收集 Palo Alto Networks 防火墙日志
概览
本文档介绍了如何配置 syslog 和 Google 安全运维转发器以收集 Palo Alto Networks 防火墙日志。本文档还介绍了 Palo Alto Networks 防火墙日志字段如何映射到 Google Security Operations Unified Data Model (UDM) 字段。
如需简要了解 Google Security Operations 数据注入,请参阅将数据注入到 Google Security Operations。
注入标签标识将原始日志数据标准化为结构化 UDM 格式的解析器。本文档中的信息适用于具有 PAN_FIREWALL 注入标签的解析器。
准备工作
如需了解用于收集 Palo Alto Networks 防火墙日志的部署组件,请查看部署架构。每个客户部署都可能与此表示法不同,并且可能更复杂。
下图展示了如何在 Palo Alto Networks 防火墙上配置 syslog,并在 Linux 服务器上安装 Google 安全运营转发器,以将日志数据转发到 Google 安全运营。解析器支持使用以下格式写入的日志 数据格式:逗号分隔值 (CSV)、常见事件格式 (CEF)、 和日志事件扩展格式 (LEEF)。
验证 Google Security Operations 解析器的日志格式和 PAN-OS 版本 支持。下表列出了 Google 安全运营解析器支持的日志格式和相应的 PAN-OS 版本:
日志格式 PAN-OS 版本 CSV 10.1.3 CEF 10.0.0 LEEF 9.1.0 验证 Google Security Operations 解析器支持的 Palo Alto Networks 防火墙日志类型。 Google Security Operations 解析器支持以下 Palo Alto Networks 防火墙日志类型:
- 流量
- 威胁
- WildFire 提交内容
- 隧道检查
- 配置
- 系统
- HIP 匹配
- IP 代码
- User-ID
- 解密
- 身份验证
- 网址过滤
- 数据过滤
- GlobalProtect
- 相关性
如需详细了解 Palo Alto Networks 防火墙日志类型,请参阅 PAN-OS 日志类型。
确保已配置部署架构中的所有系统 (采用世界协调时间 [UTC] 时区)。
在使用 Palo Alto Networks 防火墙解析器之前,请先查看旧版解析器与当前 Palo Alto Networks 防火墙解析器之间的字段映射变更。在迁移过程中,请确保规则、搜索、 或依赖原始字段的其他流程使用更新后的字段。
例如,在旧版解析器中,
category日志字段会映射到security_result.descriptionUDM 字段。在当前的 Palo Alto Networks 防火墙解析器中,category日志字段会映射到security_result.category_detailsUDM 字段。如果您迁移到当前的 Palo Alto Networks 防火墙解析器并在规则中使用category字段, 您需要修改规则以使用当前解析器的security_result.category_detailsUDM 字段。
配置 syslog 和 Google Security Operations 转发器
要配置 syslog 和 Google Security Operations 转发器,请完成以下步骤:
要监控 CSV 日志,请配置 Syslog 服务器配置文件。如需了解详情,请参阅 配置 Syslog 服务器配置文件。
配置 Syslog 服务器配置文件时,请指定“默认”作为自定义 日志格式。
如需监控 CEF 日志,请将 Palo Alto Networks 防火墙配置为转发 CEF 日志。有关 下载 PAN-OS CEF 集成指南 PDF,并查看“配置”部分 Palo Alto Networks NGFW 输出 CEF 事件的功能”部分。
要监控 LEEF 日志,请配置 Syslog 服务器配置文件。如需了解详情,请参阅采用 LEEF 格式的自定义日志转发。
配置 Google Security Operations 转发器以将日志发送到 Google Security Operations, 如需了解详情,请参阅在 Linux 上安装和配置转发器。以下是 Google Security Operations 转发器配置的示例:
- syslog: common: enabled: true data_type: PAN_FIREWALL batch_n_seconds: 10 batch_n_bytes: 1048576 tcp_address: 0.0.0.0:10518 connection_timeout_sec: 60
字段映射参考文档:PAN 防火墙日志字段到 UDM 字段
本部分介绍解析器如何映射 Palo Alto Networks 将防火墙日志字段添加到每种日志类型的 Google Security Operations UDM 事件字段。
Google Security Operations 标签键是指映射到 Labels.key UDM 字段的密钥的名称。 例如,对于“虚拟系统”字段,字段名称采用 CEF 格式为“cs3”,采用 LEEF 格式为“VirtualSystem”。UDM 字段“about.labels.key” 包含值“vsys”和 UDM 字段“about.labels.value”包含该字段的值。
部分 CEF 或 LEEF 字段名称没有对应的 CSV 名称 字段名称。在这种情况下,如果您以自定义日志格式添加自己的变量名称, Syslog 配置文件中,解析器不会将其映射到 UDM 字段。
如需查看每种日志类型的映射参考,请参阅以下部分:
系统
下表列出了系统日志类型的日志字段及其对应的 UDM 字段。
| CSV 字段 | CEF 字段 | LEEF 字段 | Google Security Operations 标签键 | UDM 字段 |
|---|---|---|---|---|
| 接收时间(receive_time 或 cef-formatted-receive_time) | rt | devTime | metadata.collected_timestamp
metadata.event_timestamp(如果“Generate Time”不存在) |
|
| 序列号(序列号) | deviceExternalId | SerialNumber | intermediary.asset.hardware.serial_number | |
| 类型 (type) | type(标题) | cat | metadata.product_event_type 设置为“%{type} - %{subtype}”。 | |
| 威胁/内容类型(子类型) | 子类型(标题) | 子类型 | metadata.product_event_type 设置为“%{type} - %{subtype}”。 | |
| 生成时间(time_generated 或 cef-formatted-time_generated) | metadata.event_timestamp | |||
| 虚拟系统 (vsys) | cs3 | VirtualSystem | vsys | about.labels.key 和 about.labels.value additional.fields.key 和 additional.fields.value.string_value |
| 事件 ID (eventid) | 猫 | eventid | about.labels.key 和 about.labels.value additional.fields.key 和 additional.fields.value.string_value |
|
| Object(对象) | fname | 文件名 | 对象 | about.labels.key 和 about.labels.value additional.fields.key 和 additional.fields.value.string_value |
| 模块 (module) | flexString2 | 模块 | 单元 | about.labels.key 和 about.labels.value additional.fields.key 和 additional.fields.value.string_value |
| 严重程度 (severity) | $number-of-severity(标头) | 严重级别 | security_result.severity 和 security_result.severity_details | |
| 说明(不透明) | msg | msg | metadata.description | |
| principal_user_userid(此字段从 msg 字段中提取) | principal.user.userid | |||
| principal_ip3(此字段从 msg 字段中提取) | principal.ip | |||
| 原因(此字段从 msg 字段中提取) | security_result.description | |||
| server_address(此字段提取自 msg 字段。) | target.ip | |||
| server_profile(此字段从 msg 字段中提取。) | additional.fields.key 和 additional.fields.value.string_value | |||
| 序列号 (seqno) | externalId | 序列 | metadata.product_log_id | |
| 操作标志 (actionflags) | PanOSActionFlags | ActionFlags | actionflags | about.labels.key 和 about.labels.value additional.fields.key 和 additional.fields.value.string_value |
| 设备组层次结构(dg_hier_level_1 到 dg_hier_level_4) | PanOSDGl1 | DeviceGroupHierarchyL1 | dg_hier_level_1 | about.labels.key 和 about.labels.value additional.fields.key 和 additional.fields.value.string_value |
| 设备组层次结构 (dg_hier_level_2) | PanOSDGl2 | DeviceGroupHierarchyL2 | dg_hier_level_2 | about.labels.key 和 about.labels.value additional.fields.key 和 additional.fields.value.string_value |
| 设备组层次结构 (dg_hier_level_3) | PanOSDGl3 | DeviceGroupHierarchyL3 | dg_hier_level_3 | about.labels.key 和 about.labels.value additional.fields.key 和 additional.fields.value.string_value |
| 设备组层次结构 (dg_hier_level_4) | PanOSDGl4 | DeviceGroupHierarchyL4 | dg_hier_level_4 | about.labels.key 和 about.labels.value additional.fields.key 和 additional.fields.value.string_value |
| 虚拟系统名称 (vsys_name) | PanOSVsysName | vSrcName | principal.resource.name
principal.resource.resource_type=VIRTUAL_MACHINE |
|
| 设备名称 (device_name) | dvchost | DeviceName | intermediary.hostname | |
| 高分辨率时间戳 (high_res_timestamp) | anOSTimeGeneratedHighResolution | metadata.collected_timestamp
metadata.event_timestamp(如果“Generate Time”不存在) |
配置
下表列出了配置日志类型的日志字段及其对应的 UDM 字段。
| CSV 字段 | CEF 字段 | LEEF 字段 | Google Security Operations 标签键 | UDM 字段 |
|---|---|---|---|---|
| 接收时间(receive_time 或 cef-formatted-receive_time) | rt | devTime | metadata.collected_timestamp
metadata.event_timestamp(如果“Generate Time”不存在) |
|
| 序列号(序列号) | deviceExternalId | SerialNumber | intermediary.asset.hardware.serial_number | |
| 类型 (type) | type(标题) | cat | metadata.product_event_type | |
| 威胁/内容类型(子类型) | 子类型(标题) | metadata.product_event_type | ||
| 生成时间(time_generated 或 cef-formatted-time_generated) | metadata.event_timestamp | |||
| 主机 (host) | shost | src | principal.ip/hostname | |
| 虚拟系统 (vsys) | cs3 | VirtualSystem | vsys | about.labels.key 和 about.labels.value additional.fields.key 和 additional.fields.value.string_value |
| 命令 (cmd) | 行动 | msg | cmd | metadata.description |
| 管理员 (admin) | duser | usrName | principal.user.userid | |
| 客户端 (client) | destinationServiceName | 客户 | principal.application | |
| 结果 (result) | 签名 ID (Header)(reason) | 结果 | security_result.summary | |
| 配置路径 (path) | msg | ConfigurationPath | principal.process.command_line | |
| 更改前详情 (before_change_detail) | cs1 | BeforeChangeDetail | before_change_detail | target.resource.attribute.labels.key/value |
| 更改后详情 (after_change_detail) | cs2 | AfterChangeDetail | after_change_detail | target.resource.attribute.labels.key/value |
| 序列号 (seqno) | externalId | 序列 | metadata.product_log_id | |
| 操作标志 (actionflags) | PanOSActionFlags | ActionFlags | actionflags | about.labels.key 和 about.labels.value additional.fields.key 和 additional.fields.value.string_value |
| 设备组层次结构(dg_hier_level_1 到 dg_hier_level_4) | PanOSDGl1 | DeviceGroupHierarchyL1 | dg_hier_level_1 | about.labels.key 和 about.labels.value additional.fields.key 和 additional.fields.value.string_value |
| 设备组层次结构 (dg_hier_level_2) | PanOSDGl2 | DeviceGroupHierarchyL2 | dg_hier_level_2 | about.labels.key 和 about.labels.value additional.fields.key 和 additional.fields.value.string_value |
| 设备组层次结构 (dg_hier_level_3) | PanOSDGl3 | DeviceGroupHierarchyL3 | dg_hier_level_3 | about.labels.key 和 about.labels.value additional.fields.key 和 additional.fields.value.string_value |
| 设备组层次结构 (dg_hier_level_4) | PanOSDGl4 | DeviceGroupHierarchyL4 | dg_hier_level_4 | about.labels.key 和 about.labels.value additional.fields.key 和 additional.fields.value.string_value |
| 虚拟系统名称 (vsys_name) | PanOSVsysName | vSrcName | principal.resource.name
principal.resource.resource_type=VIRTUAL_MACHINE |
|
| 设备名称 (device_name) | dvchost | DeviceName | intermediary.hostname | |
| 设备组 (dg_id) | PanOSFWDeviceGroup | dg_id | principal.asset.attribute.labels.key/value | |
| 审核备注(评论) | PanOSPolicyAuditComment | 评论 | about.labels.key 和 about.labels.value additional.fields.key 和 additional.fields.value.string_value |
威胁/野火
下表列出了威胁/WildFire 日志类型的日志字段 及其对应的 UDM 字段。
| CSV 字段 | CEF 字段 | LEEF 字段 | Google Security Operations 标签键 | UDM 字段 |
|---|---|---|---|---|
| 接收时间(receive_time 或 cef-formatted-receive_time) | rt | devTime | metadata.collected_timestamp
metadata.event_timestamp(如果“Generate Time”不存在) |
|
| 序列号(序列号) | deviceExternalId | SerialNumber | intermediary.asset.hardware.serial_number | |
| 类型 (type) | type(标题) | cat | metadata.product_event_type | |
| 威胁/内容类型(子类型) | cat/subtype(标头) | 子类型 | metadata.product_event_type | |
| 生成时间(time_generated 或 cef-formatted-time_generated) | metadata.event_timestamp | |||
| 来源地址 (src) | src | src | principal.ip | |
| 目的地地址 (dst) | DST | dst | target.ip | |
| NAT 来源 IP (natsrc) | sourceTranslatedAddress | srcPostNAT | principal.nat_ip | |
| NAT 目标 IP (natdst) | destinationTranslatedAddress | dstPostNAT | target.nat_ip | |
| 规则名称(规则) | cs1 | RuleName | security_result.rule_name | |
| 源用户 (srcuser) | Suser | SourceUser / usrName | principal.user.userid | |
| 目标用户 (dstuser) | 用户 | DestinationUser | target.user.userid | |
| 应用 | 应用 | 应用 | target.application | |
| 虚拟系统 (vsys) | cs3 | VirtualSystem | vsys | about.labels.key 和 about.labels.value additional.fields.key 和 additional.fields.value.string_value |
| 来源可用区(起始) | cs4 | SourceZone | from | principal.labels.key 和 principal.labels.value additional.fields.key 和 additional.fields.value.string_value |
| 目标可用区(到) | cs5 | DestinationZone | 至 | target.labels.key 和 target.labels.value additional.fields.key 和 additional.fields.value.string_value |
| 入站接口 (inbound_if) | deviceInboundInterface | IngressInterface | inbound_if | principal.labels.key 和 principal.labels.value additional.fields.key 和 additional.fields.value.string_value |
| 出站接口 (outbound_if) | deviceOutboundInterface | EgressInterface | outbound_if | target.labels.key 和 target.labels.value additional.fields.key 和 additional.fields.value.string_value |
| 日志操作(日志集) | cs6 | LogForwardingProfile | 对数集 | about.labels.key 和 about.labels.value additional.fields.key 和 additional.fields.value.string_value |
| 会话 ID (sessionid) | cn1 | SessionID | network.session_id | |
| 重复计数 (repeatcnt) | cnt | RepeatCount | 重复内容 | about.labels.key 和 about.labels.value additional.fields.key 和 additional.fields.value.string_value |
| 来源端口(体育) | spt | srcPort | principal.port | |
| 目标端口 (dport) | dpt | dstPort | target.port | |
| NAT 来源端口 (natsport) | sourceTranslatedPort | srcPostNATPort | principal.nat_port | |
| NAT 目标端口 (natdport) | destinationTranslatedPort | dstPostNATPort | target.nat_port | |
| 标志 | flexString1 | 标志 | 旗帜 | about.labels.key 和 about.labels.value additional.fields.key 和 additional.fields.value.string_value |
| IP 协议 (proto) | proto | proto | network.ip_protocol | |
| 操作 (action) | act | action | security_result.action_details
security_result.action |
|
| 网址/文件名 (misc) | 请求 | 其他 | target.file.full_path(如果子类型为“file”、“virus”、“wildfire-virus”或“wildfire”,则 `misc` 字段将映射到 target.file.full_path) target.url(如果子类型为“url”,则“misc”字段会映射到 target.url 和 target.hostname) target.hostname(如果子类型为“spyware”或“vulnerability”,则“misc”字段将映射到 target.file.full_path 和 target.url) |
|
| 威胁/内容名称 (threatid) | 猫 | ThreatID | security_result.threat_name | |
| 类别 (category) | cs2 | URLCategory | security_result.category_details | |
| 严重程度 (severity) | number-of-severity(标头) | 严重程度 | security_result.severity 和 security_result.severity_details | |
| 方向 (direction) | flexString2 | 方向 | network.direction | |
| 序列号 (seqno) | externalId | 序列 | metadata.product_log_id | |
| 操作标志 (actionflags) | PanOSActionFlags | ActionFlags | actionflags | about.labels.key 和 about.labels.value additional.fields.key 和 additional.fields.value.string_value |
| 来源国家/地区 (srcloc) | SourceLocation | principal.location.country_or_region | ||
| 目的地国家/地区 (dstloc) | DestinationLocation | target.location.country_or_region | ||
| 内容类型 (contenttype) | ContentType | 内容类型 | about.labels.key 和 about.labels.value additional.fields.key 和 additional.fields.value.string_value |
|
| PCAP ID (pcap_id) | fileId | PCAP_ID | pcap_id | about.labels.key 和 about.labels.value additional.fields.key 和 additional.fields.value.string_value |
| 文件摘要 (filedigest) | fileHash | FileDigest | about.file.sha1/md5/sha256 | |
| 云 (cloud) | filePath | Cloud | Cloud | about.labels.key 和 about.labels.value additional.fields.key 和 additional.fields.value.string_value |
| 网址索引 (url_idx) | URLIndex | url_idx | about.labels.key 和 about.labels.value additional.fields.key 和 additional.fields.value.string_value |
|
| 用户代理 (user_agent) | network.http.user_agent | |||
| 文件类型(文件类型) | fileType | FileType | about.file.mime_type | |
| X-Forwarded-For (xff) | principal.ip | |||
| 引荐来源网址 (referer) | network.http.referral_url | |||
| 发件人(发件人) | SUID | 发件人 | network.email.from | |
| 主题 (subject) | msg | 主题 | network.email.subject | |
| 收件人 (recipient) | duid | 接收者 | network.email.to | |
| 报告 ID (reportid) | oldFileId | ReportID | reportid | about.labels.key 和 about.labels.value additional.fields.key 和 additional.fields.value.string_value |
| 设备组层次结构(dg_hier_level_1 到 dg_hier_level_4) | PanOSDGl1 | DeviceGroupHierarchyL1 | dg_hier_level_1 | about.labels.key 和 about.labels.value additional.fields.key 和 additional.fields.value.string_value |
| 设备组层次结构 (dg_hier_level_2) | PanOSDGl2 | DeviceGroupHierarchyL2 | dg_hier_level_2 | about.labels.key 和 about.labels.value additional.fields.key 和 additional.fields.value.string_value |
