收集 Palo Alto Networks 防火墙日志

支持以下语言:

概览

本文档介绍了如何配置 syslog 和 Google 安全运维转发器以收集 Palo Alto Networks 防火墙日志。本文档还介绍了 Palo Alto Networks 防火墙日志字段如何映射到 Google Security Operations Unified Data Model (UDM) 字段。

如需简要了解 Google Security Operations 数据注入,请参阅将数据注入到 Google Security Operations

注入标签标识将原始日志数据标准化为结构化 UDM 格式的解析器。本文档中的信息适用于具有 PAN_FIREWALL 注入标签的解析器。

准备工作

  • 如需了解用于收集 Palo Alto Networks 防火墙日志的部署组件,请查看部署架构。每个客户部署都可能与此表示法不同,并且可能更复杂。

    下图展示了如何在 Palo Alto Networks 防火墙上配置 syslog,并在 Linux 服务器上安装 Google 安全运营转发器,以将日志数据转发到 Google 安全运营。解析器支持使用以下格式写入的日志 数据格式:逗号分隔值 (CSV)、常见事件格式 (CEF)、 和日志事件扩展格式 (LEEF)。

    部署架构

  • 验证 Google Security Operations 解析器的日志格式和 PAN-OS 版本 支持。下表列出了 Google 安全运营解析器支持的日志格式和相应的 PAN-OS 版本:

    日志格式 PAN-OS 版本
    CSV 10.1.3
    CEF 10.0.0
    LEEF 9.1.0

  • 验证 Google Security Operations 解析器支持的 Palo Alto Networks 防火墙日志类型。 Google Security Operations 解析器支持以下 Palo Alto Networks 防火墙日志类型:

    • 流量
    • 威胁
    • WildFire 提交内容
    • 隧道检查
    • 配置
    • 系统
    • HIP 匹配
    • IP 代码
    • User-ID
    • 解密
    • 身份验证
    • 网址过滤
    • 数据过滤
    • GlobalProtect
    • 相关性

    如需详细了解 Palo Alto Networks 防火墙日志类型,请参阅 PAN-OS 日志类型

  • 确保已配置部署架构中的所有系统 (采用世界协调时间 [UTC] 时区)。

  • 在使用 Palo Alto Networks 防火墙解析器之前,请先查看旧版解析器与当前 Palo Alto Networks 防火墙解析器之间的字段映射变更。在迁移过程中,请确保规则、搜索、 或依赖原始字段的其他流程使用更新后的字段。

    例如,在旧版解析器中,category 日志字段会映射到 security_result.description UDM 字段。在当前的 Palo Alto Networks 防火墙解析器中,category 日志字段会映射到 security_result.category_details UDM 字段。如果您迁移到当前的 Palo Alto Networks 防火墙解析器并在规则中使用 category 字段, 您需要修改规则以使用当前解析器的 security_result.category_details UDM 字段。

配置 syslog 和 Google Security Operations 转发器

要配置 syslog 和 Google Security Operations 转发器,请完成以下步骤:

  1. 要监控 CSV 日志,请配置 Syslog 服务器配置文件。如需了解详情,请参阅 配置 Syslog 服务器配置文件

    配置 Syslog 服务器配置文件时,请指定“默认”作为自定义 日志格式。

  2. 如需监控 CEF 日志,请将 Palo Alto Networks 防火墙配置为转发 CEF 日志。有关 下载 PAN-OS CEF 集成指南 PDF,并查看“配置”部分 Palo Alto Networks NGFW 输出 CEF 事件的功能”部分。

  3. 要监控 LEEF 日志,请配置 Syslog 服务器配置文件。如需了解详情,请参阅采用 LEEF 格式的自定义日志转发

  4. 配置 Google Security Operations 转发器以将日志发送到 Google Security Operations, 如需了解详情,请参阅在 Linux 上安装和配置转发器。以下是 Google Security Operations 转发器配置的示例:

      - syslog:
          common:
            enabled: true
            data_type: PAN_FIREWALL
            batch_n_seconds: 10
            batch_n_bytes: 1048576
          tcp_address: 0.0.0.0:10518
          connection_timeout_sec: 60
    

字段映射参考文档:PAN 防火墙日志字段到 UDM 字段

本部分介绍解析器如何映射 Palo Alto Networks 将防火墙日志字段添加到每种日志类型的 Google Security Operations UDM 事件字段。

Google Security Operations 标签键是指映射到 Labels.key UDM 字段的密钥的名称。 例如,对于“虚拟系统”字段,字段名称采用 CEF 格式为“cs3”,采用 LEEF 格式为“VirtualSystem”。UDM 字段“about.labels.key” 包含值“vsys”和 UDM 字段“about.labels.value”包含该字段的值。

部分 CEF 或 LEEF 字段名称没有对应的 CSV 名称 字段名称。在这种情况下,如果您以自定义日志格式添加自己的变量名称, Syslog 配置文件中,解析器不会将其映射到 UDM 字段。

如需查看每种日志类型的映射参考,请参阅以下部分:

系统

下表列出了系统日志类型的日志字段及其对应的 UDM 字段。

CSV 字段 CEF 字段 LEEF 字段 Google Security Operations 标签键 UDM 字段
接收时间(receive_time 或 cef-formatted-receive_time) rt devTime metadata.collected_timestamp

metadata.event_timestamp(如果“Generate Time”不存在)

序列号(序列号) deviceExternalId SerialNumber intermediary.asset.hardware.serial_number
类型 (type) type(标题) cat metadata.product_event_type 设置为“%{type} - %{subtype}”。
威胁/内容类型(子类型) 子类型(标题) 子类型 metadata.product_event_type 设置为“%{type} - %{subtype}”。
生成时间(time_generated 或 cef-formatted-time_generated) metadata.event_timestamp
虚拟系统 (vsys) cs3 VirtualSystem vsys

about.labels.key 和 about.labels.value

additional.fields.key 和 additional.fields.value.string_value

事件 ID (eventid) eventid

about.labels.key 和 about.labels.value

additional.fields.key 和 additional.fields.value.string_value

Object(对象) fname 文件名 对象

about.labels.key 和 about.labels.value

additional.fields.key 和 additional.fields.value.string_value

模块 (module) flexString2 模块 单元

about.labels.key 和 about.labels.value

additional.fields.key 和 additional.fields.value.string_value

严重程度 (severity) $number-of-severity(标头) 严重级别 security_result.severity 和 security_result.severity_details
说明(不透明) msg msg metadata.description
principal_user_userid(此字段从 msg 字段中提取) principal.user.userid
principal_ip3(此字段从 msg 字段中提取) principal.ip
原因(此字段从 msg 字段中提取) security_result.description
server_address(此字段提取自 msg 字段。) target.ip
server_profile(此字段从 msg 字段中提取。) additional.fields.key 和 additional.fields.value.string_value
序列号 (seqno) externalId 序列 metadata.product_log_id
操作标志 (actionflags) PanOSActionFlags ActionFlags actionflags

about.labels.key 和 about.labels.value

additional.fields.key 和 additional.fields.value.string_value

设备组层次结构(dg_hier_level_1 到 dg_hier_level_4) PanOSDGl1 DeviceGroupHierarchyL1 dg_hier_level_1

about.labels.key 和 about.labels.value

additional.fields.key 和 additional.fields.value.string_value

设备组层次结构 (dg_hier_level_2) PanOSDGl2 DeviceGroupHierarchyL2 dg_hier_level_2

about.labels.key 和 about.labels.value

additional.fields.key 和 additional.fields.value.string_value

设备组层次结构 (dg_hier_level_3) PanOSDGl3 DeviceGroupHierarchyL3 dg_hier_level_3

about.labels.key 和 about.labels.value

additional.fields.key 和 additional.fields.value.string_value

设备组层次结构 (dg_hier_level_4) PanOSDGl4 DeviceGroupHierarchyL4 dg_hier_level_4

about.labels.key 和 about.labels.value

additional.fields.key 和 additional.fields.value.string_value

虚拟系统名称 (vsys_name) PanOSVsysName vSrcName principal.resource.name

principal.resource.resource_type=VIRTUAL_MACHINE

设备名称 (device_name) dvchost DeviceName intermediary.hostname
高分辨率时间戳 (high_res_timestamp) anOSTimeGeneratedHighResolution metadata.collected_timestamp

metadata.event_timestamp(如果“Generate Time”不存在)

配置

下表列出了配置日志类型的日志字段及其对应的 UDM 字段。

CSV 字段 CEF 字段 LEEF 字段 Google Security Operations 标签键 UDM 字段
接收时间(receive_time 或 cef-formatted-receive_time) rt devTime metadata.collected_timestamp

metadata.event_timestamp(如果“Generate Time”不存在)

