Professional Services

Implementation services. Health check and security system configuration. Contact us if you need expert help.

Kaspersky Premium Support (MSA): High‑priority incident processing

Telephone and web ticket support. Fast response, monitoring and health check. Submit a request and activate the contract (MSA).

Did you find this article helpful?

What can we do better?

Thank you for your feedback! You're helping us improve.