| 设备组层次结构 (dg_hier_level_3) | PanOSDGl3 | DeviceGroupHierarchyL3 | dg_hier_level_3 | about.labels.key 和 about.labels.value additional.fields.key 和 additional.fields.value.string_value |
| 设备组层次结构 (dg_hier_level_4) | PanOSDGl4 | DeviceGroupHierarchyL4 | dg_hier_level_4 | about.labels.key 和 about.labels.value additional.fields.key 和 additional.fields.value.string_value |
| 虚拟系统名称 (vsys_name) | PanOSVsysName | vSrcName | principal.resource.name
principal.resource.resource_type=VIRTUAL_MACHINE |
|
| 设备名称 (device_name) | dvchost | DeviceName | intermediary.hostname | |
| 来源虚拟机 UUID (src_uuid) | PanOSSrcUUID | SrcUUID | principal.user.product_object_id | |
| 目标虚拟机 UUID (dst_uuid) | PanOSDstUUID | DstUUID | target.user.product_object_id | |
| HTTP 方法 (http_method) | RequestMethod | network.http.method | ||
| 隧道 ID/IMSI (tunnel_id/imsi) | PanOSTunnelID | TunnelID | tunnel_id/imsi | about.labels.key 和 about.labels.value additional.fields.key 和 additional.fields.value.string_value |
| 监控代码/IMEI (monitortag/imei) | PanOSMonitorTag | MonitorTag | monitortag/imei | about.labels.key 和 about.labels.value additional.fields.key 和 additional.fields.value.string_value |
| 父级会话 ID (parent_session_id) | PanOSParentSessionID | ParentSessionID | parent_session_id | network.parent_session_id |
| 父级会话开始时间 (parent_start_time) | PanOSParentStartTime | ParentStartTime | parent_start_time | about.labels.key 和 about.labels.value additional.fields.key 和 additional.fields.value.string_value |
| 隧道类型(隧道) | PanOSTunnelType | TunnelType | 隧道 | about.labels.key 和 about.labels.value additional.fields.key 和 additional.fields.value.string_value |
| 威胁类别 (thr_category) | PanOSThreatCategory | ThreatCategory | thr_category | security_result.detection_fields.key/value |
| 内容版本 (contentver) | PanOSContentVer | ContentVer | contentver | about.labels.key 和 about.labels.value additional.fields.key 和 additional.fields.value.string_value |
| SCTP 关联 ID (assoc_id) | PanOSAssocID | assoc_id | about.labels.key 和 about.labels.value additional.fields.key 和 additional.fields.value.string_value |
|
| 载荷协议 ID (ppid) | PanOSPPID | ppid | about.labels.key 和 about.labels.value additional.fields.key 和 additional.fields.value.string_value |
|
| HTTP 标头 (http_headers) | PanOSHTTPHeader | http_headers | about.labels.key 和 about.labels.value additional.fields.key 和 additional.fields.value.string_value |
|
| 网址类别列表 (url_category_list) | PanOSURLCatList | url_category_list | about.labels.key 和 about.labels.value additional.fields.key 和 additional.fields.value.string_value |
|
| 规则 UUID (rule_uuid) | PanOSRuleUUID | security_result.rule_id | ||
| HTTP/2 连接 (http2_connection) | PanOSHTTP2Con | http2_connection | about.labels.key 和 about.labels.value additional.fields.key 和 additional.fields.value.string_value |
|
| 动态用户组名称 (dynusergroup_name) | PanDynamicUsrgrp | dynusergroup_name | principal.labels.key 和 principal.labels.value additional.fields.key 和 additional.fields.value.string_value |
|
| XFF 地址 (xff_ip) | PanXFFIP | principal.ip | ||
| 来源设备类别 (src_category) | PanSrcDeviceCat | src_category | principal.labels.key 和 principal.labels.value additional.fields.key 和 additional.fields.value.string_value |
|
| 来源设备配置文件 (src_profile) | PanSrcDeviceProf | src_profile | principal.labels.key 和 principal.labels.value additional.fields.key 和 additional.fields.value.string_value |
|
| 源设备型号 (src_model) | PanSrcDeviceModel | src_model | principal.labels.key 和 principal.labels.value additional.fields.key 和 additional.fields.value.string_value |
|
| 源设备供应商 (src_vendor) | PanSrcDeviceVendor | src_vendor | principal.labels.key 和 principal.labels.value additional.fields.key 和 additional.fields.value.string_value |
|
| 来源设备操作系统系列 (src_osfamily) | PanSrcDeviceOS | src_osfamily | principal.asset.platform_software.platform principal.labels.key 和 principal.labels.value additional.fields.key 和 additional.fields.value.string_value |
|
| 源设备操作系统版本 (src_osversion) | PanSrcDeviceOSv | principal.asset.software.version | ||
| 来源主机名 (src_host) | PanSrcHostname | principal.hostname | ||
| 来源 MAC 地址 (src_mac) | PanSrcMac | principal.mac | ||
| 目标设备类别 (dst_category) | PanDstDeviceCat | dst_category | target.labels.key 和 target.labels.value additional.fields.key 和 additional.fields.value.string_value |
|
| 目标设备配置文件 (dst_profile) | PanDstDeviceProf | dst_profile | target.labels.key 和 target.labels.value additional.fields.key 和 additional.fields.value.string_value |
|
| 目标设备型号 (dst_model) | PanDstDeviceModel | dst_model | target.labels.key 和 target.labels.value additional.fields.key 和 additional.fields.value.string_value |
|
| 目标设备供应商 (dst_vendor) | PanDstDeviceVendor | dst_vendor | target.labels.key 和 target.labels.value additional.fields.key 和 additional.fields.value.string_value |
|
| 目标设备操作系统系列 (dst_osfamily) | PanDstDeviceOS | dst_osfamily | target.labels.key 和 target.labels.value additional.fields.key 和 additional.fields.value.string_value |
|
| 目标设备操作系统版本 (dst_osversion) | PanDstDeviceOSv | target.asset.software.version | ||
| 目标主机名 (dst_host) | PanDstHostname | target.hostname | ||
| 目标 MAC 地址 (dst_mac) | PanDstMac | target.mac | ||
| 容器 ID (container_id) | PanContainerName | container_id | about.labels.key 和 about.labels.value additional.fields.key 和 additional.fields.value.string_value |
|
| POD 命名空间 (pod_namespace) | PanPODNamespace | pod_namespace | about.labels.key 和 about.labels.value additional.fields.key 和 additional.fields.value.string_value |
|
| POD 名称 (pod_name) | PanPODName | pod_name | about.labels.key 和 about.labels.value additional.fields.key 和 additional.fields.value.string_value |
|
| 来源外部动态列表 (src_edl) | PanSrcEDL | src_edl | about.labels.key 和 about.labels.value additional.fields.key 和 additional.fields.value.string_value |
|
| 目标外部动态列表 (dst_edl) | PanDstEDL | dst_edl | about.labels.key 和 about.labels.value additional.fields.key 和 additional.fields.value.string_value |
|
| 主机 ID (hostid) | PanGPHostID | hostid | about.labels.key 和 about.labels.value additional.fields.key 和 additional.fields.value.string_value |
|
| 用户设备序列号 (serialnumber) | PanEPSerial | principal.asset.hardware.serial_number | ||
| 域 EDL (domain_edl) | PanDomainEDL | domain_edl | about.labels.key 和 about.labels.value additional.fields.key 和 additional.fields.value.string_value |
|
| 来源动态地址组 (src_dag) | PanSrcDAG | principal.group.group_display_name | ||
| 目标动态地址组 (dst_dag) | PanDstDAG | target.group.group_display_name | ||
| 部分哈希 (partial_hash) | PanPartialHash | partial_hash | about.labels.key 和 about.labels.value additional.fields.key 和 additional.fields.value.string_value |
|
| 高分辨率时间戳(high_res 时间戳) | PanTimeHighRes | 高分辨率时间戳 | metadata.collected_timestamp,
metadata.event_timestamp(如果“生成时间”不存在) |
|
| 原因 | PanReasonFilteringAction | 原因 | about.labels.key 和 about.labels.value additional.fields.key 和 additional.fields.value.string_value |
|
| 两端对齐(两端对齐) | PanJustification | 正文对齐 | about.labels.key 和 about.labels.value additional.fields.key 和 additional.fields.value.string_value |
|
| Slice 服务类型 (nssai_sst) | PanASServiceType | nssai_sst | about.labels.key 和 about.labels.value additional.fields.key 和 additional.fields.value.string_value |
|
| 应用子类别 (subcategory_of_app) | subcategory_of_app | about.labels.key 和 about.labels.value additional.fields.key 和 additional.fields.value.string_value |
||
| 应用类别 (category_of_app) | category_of_app | about.labels.key 和 about.labels.value additional.fields.key 和 additional.fields.value.string_value |
||
| 应用技术 (technology_of_app) | technology_of_app | about.labels.key 和 about.labels.value additional.fields.key 和 additional.fields.value.string_value |
||
| 应用风险 (risk_of_app) | risk_of_app | about.labels.key 和 about.labels.value additional.fields.key 和 additional.fields.value.string_value |
||
| 应用特性 (characteristic_of_app) | characteristic_of_app | about.labels.key 和 about.labels.value additional.fields.key 和 additional.fields.value.string_value |
||
| 应用容器 (container_of_app) | container_of_app | about.labels.key 和 about.labels.value additional.fields.key 和 additional.fields.value.string_value |
||
| 应用 SaaS (is_saas_of_app) | is_saas_of_app | about.labels.key 和 about.labels.value additional.fields.key 和 additional.fields.value.string_value |
||
| 应用批准状态 (sanctioned_state_of_app) | sanctioned_state_of_app | about.labels.key 和 about.labels.value additional.fields.key 和 additional.fields.value.string_value |
流量
下表列出了流量日志类型的日志字段 及其对应的 UDM 字段。
| CSV 字段 | CEF 字段 | LEEF 字段 | Google Security Operations 标签键 | UDM 字段 |
|---|---|---|---|---|
| 接收时间(receive_time 或 cef-formatted-receive_time) | rt | devTime | metadata.collected_timestamp
metadata.event_timestamp(如果“Generate Time”不存在) |
|
| 序列号(序列号) | deviceExternalId | SerialNumber | intermediary.asset.hardware.serial_number | |
| 类型 (type) | type(标题) | cat/Type | metadata.product_event_type | |
| 威胁/内容类型(子类型) | 子类型(标题) | 子类型 | metadata.product_event_type | |
| 生成时间(time_generated 或 cef-formatted-time_generated) | 开始 | metadata.event_timestamp | ||
| 来源地址 (src) | src | src | principal.ip | |
| 目标地址 (dst) | dst | dst | target.ip | |
| NAT 来源 IP (natsrc) | sourceTranslatedAddress | srcPostNAT | principal.nat_ip | |
| NAT 目标 IP (natdst) | destinationTranslatedAddress | dstPostNAT | target.nat_ip | |
| 规则名称(规则) | cs1 | RuleName | security_result.rule_name | |
| 源用户 (srcuser) | Suser | SourceUser | principal.user.userid | |
| 目标用户 (dstuser) | 用户 | DestinationUser | target.user.userid | |
| 应用 | 应用 | 应用 | target.application | |
| 虚拟系统 (vsys) | cs3 | VirtualSystem | vsys | about.labels.key 和 about.labels.value additional.fields.key 和 additional.fields.value.string_value |
| 来源可用区(起始) | cs4 | SourceZone | from | principal.labels.key 和 principal.labels.value additional.fields.key 和 additional.fields.value.string_value |
| 目标可用区(到) | cs5 | DestinationZone | 至 | target.labels.key 和 target.labels.value additional.fields.key 和 additional.fields.value.string_value |
| 入站接口 (inbound_if) | deviceInboundInterface | IngressInterface | inbound_if | principal.labels.key 和 principal.labels.value additional.fields.key 和 additional.fields.value.string_value |
| 出站接口 (outbound_if) | deviceOutboundInterface | EgressInterface | outbound_if | target.labels.key 和 target.labels.value additional.fields.key 和 additional.fields.value.string_value |
| 日志操作(日志集) | cs6 | LogForwardingProfile | 对数集 | about.labels.key 和 about.labels.value additional.fields.key 和 additional.fields.value.string_value |
| 会话 ID (sessionid) | cn1 | SessionID | network.session_id | |
| 重复计数 (repeatcnt) | cnt | RepeatCount | 重复内容 | about.labels.key 和 about.labels.value additional.fields.key 和 additional.fields.value.string_value |
| 来源端口(体育) | spt | srcPort | principal.port | |
| 目标端口 (dport) | dpt | dstPort | target.port | |
| NAT 来源端口 (natsport) | sourceTranslatedPort | srcPostNATPort | principal.nat_port | |
| NAT 目标端口 (natdport) | destinationTranslatedPort | dstPostNATPort | target.nat_port | |
| 标志 | flexString1 | 标志 | 旗帜 | about.labels.key 和 about.labels.value additional.fields.key 和 additional.fields.value.string_value |
| IP 协议 (proto) | proto | proto | network.ip_protocol | |
| 操作 (action) | act | action | security_result.action_details
security_result.action |
|
| 字节 | flexNumber1 | totalBytes | 字节 | about.labels.key 和 about.labels.value additional.fields.key 和 additional.fields.value.string_value |
| 发送的字节数 (bytes_sent) | 在 | srcBytes | network.sent_bytes | |
| 已接收的字节数 (bytes_received) | out | dstBytes | network.received_bytes | |
| 数据包数量 | cn2 | totalPackets | 数据包 | about.labels.key 和 about.labels.value additional.fields.key 和 additional.fields.value.string_value |
| 开始时间(开始时间) | StartTime | 开始时间 | about.labels.key 和 about.labels.value additional.fields.key 和 additional.fields.value.string_value |
|
| 已用时间 (elapsed) | cn3 | ElapsedTime | 已用时 | network.session_duration.seconds |
| 类别 (category) | cs2 | URLCategory | security_result.category / security_result.category_details | |
| 序列号 (seqno) | externalId | 序列 | metadata.product_log_id | |
| 操作标志 (actionflags) | PanOSActionFlags | ActionFlags | actionflags | about.labels.key 和 about.labels.value additional.fields.key 和 additional.fields.value.string_value |
| 来源国家/地区 (srcloc) | SourceLocation | principal.location.country_or_region | ||
| 目的地国家/地区 (dstloc) | DestinationLocation | target.location.country_or_region | ||
| 发送的数据包数量 (pkts_sent) | PanOSPacketsSent | srcPackets | pkts_sent | about.labels.key 和 about.labels.value additional.fields.key 和 additional.fields.value.string_value |
| 接收的数据包数量 (pkts_received) | PanOSPacketsReceived | dstPackets | pkts_received | about.labels.key 和 about.labels.value additional.fields.key 和 additional.fields.value.string_value |
| 会话结束原因 (session_end_reason) | 原因 | SessionEndReason | security_result.summary | |
| 设备组层次结构1(dg_hier_level_1 到 dg_hier_level_4) | PanOSDGl1 | DeviceGroupHierarchyL1 | dg_hier_level_1 | about.labels.key 和 about.labels.value additional.fields.key 和 additional.fields.value.string_value |
| 设备组层次结构 2 (dg_hier_level_2) | PanOSDGl2 | DeviceGroupHierarchyL2 | dg_hier_level_2 | about.labels.key 和 about.labels.value additional.fields.key 和 additional.fields.value.string_value |
| 设备组层次结构 3 (dg_hier_level_3) | PanOSDGl3 | DeviceGroupHierarchyL3 | dg_hier_level_3 | about.labels.key 和 about.labels.value additional.fields.key 和 additional.fields.value.string_value |
| 设备组层次结构 (dg_hier_level_4) | PanOSDGl4 | DeviceGroupHierarchyL4 | dg_hier_level_4 | about.labels.key 和 about.labels.value additional.fields.key 和 additional.fields.value.string_value |
| 虚拟系统名称 (vsys_name) | PanOSVsysName | vSrcName | principal.resource.name
principal.resource.resource_type=VIRTUAL_MACHINE |
|
| 设备名称 (device_name) | dvchost | DeviceName | intermediary.hostname | |
| 操作来源 (action_source) | cat | ActionSource | action_source | about.labels.key 和 about.labels.value additional.fields.key 和 additional.fields.value.string_value |
| 来源虚拟机 UUID (src_uuid) | PanOSSrcUUID | SrcUUID | principal.asset.product_object_id | |