序列号(序列号) deviceExternalId SerialNumber intermediary.asset.hardware.serial_number
类型 (type) type(标题) cat metadata.product_event_type
威胁/内容类型(子类型) 子类型(标题) metadata.product_event_type
生成时间(time_generated 或 cef-formatted-time_generated) metadata.event_timestamp
主机 (host) shost src principal.ip/hostname
虚拟系统 (vsys) cs3 VirtualSystem vsys

about.labels.key 和 about.labels.value

additional.fields.key 和 additional.fields.value.string_value

命令 (cmd) 行动 msg cmd metadata.description
管理员 (admin) duser usrName principal.user.userid
客户端 (client) destinationServiceName 客户 principal.application
结果 (result) 签名 ID (Header)(reason) 结果 security_result.summary
配置路径 (path) msg ConfigurationPath principal.process.command_line
更改前详情 (before_change_detail) cs1 BeforeChangeDetail before_change_detail target.resource.attribute.labels.key/value
更改后详情 (after_change_detail) cs2 AfterChangeDetail after_change_detail target.resource.attribute.labels.key/value
序列号 (seqno) externalId 序列 metadata.product_log_id
操作标志 (actionflags) PanOSActionFlags ActionFlags actionflags

about.labels.key 和 about.labels.value

additional.fields.key 和 additional.fields.value.string_value

设备组层次结构(dg_hier_level_1 到 dg_hier_level_4) PanOSDGl1 DeviceGroupHierarchyL1 dg_hier_level_1

about.labels.key 和 about.labels.value

additional.fields.key 和 additional.fields.value.string_value

设备组层次结构 (dg_hier_level_2) PanOSDGl2 DeviceGroupHierarchyL2 dg_hier_level_2

about.labels.key 和 about.labels.value

additional.fields.key 和 additional.fields.value.string_value

设备组层次结构 (dg_hier_level_3) PanOSDGl3 DeviceGroupHierarchyL3 dg_hier_level_3

about.labels.key 和 about.labels.value

additional.fields.key 和 additional.fields.value.string_value

设备组层次结构 (dg_hier_level_4) PanOSDGl4 DeviceGroupHierarchyL4 dg_hier_level_4

about.labels.key 和 about.labels.value

additional.fields.key 和 additional.fields.value.string_value

虚拟系统名称 (vsys_name) PanOSVsysName vSrcName principal.resource.name

principal.resource.resource_type=VIRTUAL_MACHINE

设备名称 (device_name) dvchost DeviceName intermediary.hostname
设备组 (dg_id) PanOSFWDeviceGroup dg_id principal.asset.attribute.labels.key/value
审核备注(评论) PanOSPolicyAuditComment 评论

about.labels.key 和 about.labels.value

additional.fields.key 和 additional.fields.value.string_value

威胁/野火

下表列出了威胁/WildFire 日志类型的日志字段 及其对应的 UDM 字段。

CSV 字段 CEF 字段 LEEF 字段 Google Security Operations 标签键 UDM 字段
接收时间(receive_time 或 cef-formatted-receive_time) rt devTime metadata.collected_timestamp

metadata.event_timestamp(如果“Generate Time”不存在)

序列号(序列号) deviceExternalId SerialNumber intermediary.asset.hardware.serial_number
类型 (type) type(标题) cat metadata.product_event_type
威胁/内容类型(子类型) cat/subtype(标头) 子类型 metadata.product_event_type
生成时间(time_generated 或 cef-formatted-time_generated) metadata.event_timestamp
来源地址 (src) src src principal.ip
目的地地址 (dst) DST dst target.ip
NAT 来源 IP (natsrc) sourceTranslatedAddress srcPostNAT principal.nat_ip
NAT 目标 IP (natdst) destinationTranslatedAddress dstPostNAT target.nat_ip
规则名称(规则) cs1 RuleName security_result.rule_name
源用户 (srcuser) Suser SourceUser / usrName principal.user.userid
目标用户 (dstuser) 用户 DestinationUser target.user.userid
应用 应用 应用 target.application
虚拟系统 (vsys) cs3 VirtualSystem vsys

about.labels.key 和 about.labels.value

additional.fields.key 和 additional.fields.value.string_value

来源可用区(起始) cs4 SourceZone from

principal.labels.key 和 principal.labels.value

additional.fields.key 和 additional.fields.value.string_value

目标可用区(到) cs5 DestinationZone

target.labels.key 和 target.labels.value

additional.fields.key 和 additional.fields.value.string_value

入站接口 (inbound_if) deviceInboundInterface IngressInterface inbound_if

principal.labels.key 和 principal.labels.value

additional.fields.key 和 additional.fields.value.string_value

出站接口 (outbound_if) deviceOutboundInterface EgressInterface outbound_if

target.labels.key 和 target.labels.value

additional.fields.key 和 additional.fields.value.string_value

日志操作(日志集) cs6 LogForwardingProfile 对数集

about.labels.key 和 about.labels.value

additional.fields.key 和 additional.fields.value.string_value

会话 ID (sessionid) cn1 SessionID network.session_id
重复计数 (repeatcnt) cnt RepeatCount 重复内容

about.labels.key 和 about.labels.value

additional.fields.key 和 additional.fields.value.string_value

来源端口(体育) spt srcPort principal.port
目标端口 (dport) dpt dstPort target.port
NAT 来源端口 (natsport) sourceTranslatedPort srcPostNATPort principal.nat_port
NAT 目标端口 (natdport) destinationTranslatedPort dstPostNATPort target.nat_port
标志 flexString1 标志 旗帜

about.labels.key 和 about.labels.value

additional.fields.key 和 additional.fields.value.string_value

IP 协议 (proto) proto proto network.ip_protocol
操作 (action) act action security_result.action_details

security_result.action

网址/文件名 (misc) 请求 其他

target.file.full_path(如果子类型为“file”、“virus”、“wildfire-virus”或“wildfire”,则 `misc` 字段将映射到 target.file.full_path)

target.url(如果子类型为“url”,则“misc”字段会映射到 target.url 和 target.hostname)

target.hostname(如果子类型为“spyware”或“vulnerability”,则“misc”字段将映射到 target.file.full_path 和 target.url)

威胁/内容名称 (threatid) ThreatID security_result.threat_name
类别 (category) cs2 URLCategory security_result.category_details
严重程度 (severity) number-of-severity(标头) 严重程度 security_result.severity 和 security_result.severity_details
方向 (direction) flexString2 方向 network.direction
序列号 (seqno) externalId 序列 metadata.product_log_id
操作标志 (actionflags) PanOSActionFlags ActionFlags actionflags

about.labels.key 和 about.labels.value

additional.fields.key 和 additional.fields.value.string_value

来源国家/地区 (srcloc) SourceLocation principal.location.country_or_region
目的地国家/地区 (dstloc) DestinationLocation target.location.country_or_region
内容类型 (contenttype) ContentType 内容类型

about.labels.key 和 about.labels.value

additional.fields.key 和 additional.fields.value.string_value

PCAP ID (pcap_id) fileId PCAP_ID pcap_id

about.labels.key 和 about.labels.value

additional.fields.key 和 additional.fields.value.string_value

文件摘要 (filedigest) fileHash FileDigest about.file.sha1/md5/sha256
云 (cloud) filePath Cloud Cloud

about.labels.key 和 about.labels.value

additional.fields.key 和 additional.fields.value.string_value

网址索引 (url_idx) URLIndex url_idx

about.labels.key 和 about.labels.value

additional.fields.key 和 additional.fields.value.string_value

用户代理 (user_agent) network.http.user_agent
文件类型(文件类型) fileType FileType about.file.mime_type
X-Forwarded-For (xff) principal.ip
引荐来源网址 (referer) network.http.referral_url
发件人(发件人) SUID 发件人 network.email.from
主题 (subject) msg 主题 network.email.subject
收件人 (recipient) duid 接收者 network.email.to
报告 ID (reportid) oldFileId ReportID reportid

about.labels.key 和 about.labels.value

additional.fields.key 和 additional.fields.value.string_value

设备组层次结构(dg_hier_level_1 到 dg_hier_level_4) PanOSDGl1 DeviceGroupHierarchyL1 dg_hier_level_1

