Поиск событий

POST /api/v2/events

Разрешены только поисковые или агрегационные запросы (SELECT).

Доступ: Главный администратор, Администратор тенанта, Аналитик второго уровня, Аналитик первого уровня, Младший аналитик, Доступ к объектам НКЦКИ, Доступ к объектам КИИ.

Тело запроса

Формат: JSON

Request

Имя

Тип данных

Обязательный

Описание

Пример значения

period

Period

Да

Период поиска

 

sql

string

Да

SQL запрос

SELECT * FROM events WHERE Type = 3 ORDER BY Timestamp DESC LIMIT 1000

SELECT sum(BytesOut) as TotalBytesSent, SourceAddress FROM events WHERE DeviceVendor = 'netflow' GROUP BY SourceAddress LIMIT 1000

SELECT count(Timestamp) as TotalEvents FROM events LIMIT 1

clusterID

string

Нет, если кластер единственный

Идентификатор Storage кластера. Можно найти запросив список сервисов с kind = storage. Идентификатор кластера будет в поле resourceID.

00000000-0000-0000-0000-000000000000

rawTimestamps

bool

Нет

Отображать timestamp'ы в исходном виде - Milliseconds since EPOCH. По умолчанию false.

true или false

emptyFields

bool

Нет

Отображать пустые поля нормализованных событий. По умолчанию false.

true или false

Period

Имя

Тип данных

Обязательный

Описание

Пример значения

from

string

Да

Нижняя граница периода в формате RFC3339. Timestamp >= <from>

2021-09-06T00:00:00Z (UTC)

2021-09-06T00:00:00.000Z (UTC, с указанием миллисекунд)

2021-09-06T00:00:00Z+00:00 (MSK)

to

string

Да

Верхняя граница периода в формате RFC3339.

Timestamp <= <to>

2021-09-06T00:00:00Z (UTC)

2021-09-06T00:00:00.000Z (UTC, с указанием миллисекунд)

2021-09-06T00:00:00Z+00:00 (MSK)

Ответ

HTTP-код: 200

Формат: JSON

Результат выполнения SQL-запроса

Возможные ошибки

HTTP-код

Описание

Значение поля message

Значение поля details

400

Нижняя граница диапазона не указана

period.from required

-

400

Нижняя граница диапазона указана в неподдерживаемом формате

cannot parse period.from

вариативное

400

Нижняя граница диапазона равна нулю

period.from cannot be 0

-

400

Верхняя граница диапазона не указана

period.to required

-

400

Верхняя граница диапазона указана в неподдерживаемом формате

cannot parse period.to

вариативное

400

Верхняя граница диапазона равна нулю

period.to cannot be 0

-

400

Нижняя граница диапазона больше верхней

period.from cannot be greater than period.to

-

400

Неверный SQL запрос

invalid sql

вариативное

400

В SQL запросе фигурирует неверная таблица

the only valid table is `events`

-

400

В SQL запросе отсутствует LIMIT

sql: LIMIT required

-

400

LIMIT в SQL запросе превышает максимальный (1000)

sql: maximum LIMIT is 1000

-

404

Storage cluster не найден

cluster not found

-

406

Параметр clusterID не был указан и в KUMA зарегистрировано множество кластеров

multiple clusters found, please provide clusterID

-

500

Нет доступных нод кластера

no nodes available

-

50x

Любые другие внутренние ошибки

event search failed

вариативное

В начало