| 目标虚拟机 UUID (dst_uuid) | PanOSDstUUID | DstUUID | target.asset.product_object_id | |
| 隧道 ID/IMSI (tunnelid/imsi) | PanOSTunnelID | TunnelID | tunnelid/imsi | about.labels.key 和 about.labels.value additional.fields.key 和 additional.fields.value.string_value |
| 监控代码/IMEI (monitortag/imei) | PanOSMonitorTag | MonitorTag | monitortag/imei | about.labels.key 和 about.labels.value additional.fields.key 和 additional.fields.value.string_value |
| 父级会话 ID (parent_session_id) | PanOSParentSessionID | ParentSessionID | parent_session_id | network.parent_session_id |
| 父级开始时间 (parent_start_time) | PanOSParentStartTime | ParentStartTime | parent_start_time | about.labels.key 和 about.labels.value additional.fields.key 和 additional.fields.value.string_value |
| 隧道类型(隧道) | PanOSTunnelType | TunnelType | 隧道 | about.labels.key 和 about.labels.value additional.fields.key 和 additional.fields.value.string_value |
| SCTP 关联 ID (assoc_id) | PanOSSCTPAssocID | assoc_id | about.labels.key 和 about.labels.value additional.fields.key 和 additional.fields.value.string_value |
|
| SCTP 块(区块) | PanOSSCTPChunks | 分块 | about.labels.key 和 about.labels.value additional.fields.key 和 additional.fields.value.string_value |
|
| 发送的 SCTP 数据块 (chunks_sent) | PanOSSCTPChunkSent | chunks_sent | about.labels.key 和 about.labels.value additional.fields.key 和 additional.fields.value.string_value |
|
| 接收的 SCTP 数据块数 (chunks_received) | PanOSSCTPChunksRcv | chunks_received | about.labels.key 和 about.labels.value additional.fields.key 和 additional.fields.value.string_value |
|
| 规则 UUID (rule_uuid) | PanOSRuleUUID | security_result.rule_id | ||
| HTTP/2 连接 (http2_connection) | PanOSHTTP2Con | http2_connection | about.labels.key 和 about.labels.value additional.fields.key 和 additional.fields.value.string_value |
|
| 应用翻转次数 (link_change_count) | PanLinkChange | link_change_count | about.labels.key 和 about.labels.value additional.fields.key 和 additional.fields.value.string_value |
|
| 政策 ID (policy_id) | PanPolicyID | policy_id | about.labels.key 和 about.labels.value additional.fields.key 和 additional.fields.value.string_value |
|
| 链接开关 (link_switches) | PanLinkDetail | link_switches | about.labels.key 和 about.labels.value additional.fields.key 和 additional.fields.value.string_value |
|
| SD-WAN 集群 (sdwan_cluster) | PanSDWANCluster | sdwan_cluster | about.labels.key 和 about.labels.value additional.fields.key 和 additional.fields.value.string_value |
|
| SD-WAN 设备类型 (sdwan_device_type) | PanSDWANDevice | sdwan_device_type | about.labels.key 和 about.labels.value additional.fields.key 和 additional.fields.value.string_value |
|
| SD-WAN 集群类型 (sdwan_cluster_type) | PanSDWANClustype | sdwan_cluster_type | about.labels.key 和 about.labels.value additional.fields.key 和 additional.fields.value.string_value |
|
| SD-WAN 网站 (sdwan_site) | PanSDWANSite | sdwan_site | about.labels.key 和 about.labels.value additional.fields.key 和 additional.fields.value.string_value |
|
| 动态用户组名称 (dynusergroup_name) | PanDynamicUsrgrp | dynusergroup_name | about.labels.key 和 about.labels.value additional.fields.key 和 additional.fields.value.string_value |
|
| XFF 地址 (xff_ip) | PanXFFIP | principal.ip | ||
| 来源设备类别 (src_category) | PanSrcDeviceCat | src_category | principal.labels.key 和 principal.labels.value additional.fields.key 和 additional.fields.value.string_value |
|
| 来源设备配置文件 (src_profile) | PanSrcDeviceProf | src_profile | principal.labels.key 和 principal.labels.value additional.fields.key 和 additional.fields.value.string_value |
|
| 源设备型号 (src_model) | PanSrcDeviceModel | src_model | principal.labels.key 和 principal.labels.value additional.fields.key 和 additional.fields.value.string_value |
|
| 源设备供应商 (src_vendor) | PanSrcDeviceVendor | src_vendor | principal.labels.key 和 principal.labels.value additional.fields.key 和 additional.fields.value.string_value |
|
| 来源设备操作系统系列 (src_osfamily) | PanSrcDeviceOS | principal.asset.platform_software.platform principal.labels.key 和 principal.labels.value additional.fields.key 和 additional.fields.value.string_value |
||
| 源设备操作系统版本 (src_osversion) | PanSrcDeviceOSv | principal.asset.software.version | ||
| 来源主机名 (src_host) | PanSrcHostname | principal.hostname | ||
| 来源 MAC 地址 (src_mac) | PanSrcMac | principal.mac | ||
| 目标设备类别 (dst_category) | PanDstDeviceCat | dst_category | target.labels.key 和 target.labels.value additional.fields.key 和 additional.fields.value.string_value |
|
| 目标设备配置文件 (dst_profile) | PanDstDeviceProf | dst_profile | target.labels.key 和 target.labels.value additional.fields.key 和 additional.fields.value.string_value |
|
| 目标设备型号 (dst_model) | PanDstDeviceModel | dst_model | target.labels.key 和 target.labels.value additional.fields.key 和 additional.fields.value.string_value |
|
| 目标设备供应商 (dst_vendor) | PanDstDeviceVendor | dst_vendor | target.labels.key 和 target.labels.value additional.fields.key 和 additional.fields.value.string_value |
|
| 目标设备操作系统系列 (dst_osfamily) | PanDstDeviceOS | dst_osfamily | target.labels.key 和 target.labels.value additional.fields.key 和 additional.fields.value.string_value |
|
| 目标设备操作系统版本 (dst_osversion) | PanDstDeviceOSv | target.asset.software.version | ||
| 目标主机名 (dst_host) | PanDstHostname | target.hostname | ||
| 目标 MAC 地址 (dst_mac) | PanDstMac | target.mac | ||
| 容器 ID (container_id) | PanContainerName | container_id | about.labels.key 和 about.labels.value additional.fields.key 和 additional.fields.value.string_value |
|
| POD 命名空间 (pod_namespace) | PanPODNamespace | pod_namespace | about.labels.key 和 about.labels.value additional.fields.key 和 additional.fields.value.string_value |
|
| POD 名称 (pod_name) | PanPODName | pod_name | about.labels.key 和 about.labels.value additional.fields.key 和 additional.fields.value.string_value |
|
| 来源外部动态列表 (src_edl) | PanSrcEDL | src_edl | principal.labels.key 和 principal.labels.value additional.fields.key 和 additional.fields.value.string_value |
|
| 目标外部动态列表 (dst_edl) | PanDstEDL | dst_edl | target.labels.key 和 target.labels.value additional.fields.key 和 additional.fields.value.string_value |
|
| 主机 ID (hostid) | PanGPHostID | hostid | about.labels.key 和 about.labels.value additional.fields.key 和 additional.fields.value.string_value |
|
| 用户设备序列号 (serialnumber) | PanEPSerial | principal.asset.hardware.serial_number | ||
| 来源动态地址组 (src_dag) | PanSrcDAG | principal.group.group_display_name | ||
| 目标动态地址组 (dst_dag) | PanDstDAG | target.group.group_display_name | ||
| 会话所有者 (session_owner) | PanHASessionOwner | session_owner | about.labels.key 和 about.labels.value additional.fields.key 和 additional.fields.value.string_value |
|
| 高分辨率时间戳 (high_res_timestamp) | PanTimeHighRes | metadata.collected_timestamp,
metadata.event_timestamp(如果“生成时间”不存在) |
||
| Slice 服务类型 (nsdsai_sst) | PanASServiceType | nsdsai_sst | about.labels.key 和 about.labels.value additional.fields.key 和 additional.fields.value.string_value |
|
| Slice 区别 (nsdsai_sd) | PanASServiceDiff | nsdsai_sd | about.labels.key 和 about.labels.value additional.fields.key 和 additional.fields.value.string_value |
|
| 应用子类别 (subcategory_of_app) | subcategory_of_app | about.labels.key 和 about.labels.value additional.fields.key 和 additional.fields.value.string_value |
||
| 应用类别 (category_of_app) | category_of_app | about.labels.key 和 about.labels.value additional.fields.key 和 additional.fields.value.string_value |
||
| 应用技术 (technology_of_app) | technology_of_app | about.labels.key 和 about.labels.value additional.fields.key 和 additional.fields.value.string_value |
||
| 应用风险 (risk_of_app) | security_result.severity | |||
| 应用特征 (characteristic_of_app) | characteristic_of_app | about.labels.key 和 about.labels.value additional.fields.key 和 additional.fields.value.string_value |
||
| 应用容器 (container_of_app) | container_of_app | about.labels.key 和 about.labels.value additional.fields.key 和 additional.fields.value.string_value |
||
| 应用 SaaS (is_saas_of_app) | is_saas_of_app | about.labels.key 和 about.labels.value additional.fields.key 和 additional.fields.value.string_value |
||
| 应用批准状态 (sanctioned_state_of_app) | sanctioned_state_of_app | about.labels.key 和 about.labels.value additional.fields.key 和 additional.fields.value.string_value |
||
| 应用子类别 (subcategory_of_app) | subcategory_of_app1 | about.labels.key 和 about.labels.value additional.fields.key 和 additional.fields.value.string_value |
User-ID
下表列出了“用户 ID”日志类型的日志字段及其对应的 UDM 字段。
| CSV 字段 | CEF 字段 | LEEF 字段 | Google Security Operations 标签键 | UDM 字段 |
|---|---|---|---|---|
| 接收时间(receive_time 或 cef-formatted-receive_time) | rt | devTime | metadata.collected_timestamp
metadata.event_timestamp(如果“Generate Time”不存在) |
|
| 序列号(序列号) | deviceExternalId | SerialNumber | intermediary.asset.hardware.serial_number | |
| 类型 (type) | type(标题) | cat | metadata.product_event_type | |
| 威胁/内容类型(子类型) | 子类型(标题) | 子类型 | metadata.product_event_type | |
| 生成时间(time_generated 或 cef-formatted-time_generated) | metadata.event_timestamp | |||
| 虚拟系统 (vsys) | cs3 | VirtualSystem | vsys | about.labels.key 和 about.labels.value additional.fields.key 和 additional.fields.value.string_value |
| 来源 IP (ip) | src | src | principal.ip | |
| 用户 (user) | duser | usrName | target.user.userid
target.administrative_domain target.user.email_addresses |
|
| 数据源名称 (datasourcename) | cs4 | DataSourceName | datasourcename | principal.labels.key 和 principal.labels.value additional.fields.key 和 additional.fields.value.string_value |
| 事件 ID (eventid) | EventID | eventid | about.labels.key 和 about.labels.value additional.fields.key 和 additional.fields.value.string_value |
|
| 重复计数 (repeatcnt) | cnt | RepeatCount | 重复内容 | about.labels.key 和 about.labels.value additional.fields.key 和 additional.fields.value.string_value |
| 超时阈值(超时) | cn3 | TimeoutThreshold | 超时 | about.labels.key 和 about.labels.value additional.fields.key 和 additional.fields.value.string_value |
| 来源端口 (beginport) | spt | srcPort | principal.port | |
| 目标端口 (endport) | dpt | dstPort | target.port | |
| 数据源 | cs5 | DataSource | datasource | principal.labels.key 和 principal.labels.value additional.fields.key 和 additional.fields.value.string_value |
| 数据源类型 (datasourcetype) | cs6 | DataSourceType | datasourcetype | principal.labels.key 和 principal.labels.value additional.fields.key 和 additional.fields.value.string_value |
| 序列号 (seqno) | externalId | 序列 | metadata.product_log_id | |
| 操作标志 (actionflags) | PanOSActionFlags | ActionFlags | actionflags | about.labels.key 和 about.labels.value additional.fields.key 和 additional.fields.value.string_value |
| 设备组层次结构 (dg_hier_level_1) | PanOSDGl1 | DeviceGroupHierarchyL1 | dg_hier_level_1 | about.labels.key 和 about.labels.value additional.fields.key 和 additional.fields.value.string_value |
| 设备组层次结构 (dg_hier_level_2) | PanOSDGl2 | DeviceGroupHierarchyL2 | dg_hier_level_2 | about.labels.key 和 about.labels.value additional.fields.key 和 additional.fields.value.string_value |
| 设备组层次结构 (dg_hier_level_3) | PanOSDGl3 | DeviceGroupHierarchyL3 | dg_hier_level_3 | about.labels.key 和 about.labels.value additional.fields.key 和 additional.fields.value.string_value |
| 设备组层次结构 (dg_hier_level_4) | PanOSDGl4 | DeviceGroupHierarchyL4 | dg_hier_level_4 | about.labels.key 和 about.labels.value additional.fields.key 和 additional.fields.value.string_value |
| 虚拟系统名称 (vsys_name) | PanOSVsysName | vSrcName | principal.resource.name
principal.resource.resource_type=VIRTUAL_MACHINE |
|
| 设备名称 (device_name) | dvchost | DeviceName | intermediary.hostname | |
| 虚拟系统 ID (vsys_id) | cn2 | VirtualSystemID | principal.resource.resource_type=VIRTUAL_MACHINE and principal.resource.product_object_id | |
| 因素类型 (factortype) | cs1 | FactorType | 因式类型 | about.labels.key 和 about.labels.value additional.fields.key 和 additional.fields.value.string_value |
| 因子完成时间 (factorcompletiontime) | 结束 | FactorCompletionTime | factorcompletiontime | about.labels.key 和 about.labels.value additional.fields.key 和 additional.fields.value.string_value |
| 因子编号 (factorno) | cn1 | FactorNumber | Ffactorno | about.labels.key 和 about.labels.value additional.fields.key 和 additional.fields.value.string_value |
| 用户组标记 (ugflags) | PanOSUGFlags | UGflags | about.labels.key 和 about.labels.value additional.fields.key 和 additional.fields.value.string_value |
|
| 按来源划分的用户 (userbysource) | PanOSUserBySource | principal.user.userid
principal.administrative_domain principal.user.email_addresses |
||
| 高分辨率时间戳 (high_res timestamp) | PanOSTimeGeneratedHighResolution | metadata.collected_timestamp,
metadata.event_timestamp(如果“Generate Time”不存在) |
HIP 匹配
下表列出了 HIP 匹配日志类型的日志字段 及其对应的 UDM 字段。
| CSV 字段 | CEF 字段 | LEEF 字段 | Google Security Operations 标签键 | UDM 字段 |
|---|---|---|---|---|
| 接收时间(receive_time 或 cef-formatted-receive_time) | rt | devTime | metadata.collected_timestamp
metadata.event_timestamp(如果“Generate Time”不存在) |
|
| 序列号(序列号) | deviceExternalId | SerialNumber | intermediary.asset.hardware.serial_number | |
| 类型 (type) | type(标题) | cat | metadata.product_event_type | |
| 威胁/内容类型(子类型) | 子类型(标题) | 子类型 | ||
| 生成时间(time_generated 或 cef-formatted-time_generated) | 开始 | startTime | metadata.event_timestamp | |
| 源用户 (srcuser) | Suser | usrName | principal.user.userid | |
| 虚拟系统 (vsys) | cs3 | VirtualSystem | vsys | about.labels.key 和 about.labels.value additional.fields.key 和 additional.fields.value.string_value |
| 机器名称 (machinename) | shost | identHostName | principal.hostname | |
| 操作系统 (os) | cs2 | 操作系统 | principal.asset.platform_software.platform | |
| 来源地址 (src) | src | identsrc | principal.ip | |
| HIP(matchname) | cat | 健康保险流通与责任法案 (HIP) | matchname | about.labels.key 和 about.labels.value additional.fields.key 和 additional.fields.value.string_value |
| 重复计数 (repeatcnt) | cnt | RepeatCount | 重复内容 | about.labels.key 和 about.labels.value additional.fields.key 和 additional.fields.value.string_value |