about.labels.key 和 about.labels.value

additional.fields.key 和 additional.fields.value.string_value

设备组层次结构 (dg_hier_level_2) PanOSDGl2 DeviceGroupHierarchyL2 dg_hier_level_2

about.labels.key 和 about.labels.value

additional.fields.key 和 additional.fields.value.string_value

设备组层次结构 (dg_hier_level_3) PanOSDGl3 DeviceGroupHierarchyL3 dg_hier_level_3

about.labels.key 和 about.labels.value

additional.fields.key 和 additional.fields.value.string_value

设备组层次结构 (dg_hier_level_4) PanOSDGl4 DeviceGroupHierarchyL4 dg_hier_level_4

about.labels.key 和 about.labels.value

additional.fields.key 和 additional.fields.value.string_value

虚拟系统名称 (vsys_name) PanOSVsysName vSrcName principal.resource.name

principal.resource.resource_type=VIRTUAL_MACHINE

设备名称 (device_name) dvchost DeviceName intermediary.hostname
来源虚拟机 UUID (src_uuid) PanOSSrcUUID SrcUUID principal.user.product_object_id
目标虚拟机 UUID (dst_uuid) PanOSDstUUID DstUUID target.user.product_object_id
HTTP 方法 (http_method) RequestMethod network.http.method
隧道 ID/IMSI (tunnel_id/imsi) PanOSTunnelID TunnelID tunnel_id/imsi

about.labels.key 和 about.labels.value

additional.fields.key 和 additional.fields.value.string_value

监控代码/IMEI (monitortag/imei) PanOSMonitorTag MonitorTag monitortag/imei

about.labels.key 和 about.labels.value

additional.fields.key 和 additional.fields.value.string_value

父级会话 ID (parent_session_id) PanOSParentSessionID ParentSessionID parent_session_id network.parent_session_id
父级会话开始时间 (parent_start_time) PanOSParentStartTime ParentStartTime parent_start_time

about.labels.key 和 about.labels.value

additional.fields.key 和 additional.fields.value.string_value

隧道类型(隧道) PanOSTunnelType TunnelType 隧道

about.labels.key 和 about.labels.value

additional.fields.key 和 additional.fields.value.string_value

威胁类别 (thr_category) PanOSThreatCategory ThreatCategory thr_category security_result.detection_fields.key/value
内容版本 (contentver) PanOSContentVer ContentVer contentver

about.labels.key 和 about.labels.value

additional.fields.key 和 additional.fields.value.string_value

SCTP 关联 ID (assoc_id) PanOSAssocID assoc_id

about.labels.key 和 about.labels.value

additional.fields.key 和 additional.fields.value.string_value

载荷协议 ID (ppid) PanOSPPID ppid

about.labels.key 和 about.labels.value

additional.fields.key 和 additional.fields.value.string_value

HTTP 标头 (http_headers) PanOSHTTPHeader http_headers

about.labels.key 和 about.labels.value

additional.fields.key 和 additional.fields.value.string_value

网址类别列表 (url_category_list) PanOSURLCatList url_category_list

about.labels.key 和 about.labels.value

additional.fields.key 和 additional.fields.value.string_value

规则 UUID (rule_uuid) PanOSRuleUUID security_result.rule_id
HTTP/2 连接 (http2_connection) PanOSHTTP2Con http2_connection

about.labels.key 和 about.labels.value

additional.fields.key 和 additional.fields.value.string_value

动态用户组名称 (dynusergroup_name) PanDynamicUsrgrp dynusergroup_name

principal.labels.key 和 principal.labels.value

additional.fields.key 和 additional.fields.value.string_value

XFF 地址 (xff_ip) PanXFFIP principal.ip
来源设备类别 (src_category) PanSrcDeviceCat src_category

principal.labels.key 和 principal.labels.value

additional.fields.key 和 additional.fields.value.string_value

来源设备配置文件 (src_profile) PanSrcDeviceProf src_profile

principal.labels.key 和 principal.labels.value

additional.fields.key 和 additional.fields.value.string_value

源设备型号 (src_model) PanSrcDeviceModel src_model

principal.labels.key 和 principal.labels.value

additional.fields.key 和 additional.fields.value.string_value

源设备供应商 (src_vendor) PanSrcDeviceVendor src_vendor

principal.labels.key 和 principal.labels.value

additional.fields.key 和 additional.fields.value.string_value

来源设备操作系统系列 (src_osfamily) PanSrcDeviceOS src_osfamily

principal.asset.platform_software.platform

principal.labels.key 和 principal.labels.value

additional.fields.key 和 additional.fields.value.string_value

源设备操作系统版本 (src_osversion) PanSrcDeviceOSv principal.asset.software.version
来源主机名 (src_host) PanSrcHostname principal.hostname
来源 MAC 地址 (src_mac) PanSrcMac principal.mac
目标设备类别 (dst_category) PanDstDeviceCat dst_category

target.labels.key 和 target.labels.value

additional.fields.key 和 additional.fields.value.string_value

目标设备配置文件 (dst_profile) PanDstDeviceProf dst_profile

target.labels.key 和 target.labels.value

additional.fields.key 和 additional.fields.value.string_value

目标设备型号 (dst_model) PanDstDeviceModel dst_model

target.labels.key 和 target.labels.value

additional.fields.key 和 additional.fields.value.string_value

目标设备供应商 (dst_vendor) PanDstDeviceVendor dst_vendor

target.labels.key 和 target.labels.value

additional.fields.key 和 additional.fields.value.string_value

目标设备操作系统系列 (dst_osfamily) PanDstDeviceOS dst_osfamily

target.labels.key 和 target.labels.value

additional.fields.key 和 additional.fields.value.string_value

目标设备操作系统版本 (dst_osversion) PanDstDeviceOSv target.asset.software.version
目标主机名 (dst_host) PanDstHostname target.hostname
目标 MAC 地址 (dst_mac) PanDstMac target.mac
容器 ID (container_id) PanContainerName container_id

about.labels.key 和 about.labels.value

additional.fields.key 和 additional.fields.value.string_value

POD 命名空间 (pod_namespace) PanPODNamespace pod_namespace

about.labels.key 和 about.labels.value

additional.fields.key 和 additional.fields.value.string_value

POD 名称 (pod_name) PanPODName pod_name

about.labels.key 和 about.labels.value

additional.fields.key 和 additional.fields.value.string_value

来源外部动态列表 (src_edl) PanSrcEDL src_edl

about.labels.key 和 about.labels.value

additional.fields.key 和 additional.fields.value.string_value

目标外部动态列表 (dst_edl) PanDstEDL dst_edl

about.labels.key 和 about.labels.value

additional.fields.key 和 additional.fields.value.string_value

主机 ID (hostid) PanGPHostID hostid

about.labels.key 和 about.labels.value

additional.fields.key 和 additional.fields.value.string_value

用户设备序列号 (serialnumber) PanEPSerial principal.asset.hardware.serial_number
域 EDL (domain_edl) PanDomainEDL domain_edl

about.labels.key 和 about.labels.value

additional.fields.key 和 additional.fields.value.string_value

来源动态地址组 (src_dag) PanSrcDAG principal.group.group_display_name
目标动态地址组 (dst_dag) PanDstDAG target.group.group_display_name
部分哈希 (partial_hash) PanPartialHash partial_hash

about.labels.key 和 about.labels.value

additional.fields.key 和 additional.fields.value.string_value

高分辨率时间戳(high_res 时间戳) PanTimeHighRes 高分辨率时间戳 metadata.collected_timestamp,

metadata.event_timestamp(如果“生成时间”不存在)

原因 PanReasonFilteringAction 原因

about.labels.key 和 about.labels.value

additional.fields.key 和 additional.fields.value.string_value

两端对齐(两端对齐) PanJustification 正文对齐

about.labels.key 和 about.labels.value

additional.fields.key 和 additional.fields.value.string_value

Slice 服务类型 (nssai_sst) PanASServiceType nssai_sst

about.labels.key 和 about.labels.value

additional.fields.key 和 additional.fields.value.string_value

应用子类别 (subcategory_of_app) subcategory_of_app

about.labels.key 和 about.labels.value

additional.fields.key 和 additional.fields.value.string_value

应用类别 (category_of_app) category_of_app

about.labels.key 和 about.labels.value

additional.fields.key 和 additional.fields.value.string_value

应用技术 (technology_of_app) technology_of_app

about.labels.key 和 about.labels.value

additional.fields.key 和 additional.fields.value.string_value

应用风险 (risk_of_app) risk_of_app

about.labels.key 和 about.labels.value

additional.fields.key 和 additional.fields.value.string_value

应用特性 (characteristic_of_app) characteristic_of_app

about.labels.key 和 about.labels.value

additional.fields.key 和 additional.fields.value.string_value

应用容器 (container_of_app) container_of_app

about.labels.key 和 about.labels.value

additional.fields.key 和 additional.fields.value.string_value

应用 SaaS (is_saas_of_app) is_saas_of_app

about.labels.key 和 about.labels.value

additional.fields.key 和 additional.fields.value.string_value

应用批准状态 (sanctioned_state_of_app) sanctioned_state_of_app

about.labels.key 和 about.labels.value

additional.fields.key 和 additional.fields.value.string_value

流量

下表列出了流量日志类型的日志字段 及其对应的 UDM 字段。

CSV 字段 CEF 字段 LEEF 字段 Google Security Operations 标签键 UDM 字段
接收时间(receive_time 或 cef-formatted-receive_time) rt devTime metadata.collected_timestamp

metadata.event_timestamp(如果“Generate Time”不存在)

序列号(序列号) deviceExternalId SerialNumber intermediary.asset.hardware.serial_number
类型 (type) type(标题) cat/Type metadata.product_event_type
威胁/内容类型(子类型) 子类型(标题) 子类型 metadata.product_event_type
生成时间(time_generated 或 cef-formatted-time_generated) 开始 metadata.event_timestamp
来源地址 (src) src src principal.ip
目标地址 (dst) dst dst target.ip
NAT 来源 IP (natsrc) sourceTranslatedAddress srcPostNAT principal.nat_ip
NAT 目标 IP (natdst) destinationTranslatedAddress dstPostNAT target.nat_ip
规则名称(规则) cs1 RuleName security_result.rule_name
源用户 (srcuser) Suser SourceUser principal.user.userid
目标用户 (dstuser) 用户 DestinationUser target.user.userid
应用 应用 应用 target.application
虚拟系统 (vsys) cs3 VirtualSystem vsys

about.labels.key 和 about.labels.value

additional.fields.key 和 additional.fields.value.string_value

来源可用区(起始) cs4 SourceZone from

principal.labels.key 和 principal.labels.value

additional.fields.key 和 additional.fields.value.string_value

目标可用区(到) cs5 DestinationZone

target.labels.key 和 target.labels.value

additional.fields.key 和 additional.fields.value.string_value

入站接口 (inbound_if) deviceInboundInterface IngressInterface inbound_if

principal.labels.key 和 principal.labels.value

additional.fields.key 和 additional.fields.value.string_value

出站接口 (outbound_if) deviceOutboundInterface EgressInterface outbound_if

target.labels.key 和 target.labels.value

additional.fields.key 和 additional.fields.value.string_value

日志操作(日志集) cs6 LogForwardingProfile 对数集

about.labels.key 和 about.labels.value

additional.fields.key 和 additional.fields.value.string_value

会话 ID (sessionid) cn1 SessionID network.session_id
重复计数 (repeatcnt) cnt RepeatCount 重复内容

about.labels.key 和 about.labels.value

additional.fields.key 和 additional.fields.value.string_value

来源端口(体育) spt srcPort principal.port
目标端口 (dport) dpt dstPort target.port
NAT 来源端口 (natsport) sourceTranslatedPort srcPostNATPort principal.nat_port
NAT 目标端口 (natdport) destinationTranslatedPort dstPostNATPort target.nat_port
标志 flexString1 标志 旗帜

about.labels.key 和 about.labels.value

additional.fields.key 和 additional.fields.value.string_value

IP 协议 (proto) proto proto network.ip_protocol
操作 (action) act action security_result.action_details

security_result.action

字节 flexNumber1 totalBytes 字节

about.labels.key 和 about.labels.value

additional.fields.key 和 additional.fields.value.string_value

发送的字节数 (bytes_sent) srcBytes network.sent_bytes
已接收的字节数 (bytes_received) out dstBytes network.received_bytes
数据包数量 cn2 totalPackets 数据包

about.labels.key 和 about.labels.value

additional.fields.key 和 additional.fields.value.string_value

开始时间(开始时间) StartTime 开始时间

about.labels.key 和 about.labels.value

additional.fields.key 和 additional.fields.value.string_value

已用时间 (elapsed) cn3 ElapsedTime 已用时 network.session_duration.seconds
类别 (category) cs2 URLCategory security_result.category / security_result.category_details
序列号 (seqno) externalId 序列 metadata.product_log_id
操作标志 (actionflags) PanOSActionFlags ActionFlags actionflags

about.labels.key 和 about.labels.value

additional.fields.key 和 additional.fields.value.string_value

来源国家/地区 (srcloc) SourceLocation principal.location.country_or_region
目的地国家/地区 (dstloc) DestinationLocation target.location.country_or_region
发送的数据包数量 (pkts_sent) PanOSPacketsSent srcPackets pkts_sent

about.labels.key 和 about.labels.value

additional.fields.key 和 additional.fields.value.string_value

接收的数据包数量 (pkts_received) PanOSPacketsReceived dstPackets pkts_received

about.labels.key 和 about.labels.value

additional.fields.key 和 additional.fields.value.string_value

会话结束原因 (session_end_reason) 原因 SessionEndReason security_result.summary
设备组层次结构1(dg_hier_level_1 到 dg_hier_level_4) PanOSDGl1 DeviceGroupHierarchyL1 dg_hier_level_1

about.labels.key 和 about.labels.value

additional.fields.key 和 additional.fields.value.string_value

设备组层次结构 2 (dg_hier_level_2) PanOSDGl2 DeviceGroupHierarchyL2 dg_hier_level_2

about.labels.key 和 about.labels.value

additional.fields.key 和 additional.fields.value.string_value

设备组层次结构 3 (dg_hier_level_3) PanOSDGl3 DeviceGroupHierarchyL3 dg_hier_level_3

about.labels.key 和 about.labels.value

additional.fields.key 和 additional.fields.value.string_value

设备组层次结构 (dg_hier_level_4) PanOSDGl4 DeviceGroupHierarchyL4 dg_hier_level_4

about.labels.key 和 about.labels.value

additional.fields.key 和 additional.fields.value.string_value

虚拟系统名称 (vsys_name) PanOSVsysName vSrcName principal.resource.name

principal.resource.resource_type=VIRTUAL_MACHINE

设备名称 (device_name) dvchost DeviceName intermediary.hostname
操作来源 (action_source) cat ActionSource action_source

about.labels.key 和 about.labels.value

additional.fields.key 和 additional.fields.value.string_value

来源虚拟机 UUID (src_uuid) PanOSSrcUUID SrcUUID principal.asset.product_object_id
目标虚拟机 UUID (dst_uuid) PanOSDstUUID DstUUID target.asset.product_object_id
隧道 ID/IMSI (tunnelid/imsi) PanOSTunnelID TunnelID tunnelid/imsi

about.labels.key 和 about.labels.value

additional.fields.key 和 additional.fields.value.string_value

监控代码/IMEI (monitortag/imei) PanOSMonitorTag MonitorTag monitortag/imei

about.labels.key 和 about.labels.value

additional.fields.key 和 additional.fields.value.string_value

父级会话 ID (parent_session_id) PanOSParentSessionID ParentSessionID parent_session_id network.parent_session_id
父级开始时间 (parent_start_time) PanOSParentStartTime ParentStartTime parent_start_time

about.labels.key 和 about.labels.value

additional.fields.key 和 additional.fields.value.string_value

隧道类型(隧道) PanOSTunnelType TunnelType 隧道

about.labels.key 和 about.labels.value

additional.fields.key 和 additional.fields.value.string_value

SCTP 关联 ID (assoc_id) PanOSSCTPAssocID assoc_id

about.labels.key 和 about.labels.value

additional.fields.key 和 additional.fields.value.string_value

SCTP 块(区块) PanOSSCTPChunks 分块

about.labels.key 和 about.labels.value

additional.fields.key 和 additional.fields.value.string_value

发送的 SCTP 数据块 (chunks_sent) PanOSSCTPChunkSent chunks_sent

about.labels.key 和 about.labels.value

additional.fields.key 和 additional.fields.value.string_value

接收的 SCTP 数据块数 (chunks_received) PanOSSCTPChunksRcv chunks_received

about.labels.key 和 about.labels.value

additional.fields.key 和 additional.fields.value.string_value

规则 UUID (rule_uuid) PanOSRuleUUID security_result.rule_id
HTTP/2 连接 (http2_connection) PanOSHTTP2Con http2_connection

about.labels.key 和 about.labels.value

additional.fields.key 和 additional.fields.value.string_value

应用翻转次数 (link_change_count) PanLinkChange link_change_count

about.labels.key 和 about.labels.value

additional.fields.key 和 additional.fields.value.string_value

政策 ID (policy_id) PanPolicyID policy_id

about.labels.key 和 about.labels.value

additional.fields.key 和 additional.fields.value.string_value

链接开关 (link_switches) PanLinkDetail link_switches

about.labels.key 和 about.labels.value

additional.fields.key 和 additional.fields.value.string_value

SD-WAN 集群 (sdwan_cluster) PanSDWANCluster sdwan_cluster

about.labels.key 和 about.labels.value

additional.fields.key 和 additional.fields.value.string_value

SD-WAN 设备类型 (sdwan_device_type) PanSDWANDevice sdwan_device_type

about.labels.key 和 about.labels.value

additional.fields.key 和 additional.fields.value.string_value

SD-WAN 集群类型 (sdwan_cluster_type) PanSDWANClustype sdwan_cluster_type

about.labels.key 和 about.labels.value

additional.fields.key 和 additional.fields.value.string_value

SD-WAN 网站 (sdwan_site) PanSDWANSite sdwan_site

about.labels.key 和 about.labels.value

additional.fields.key 和 additional.fields.value.string_value

动态用户组名称 (dynusergroup_name) PanDynamicUsrgrp dynusergroup_name

about.labels.key 和 about.labels.value

additional.fields.key 和 additional.fields.value.string_value

XFF 地址 (xff_ip) PanXFFIP principal.ip
来源设备类别 (src_category) PanSrcDeviceCat src_category