| HIP 类型 (matchtype) | 设备事件类 ID(标头) | HIPType | matchtype | about.labels.key 和 about.labels.value additional.fields.key 和 additional.fields.value.string_value |
| 序列号 (seqno) | externalId | 序列 | metadata.product_log_id | |
| 操作标志 (actionflags) | PanOSActionFlags | ActionFlags | actionflags | about.labels.key 和 about.labels.value additional.fields.key 和 additional.fields.value.string_value |
| 设备组层次结构 (dg_hier_level_1) | PanOSDGl1 | DeviceGroupHierarchyL1 | dg_hier_level_1 | about.labels.key 和 about.labels.value additional.fields.key 和 additional.fields.value.string_value |
| 设备组层次结构 (dg_hier_level_2) | PanOSDGl2 | DeviceGroupHierarchyL2 | dg_hier_level_2 | about.labels.key 和 about.labels.value additional.fields.key 和 additional.fields.value.string_value |
| 设备组层次结构 (dg_hier_level_3) | PanOSDGl3 | DeviceGroupHierarchyL3 | dg_hier_level_3 | about.labels.key 和 about.labels.value additional.fields.key 和 additional.fields.value.string_value |
| 设备组层次结构 (dg_hier_level_4) | PanOSDGl4 | DeviceGroupHierarchyL4 | dg_hier_level_4 | about.labels.key 和 about.labels.value additional.fields.key 和 additional.fields.value.string_value |
| 虚拟系统名称 (vsys_name) | PanOSVsysName | vSrcName | principal.resource.name
principal.resource.resource_type=VIRTUAL_MACHINE |
|
| 设备名称 (device_name) | dvchost | DeviceName | intermediary.hostname | |
| 虚拟系统 ID (vsys_id) | cn2 | VirtualSystemID | principal.resource.resource_type=VIRTUAL_MACHINE 和 principal.resource.product_object_id | |
| IPv6 系统地址 (srcipv6) | C6A2 | srcipv6 | principal.asset.ip | |
| 主机 ID (hostid) | PanOSHostID | principal.asset.product_object_id | ||
| 用户设备序列号(序列号) | PanOSEndpointSerialNumber | principal.asset.hardware.serial_number | ||
| 设备 MAC 地址 (mac) | PanOSEndpointMac | principal.asset.mac | ||
| 高分辨率时间戳 (high_res_timestamp) | PanOSTimeGeneratedHighResolution | metadata.collected_timestamp,
metadata.event_timestamp(如果“生成时间”不存在) |
IP 代码
下表列出了 IP 代码日志类型的日志字段及其对应的 UDM 字段。
| CSV 字段 | CEF 字段 | LEEF 字段 | Google Security Operations 标签键 | UDM 字段 |
|---|---|---|---|---|
| 接收时间(receive_time 或 cef-formatted-receive_time) | rt | devTime | metadata.collected_timestamp
metadata.event_timestamp(如果“Generate Time”不存在) |
|
| 序列号(序列号) | deviceExternalId | SerialNumber | intermediary.asset.hardware.serial_number | |
| 类型 (type) | type(标题) | cat | metadata.product_event_type | |
| 威胁/内容类型(子类型) | 子类型(标题) | 子类型 | metadata.product_event_type | |
| 生成时间(time_generated 或 cef-formatted-time_generated) | GenerateTime | metadata.event_timestamp | ||
| 虚拟系统 (vsys) | cs3 | VirtualSystem | vsys | about.labels.key 和 about.labels.value additional.fields.key 和 additional.fields.value.string_value |
| 来源 IP (ip) | src | src | principal.ip | |
| 代码名称 (tag_name) | PanOSTagName | TagName | tag_name | principal.labels.key 和 principal.labels.value additional.fields.key 和 additional.fields.value.string_value |
| 事件 ID (event_id) | PanOSEventID | EventID | event_id | about.labels.key 和 about.labels.value additional.fields.key 和 additional.fields.value.string_value |
| 重复计数 (repeatcnt) | cnt | RepeatCount | 重复内容 | about.labels.key 和 about.labels.value additional.fields.key 和 additional.fields.value.string_value |
| 超时 (timeout) | PanOSTimeout | TimeoutThreshold | 超时 | about.labels.key 和 about.labels.value additional.fields.key 和 additional.fields.value.string_value |
| 数据源名称 (datasourcename) | PanOSDataSourceName | DataSourceName | datasourcename | principal.labels.key 和 principal.labels.value additional.fields.key 和 additional.fields.value.string_value |
| 数据源类型 (datasource_type) | PanOSDataSourceType | DataSource | datasource_type | principal.labels.key 和 principal.labels.value additional.fields.key 和 additional.fields.value.string_value |
| 数据源子类型 (datasource_subtype) | PanOSDataSourceSubType | DataSourceType | datasource_subtype | principal.labels.key 和 principal.labels.value additional.fields.key 和 additional.fields.value.string_value |
| 序列号 (seqno) | externalId | 序列 | metadata.product_log_id | |
| 操作标志 (actionflags) | PanOSActionFlags | ActionFlags | actionflags | about.labels.key 和 about.labels.value additional.fields.key 和 additional.fields.value.string_value |
| 设备组层次结构 (dg_hier_level_1) | PanOSDGl1 | DeviceGroupHierarchyL1 | dg_hier_level_1 | about.labels.key 和 about.labels.value additional.fields.key 和 additional.fields.value.string_value |
| 设备组层次结构 (dg_hier_level_2) | PanOSDGl2 | DeviceGroupHierarchyL2 | dg_hier_level_2 | about.labels.key 和 about.labels.value additional.fields.key 和 additional.fields.value.string_value |
| 设备组层次结构 (dg_hier_level_3) | PanOSDGl3 | DeviceGroupHierarchyL3 | dg_hier_level_3 | about.labels.key 和 about.labels.value additional.fields.key 和 additional.fields.value.string_value |
| 设备组层次结构 (dg_hier_level_4) | PanOSDGl4 | DeviceGroupHierarchyL4 | dg_hier_level_4 | about.labels.key 和 about.labels.value additional.fields.key 和 additional.fields.value.string_value |
| 虚拟系统名称 (vsys_name) | PanOsVsysName | vSrcName | principal.resource.name
principal.resource.resource_type=VIRTUAL_MACHINE |
|
| 设备名称 (device_name) | dvchost | DeviceName | intermediary.hostname | |
| 虚拟系统 ID (vsys_id) | cn2 | VirtualSystemID | principal.resource.resource_type=VIRTUAL_MACHINE 和 principal.resource.product_object_id | |
| 高分辨率时间戳(high_res 时间戳) | PanOSTimeGeneratedHighResolution | metadata.collected_timestamp,
metadata.event_timestamp(如果“Generate Time”不存在) |
解密
下表列出了解密日志类型的日志字段及其对应的 UDM 字段。
| CSV 字段 | CEF 字段 | LEEF 字段 | Google Security Operations 标签键 | UDM 字段 |
|---|---|---|---|---|
| 接收时间(receive_time 或 cef-formatted-receive_time) | rt | metadata.collected_timestamp,
metadata.event_timestamp(如果“Generate Time”不存在) |
||
| 序列号(序列号) | PanOSDeviceSN | intermediary.asset.hardware.serial_number | ||
| 类型 (type) | type(标头) | metadata.product_event_type | ||
| 威胁/内容类型(子类型) | 子类型(标题) | metadata.product_event_type | ||
| 配置版本 (config_ver) | PanOSConfigVersion | config_ver | about.labels.key 和 about.labels.value additional.fields.key 和 additional.fields.value.string_value |
|
| 生成时间 (time_generated) | PanOSLogTimeStamp | metadata.event_timestamp | ||
| 来源地址 (src) | src | principal.ip | ||
| 目标地址 (dst) | DST | target.ip | ||
| NAT 来源 IP (natsrc) | sourceTranslatedAddress | principa.nat_ip | ||
| NAT 目标 IP (natdst) | destinationTranslatedAddress | target.nat_ip | ||
| 规则 | cs1 | security_result.rule_name | ||
| 源用户 (srcuser) | suser | principal.user.userid | ||
| 目标用户 (dstuser) | duser | target.user.userid | ||
| 应用 | 应用 | target.application | ||
| 虚拟系统 (vsys) | cs3 | vsys | about.labels.key 和 about.labels.value additional.fields.key 和 additional.fields.value.string_value |
|
| 来源可用区(起始) | cs4 | 来自 | principal.labels.key 和 principal.labels.value additional.fields.key 和 additional.fields.value.string_value |
|
| 目标可用区(到) | cs5 | 更改为 | target.labels.key 和 target.labels.value additional.fields.key 和 additional.fields.value.string_value |
|
| 入站接口 (inbound_if) | deviceInboundInterface | inbound_if | principal.labels.key 和 principal.labels.value additional.fields.key 和 additional.fields.value.string_value |
|
| 出站接口 (outbound_if) | deviceOutboundInterface | outbound_if | target.labels.key 和 target.labels.value additional.fields.key 和 additional.fields.value.string_value |
|
| 日志操作(日志集) | cs6 | 对数集 | about.labels.key 和 about.labels.value additional.fields.key 和 additional.fields.value.string_value |
|
| 记录的时间 (time_received) | PanOSTimeReceivedManagementPlane | - | ||
| 会话 ID (sessionid) | cn1 | network.session_id | ||
| 重复计数 (repeatcnt) | PanOSCountOfRepeats/RepeatCount | repeatcnt | about.labels.key 和 about.labels.value additional.fields.key 和 additional.fields.value.string_value |
|
| 来源端口(体育) | spt | principal.port | ||
| 目标端口 (dport) | dpt | target.port | ||
| NAT 来源端口 (natsport) | sourceTranslatedPort | principal.nat_port | ||
| NAT 目标端口 (natdport) | destinationTranslatedPort | target.nat_port | ||
| 标志 | flexString1 | flags | about.labels.key 和 about.labels.value additional.fields.key 和 additional.fields.value.string_value |
|
| IP 协议 (proto) | proto | network.ip_protocol | ||
| 操作 (action) | 行动 | security_result.action_details
security_result.action |
||
| 隧道 | PanOSTunnel | 隧道 | about.labels.key 和 about.labels.value additional.fields.key 和 additional.fields.value.string_value |
|
| 来源虚拟机 UUID (src_uuid) | PanOSSourceUUID | principal.asset.asset_id | ||
| 目标虚拟机 UUID (dst_uuid) | PanOSDestinationUUID | target.asset.asset_id | ||
| 规则的 UUID (rule_uuid) | PanOSRuleUUID | security_result.rule_id | ||
| 客户端到防火墙的阶段 (hs_stage_c2f) | PanOSClientToFirewall | hs_stage_c2f | about.labels.key 和 about.labels.value additional.fields.key 和 additional.fields.value.string_value |
|
| 防火墙到服务器的阶段 (hs_stage_f2s) | PanOSFirewallToServer | hs_stage_f2s | about.labels.key 和 about.labels.value additional.fields.key 和 additional.fields.value.string_value |
|
| TLS 版本 (tls_version) | PanOSTLSVersion | network.tls.version | ||
| 密钥交换算法 (tls_keyxchg) | PanOSTLSKeyExchange | tls_keyxchg | about.labels.key 和 about.labels.value additional.fields.key 和 additional.fields.value.string_value |
|
| 加密算法 (tls_enc) | PanOSTLSEncryptionAlgorithm | tls_enc | about.labels.key 和 about.labels.value additional.fields.key 和 additional.fields.value.string_value |
|
| 哈希算法 (tls_auth) | PanOSTLSAuth | tls_auth | about.labels.key 和 about.labels.value additional.fields.key 和 additional.fields.value.string_value |
|
| 政策名称 (policy_name) | PanOSPolicyName | policy_name | about.labels.key 和 about.labels.value additional.fields.key 和 additional.fields.value.string_value |
|
| 椭圆曲线 (ec_curve) | PanOSEllipticCurve | network.tls.curve | ||
| 错误索引 (err_index) | PanOSErrorIndex | err_index | about.labels.key 和 about.labels.value additional.fields.key 和 additional.fields.value.string_value |
|
| 根状态 (root_status) | PanOSRootStatus | root_status | about.labels.key 和 about.labels.value additional.fields.key 和 additional.fields.value.string_value |
|
| 链状态 (chain_status) | PanOSChainStatus | chain_status | about.labels.key 和 about.labels.value additional.fields.key 和 additional.fields.value.string_value |
|
| 代理类型 (proxy_type) | PanOSProxyType | proxy_type | about.labels.key 和 about.labels.value additional.fields.key 和 additional.fields.value.string_value |
|
| 证书序列号 (cert_serial) | PanOSCertificateSerial | network.tls.server.certificate.serial | ||
| 证书指纹(指纹) | PanOSFingerprint | network.tls.server.certificate.md5/sha1/sha256 | ||
| 证书开始日期 (notbefore) | PanOSTimeNotBefore | network.tls.server.certificate.not_before | ||
| 证书结束日期(不晚于) | PanOSTimeNotAfter | network.tls.server.certificate.not_after | ||
| 证书版本 (cert_ver) | PanOSCertificateVersion | network.tls.server.certificate.version | ||
| 证书大小 (cert_size) | PanOSCertificateSize | cert_size | about.labels.key 和 about.labels.value additional.fields.key 和 additional.fields.value.string_value |
|
| 通用名称长度 (cn_len) | PanOSCommonNameLength | cn_len | about.labels.key 和 about.labels.value additional.fields.key 和 additional.fields.value.string_value |
|
| 颁发者通用名称长度 (issuer_len) | PanOSIssuerNameLength | issuer_len | about.labels.key 和 about.labels.value additional.fields.key 和 additional.fields.value.string_value |
|
| 根通用名称长度 (rootcn_len) | PanOSRootCNLength | rootcn_len | about.labels.key 和 about.labels.value additional.fields.key 和 additional.fields.value.string_value |
|
| SNI 长度 (sni_len) | PanOSSNILength | sni_len | about.labels.key 和 about.labels.value additional.fields.key 和 additional.fields.value.string_value |
|
| 证书标志 (cert_flags) | PanOSCertificateFlags | cert_flags | about.labels.key 和 about.labels.value additional.fields.key 和 additional.fields.value.string_value |
|
| 正文通用名称 (cn) | PanOSCommonName | cn | about.labels.key 和 about.labels.value additional.fields.key 和 additional.fields.value.string_value |
|
| 发卡机构公用名 (issuer_cn) | PanOSIssuerCommonName | network.tls.server.certificate.issuer | ||
| 根通用名称 (root_cn) | PanOSRootCommonName | root_cn | about.labels.key 和 about.labels.value additional.fields.key 和 additional.fields.value.string_value |
|
| 服务器名称指示
(sni) |
network.tls.client.server_name | |||
| 错误 (error) | PanOSErrorMessage | 错误 | about.labels.key 和 about.labels.value additional.fields.key 和 additional.fields.value.string_value |
|
| 容器 ID (container_id) | PanOSContainerID | container_id | about.labels.key 和 about.labels.value additional.fields.key 和 additional.fields.value.string_value |
|
| POD 命名空间 (pod_namespace) | PanOSContainerNameSpace | pod_namespace | about.labels.key 和 about.labels.value additional.fields.key 和 additional.fields.value.string_value |
|
| POD 名称 (pod_name) | PanOSContainerName | pod_name | about.labels.key 和 about.labels.value additional.fields.key 和 additional.fields.value.string_value |
|
| 来源外部动态列表 (src_edl) | PanOSSourceEDL | src_edl | principal.labels.key 和 principal.labels.value additional.fields.key 和 additional.fields.value.string_value |
|
| 目标外部动态列表 (dst_edl) | PanOSDestinationEDL | dst_edl | target.labels.key 和 target.labels.value additional.fields.key 和 additional.fields.value.string_value |
|
| 来源动态地址组 (src_dag) | PanOSSourceDynamicAddressGroup | principal.group.group_display_name | ||
| 目标动态地址组 (dst_dag) | PanOSDestinationDynamicAddressGroup | target.group.group_display_name | ||
| 高分辨率时间戳 (high_res_timestamp) | PanOSTimeGeneratedHighResolution | metadata.collected_timestamp,
metadata.event_timestamp(如果“Generate Time”不存在) |
||
| 来源设备类别 (src_category) | PanOSSourceDeviceCategory | src_category | principal.labels.key 和 principal.labels.value additional.fields.key 和 additional.fields.value.string_value |
|
| 源设备配置文件 (src_profile) | PanOSSourceDeviceProfile | src_profile | principal.labels.key 和 principal.labels.value additional.fields.key 和 additional.fields.value.string_value |
|
| 源设备型号 (src_model) | PanOSSourceDeviceModel | src_model | principal.labels.key 和 principal.labels.value additional.fields.key 和 additional.fields.value.string_value |
|
| 源设备供应商 (src_vendor) | PanOSSourceDeviceVendor | src_vendor | principal.labels.key 和 principal.labels.value additional.fields.key 和 additional.fields.value.string_value |