principal.labels.key 和 principal.labels.value

additional.fields.key 和 additional.fields.value.string_value

来源设备配置文件 (src_profile) PanSrcDeviceProf src_profile

principal.labels.key 和 principal.labels.value

additional.fields.key 和 additional.fields.value.string_value

源设备型号 (src_model) PanSrcDeviceModel src_model

principal.labels.key 和 principal.labels.value

additional.fields.key 和 additional.fields.value.string_value

源设备供应商 (src_vendor) PanSrcDeviceVendor src_vendor

principal.labels.key 和 principal.labels.value

additional.fields.key 和 additional.fields.value.string_value

来源设备操作系统系列 (src_osfamily) PanSrcDeviceOS

principal.asset.platform_software.platform

principal.labels.key 和 principal.labels.value

additional.fields.key 和 additional.fields.value.string_value

源设备操作系统版本 (src_osversion) PanSrcDeviceOSv principal.asset.software.version
来源主机名 (src_host) PanSrcHostname principal.hostname
来源 MAC 地址 (src_mac) PanSrcMac principal.mac
目标设备类别 (dst_category) PanDstDeviceCat dst_category

target.labels.key 和 target.labels.value

additional.fields.key 和 additional.fields.value.string_value

目标设备配置文件 (dst_profile) PanDstDeviceProf dst_profile

target.labels.key 和 target.labels.value

additional.fields.key 和 additional.fields.value.string_value

目标设备型号 (dst_model) PanDstDeviceModel dst_model

target.labels.key 和 target.labels.value

additional.fields.key 和 additional.fields.value.string_value

目标设备供应商 (dst_vendor) PanDstDeviceVendor dst_vendor

target.labels.key 和 target.labels.value

additional.fields.key 和 additional.fields.value.string_value

目标设备操作系统系列 (dst_osfamily) PanDstDeviceOS dst_osfamily

target.labels.key 和 target.labels.value

additional.fields.key 和 additional.fields.value.string_value

目标设备操作系统版本 (dst_osversion) PanDstDeviceOSv target.asset.software.version
目标主机名 (dst_host) PanDstHostname target.hostname
目标 MAC 地址 (dst_mac) PanDstMac target.mac
容器 ID (container_id) PanContainerName container_id

about.labels.key 和 about.labels.value

additional.fields.key 和 additional.fields.value.string_value

POD 命名空间 (pod_namespace) PanPODNamespace pod_namespace

about.labels.key 和 about.labels.value

additional.fields.key 和 additional.fields.value.string_value

POD 名称 (pod_name) PanPODName pod_name

about.labels.key 和 about.labels.value

additional.fields.key 和 additional.fields.value.string_value

来源外部动态列表 (src_edl) PanSrcEDL src_edl

principal.labels.key 和 principal.labels.value

additional.fields.key 和 additional.fields.value.string_value

目标外部动态列表 (dst_edl) PanDstEDL dst_edl

target.labels.key 和 target.labels.value

additional.fields.key 和 additional.fields.value.string_value

主机 ID (hostid) PanGPHostID hostid

about.labels.key 和 about.labels.value

additional.fields.key 和 additional.fields.value.string_value

用户设备序列号 (serialnumber) PanEPSerial principal.asset.hardware.serial_number
来源动态地址组 (src_dag) PanSrcDAG principal.group.group_display_name
目标动态地址组 (dst_dag) PanDstDAG target.group.group_display_name
会话所有者 (session_owner) PanHASessionOwner session_owner

about.labels.key 和 about.labels.value

additional.fields.key 和 additional.fields.value.string_value

高分辨率时间戳 (high_res_timestamp) PanTimeHighRes metadata.collected_timestamp,

metadata.event_timestamp(如果“生成时间”不存在)

Slice 服务类型 (nsdsai_sst) PanASServiceType nsdsai_sst

about.labels.key 和 about.labels.value

additional.fields.key 和 additional.fields.value.string_value

Slice 区别 (nsdsai_sd) PanASServiceDiff nsdsai_sd

about.labels.key 和 about.labels.value

additional.fields.key 和 additional.fields.value.string_value

应用子类别 (subcategory_of_app) subcategory_of_app

about.labels.key 和 about.labels.value

additional.fields.key 和 additional.fields.value.string_value

应用类别 (category_of_app) category_of_app

about.labels.key 和 about.labels.value

additional.fields.key 和 additional.fields.value.string_value

应用技术 (technology_of_app) technology_of_app

about.labels.key 和 about.labels.value

additional.fields.key 和 additional.fields.value.string_value

应用风险 (risk_of_app) security_result.severity
应用特征 (characteristic_of_app) characteristic_of_app

about.labels.key 和 about.labels.value

additional.fields.key 和 additional.fields.value.string_value

应用容器 (container_of_app) container_of_app

about.labels.key 和 about.labels.value

additional.fields.key 和 additional.fields.value.string_value

应用 SaaS (is_saas_of_app) is_saas_of_app

about.labels.key 和 about.labels.value

additional.fields.key 和 additional.fields.value.string_value

应用批准状态 (sanctioned_state_of_app) sanctioned_state_of_app

about.labels.key 和 about.labels.value

additional.fields.key 和 additional.fields.value.string_value

应用子类别 (subcategory_of_app) subcategory_of_app1

about.labels.key 和 about.labels.value

additional.fields.key 和 additional.fields.value.string_value

User-ID

下表列出了“用户 ID”日志类型的日志字段及其对应的 UDM 字段。

CSV 字段 CEF 字段 LEEF 字段 Google Security Operations 标签键 UDM 字段
接收时间(receive_time 或 cef-formatted-receive_time) rt devTime metadata.collected_timestamp

metadata.event_timestamp(如果“Generate Time”不存在)

序列号(序列号) deviceExternalId SerialNumber intermediary.asset.hardware.serial_number
类型 (type) type(标题) cat metadata.product_event_type
威胁/内容类型(子类型) 子类型(标题) 子类型 metadata.product_event_type
生成时间(time_generated 或 cef-formatted-time_generated) metadata.event_timestamp
虚拟系统 (vsys) cs3 VirtualSystem vsys

about.labels.key 和 about.labels.value

additional.fields.key 和 additional.fields.value.string_value

来源 IP (ip) src src principal.ip
用户 (user) duser usrName target.user.userid

target.administrative_domain

target.user.email_addresses

数据源名称 (datasourcename) cs4 DataSourceName datasourcename

principal.labels.key 和 principal.labels.value

additional.fields.key 和 additional.fields.value.string_value

事件 ID (eventid) EventID eventid

about.labels.key 和 about.labels.value

additional.fields.key 和 additional.fields.value.string_value

重复计数 (repeatcnt) cnt RepeatCount 重复内容

about.labels.key 和 about.labels.value

additional.fields.key 和 additional.fields.value.string_value

超时阈值(超时) cn3 TimeoutThreshold 超时

about.labels.key 和 about.labels.value

additional.fields.key 和 additional.fields.value.string_value

来源端口 (beginport) spt srcPort principal.port
目标端口 (endport) dpt dstPort target.port
数据源 cs5 DataSource datasource

principal.labels.key 和 principal.labels.value

additional.fields.key 和 additional.fields.value.string_value

数据源类型 (datasourcetype) cs6 DataSourceType datasourcetype

principal.labels.key 和 principal.labels.value

additional.fields.key 和 additional.fields.value.string_value

序列号 (seqno) externalId 序列 metadata.product_log_id
操作标志 (actionflags) PanOSActionFlags ActionFlags actionflags