|
| 来源设备操作系统系列 (src_osfamily) | PanOSSourceDeviceOSFamily | principal.asset.platform_software.platform principal.labels.key 和 principal.labels.value |
||
| 源设备操作系统版本 (src_osversion) | PanOSSourceDeviceOSVersion | principal.asset.software.version | ||
| 来源主机名 (src_host) | PanOSSourceDeviceHost | principal.hostname | ||
| 来源 MAC 地址 (src_mac) | PanOSSourceDeviceMac | principal.mac | ||
| 目标设备类别 (dst_category) | PanOSDestinationDeviceCategory | dst_category | target.labels.key 和 target.labels.value additional.fields.key 和 additional.fields.value.string_value |
|
| 目标设备配置文件 (dst_profile) | PanOSDestinationDeviceProfile | dst_profile | target.labels.key 和 target.labels.value additional.fields.key 和 additional.fields.value.string_value |
|
| 目标设备型号 (dst_model) | PanOSDestinationDeviceModel | dst_model | target.labels.key 和 target.labels.value additional.fields.key 和 additional.fields.value.string_value |
|
| 目标设备供应商 (dst_vendor) | PanOSDestinationDeviceVendor | dst_vendor | target.labels.key 和 target.labels.value additional.fields.key 和 additional.fields.value.string_value |
|
| 目标设备操作系统系列 (dst_osfamily) | PanOSDestinationDeviceOSFamily | dst_osfamily | target.labels.key 和 target.labels.value additional.fields.key 和 additional.fields.value.string_value |
|
| 目标设备操作系统版本 (dst_osversion) | PanOSDestinationDeviceOSVersion | target.asset.software.version | ||
| 目标主机名 (dst_host) | PanOSDestinationDeviceHost | target.hostname | ||
| 目的 MAC 地址 (dst_mac) | PanOSDestinationDeviceMac | target.mac | ||
| 序列号 (seqno) | PanOSLogTypeSeqNo | metadata.product_log_id | ||
| 操作标志 (actionflags) | PanOSActionFlags | actionflags | about.labels.key 和 about.labels.value additional.fields.key 和 additional.fields.value.string_value |
|
| 设备组层次结构 (dg_hier_level_1) | DeviceGroupHierarchyL1 | dg_hier_level_1 | about.labels.key 和 about.labels.value additional.fields.key 和 additional.fields.value.string_value |
|
| 设备组层次结构 (dg_hier_level_2) | DeviceGroupHierarchyL2 | dg_hier_level_2 | about.labels.key 和 about.labels.value additional.fields.key 和 additional.fields.value.string_value |
|
| 设备组层次结构 (dg_hier_level_3) | DeviceGroupHierarchyL3 | dg_hier_level_3 | about.labels.key 和 about.labels.value additional.fields.key 和 additional.fields.value.string_value |
|
| 设备组层次结构 (dg_hier_level_4) | DeviceGroupHierarchyL4 | dg_hier_level_4 | about.labels.key 和 about.labels.value additional.fields.key 和 additional.fields.value.string_value |
|
| 虚拟系统名称 (vsys_name) | principal.resource.name
principal.resource.resource_type=VIRTUAL_MACHINE |
|||
| 设备名称 (device_name) | intermediary.hostname | |||
| 虚拟系统 ID (vsys_id) | principal.resource.resource_type=VIRTUAL_MACHINE and principal.resource.product_object_id | |||
| 应用子类别 (subcategory_of_app) | subcategory_of_app | about.labels.key 和 about.labels.value additional.fields.key 和 additional.fields.value.string_value |
||
| 应用类别 (category_of_app) | category_of_app | about.labels.key 和 about.labels.value additional.fields.key 和 additional.fields.value.string_value |
||
| 应用技术 (technology_of_app) | technology_of_app | about.labels.key 和 about.labels.value additional.fields.key 和 additional.fields.value.string_value |
||
| 应用风险 (risk_of_app) | security_result.severity | |||
| 应用特征 (characteristic_of_app) | characteristic_of_app | about.labels.key 和 about.labels.value additional.fields.key 和 additional.fields.value.string_value |
||
| 应用容器 (container_of_app) | container_of_app | about.labels.key 和 about.labels.value additional.fields.key 和 additional.fields.value.string_value |
||
| 应用 SaaS (is_saas_of_app) | is_saas_of_app | about.labels.key 和 about.labels.value additional.fields.key 和 additional.fields.value.string_value |
||
| 应用批准状态 (sanctioned_state_of_app) | sanctioned_state_of_app | about.labels.key 和 about.labels.value additional.fields.key 和 additional.fields.value.string_value |
隧道
下表列出了隧道日志类型的日志字段及其对应的 UDM 字段。
| CSV 字段 | CEF 字段 | LEEF 字段 | Google Security Operations 标签键 | UDM 字段 |
|---|---|---|---|---|
| 接收时间(receive_time 或 cef-formatted-receive_time) | rt | devTime | metadata.collected_timestamp
metadata.event_timestamp(如果“Generate Time”不存在) |
|
| 序列号(序列号) | deviceExternalId | SerialNumber | intermediary.asset.hardware.serial_number | |
| 类型 (type) | type(标题) | cat | metadata.product_event_type | |
| 威胁/内容类型(子类型) | 子类型(标题) | 子类型 | metadata.product_event_type | |
| 生成时间(time_generated 或 cef-formatted-time_generated) | metadata.event_timestamp | |||
| 来源地址 (src) | src | src | principal.ip | |
| 目标地址 (dst) | dst | dst | target.ip | |
| NAT 来源 IP (natsrc) | sourceTranslatedAddress | srcPostNAT | principal.nat_ip | |
| NAT 目标 IP (natdst) | destinationTranslatedAddress | dstPostNAT | target.nat_ip | |
| 规则名称(规则) | cs1 | RuleName | security_result.rule_name | |
| 源用户 (srcuser) | Suser | SourceUser / usrName | principal.user.userid | |
| 目标用户 (dstuser) | 用户 | DestinationUser | target.user.userid | |
| 应用 | 应用 | 应用 | network.application_protocol | |
| 虚拟系统 (vsys) | cs3 | VirtualSystem | vsys | about.labels.key 和 about.labels.value additional.fields.key 和 additional.fields.value.string_value |
| 来源可用区(起始) | cs4 | SourceZone | from | principal.labels.key 和 principal.labels.value additional.fields.key 和 additional.fields.value.string_value |
| 目标可用区(到) | cs5 | DestinationZone | 至 | target.labels.key 和 target.labels.value additional.fields.key 和 additional.fields.value.string_value |
| 入站接口 (inbound_if) | deviceInboundInterface | IngressInterface | inbound_if | principal.labels.key 和 principal.labels.value additional.fields.key 和 additional.fields.value.string_value |
| 出站接口 (outbound_if) | deviceOutboundInterface | EgressInterface | outbound_if | target.labels.key 和 target.labels.value additional.fields.key 和 additional.fields.value.string_value |
| 日志操作(日志集) | cs6 | LogForwardingProfile | 对数集 | about.labels.key 和 about.labels.value additional.fields.key 和 additional.fields.value.string_value |
| 会话 ID (sessionid) | cn1 | SessionID | network.session_id | |
| 重复计数 (repeatcnt) | cnt | RepeatCount | 重复内容 | about.labels.key 和 about.labels.value additional.fields.key 和 additional.fields.value.string_value |
| 来源端口(体育) | spt | srcPort | principal.port | |
| 目标端口 (dport) | dpt | dstPort | target.port | |
| NAT 来源端口 (natsport) | sourceTranslatedPort | srcPostNATPort | principal.nat_port | |
| NAT 目标端口 (natdport) | destinationTranslatedPort | dstPostNATPort | target.nat_port | |
| 标志 | flexString1 | 标志 | 旗帜 | about.labels.key 和 about.labels.value additional.fields.key 和 additional.fields.value.string_value |
| IP 协议 (proto) | proto | proto | network.ip_protocol | |
| 操作 (action) | act | action | security_result.action_details
security_result.action |
|
| 严重程度 (severity) | security_result.severity 和 security_result.severity_details | |||
| 序列号 (seqno) | externalId | 序列 | metadata.product_log_id | |
| 操作标志 (actionflags) | PanOSActionFlags | ActionFlags | actionflags | about.labels.key 和 about.labels.value additional.fields.key 和 additional.fields.value.string_value |
| 来源位置 (srcloc) | principal.location.country_or_region | |||
| 目标位置 (dstloc) | target.location.country_or_region | |||
| 设备组层次结构 (dg_hier_level_1) | PanOSDGl1 | DeviceGroupHierarchyL1 | dg_hier_level_1 | about.labels.key 和 about.labels.value additional.fields.key 和 additional.fields.value.string_value |
| 设备组层次结构 (dg_hier_level_2) | PanOSDGl2 | DeviceGroupHierarchyL2 | dg_hier_level_2 | about.labels.key 和 about.labels.value additional.fields.key 和 additional.fields.value.string_value |
| 设备组层次结构 (dg_hier_level_3) | PanOSDGl3 | DeviceGroupHierarchyL3 | dg_hier_level_3 | about.labels.key 和 about.labels.value additional.fields.key 和 additional.fields.value.string_value |
| 设备组层次结构 (dg_hier_level_4) | PanOSDGl4 | DeviceGroupHierarchyL4 | dg_hier_level_4 | about.labels.key 和 about.labels.value additional.fields.key 和 additional.fields.value.string_value |
| 虚拟系统名称 (vsys_name) | PanOSVsysName | vSrcName | principal.resource.name
principal.resource.resource_type=VIRTUAL_MACHINE |
|
| 设备名称 (device_name) | dvchost | DeviceName | intermediary.hostname | |
| 隧道 ID (tunnelid) | PanOSTunnelID | TunnelID | tunnelid | about.labels.key 和 about.labels.value additional.fields.key 和 additional.fields.value.string_value |
| 监控代码 (monitortag) | PanOSMonitorTag | MonitorTag | monitortag | about.labels.key 和 about.labels.value additional.fields.key 和 additional.fields.value.string_value |
| 父级会话 ID (parent_session_id) | PanOSParentSessionID | ParentSessionID | parent_session_id | network.parent_session_id |
| 父级开始时间 (parent_start_time) | PanOSParentStartTime | ParentStartTime | parent_start_time | about.labels.key 和 about.labels.value additional.fields.key 和 additional.fields.value.string_value |
| 隧道类型(隧道) | cs2 | TunnelType | 隧道 | about.labels.key 和 about.labels.value additional.fields.key 和 additional.fields.value.string_value |
| 字节 | flexNumber1 | totalBytes | 字节 | about.labels.key 和 about.labels.value additional.fields.key 和 additional.fields.value.string_value |
| 发送的字节数 (bytes_sent) | 在 | srcBytes | network.sent_bytes | |
| 已接收的字节数 (bytes_received) | out | dstBytes | network.received_bytes | |
| 数据包数量 | cn2 | totalPackets | 数据包 | about.labels.key 和 about.labels.value additional.fields.key 和 additional.fields.value.string_value |
| 发送的数据包数量 (pkts_sent) | PanOSPacketsSent | srcPackets | pkts_sent | about.labels.key 和 about.labels.value additional.fields.key 和 additional.fields.value.string_value |
| 接收的数据包数量 (pkts_received) | PanOSPacketsReceived | dstPackets | pkts_received | about.labels.key 和 about.labels.value additional.fields.key 和 additional.fields.value.string_value |
| 最大封装 (max_encap) | flexNumber2 | MaximumEncapsulation | max_encap | about.labels.key 和 about.labels.value additional.fields.key 和 additional.fields.value.string_value |
| 未知协议 (unknown_proto) | cfp1 | UnknownProtocol | unknown_proto | about.labels.key 和 about.labels.value additional.fields.key 和 additional.fields.value.string_value |
| 严格检查 (strict_check) | cfp2 | StrictChecking | strict_check | about.labels.key 和 about.labels.value additional.fields.key 和 additional.fields.value.string_value |
| 隧道 fragment (tunnel_fragment) | PanOSTunnelFragment | TunnelFragment | tunnel_fragment | about.labels.key 和 about.labels.value additional.fields.key 和 additional.fields.value.string_value |
| 创建的会话 (sessions_created) | cfp3 | SessionsCreated | sessions_created | about.labels.key 和 about.labels.value additional.fields.key 和 additional.fields.value.string_value |
| 已关闭的会话 (sessions_closed) | cfp4 | SessionsClosed | sessions_closed | about.labels.key 和 about.labels.value additional.fields.key 和 additional.fields.value.string_value |
| 会话结束原因 (session_end_reason) | 原因 | SessionEndReason | security_result.summary | |
| 操作来源 (action_source) | cat | ActionSource | action_source | about.labels.key 和 about.labels.value additional.fields.key 和 additional.fields.value.string_value |
| 开始时间(开始时间) | startTime | 开始 | about.labels.key 和 about.labels.value additional.fields.key 和 additional.fields.value.string_value |
|
| 已用时间 (elapsed) | cn3 | ElapsedTime | 已用时 | network.session_duration.seconds |
| 隧道检查规则 (tunnel_insp_rule) | PanOSTunneInspectionRule | security_result.rule_name = "隧道检查规则:%{PanOSTunnelInspectionRule} | ||
| 远程用户 IP (remote_user_ip) | PanOSRmtUserIP | target.ip | ||
| 远程用户 ID (remote_user_id) | PanOSRmtUserID | remote_user_id | target.labels.key 和 target.labels.value additional.fields.key 和 additional.fields.value.string_value |
|
| 安全规则 UUID (rule_uuid) | PanOSRuleUUID | security_result.rule_id | ||
| PCAP ID (pcap_id) | PanOSPcapID | pcap_id | about.labels.key 和 about.labels.value additional.fields.key 和 additional.fields.value.string_value |
|
| 动态用户组名称 (dynusergroup_name) | PanDynamicUsrgrp | principal.group.group_display_name | ||
| 来源外部动态列表 (src_edl) | PanOSSourceEDL | src_edl | principal.labels.key 和 principal.labels.value additional.fields.key 和 additional.fields.value.string_value |
|
| 目标外部动态列表 (dst_edl) | PanOSDestinationEDL | dst_edl | target.labels.key 和 target.labels.value additional.fields.key 和 additional.fields.value.string_value |
|
| 高分辨率时间戳(high_res 时间戳) | PanOSTimeGeneratedHighResolution | metadata.collected_timestamp,
metadata.event_timestamp(如果“Generate Time”不存在) |
||
| Slice 区别 (nssai_sd) | nssai_sd | about.labels.key 和 about.labels.value additional.fields.key 和 additional.fields.value.string_value |
||
| Slice 服务类型 (nssai_sd) | nssai_sd1 | about.labels.key 和 about.labels.value additional.fields.key 和 additional.fields.value.string_value |
||
| PDU 会话 ID (pdu_session_id) | pdu_session_id | about.labels.key 和 about.labels.value additional.fields.key 和 additional.fields.value.string_value |
||
| 应用子类别 (subcategory_of_app) | subcategory_of_app | about.labels.key 和 about.labels.value additional.fields.key 和 additional.fields.value.string_value |
||
| 应用类别 (category_of_app) | category_of_app | about.labels.key 和 about.labels.value additional.fields.key 和 additional.fields.value.string_value |
||
| 应用技术 (technology_of_app) | technology_of_app | about.labels.key 和 about.labels.value additional.fields.key 和 additional.fields.value.string_value |
||
| 应用风险 (risk_of_app) | risk_of_app | about.labels.key 和 about.labels.value additional.fields.key 和 additional.fields.value.string_value |
||
| 应用特性 (characteristic_of_app) | characteristic_of_app | about.labels.key 和 about.labels.value additional.fields.key 和 additional.fields.value.string_value |
||
| 应用容器 (container_of_app) | container_of_app | about.labels.key 和 about.labels.value additional.fields.key 和 additional.fields.value.string_value |
||
| 应用 SaaS (is_saas_of_app) | is_saas_of_app | about.labels.key 和 about.labels.value additional.fields.key 和 additional.fields.value.string_value |
||
| 应用批准状态 (sanctioned_state_of_app) | sanctioned_state_of_app | about.labels.key 和 about.labels.value additional.fields.key 和 additional.fields.value.string_value |