about.labels.key 和 about.labels.value

additional.fields.key 和 additional.fields.value.string_value

设备组层次结构 (dg_hier_level_1) PanOSDGl1 DeviceGroupHierarchyL1 dg_hier_level_1

about.labels.key 和 about.labels.value

additional.fields.key 和 additional.fields.value.string_value

设备组层次结构 (dg_hier_level_2) PanOSDGl2 DeviceGroupHierarchyL2 dg_hier_level_2

about.labels.key 和 about.labels.value

additional.fields.key 和 additional.fields.value.string_value

设备组层次结构 (dg_hier_level_3) PanOSDGl3 DeviceGroupHierarchyL3 dg_hier_level_3

about.labels.key 和 about.labels.value

additional.fields.key 和 additional.fields.value.string_value

设备组层次结构 (dg_hier_level_4) PanOSDGl4 DeviceGroupHierarchyL4 dg_hier_level_4

about.labels.key 和 about.labels.value

additional.fields.key 和 additional.fields.value.string_value

虚拟系统名称 (vsys_name) PanOSVsysName vSrcName principal.resource.name

principal.resource.resource_type=VIRTUAL_MACHINE

设备名称 (device_name) dvchost DeviceName intermediary.hostname
虚拟系统 ID (vsys_id) cn2 VirtualSystemID principal.resource.resource_type=VIRTUAL_MACHINE and principal.resource.product_object_id
因素类型 (factortype) cs1 FactorType 因式类型

about.labels.key 和 about.labels.value

additional.fields.key 和 additional.fields.value.string_value

因子完成时间 (factorcompletiontime) 结束 FactorCompletionTime factorcompletiontime

about.labels.key 和 about.labels.value

additional.fields.key 和 additional.fields.value.string_value

因子编号 (factorno) cn1 FactorNumber Ffactorno

about.labels.key 和 about.labels.value

additional.fields.key 和 additional.fields.value.string_value

用户组标记 (ugflags) PanOSUGFlags UGflags

about.labels.key 和 about.labels.value

additional.fields.key 和 additional.fields.value.string_value

按来源划分的用户 (userbysource) PanOSUserBySource principal.user.userid

principal.administrative_domain

principal.user.email_addresses

高分辨率时间戳 (high_res timestamp) PanOSTimeGeneratedHighResolution metadata.collected_timestamp,

metadata.event_timestamp(如果“Generate Time”不存在)

HIP 匹配

下表列出了 HIP 匹配日志类型的日志字段 及其对应的 UDM 字段。

CSV 字段 CEF 字段 LEEF 字段 Google Security Operations 标签键 UDM 字段
接收时间(receive_time 或 cef-formatted-receive_time) rt devTime metadata.collected_timestamp

metadata.event_timestamp(如果“Generate Time”不存在)

序列号(序列号) deviceExternalId SerialNumber intermediary.asset.hardware.serial_number
类型 (type) type(标题) cat metadata.product_event_type
威胁/内容类型(子类型) 子类型(标题) 子类型
生成时间(time_generated 或 cef-formatted-time_generated) 开始 startTime metadata.event_timestamp
源用户 (srcuser) Suser usrName principal.user.userid
虚拟系统 (vsys) cs3 VirtualSystem vsys

about.labels.key 和 about.labels.value

additional.fields.key 和 additional.fields.value.string_value

机器名称 (machinename) shost identHostName principal.hostname
操作系统 (os) cs2 操作系统 principal.asset.platform_software.platform
来源地址 (src) src identsrc principal.ip
HIP(matchname) cat 健康保险流通与责任法案 (HIP) matchname

about.labels.key 和 about.labels.value

additional.fields.key 和 additional.fields.value.string_value

重复计数 (repeatcnt) cnt RepeatCount 重复内容

about.labels.key 和 about.labels.value

additional.fields.key 和 additional.fields.value.string_value

HIP 类型 (matchtype) 设备事件类 ID(标头) HIPType matchtype

about.labels.key 和 about.labels.value

additional.fields.key 和 additional.fields.value.string_value

序列号 (seqno) externalId 序列 metadata.product_log_id
操作标志 (actionflags) PanOSActionFlags ActionFlags actionflags

about.labels.key 和 about.labels.value

additional.fields.key 和 additional.fields.value.string_value

设备组层次结构 (dg_hier_level_1) PanOSDGl1 DeviceGroupHierarchyL1 dg_hier_level_1

about.labels.key 和 about.labels.value

additional.fields.key 和 additional.fields.value.string_value

设备组层次结构 (dg_hier_level_2) PanOSDGl2 DeviceGroupHierarchyL2 dg_hier_level_2

about.labels.key 和 about.labels.value

additional.fields.key 和 additional.fields.value.string_value

设备组层次结构 (dg_hier_level_3) PanOSDGl3 DeviceGroupHierarchyL3 dg_hier_level_3

about.labels.key 和 about.labels.value

additional.fields.key 和 additional.fields.value.string_value

设备组层次结构 (dg_hier_level_4) PanOSDGl4 DeviceGroupHierarchyL4 dg_hier_level_4

about.labels.key 和 about.labels.value

additional.fields.key 和 additional.fields.value.string_value

虚拟系统名称 (vsys_name) PanOSVsysName vSrcName principal.resource.name

principal.resource.resource_type=VIRTUAL_MACHINE

设备名称 (device_name) dvchost DeviceName intermediary.hostname
虚拟系统 ID (vsys_id) cn2 VirtualSystemID principal.resource.resource_type=VIRTUAL_MACHINE 和 principal.resource.product_object_id
IPv6 系统地址 (srcipv6) C6A2 srcipv6 principal.asset.ip
主机 ID (hostid) PanOSHostID principal.asset.product_object_id
用户设备序列号(序列号) PanOSEndpointSerialNumber principal.asset.hardware.serial_number
设备 MAC 地址 (mac) PanOSEndpointMac principal.asset.mac
高分辨率时间戳 (high_res_timestamp) PanOSTimeGeneratedHighResolution metadata.collected_timestamp,

metadata.event_timestamp(如果“生成时间”不存在)

IP 代码

下表列出了 IP 代码日志类型的日志字段及其对应的 UDM 字段。

CSV 字段 CEF 字段 LEEF 字段 Google Security Operations 标签键 UDM 字段
接收时间(receive_time 或 cef-formatted-receive_time) rt devTime metadata.collected_timestamp

metadata.event_timestamp(如果“Generate Time”不存在)

序列号(序列号) deviceExternalId SerialNumber intermediary.asset.hardware.serial_number
类型 (type) type(标题) cat metadata.product_event_type
威胁/内容类型(子类型) 子类型(标题) 子类型 metadata.product_event_type
生成时间(time_generated 或 cef-formatted-time_generated) GenerateTime metadata.event_timestamp
虚拟系统 (vsys) cs3 VirtualSystem vsys

about.labels.key 和 about.labels.value

additional.fields.key 和 additional.fields.value.string_value

来源 IP (ip) src src principal.ip
代码名称 (tag_name) PanOSTagName TagName tag_name

principal.labels.key 和 principal.labels.value

additional.fields.key 和 additional.fields.value.string_value

事件 ID (event_id) PanOSEventID EventID event_id

about.labels.key 和 about.labels.value

additional.fields.key 和 additional.fields.value.string_value

重复计数 (repeatcnt) cnt RepeatCount 重复内容

about.labels.key 和 about.labels.value

additional.fields.key 和 additional.fields.value.string_value

超时 (timeout) PanOSTimeout TimeoutThreshold 超时

about.labels.key 和 about.labels.value

additional.fields.key 和 additional.fields.value.string_value

数据源名称 (datasourcename) PanOSDataSourceName DataSourceName datasourcename

principal.labels.key 和 principal.labels.value

additional.fields.key 和 additional.fields.value.string_value

数据源类型 (datasource_type) PanOSDataSourceType DataSource datasource_type

principal.labels.key 和 principal.labels.value

additional.fields.key 和 additional.fields.value.string_value

数据源子类型 (datasource_subtype) PanOSDataSourceSubType DataSourceType datasource_subtype

principal.labels.key 和 principal.labels.value

additional.fields.key 和 additional.fields.value.string_value

序列号 (seqno) externalId 序列 metadata.product_log_id
操作标志 (actionflags) PanOSActionFlags ActionFlags actionflags

about.labels.key 和 about.labels.value

additional.fields.key 和 additional.fields.value.string_value

设备组层次结构 (dg_hier_level_1) PanOSDGl1 DeviceGroupHierarchyL1 dg_hier_level_1

about.labels.key 和 about.labels.value

additional.fields.key 和 additional.fields.value.string_value

设备组层次结构 (dg_hier_level_2) PanOSDGl2 DeviceGroupHierarchyL2 dg_hier_level_2

about.labels.key 和 about.labels.value

additional.fields.key 和 additional.fields.value.string_value

设备组层次结构 (dg_hier_level_3) PanOSDGl3 DeviceGroupHierarchyL3 dg_hier_level_3

about.labels.key 和 about.labels.value

additional.fields.key 和 additional.fields.value.string_value

设备组层次结构 (dg_hier_level_4) PanOSDGl4 DeviceGroupHierarchyL4 dg_hier_level_4

about.labels.key 和 about.labels.value

additional.fields.key 和 additional.fields.value.string_value

虚拟系统名称 (vsys_name) PanOsVsysName vSrcName principal.resource.name

principal.resource.resource_type=VIRTUAL_MACHINE

设备名称 (device_name) dvchost DeviceName intermediary.hostname
虚拟系统 ID (vsys_id) cn2 VirtualSystemID principal.resource.resource_type=VIRTUAL_MACHINE 和 principal.resource.product_object_id
高分辨率时间戳(high_res 时间戳) PanOSTimeGeneratedHighResolution metadata.collected_timestamp,

metadata.event_timestamp(如果“Generate Time”不存在)