身份验证
下表列出了身份验证日志类型的日志字段 及其对应的 UDM 字段。
| CSV 字段 | CEF 字段 | LEEF 字段 | Google Security Operations 标签键 | UDM 字段 |
|---|---|---|---|---|
| 接收时间(receive_time 或 cef-formatted-receive_time) | rt | devTime | metadata.collected_timestamp
metadata.event_timestamp(如果“Generate Time”不存在) |
|
| 序列号(序列号) | deviceExternalId | SerialNumber | intermediary.asset.hardware.serial_number | |
| 类型 (type) | type(标题) | cat | metadata.product_event_type | |
| 威胁/内容类型(子类型) | 子类型(标题) | 子类型 | metadata.product_event_type | |
| 生成时间(time_generated 或 cef-formatted-time_generated) | metadata.event_timestamp | |||
| 虚拟系统 (vsys) | cs3 | VirtualSystem | vsys | about.labels.key 和 about.labels.value additional.fields.key 和 additional.fields.value.string_value |
| 来源 IP (ip) | src | src | principal.ip | |
| 用户 (user) | duser | usrName | target.user.userid | |
| 标准化用户 (normalize_user) | cs2 | NormalizeUser | target.user.user_display_name | |
| 对象 (object) | fname | ObjectName | 对象 | about.labels.key 和 about.labels.value additional.fields.key 和 additional.fields.value.string_value |
| 身份验证政策 (authpolicy) | cs4 | AuthPolicy | authpolicy | about.labels.key 和 about.labels.value additional.fields.key 和 additional.fields.value.string_value |
| 重复计数 (repeatcnt) | cnt | RepeatCount | 重复内容 | about.labels.key 和 about.labels.value additional.fields.key 和 additional.fields.value.string_value |
| 身份验证 ID (authid) | cn2 | AuthenticationID | authid | about.labels.key 和 about.labels.value additional.fields.key 和 additional.fields.value.string_value |
| 供应商 (vendor) | flexString2 | 供应商 | 供应商 | about.labels.key 和 about.labels.value additional.fields.key 和 additional.fields.value.string_value |
| 日志操作(日志集) | cs6 | LogForwardingProfile | 对数集 | about.labels.key 和 about.labels.value additional.fields.key 和 additional.fields.value.string_value |
| 服务器配置文件 (serverprofile) | cs1 | ServerProfile | serverprofile | about.labels.key 和 about.labels.value additional.fields.key 和 additional.fields.value.string_value |
| 广告内容描述(降序) | PanOSDesc | AdditionalAuthInfo | security_result.description | |
| 客户端类型 (clienttype) | cs5 | ClientType | clienttype | about.labels.key 和 about.labels.value additional.fields.key 和 additional.fields.value.string_value |
| 事件类型(事件) | msg | msg | extensions.auth.auth_details | |
| 因数 (factorno) | cn1 | FactorNumber | Ffactorno | about.labels.key 和 about.labels.value additional.fields.key 和 additional.fields.value.string_value |
| 序列号 (seqno) | externalId | 序列 | metadata.product_log_id | |
| 操作标志 (actionflags) | PanOSActionFlags | ActionFlags | actionflags | about.labels.key 和 about.labels.value additional.fields.key 和 additional.fields.value.string_value |
| 设备组层次结构 (dg_hier_level_1) | PanOSDGl1 | DeviceGroupHierarchyL1 | dg_hier_level_1 | about.labels.key 和 about.labels.value additional.fields.key 和 additional.fields.value.string_value |
| 设备组层次结构 (dg_hier_level_2) | PanOSDGl2 | DeviceGroupHierarchyL2 | dg_hier_level_2 | about.labels.key 和 about.labels.value additional.fields.key 和 additional.fields.value.string_value |
| 设备组层次结构 (dg_hier_level_3) | PanOSDGl3 | DeviceGroupHierarchyL3 | dg_hier_level_3 | about.labels.key 和 about.labels.value additional.fields.key 和 additional.fields.value.string_value |
| 设备组层次结构 (dg_hier_level_4) | PanOSDGl4 | DeviceGroupHierarchyL4 | dg_hier_level_4 | about.labels.key 和 about.labels.value additional.fields.key 和 additional.fields.value.string_value |
| 虚拟系统名称 (vsys_name) | PanOSVsysName | vSrcName | principal.resource.name
principal.resource.resource_type=VIRTUAL_MACHINE |
|
| 设备名称 (device_name) | dvchost | DeviceName | intermediary.hostname | |
| 虚拟系统 ID (vsys_id) | principal.resource.resource_type=VIRTUAL_MACHINE and principal.resource.product_object_id | |||
| 身份验证协议 (authproto) | authproto | about.labels.key 和 about.labels.value additional.fields.key 和 additional.fields.value.string_value |
||
| 规则的 UUID (rule_uuid) | PanOSRuleUUID/RuleUUID | security_result.rule_id | ||
| 高分辨率时间戳 (high_res _timestamp) | PanOSTimeGeneratedHighResolution | metadata.collected_timestamp,
metadata.event_timestamp(如果“Generate Time”不存在) |
||
| 来源设备类别 (src_category) | PanOSSourceDeviceCategory | src_category | principal.labels.key 和 principal.labels.value additional.fields.key 和 additional.fields.value.string_value |
|
| 源设备配置文件 (src_profile) | PanOSSourceDeviceProfile | src_profile | principal.labels.key 和 principal.labels.value additional.fields.key 和 additional.fields.value.string_value |
|
| 源设备型号 (src_model) | PanOSSourceDeviceModel | src_model | principal.labels.key 和 principal.labels.value additional.fields.key 和 additional.fields.value.string_value |
|
| 源设备供应商 (src_vendor) | PanOSSourceDeviceVendor | src_vendor | principal.labels.key 和 principal.labels.value additional.fields.key 和 additional.fields.value.string_value |
|
| 来源设备操作系统系列 (src_osfamily) | PanOSSourceDeviceOSFamily | principal.asset.platform_software.platform principal.labels.key 和 principal.labels.value additional.fields.key 和 additional.fields.value.string_value |
||
| 来源设备操作系统版本 (src_osversion) | PanOSSourceDeviceOSVersion | principal.asset.software.version | ||
| 来源主机名 (src_host) | PanOSSourceHostname | principal.hostname | ||
| 来源 MAC 地址 (src_mac) | PanOSSourceMac | principal.asset.mac | ||
| 区域 (region) | PanOSTrafficOriginRegion | principal.location.country_or_region | ||
| 用户代理 (user_agent) | PanOSHTTPUserAgent | network.http.user_agent | ||
| 会话 ID (sessionid) | PanOSTrafficSessionID | network.session_id |
网址
下表列出了网址日志类型的日志字段 及其对应的 UDM 字段。
| CSV 字段 | CEF 字段 | LEEF 字段 | Google Security Operations 标签键 | UDM 字段 |
|---|---|---|---|---|
| 接收时间 (cef-formatted-receive_time) | rt | devTime | metadata.collected_timestamp
metadata.event_timestamp(如果“Generate Time”不存在) |
|
| 序列号(序列号) | deviceExternalId | SerialNumber | intermediary.asset.hardware.serial_number | |
| 类型 (type) | type(标题) | cat | metadata.product_event_type | |
| 威胁/内容类型(子类型) | 子类型(标题) | 子类型 | metadata.product_event_type | |
| 生成时间 | metadata.event_timestamp | |||
| 来源地址 (src) | src | src | principal.ip | |
| 目的地地址 (dst) | DST | dst | target.ip | |
| NAT 来源 IP (natsrc) | sourceTranslatedAddress | srcPostNAT | principal.nat_ip | |
| NAT 目标 IP (natdst) | destinationTranslatedAddress | dstPostNAT | target.nat_ip | |
| 规则 | cs1 | RuleName | security_result.rule_name | |
| 源用户 (srcuser) | Suser | SourceUser | principal.user.userid | |
| 目标用户 (dstuser) | 用户 | DestinationUser | target.user.userid | |
| 应用 | 应用 | 应用 | network.application_protocol | |
| 虚拟系统 (vsys) | cs3 | VirtualSystem | vsys | about.labels.key 和 about.labels.value additional.fields.key 和 additional.fields.value.string_value |
| 来源可用区(起始) | cs4 | SourceZone | from | principal.labels.key 和 principal.labels.value additional.fields.key 和 additional.fields.value.string_value |
| 目标可用区(到) | cs5 | DestinationZone | 至 | target.labels.key 和 target.labels.value additional.fields.key 和 additional.fields.value.string_value |
| 入站接口 (inbound_if) | deviceInboundInterface | IngressInterface | inbound_if | principal.labels.key 和 principal.labels.value additional.fields.key 和 additional.fields.value.string_value |
| 出站接口 (outbound_if) | deviceOutboundInterface | EgressInterface | outbound_if | target.labels.key 和 target.labels.value additional.fields.key 和 additional.fields.value.string_value |
| 日志操作(日志集) | cs6 | LogForwardingProfile | 对数集 | about.labels.key 和 about.labels.value additional.fields.key 和 additional.fields.value.string_value |
| 记录时间 | time_logged | about.labels.key 和 about.labels.value additional.fields.key 和 additional.fields.value.string_value |
||
| 会话 ID (sessionid) | cn1 | SessionID | network.session_id | |
| 重复计数 (repeatcnt) | cnt | RepeatCount | 重复内容 | about.labels.key 和 about.labels.value additional.fields.key 和 additional.fields.value.string_value |
| 来源端口(体育) | spt | srcPort | principal.port | |
| 目标端口 (dport) | dpt | dstPort | target.port | |
| NAT 来源端口 (natsport) | sourceTranslatedPort | srcPostNATPort | principal.nat_port | |
| NAT 目标端口 (natdport) | destinationTranslatedPort | dstPostNATPort | target.nat_port | |
| 标志 | flexString1 | 标志 | 旗帜 | about.labels.key 和 about.labels.value additional.fields.key 和 additional.fields.value.string_value |
| IP 协议 (proto) | proto | proto | network.ip_protocol | |
| 操作 (action) | act | action | security_result.action_details
security_result.action |
|
| 网址/文件名(其他) | 其他 | target.file.full_path
target.url |
||
| 威胁/内容名称 (threatid) | 猫 | ThreatID | security_result.threat_id | |
| 类别 (category) | cs2 | URLCategory | category | about.labels.key 和 about.labels.value additional.fields.key 和 additional.fields.value.string_value |
| 严重性(严重性) | number-of-severity(标头) | 严重级别 | security_result.severity
security_result.severity_details |
|
| 方向 (direction) | flexString2 | 方向 | network.direction | |
| 序列号 (seqno) | externalId | 序列 | metadata.product_log_id | |
| 操作标志 (actionflags) | PanOSActionFlags | ActionFlags | actionflags | about.labels.key 和 about.labels.value additional.fields.key 和 additional.fields.value.string_value |
| 来源国家/地区 (srcloc) | SourceLocation | principal.location.country_or_region | ||
| 目的地国家/地区 (dstloc) | DestinationLocation | target.location.country_or_region | ||
| contenttype (contenttype) | requestContext | ContentType | 内容类型 | about.labels.key 和 about.labels.value additional.fields.key 和 additional.fields.value.string_value |
| pcap_id (pcap_id) | fileId | PCAP_ID | pcap_id | about.labels.key 和 about.labels.value additional.fields.key 和 additional.fields.value.string_value |
| filedigest (filedigest) | FileDigest | about.file.sha1/md5/sha256 | ||
| 云 (cloud) | Cloud | Cloud | about.labels.key 和 about.labels.value additional.fields.key 和 additional.fields.value.string_value |
|
| url_idx (url_idx) | URLIndex | url_idx | about.labels.key 和 about.labels.value additional.fields.key 和 additional.fields.value.string_value |
|
| user_agent (user_agent) | requestClientApplication | UserAgent | network.http.user_agent | |
| filetype(文件类型) | about.file.mime_type | |||
| xff (xff) | PanOSXForwarderfor | identSrc | xff | about.labels.key 和 about.labels.value additional.fields.key 和 additional.fields.value.string_value |
| 引荐来源网址 (referer) | PanOSReferer | 引荐来源网址 | network.http.referral_url | |
| 发件人(发件人) | network.email.from | |||
| 主题 (subject) | 主题 | network.email.subject | ||
| 收件人 | network.email.to | |||
| reportid (reportid) | reportid | about.labels.key 和 about.labels.value additional.fields.key 和 additional.fields.value.string_value |
||
| DG 层次结构第 1 级 (dg_hier_level_1) | PanOSDGl1 | DeviceGroupHierarchyL1 | dg_hier_level_1 | about.labels.key 和 about.labels.value additional.fields.key 和 additional.fields.value.string_value |
| DG 层次结构级别 2 (dg_hier_level_2) | PanOSDGl2 | DeviceGroupHierarchyL2 | dg_hier_level_2 | about.labels.key 和 about.labels.value additional.fields.key 和 additional.fields.value.string_value |
| DG 层次结构级别 3 (dg_hier_level_3) | PanOSDGl3 | DeviceGroupHierarchyL3 | dg_hier_level_3 | about.labels.key 和 about.labels.value additional.fields.key 和 additional.fields.value.string_value |
| DG 层次结构第 4 级 (dg_hier_level_4) | PanOSDGl4 | DeviceGroupHierarchyL4 | dg_hier_level_4 | about.labels.key 和 about.labels.value additional.fields.key 和 additional.fields.value.string_value |
| 虚拟系统名称 (vsys_name) | PanOSVsysName | vSrcName | principal.resource.name
principal.resource.resource_type=VIRTUAL_MACHINE |
|
| 设备名称 (device_name) | dvchost | DeviceName | intermediary.hostname | |
| file_url (file_url) | about.url | |||
| 来源虚拟机 UUID (src_uuid) | SrcUUID | principal.asset.asset_id | ||
| 目标虚拟机 UUID (dst_uuid) | DstUUID | target.asset.asset_id | ||
| http_method (http_method) | requestMethod | RequestMethod | network.http.method | |
| 隧道 ID/IMSI (tunnelid) | PanOSTunnelID | TunnelID | tunnelid | about.labels.key 和 about.labels.value additional.fields.key 和 additional.fields.value.string_value |
| 监控代码/IMEI (monitortag) | PanOSMonitorTag | MonitorTag | monitortag | about.labels.key 和 about.labels.value additional.fields.key 和 additional.fields.value.string_value |
| 父级会话 ID (parent_session_id) | PanOSParentSessionID | ParentSessionID | parent_session_id | network.parent_session_id |
| 父级会话开始时间 (parent_start_time) | PanOSParentStartTime | ParentStartTime | parent_start_time | about.labels.key 和 about.labels.value additional.fields.key 和 additional.fields.value.string_value |
| 隧道 (tunnel) | PanOSTunnelType | TunnelType | 隧道 | about.labels.key 和 about.labels.value additional.fields.key 和 additional.fields.value.string_value |
| thr_category (thr_category) | PanOSThreatCategory | ThreatCategory | thr_category | security_result.detection_fields.key/value |
| contentver (contentver) | PanOSContentVer | ContentVer | contentver | about.labels.key 和 about.labels.value additional.fields.key 和 additional.fields.value.string_value |
| sig_flags (sig_flags) | sig_flags | about.labels.key 和 about.labels.value additional.fields.key 和 additional.fields.value.string_value |
||
| SCTP 关联 ID (assoc_id) | PanOSAssocID | assoc_id | about.labels.key 和 about.labels.value additional.fields.key 和 additional.fields.value.string_value |
|
| 载荷协议 ID (ppid) | PanOSPPID | ppid | about.labels.key 和 about.labels.value additional.fields.key 和 additional.fields.value.string_value |
|
| http_headers (http_headers) | PanOSHTTPHeader | http_headers | about.labels.key 和 about.labels.value additional.fields.key 和 additional.fields.value.string_value |
|
| 网址类别列表 (url_category_list) | PanOSURLCatList | url_category_list | about.labels.key 和 about.labels.value additional.fields.key 和 additional.fields.value.string_value |
|
| 规则的 UUID (rule_uuid) | PanOSRuleUUID | rule_uuid | about.labels.key 和 about.labels.value additional.fields.key 和 additional.fields.value.string_value |
|
| HTTP/2 连接 (http2_connection) | PanOSHTTP2Con | http2_connection | about.labels.key 和 about.labels.value additional.fields.key 和 additional.fields.value.string_value |