解密

下表列出了解密日志类型的日志字段及其对应的 UDM 字段。

CSV 字段 CEF 字段 LEEF 字段 Google Security Operations 标签键 UDM 字段
接收时间(receive_time 或 cef-formatted-receive_time) rt metadata.collected_timestamp,

metadata.event_timestamp(如果“Generate Time”不存在)

序列号(序列号) PanOSDeviceSN intermediary.asset.hardware.serial_number
类型 (type) type(标头) metadata.product_event_type
威胁/内容类型(子类型) 子类型(标题) metadata.product_event_type
配置版本 (config_ver) PanOSConfigVersion config_ver

about.labels.key 和 about.labels.value

additional.fields.key 和 additional.fields.value.string_value

生成时间 (time_generated) PanOSLogTimeStamp metadata.event_timestamp
来源地址 (src) src principal.ip
目标地址 (dst) DST target.ip
NAT 来源 IP (natsrc) sourceTranslatedAddress principa.nat_ip
NAT 目标 IP (natdst) destinationTranslatedAddress target.nat_ip
规则 cs1 security_result.rule_name
源用户 (srcuser) suser principal.user.userid
目标用户 (dstuser) duser target.user.userid
应用 应用 target.application
虚拟系统 (vsys) cs3 vsys

about.labels.key 和 about.labels.value

additional.fields.key 和 additional.fields.value.string_value

来源可用区(起始) cs4 来自

principal.labels.key 和 principal.labels.value

additional.fields.key 和 additional.fields.value.string_value

目标可用区(到) cs5 更改为

target.labels.key 和 target.labels.value

additional.fields.key 和 additional.fields.value.string_value

入站接口 (inbound_if) deviceInboundInterface inbound_if

principal.labels.key 和 principal.labels.value

additional.fields.key 和 additional.fields.value.string_value

出站接口 (outbound_if) deviceOutboundInterface outbound_if

target.labels.key 和 target.labels.value

additional.fields.key 和 additional.fields.value.string_value

日志操作(日志集) cs6 对数集

about.labels.key 和 about.labels.value

additional.fields.key 和 additional.fields.value.string_value

记录的时间 (time_received) PanOSTimeReceivedManagementPlane -
会话 ID (sessionid) cn1 network.session_id
重复计数 (repeatcnt) PanOSCountOfRepeats/RepeatCount repeatcnt

about.labels.key 和 about.labels.value

additional.fields.key 和 additional.fields.value.string_value

来源端口(体育) spt principal.port
目标端口 (dport) dpt target.port
NAT 来源端口 (natsport) sourceTranslatedPort principal.nat_port
NAT 目标端口 (natdport) destinationTranslatedPort target.nat_port
标志 flexString1 flags

about.labels.key 和 about.labels.value

additional.fields.key 和 additional.fields.value.string_value

IP 协议 (proto) proto network.ip_protocol
操作 (action) 行动 security_result.action_details

security_result.action

隧道 PanOSTunnel 隧道

about.labels.key 和 about.labels.value

additional.fields.key 和 additional.fields.value.string_value

来源虚拟机 UUID (src_uuid) PanOSSourceUUID principal.asset.asset_id
目标虚拟机 UUID (dst_uuid) PanOSDestinationUUID target.asset.asset_id
规则的 UUID (rule_uuid) PanOSRuleUUID security_result.rule_id
客户端到防火墙的阶段 (hs_stage_c2f) PanOSClientToFirewall hs_stage_c2f

about.labels.key 和 about.labels.value

additional.fields.key 和 additional.fields.value.string_value

防火墙到服务器的阶段 (hs_stage_f2s) PanOSFirewallToServer hs_stage_f2s

about.labels.key 和 about.labels.value

additional.fields.key 和 additional.fields.value.string_value

TLS 版本 (tls_version) PanOSTLSVersion network.tls.version
密钥交换算法 (tls_keyxchg) PanOSTLSKeyExchange tls_keyxchg

about.labels.key 和 about.labels.value

additional.fields.key 和 additional.fields.value.string_value

加密算法 (tls_enc) PanOSTLSEncryptionAlgorithm tls_enc

about.labels.key 和 about.labels.value

additional.fields.key 和 additional.fields.value.string_value

哈希算法 (tls_auth) PanOSTLSAuth tls_auth

about.labels.key 和 about.labels.value

additional.fields.key 和 additional.fields.value.string_value

政策名称 (policy_name) PanOSPolicyName policy_name

about.labels.key 和 about.labels.value

additional.fields.key 和 additional.fields.value.string_value

椭圆曲线 (ec_curve) PanOSEllipticCurve network.tls.curve
错误索引 (err_index) PanOSErrorIndex err_index

about.labels.key 和 about.labels.value

additional.fields.key 和 additional.fields.value.string_value

根状态 (root_status) PanOSRootStatus root_status

about.labels.key 和 about.labels.value

additional.fields.key 和 additional.fields.value.string_value

链状态 (chain_status) PanOSChainStatus chain_status

about.labels.key 和 about.labels.value

additional.fields.key 和 additional.fields.value.string_value

代理类型 (proxy_type) PanOSProxyType proxy_type

about.labels.key 和 about.labels.value

additional.fields.key 和 additional.fields.value.string_value

证书序列号 (cert_serial) PanOSCertificateSerial network.tls.server.certificate.serial
证书指纹(指纹) PanOSFingerprint network.tls.server.certificate.md5/sha1/sha256
证书开始日期 (notbefore) PanOSTimeNotBefore network.tls.server.certificate.not_before
证书结束日期(不晚于) PanOSTimeNotAfter network.tls.server.certificate.not_after
证书版本 (cert_ver) PanOSCertificateVersion network.tls.server.certificate.version
证书大小 (cert_size) PanOSCertificateSize cert_size

about.labels.key 和 about.labels.value

additional.fields.key 和 additional.fields.value.string_value

通用名称长度 (cn_len) PanOSCommonNameLength cn_len

about.labels.key 和 about.labels.value

additional.fields.key 和 additional.fields.value.string_value

颁发者通用名称长度 (issuer_len) PanOSIssuerNameLength issuer_len

about.labels.key 和 about.labels.value

additional.fields.key 和 additional.fields.value.string_value

根通用名称长度 (rootcn_len) PanOSRootCNLength rootcn_len

about.labels.key 和 about.labels.value

additional.fields.key 和 additional.fields.value.string_value

SNI 长度 (sni_len) PanOSSNILength sni_len

about.labels.key 和 about.labels.value

additional.fields.key 和 additional.fields.value.string_value

证书标志 (cert_flags) PanOSCertificateFlags cert_flags

about.labels.key 和 about.labels.value

additional.fields.key 和 additional.fields.value.string_value

正文通用名称 (cn) PanOSCommonName cn

about.labels.key 和 about.labels.value

additional.fields.key 和 additional.fields.value.string_value

发卡机构公用名 (issuer_cn) PanOSIssuerCommonName network.tls.server.certificate.issuer
根通用名称 (root_cn) PanOSRootCommonName root_cn

about.labels.key 和 about.labels.value

additional.fields.key 和 additional.fields.value.string_value

服务器名称指示

(sni)

network.tls.client.server_name
错误 (error) PanOSErrorMessage 错误

about.labels.key 和 about.labels.value

additional.fields.key 和 additional.fields.value.string_value

容器 ID (container_id) PanOSContainerID container_id

about.labels.key 和 about.labels.value

additional.fields.key 和 additional.fields.value.string_value

POD 命名空间 (pod_namespace) PanOSContainerNameSpace pod_namespace

about.labels.key 和 about.labels.value

additional.fields.key 和 additional.fields.value.string_value

POD 名称 (pod_name) PanOSContainerName pod_name

about.labels.key 和 about.labels.value

additional.fields.key 和 additional.fields.value.string_value

来源外部动态列表 (src_edl) PanOSSourceEDL src_edl

principal.labels.key 和 principal.labels.value

additional.fields.key 和 additional.fields.value.string_value

目标外部动态列表 (dst_edl) PanOSDestinationEDL dst_edl

target.labels.key 和 target.labels.value

additional.fields.key 和 additional.fields.value.string_value

来源动态地址组 (src_dag) PanOSSourceDynamicAddressGroup principal.group.group_display_name
目标动态地址组 (dst_dag) PanOSDestinationDynamicAddressGroup target.group.group_display_name
高分辨率时间戳 (high_res_timestamp) PanOSTimeGeneratedHighResolution metadata.collected_timestamp,

metadata.event_timestamp(如果“Generate Time”不存在)