|
| dynusergroup_name (dynusergroup_name) | PanDynamicUsrgrp | dynusergroup_name | about.labels.key 和 about.labels.value additional.fields.key 和 additional.fields.value.string_value |
|
| XFF 地址 (xff_ip) | PanXFFIP | principal.ip | ||
| 来源设备类别 (src_category) | PanSrcDeviceCat | src_category | principal.labels.key 和 principal.labels.value additional.fields.key 和 additional.fields.value.string_value |
|
| 来源设备配置文件 (src_profile) | PanSrcDeviceProf | src_profile | principal.labels.key 和 principal.labels.value additional.fields.key 和 additional.fields.value.string_value |
|
| 源设备型号 (src_model) | PanSrcDeviceModel | src_model | principal.labels.key 和 principal.labels.value additional.fields.key 和 additional.fields.value.string_value |
|
| 源设备供应商 (src_vendor) | PanSrcDeviceVendor | src_vendor | principal.labels.key 和 principal.labels.value additional.fields.key 和 additional.fields.value.string_value |
|
| 来源设备操作系统系列 (src_osfamily) | PanSrcDeviceOS | principal.asset.platform_software.platform principal.labels.key 和 principal.labels.value additional.fields.key 和 additional.fields.value.string_value |
||
| 源设备操作系统版本 (src_osversion) | PanSrcDeviceOSv | principal.asset.software.version | ||
| 来源主机名 (src_host) | PanSrcHostname | src_host | principal.labels.key 和 principal.labels.value additional.fields.key 和 additional.fields.value.string_value |
|
| 源 Mac 地址 (src_mac) | PanSrcMac | principal.mac | ||
| 目标设备类别 (dst_category) | PanDstDeviceCat | dst_category | target.labels.key 和 target.labels.value additional.fields.key 和 additional.fields.value.string_value |
|
| 目标设备配置文件 (dst_profile) | PanDstDeviceProf | dst_profile | target.labels.key 和 target.labels.value additional.fields.key 和 additional.fields.value.string_value |
|
| 目标设备型号 (dst_model) | PanDstDeviceModel | dst_model | target.labels.key 和 target.labels.value additional.fields.key 和 additional.fields.value.string_value |
|
| 目标设备供应商 (dst_vendor) | PanDstDeviceVendor | dst_vendor | target.labels.key 和 target.labels.value additional.fields.key 和 additional.fields.value.string_value |
|
| 目标设备操作系统系列 (dst_osfamily) | PanDstDeviceOS | target.asset.platform_software.platform
target.labels.key 和 target.labels.value |
||
| 目标设备操作系统版本 (dst_osversion) | PanDstDeviceOSv | target.asset.software.version | ||
| 目标主机名 (dst_host) | PanPODNamespace | target.hostname | ||
| 目的地 MAC 地址 (dst_mac) | PanDstMac | target.mac | ||
| 容器 ID (container_id) | PanContainerName | container_id | about.labels.key 和 about.labels.value additional.fields.key 和 additional.fields.value.string_value |
|
| POD 命名空间 (pod_namespace) | PanPODNamespace | pod_namespace | about.labels.key 和 about.labels.value additional.fields.key 和 additional.fields.value.string_value |
|
| POD 名称 (pod_name) | PanPODName | pod_name | about.labels.key 和 about.labels.value additional.fields.key 和 additional.fields.value.string_value |
|
| 来源外部动态列表 (src_edl) | PanSrcEDL | src_edl | principal.labels.key 和 principal.labels.value additional.fields.key 和 additional.fields.value.string_value |
|
| 目标外部动态列表 (dst_edl) | PanDstEDL | dst_edl | target.labels.key 和 target.labels.value additional.fields.key 和 additional.fields.value.string_value |
|
| 主机 ID (hostid) | PanGPHostID | hostid | about.labels.key 和 about.labels.value additional.fields.key 和 additional.fields.value.string_value |
|
| 序列号 (serialnumber) | PanEPSerial | principal.asset.hardware.serial_number | ||
| domain_edl (domain_edl) [网域 edl] | PanDomainEDL | domain_edl | about.labels.key 和 about.labels.value additional.fields.key 和 additional.fields.value.string_value |
|
| 来源动态地址组 (src_dag) | PanSrcDAG | principal.group.group_display_name | ||
| 目标动态地址组 (dst_dag) | PanDstDAG | target.group.group_display_name | ||
| partial_hash (partial_hash) | PanPartialHash | partial_hash | about.labels.key 和 about.labels.value additional.fields.key 和 additional.fields.value.string_value |
|
| 高分辨率时间戳 (high_res_timestamp) | PanTimeHighRes | metadata.collected_timestamp,
metadata.event_timestamp(如果“生成时间”不存在) |
||
| 原因 | PanReasonFilteringAction | 原因 | about.labels.key 和 about.labels.value additional.fields.key 和 additional.fields.value.string_value |
|
| 两端对齐(两端对齐) | PanJustification | 正文对齐 | about.labels.key 和 about.labels.value additional.fields.key 和 additional.fields.value.string_value |
|
| nssai_sst (nssai_sst) | PanASServiceType | nssai_sst | about.labels.key 和 about.labels.value additional.fields.key 和 additional.fields.value.string_value |
|
| 应用的子类别 (subcategory_of_app) | subcategory_of_app | about.labels.key 和 about.labels.value additional.fields.key 和 additional.fields.value.string_value |
||
| 应用类别 (category_of_app) | category_of_app | about.labels.key 和 about.labels.value additional.fields.key 和 additional.fields.value.string_value |
||
| 应用技术 (technology_of_app) | technology_of_app | about.labels.key 和 about.labels.value additional.fields.key 和 additional.fields.value.string_value |
||
| 应用风险信号 (risk_of_app) | risk_of_app | about.labels.key 和 about.labels.value additional.fields.key 和 additional.fields.value.string_value |
||
| 应用的特征 (characteristic_of_app) | characteristic_of_app | about.labels.key 和 about.labels.value additional.fields.key 和 additional.fields.value.string_value |
||
| 应用容器 (container_of_app) | container_of_app | about.labels.key 和 about.labels.value additional.fields.key 和 additional.fields.value.string_value |
||
| 隧道应用 (tunneled_app) | tunneled_app | about.labels.key 和 about.labels.value additional.fields.key 和 additional.fields.value.string_value |
||
| 应用的 SaaS 属性 (is_saas_of_app) | is_saas_of_app | about.labels.key 和 about.labels.value additional.fields.key 和 additional.fields.value.string_value |
||
| 应用的批准状态 (sanctioned_state_of_app) | sanctioned_state_of_app | about.labels.key 和 about.labels.value additional.fields.key 和 additional.fields.value.string_value |
数据
下表列出了数据日志类型的日志字段 及其对应的 UDM 字段。
| CSV 字段 | CEF 字段 | LEEF 字段 | Google Security Operations 标签键 | UDM 字段 |
|---|---|---|---|---|
| 接收时间 (cef-formatted-receive_time) | rt | devTime | metadata.collected_timestamp
metadata.event_timestamp(如果“Generate Time”不存在) |
|
| 序列号(序列号) | deviceExternalId | SerialNumber | intermediary.asset.hardware.serial_number | |
| 类型 (type) | type(标题) | cat | metadata.product_event_type | |
| 威胁/内容类型(子类型) | 子类型(标题) | 子类型 | metadata.product_event_type | |
| 生成时间 | metadata.event_timestamp | |||
| 来源地址 (src) | src | src | principal.ip | |
| 目的地地址 (dst) | DST | dst | target.ip | |
| NAT 来源 IP (natsrc) | sourceTranslatedAddress | srcPostNAT | principal.nat_ip | |
| NAT 目标 IP (natdst) | destinationTranslatedAddress | dstPostNAT | target.nat_ip | |
| 规则 | cs1 | RuleName | security_result.rule_name | |
| 源用户 (srcuser) | Suser | SourceUser | principal.user.userid | |
| 目标用户 (dstuser) | 用户 | DestinationUser | target.user.userid | |
| 应用 | 应用 | 应用 | network.application_protocol | |
| 虚拟系统 (vsys) | cs3 | VirtualSystem | vsys | about.labels.key 和 about.labels.value additional.fields.key 和 additional.fields.value.string_value |
| 来源可用区(起始) | cs4 | SourceZone | from | principal.labels.key 和 principal.labels.value additional.fields.key 和 additional.fields.value.string_value |
| 目标可用区(到) | cs5 | DestinationZone | 至 | target.labels.key 和 target.labels.value additional.fields.key 和 additional.fields.value.string_value |
| 入站接口 (inbound_if) | deviceInboundInterface | IngressInterface | inbound_if | principal.labels.key 和 principal.labels.value additional.fields.key 和 additional.fields.value.string_value |
| 出站接口 (outbound_if) | deviceOutboundInterface | EgressInterface | outbound_if | target.labels.key 和 target.labels.value additional.fields.key 和 additional.fields.value.string_value |
| 日志操作(日志集) | cs6 | LogForwardingProfile | 对数集 | about.labels.key 和 about.labels.value additional.fields.key 和 additional.fields.value.string_value |
| 记录时间 | time_logged | about.labels.key 和 about.labels.value additional.fields.key 和 additional.fields.value.string_value |
||
| 会话 ID (sessionid) | cn1 | SessionID | network.session_id | |
| 重复计数 (repeatcnt) | cnt | RepeatCount | 重复内容 | about.labels.key 和 about.labels.value additional.fields.key 和 additional.fields.value.string_value |
| 来源端口(体育) | spt | srcPort | principal.port | |
| 目标端口 (dport) | dpt | dstPort | target.port | |
| NAT 来源端口 (natsport) | sourceTranslatedPort | srcPostNATPort | principal.nat_port | |
| NAT 目标端口 (natdport) | destinationTranslatedPort | dstPostNATPort | target.nat_port | |
| 标志 | flexString1 | 标志 | 旗帜 | about.labels.key 和 about.labels.value additional.fields.key 和 additional.fields.value.string_value |
| IP 协议 (proto) | proto | proto | network.ip_protocol | |
| 操作 (action) | act | action | security_result.action_details
security_result.action |
|
| 网址/文件名(其他) | 其他 | target.file.full_path
target.url |
||
| 威胁/内容名称 (threatid) | 猫 | ThreatID | security_result.threat_id | |
| 类别 (category) | cs2 | URLCategory | category | about.labels.key 和 about.labels.value additional.fields.key 和 additional.fields.value.string_value |
| 严重性(严重性) | number-of-severity(标头) | 严重级别 | security_result.severity
security_result.severity_details |
|
| 方向 (direction) | flexString2 | 方向 | network.direction | |
| 序列号 (seqno) | externalId | 序列 | metadata.product_log_id | |
| 操作标志 (actionflags) | PanOSActionFlags | ActionFlags | actionflags | about.labels.key 和 about.labels.value additional.fields.key 和 additional.fields.value.string_value |
| 来源国家/地区 (srcloc) | SourceLocation | principal.location.country_or_region | ||
| 目的地国家/地区 (dstloc) | DestinationLocation | target.location.country_or_region | ||
| contenttype (contenttype) | ContentType | 内容类型 | about.labels.key 和 about.labels.value additional.fields.key 和 additional.fields.value.string_value |
|
| pcap_id (pcap_id) | fileId | PCAP_ID | pcap_id | about.labels.key 和 about.labels.value additional.fields.key 和 additional.fields.value.string_value |
| filedigest (filedigest) | FileDigest | about.file.sha1/md5/sha256 | ||
| 云 (cloud) | Cloud | Cloud | about.labels.key 和 about.labels.value additional.fields.key 和 additional.fields.value.string_value |
|
| url_idx (url_idx) | URLIndex | url_idx | about.labels.key 和 about.labels.value additional.fields.key 和 additional.fields.value.string_value |
|
| user_agent (user_agent) | network.http.user_agent | |||
| filetype(文件类型) | about.file.mime_type | |||
| xff (xff) | xff | about.labels.key 和 about.labels.value additional.fields.key 和 additional.fields.value.string_value |
||
| Referer(引荐来源网址) | network.http.referral_url | |||
| 发件人(发件人) | network.email.from | |||
| 主题 (subject) | 主题 | network.email.subject | ||
| 收件人 | network.email.to | |||
| reportid (reportid) | reportid | about.labels.key 和 about.labels.value additional.fields.key 和 additional.fields.value.string_value |
||
| DG 层次结构第 1 级 (dg_hier_level_1) | PanOSDGl1 | DeviceGroupHierarchyL1 | dg_hier_level_1 | about.labels.key 和 about.labels.value additional.fields.key 和 additional.fields.value.string_value |
| DG 层次结构级别 2 (dg_hier_level_2) | PanOSDGl2 | DeviceGroupHierarchyL2 | dg_hier_level_2 | about.labels.key 和 about.labels.value additional.fields.key 和 additional.fields.value.string_value |
| DG 层次结构级别 3 (dg_hier_level_3) | PanOSDGl3 | DeviceGroupHierarchyL3 | dg_hier_level_3 | about.labels.key 和 about.labels.value additional.fields.key 和 additional.fields.value.string_value |
| DG 层次结构第 4 级 (dg_hier_level_4) | PanOSDGl4 | DeviceGroupHierarchyL4 | dg_hier_level_4 | about.labels.key 和 about.labels.value additional.fields.key 和 additional.fields.value.string_value |
| 虚拟系统名称 (vsys_name) | PanOSVsysName | vSrcName | principal.resource.name
principal.resource.resource_type=VIRTUAL_MACHINE |
|
| 设备名称 (device_name) | dvchost | DeviceName | intermediary.hostname | |
| file_url (file_url) | about.url | |||
| 来源虚拟机 UUID (src_uuid) | SrcUUID | principal.asset.asset_id | ||
| 目标虚拟机 UUID (dst_uuid) | DstUUID | target.asset.asset_id | ||
| http_method (http_method) | RequestMethod | network.http.method | ||
| 隧道 ID/IMSI (tunnelid) | PanOSTunnelID | TunnelID | tunnelid | about.labels.key 和 about.labels.value additional.fields.key 和 additional.fields.value.string_value |
| 监控代码/IMEI (monitortag) | PanOSMonitorTag | MonitorTag | monitortag | about.labels.key 和 about.labels.value additional.fields.key 和 additional.fields.value.string_value |
| 父级会话 ID (parent_session_id) | PanOSParentSessionID | ParentSessionID | parent_session_id | network.parent_session_id |
| 父级会话开始时间 (parent_start_time) | PanOSParentStartTime | ParentStartTime | parent_start_time | about.labels.key 和 about.labels.value additional.fields.key 和 additional.fields.value.string_value |
| 隧道 (tunnel) | PanOSTunnelType | TunnelType | 隧道 | about.labels.key 和 about.labels.value additional.fields.key 和 additional.fields.value.string_value |
| thr_category (thr_category) | PanOSThreatCategory | ThreatCategory | thr_category | security_result.detection_fields.key/value |
| contentver (contentver) | PanOSContentVer | ContentVer | contentver | about.labels.key 和 about.labels.value additional.fields.key 和 additional.fields.value.string_value |
| sig_flags (sig_flags) | sig_flags | about.labels.key 和 about.labels.value additional.fields.key 和 additional.fields.value.string_value |
||
| SCTP 关联 ID (assoc_id) | PanOSAssocID | assoc_id | about.labels.key 和 about.labels.value additional.fields.key 和 additional.fields.value.string_value |
|
| 载荷协议 ID (ppid) | PanOSPPID | ppid | about.labels.key 和 about.labels.value additional.fields.key 和 additional.fields.value.string_value |
|
| http_headers (http_headers) | PanOSHTTPHeader | http_headers | about.labels.key 和 about.labels.value additional.fields.key 和 additional.fields.value.string_value |
|
| 网址类别列表 (url_category_list) | url_category_list | about.labels.key 和 about.labels.value additional.fields.key 和 additional.fields.value.string_value |
||
| 规则的 UUID (rule_uuid) | PanOSRuleUUID | rule_uuid | about.labels.key 和 about.labels.value additional.fields.key 和 additional.fields.value.string_value |
|
| HTTP/2 连接 (http2_connection) | http2_connection | about.labels.key 和 about.labels.value additional.fields.key 和 additional.fields.value.string_value |
||
| dynusergroup_name(dynusergroup_name) | dynusergroup_name | principal.labels.key 和 principal.labels.value additional.fields.key 和 additional.fields.value.string_value |
||
| XFF 地址 (xff_ip) | principal.ip | |||
| 来源设备类别 (src_category) | src_category | principal.labels.key 和 principal.labels.value additional.fields.key 和 additional.fields.value.string_value |
||
| 源设备配置文件 (src_profile) | src_profile | principal.labels.key 和 principal.labels.value additional.fields.key 和 additional.fields.value.string_value |
||
| 源设备型号 (src_model) | src_model | principal.labels.key 和 principal.labels.value additional.fields.key 和 additional.fields.value.string_value |
||
| 来源设备供应商 (src_vendor) | src_vendor | principal.labels.key 和 principal.labels.value additional.fields.key 和 additional.fields.value.string_value |
||
| 来源设备操作系统系列 (src_osfamily) | principal.asset.platform_software.platform principal.labels.key 和 principal.labels.value additional.fields.key 和 additional.fields.value.string_value |
|||
| 源设备操作系统版本 (src_osversion) | principal.asset.software.version | |||
| 来源主机名 (src_host) | src_host | principal.labels.key 和 principal.labels.value additional.fields.key 和 additional.fields.value.string_value |
||
| 源 Mac 地址 (src_mac) | principal.mac | |||
| 目标设备类别 (dst_category) | dst_category | target.labels.key 和 target.labels.value additional.fields.key 和 additional.fields.value.string_value |
||
| 目标设备配置文件 (dst_profile) | dst_profile | target.labels.key 和 target.labels.value additional.fields.key 和 additional.fields.value.string_value |
||
| 目标设备型号 (dst_model) | dst_model | target.labels.key 和 target.labels.value additional.fields.key 和 additional.fields.value.string_value |
||
| 目标设备供应商 (dst_vendor) | dst_vendor | target.labels.key 和 target.labels.value additional.fields.key 和 additional.fields.value.string_value |
||
| 目标设备操作系统系列 (dst_osfamily) | target.asset.platform_software.platform
target.labels.key 和 target.labels.value |
|||
| 目标设备操作系统版本 (dst_osversion) | target.asset.software.version | |||
| 目标主机名 (dst_host) | target.hostname | |||
| 目的地 MAC 地址 (dst_mac) | target.mac | |||
| 容器 ID (container_id) | container_id | about.labels.key 和 about.labels.value additional.fields.key 和 additional.fields.value.string_value |
||
| POD 命名空间 (pod_namespace) | pod_namespace | about.labels.key 和 about.labels.value additional.fields.key 和 additional.fields.value.string_value |
||
| POD 名称 (pod_name) | pod_name | about.labels.key 和 about.labels.value additional.fields.key 和 additional.fields.value.string_value |
||
| 来源外部动态列表 (src_edl) | src_edl | principal.labels.key 和 principal.labels.value additional.fields.key 和 additional.fields.value.string_value |
||
| 目的地外部动态列表 (dst_edl) | dst_edl | target.labels.key 和 target.labels.value additional.fields.key 和 additional.fields.value.string_value |
||
| 主机 ID (hostid) | hostid | about.labels.key 和 about.labels.value additional.fields.key 和 additional.fields.value.string_value |
||
| 序列号(序列号) | principal.asset.hardware.serial_number | |||
| domain_edl (domain_edl) | domain_edl | about.labels.key 和 about.labels.value additional.fields.key 和 additional.fields.value.string_value |
||
| 来源动态地址组 (src_dag) | principal.group.group_display_name | |||
| 目标动态地址组 (dst_dag) | target.group.group_display_name | |||
| partial_hash (partial_hash) | partial_hash | about.labels.key 和 about.labels.value additional.fields.key 和 additional.fields.value.string_value |
||
| 高分辨率时间戳 (high_res_timestamp) | metadata.collected_timestamp,
metadata.event_timestamp(如果“生成时间”不存在) |
|||
| 原因 | 原因 | about.labels.key 和 about.labels.value additional.fields.key 和 additional.fields.value.string_value |
||
| 对齐方式 (justification) | 两端对齐 | about.labels.key 和 about.labels.value additional.fields.key 和 additional.fields.value.string_value |
||
| nssai_sst (nssai_sst) | nssai_sst | about.labels.key 和 about.labels.value additional.fields.key 和 additional.fields.value.string_value |
||
| 应用的子类别 (subcategory_of_app) | subcategory_of_app | about.labels.key 和 about.labels.value additional.fields.key 和 additional.fields.value.string_value |
||
| 应用类别 (category_of_app) | category_of_app | about.labels.key 和 about.labels.value additional.fields.key 和 additional.fields.value.string_value |
||
| 应用技术 (technology_of_app) | technology_of_app | about.labels.key 和 about.labels.value additional.fields.key 和 additional.fields.value.string_value |
||
| 应用风险信号 (risk_of_app) | risk_of_app | about.labels.key 和 about.labels.value additional.fields.key 和 additional.fields.value.string_value |
||
| 应用的特征 (characteristic_of_app) | characteristic_of_app | about.labels.key 和 about.labels.value additional.fields.key 和 additional.fields.value.string_value |
||
| 应用容器 (container_of_app) | container_of_app | about.labels.key 和 about.labels.value additional.fields.key 和 additional.fields.value.string_value |
||
| 隧道应用 (tunneled_app) | tunneled_app | about.labels.key 和 about.labels.value additional.fields.key 和 additional.fields.value.string_value |
||
| 应用的 SaaS 属性 (is_saas_of_app) | is_saas_of_app | about.labels.key 和 about.labels.value additional.fields.key 和 additional.fields.value.string_value |
||
| 应用的批准状态 (sanctioned_state_of_app) | sanctioned_state_of_app | about.labels.key 和 about.labels.value additional.fields.key 和 additional.fields.value.string_value |
GlobalProtect
下表列出了 GlobalProtect 日志类型的日志字段 及其对应的 UDM 字段。
| CSV 字段 | CEF 字段 | LEEF 字段 | Google Security Operations 标签键 | UDM 字段 |
|---|---|---|---|---|
| 接收时间 (receive_time) | rt | received_time | metadata.event_timestamp | |
| 序列号(序列号) | PanOSDeviceSN | intermediary_asset_hardware_serial_number | intermediary.asset.hardware.serial_number | |
| 类型 (type) | type(标头) | metadata.product_event_type | ||
| 威胁/内容类型(子类型) | 子类型(标题) | 子类型 | metadata.product_event_type | |
| 生成时间 (time_generated) | PanOSLogTimeStamp | generated_timestamp | metadata.event_timestamp | |
| 虚拟系统 (vsys) | PanOSVirtualSystem | vsys | about.labels.key 和 about.labels.value additional.fields.key 和 additional.fields.value.string_value |
|
| 事件 ID (eventid) | PanOSEventID | event_id | about.labels.key 和 about.labels.value additional.fields.key 和 additional.fields.value.string_value |
|
| 阶段 | PanOSStage | 阶段 | about.labels.key 和 about.labels.value additional.fields.key 和 additional.fields.value.string_value |
|
| 身份验证方法 (auth_method) | PanOSAuthMethod | extension_auth_auth_details | extensions.auth.auth_details | |
| 隧道类型 (tunnel_type) | PanOSTunnelType | 隧道 | about.labels.key 和 about.labels.value additional.fields.key 和 additional.fields.value.string_value |
|
| 源用户 (srcuser) | PanOSSourceUserName | src_user | principal.user.email_address
principal.user.userid principal.administrative_domain |
|
| 来源区域 (srcregion) | PanOSSourceRegion | src_region | principal.location.country_or_region | |
| 机器名称 (machinename) | PanOSEndpointDeviceName | machine_name | principal.hostname | |
| 公共 IP (public_ip) | PanOSPublicIPv4 | principal.nat_ip | ||
| 公共 IPv6 (public_ipv6) | PanOSPublicIPv6 | principal.nat_ip | ||
| 专用 IP (private_ip) | PanOSPrivateIPv4 | principal.ip | ||
| 专用 IPv6 (private_ipv6) | PanOSPrivateIPv6 | principal.ip | ||
| 主机 ID (hostid) | PanOSHostID | hostid | principal.asset.asset_id | |
| 序列号 (serialnumber) | PanOSDeviceSN | principal.asset.hardware.serial_number | ||
| 客户端版本 (client_ver) | PanOSGlobalProtectClientVersion | client_ver | about.labels.key 和 about.labels.value additional.fields.key 和 additional.fields.value.string_value |
|
| 客户端操作系统 (client_os) | PanOSEndpointOSType | principal.asset.platform_software.platform(枚举) | ||
| 客户端操作系统版本 (client_os_ver) | PanOSEndpointOSVersion | principal.asset.platform_software.platform_version | ||
| 重复计数 (repeatcnt) | PanOSCountOfRepeats | repeatcnt | about.labels.key 和 about.labels.value additional.fields.key 和 additional.fields.value.string_value |
|
| 原因 | PanOSQuarantineReason | security_result.summary | ||
| 错误 (error) | PanOSConnectionError | 错误 | security_result.description | |
| 说明(不透明) | PanOSDescription | security_result.description | ||
| 状态 (status) | PanOSEventStatus | 状态 | about.labels.key 和 about.labels.value additional.fields.key 和 additional.fields.value.string_value |
|
| 位置 (location) | PanOSGPGatewayLocation | target.location.country_or_region | ||
| 登录时长 (login_duration) | PanOSLoginDuration | network.session_duration | ||
| 连接方法 (connect_method) | PanOSConnectionMethod | connect_method | about.labels.key 和 about.labels.value additional.fields.key 和 additional.fields.value.string_value |
|
| 错误代码 (error_code) | PanOSConnectionErrorID | error_code | about.labels.key 和 about.labels.value additional.fields.key 和 additional.fields.value.string_value |
|
| 门户 (portal) | PanOSPortal | 门户 | about.labels.key 和 about.labels.value additional.fields.key 和 additional.fields.value.string_value |
|
| 序列号 (seqno) | PanOSSequenceNo | metadata.product_log_id | ||
| 操作标志 (actionflags) | PanOSActionFlags | actionflags | about.labels.key 和 about.labels.value additional.fields.key 和 additional.fields.value.string_value |
|
| 高分辨率时间戳 (high_res_timestamp) | anOSTimeGeneratedHighResolution | metadata.collected_timestamp
metadata.event_timestamp(如果“生成时间”不存在) |
||
| 网关选择方法 (selection_type) | PanOSGatewaySelectionType | selection_type | about.labels.key 和 about.labels.value additional.fields.key 和 additional.fields.value.string_value |
|
| SSL 响应时间 (response_time) | PanOSSSLResponseTime | response_time | about.labels.key 和 about.labels.value additional.fields.key 和 additional.fields.value.string_value |
|
| 网关优先级(优先级) | PanOSGatewayPriority | 优先级 | about.labels.key 和 about.labels.value additional.fields.key 和 additional.fields.value.string_value |
|
| 尝试的网关 (attempted_gateways) | PanOSAttemptedGateways | attempted_gateways | about.labels.key 和 about.labels.value additional.fields.key 和 additional.fields.value.string_value |
|
| 网关名称(网关) | PanOSAttemptedGateways | 网关 | about.labels.key 和 about.labels.value additional.fields.key 和 additional.fields.value.string_value |
|
| 设备组层次结构 (dg_hier_level_1) | dg_hier_level_1 | about.labels.key 和 about.labels.value additional.fields.key 和 additional.fields.value.string_value |
||
| 设备组层次结构 (dg_hier_level_2) | dg_hier_level_2 | about.labels.key 和 about.labels.value additional.fields.key 和 additional.fields.value.string_value |
||
| 设备组层次结构 (dg_hier_level_3) | dg_hier_level_3 | about.labels.key 和 about.labels.value additional.fields.key 和 additional.fields.value.string_value |
||
| 设备组层次结构 (dg_hier_level_4) | dg_hier_level_4 | about.labels.key 和 about.labels.value additional.fields.key 和 additional.fields.value.string_value |
||
| 虚拟系统名称 (vsys_name) | principal.resource.name
principal.resource.resource_type=VIRTUAL_MACHINE |
|||
| 设备名称 (device_name) | target.hostname | |||
| 虚拟系统 ID (vsys_id) | principal.resource.resource_type=VIRTUAL_MACHINE and principal.resource.product_object_id |
相关性
下表列出了“相关性”日志类型的日志字段 及其对应的 UDM 字段。
| CSV 字段 | CEF 字段 | LEEF 字段 | Google Security Operations 标签键 | UDM 字段 |
|---|---|---|---|---|
| 生成时间(time_generated 或 cef-formatted-time_generated) | startTime | generated_timestamp | metadata.event_timestamp | |
| 来源地址 (src) | src | principal.ip | ||
| 源用户 (srcuser) | SourceUser / usrName | principal.user.userid | ||
| 虚拟系统 (vsys) | VirtualSystem | vsys | about.labels.key 和 about.labels.value additional.fields.key 和 additional.fields.value.string_value |
|
| 类别 (category) | security_result.category_details | |||
| 严重性(严重性) | 严重程度 | security_result.severity 和 security_result.severity_details | ||
| 设备组层次结构级别 1 | DeviceGroupHierarchyL1 | about.labels.key 和 about.labels.value additional.fields.key 和 additional.fields.value.string_value |
||
| 设备组层次结构级别 2 | DeviceGroupHierarchyL2 | about.labels.key 和 about.labels.value additional.fields.key 和 additional.fields.value.string_value |
||
| 设备组层次结构级别 3 | DeviceGroupHierarchyL3 | about.labels.key 和 about.labels.value additional.fields.key 和 additional.fields.value.string_value |
||
| 设备组层次结构级别 4 | DeviceGroupHierarchyL4 | about.labels.key 和 about.labels.value additional.fields.key 和 additional.fields.value.string_value |
||
| 虚拟系统名称 (vsys_name) | vSrcName | principal.resource.name
principal.resource.resource_type=VIRTUAL_MACHINE |
||
| 设备名称 (device_name) | DeviceName | intermediary.hostname | ||
| 虚拟系统 ID (vsys_id) | VirtualSystemID | principal.resource.resource_type=VIRTUAL_MACHINE and principal.resource.product_object_id | ||
| 对象名称 (objectname) | ObjectName | target.resource.name | ||
| 对象 ID (object_id) | ObjectID | target.resource.product_object_id |
字段映射参考文档:日志类型到 UDM 事件类型
下表列出了 Palo Alto Networks 防火墙日志类型及其对应的 UDM 事件类型。
| 日志类型 | UDM 事件类型 |
| 流量 | NETWORK_CONNECTION |
| 威胁 | NETWORK_CONNECTION |
| 网址过滤 | NETWORK_CONNECTION |
| WildFire | NETWORK_CONNECTION
WildFire 提交日志是威胁日志类型的子类型,使用相同的 Syslog 格式。 |
| 数据过滤 | NETWORK_CONNECTION |
| 隧道 | NETWORK_CONNECTION |
| 配置 | SETTING_MODIFICATION/SETTING_CREATION/SETTING_DELETION/SETTING_UNCATEGORIZED
“Command (cmd)”字段的值决定了 UDM 事件类型映射。 如果 cmd 字段值为 add 或 clone,则设置 SETTING_CREATION。 如果 cmd 字段值为 delete,则 SETTING_DELETION 已设置。 如果 cmd 字段值为 edit、move、re 重命名、set 或 commit 已设置 SETTING_MODIFICATION。 如果 cmd 字段值中不包含任何值,则 SETTING_UNCATEGORIZED 。 |
| 系统 |
如果子类型值为“dhcp”,则设置 NETWORK_DHCP。 如果子类型值为“auth”,则设置“USER_LOGIN”。 如果说明值为“已登录”,则设置 USER_LOGIN。 如果说明值为“logged out”,则设置 USER_LOGOUT。 对于子类型的其他值,会设置 GENERIC_EVENT。 |
| HIP 匹配 | NETWORK_CONNECTION |
| IP 代码 | GENERIC_EVENT |
| User-ID | USER_LOGIN/USER_LOGOUT/USER_UNCATEGORIZED
如果子类型值为“login”,则设置 USER_LOGIN。 如果子类型值为“logout”,则设置“USER_LOGOUT”。 如果子类型不包含任何值,则系统会设置 USER_UNCATEGORIZED。 |
| 解密 | NETWORK_CONNECTION |
| Authentication | GENERIC_EVENT |