来源设备类别 (src_category) PanOSSourceDeviceCategory src_category

principal.labels.key 和 principal.labels.value

additional.fields.key 和 additional.fields.value.string_value

源设备配置文件 (src_profile) PanOSSourceDeviceProfile src_profile

principal.labels.key 和 principal.labels.value

additional.fields.key 和 additional.fields.value.string_value

源设备型号 (src_model) PanOSSourceDeviceModel src_model

principal.labels.key 和 principal.labels.value

additional.fields.key 和 additional.fields.value.string_value

源设备供应商 (src_vendor) PanOSSourceDeviceVendor src_vendor

principal.labels.key 和 principal.labels.value

additional.fields.key 和 additional.fields.value.string_value

来源设备操作系统系列 (src_osfamily) PanOSSourceDeviceOSFamily

principal.asset.platform_software.platform

principal.labels.key 和 principal.labels.value

源设备操作系统版本 (src_osversion) PanOSSourceDeviceOSVersion principal.asset.software.version
来源主机名 (src_host) PanOSSourceDeviceHost principal.hostname
来源 MAC 地址 (src_mac) PanOSSourceDeviceMac principal.mac
目标设备类别 (dst_category) PanOSDestinationDeviceCategory dst_category

target.labels.key 和 target.labels.value

additional.fields.key 和 additional.fields.value.string_value

目标设备配置文件 (dst_profile) PanOSDestinationDeviceProfile dst_profile

target.labels.key 和 target.labels.value

additional.fields.key 和 additional.fields.value.string_value

目标设备型号 (dst_model) PanOSDestinationDeviceModel dst_model

target.labels.key 和 target.labels.value

additional.fields.key 和 additional.fields.value.string_value

目标设备供应商 (dst_vendor) PanOSDestinationDeviceVendor dst_vendor

target.labels.key 和 target.labels.value

additional.fields.key 和 additional.fields.value.string_value

目标设备操作系统系列 (dst_osfamily) PanOSDestinationDeviceOSFamily dst_osfamily

target.labels.key 和 target.labels.value

additional.fields.key 和 additional.fields.value.string_value

目标设备操作系统版本 (dst_osversion) PanOSDestinationDeviceOSVersion target.asset.software.version
目标主机名 (dst_host) PanOSDestinationDeviceHost target.hostname
目的 MAC 地址 (dst_mac) PanOSDestinationDeviceMac target.mac
序列号 (seqno) PanOSLogTypeSeqNo metadata.product_log_id
操作标志 (actionflags) PanOSActionFlags actionflags

about.labels.key 和 about.labels.value

additional.fields.key 和 additional.fields.value.string_value

设备组层次结构 (dg_hier_level_1) DeviceGroupHierarchyL1 dg_hier_level_1

about.labels.key 和 about.labels.value

additional.fields.key 和 additional.fields.value.string_value

设备组层次结构 (dg_hier_level_2) DeviceGroupHierarchyL2 dg_hier_level_2

about.labels.key 和 about.labels.value

additional.fields.key 和 additional.fields.value.string_value

设备组层次结构 (dg_hier_level_3) DeviceGroupHierarchyL3 dg_hier_level_3

about.labels.key 和 about.labels.value

additional.fields.key 和 additional.fields.value.string_value

设备组层次结构 (dg_hier_level_4) DeviceGroupHierarchyL4 dg_hier_level_4

about.labels.key 和 about.labels.value

additional.fields.key 和 additional.fields.value.string_value

虚拟系统名称 (vsys_name) principal.resource.name

principal.resource.resource_type=VIRTUAL_MACHINE

设备名称 (device_name) intermediary.hostname
虚拟系统 ID (vsys_id) principal.resource.resource_type=VIRTUAL_MACHINE and principal.resource.product_object_id
应用子类别 (subcategory_of_app) subcategory_of_app

about.labels.key 和 about.labels.value

additional.fields.key 和 additional.fields.value.string_value

应用类别 (category_of_app) category_of_app

about.labels.key 和 about.labels.value

additional.fields.key 和 additional.fields.value.string_value

应用技术 (technology_of_app) technology_of_app

about.labels.key 和 about.labels.value

additional.fields.key 和 additional.fields.value.string_value

应用风险 (risk_of_app) security_result.severity
应用特征 (characteristic_of_app) characteristic_of_app

about.labels.key 和 about.labels.value

additional.fields.key 和 additional.fields.value.string_value

应用容器 (container_of_app) container_of_app

about.labels.key 和 about.labels.value

additional.fields.key 和 additional.fields.value.string_value

应用 SaaS (is_saas_of_app) is_saas_of_app

about.labels.key 和 about.labels.value

additional.fields.key 和 additional.fields.value.string_value

应用批准状态 (sanctioned_state_of_app) sanctioned_state_of_app

about.labels.key 和 about.labels.value

additional.fields.key 和 additional.fields.value.string_value

隧道

下表列出了隧道日志类型的日志字段及其对应的 UDM 字段。

CSV 字段 CEF 字段 LEEF 字段 Google Security Operations 标签键 UDM 字段
接收时间(receive_time 或 cef-formatted-receive_time) rt devTime metadata.collected_timestamp

metadata.event_timestamp(如果“Generate Time”不存在)

序列号(序列号) deviceExternalId SerialNumber intermediary.asset.hardware.serial_number
类型 (type) type(标题) cat metadata.product_event_type
威胁/内容类型(子类型) 子类型(标题) 子类型 metadata.product_event_type
生成时间(time_generated 或 cef-formatted-time_generated) metadata.event_timestamp
来源地址 (src) src src principal.ip
目标地址 (dst) dst dst target.ip
NAT 来源 IP (natsrc) sourceTranslatedAddress srcPostNAT principal.nat_ip
NAT 目标 IP (natdst) destinationTranslatedAddress dstPostNAT target.nat_ip
规则名称(规则) cs1 RuleName security_result.rule_name
源用户 (srcuser) Suser SourceUser / usrName principal.user.userid
目标用户 (dstuser) 用户 DestinationUser target.user.userid
应用 应用 应用 network.application_protocol
虚拟系统 (vsys) cs3 VirtualSystem vsys

about.labels.key 和 about.labels.value

additional.fields.key 和 additional.fields.value.string_value

来源可用区(起始) cs4 SourceZone from

principal.labels.key 和 principal.labels.value

additional.fields.key 和 additional.fields.value.string_value

目标可用区(到) cs5 DestinationZone

target.labels.key 和 target.labels.value

additional.fields.key 和 additional.fields.value.string_value

入站接口 (inbound_if) deviceInboundInterface IngressInterface inbound_if

principal.labels.key 和 principal.labels.value

additional.fields.key 和 additional.fields.value.string_value

出站接口 (outbound_if) deviceOutboundInterface EgressInterface outbound_if

target.labels.key 和 target.labels.value

additional.fields.key 和 additional.fields.value.string_value

日志操作(日志集) cs6 LogForwardingProfile 对数集

about.labels.key 和 about.labels.value

additional.fields.key 和 additional.fields.value.string_value

会话 ID (sessionid) cn1 SessionID network.session_id
重复计数 (repeatcnt) cnt RepeatCount 重复内容

about.labels.key 和 about.labels.value

additional.fields.key 和 additional.fields.value.string_value

来源端口(体育) spt srcPort principal.port
目标端口 (dport) dpt dstPort target.port
NAT 来源端口 (natsport) sourceTranslatedPort srcPostNATPort principal.nat_port
NAT 目标端口 (natdport) destinationTranslatedPort dstPostNATPort target.nat_port
标志 flexString1 标志 旗帜

about.labels.key 和 about.labels.value

additional.fields.key 和 additional.fields.value.string_value

IP 协议 (proto) proto proto network.ip_protocol
操作 (action) act action security_result.action_details

security_result.action

严重程度 (severity) security_result.severity 和 security_result.severity_details
序列号 (seqno) externalId 序列 metadata.product_log_id
操作标志 (actionflags) PanOSActionFlags ActionFlags actionflags

about.labels.key 和 about.labels.value

additional.fields.key 和 additional.fields.value.string_value

来源位置 (srcloc) principal.location.country_or_region
目标位置 (dstloc) target.location.country_or_region
设备组层次结构 (dg_hier_level_1) PanOSDGl1 DeviceGroupHierarchyL1 dg_hier_level_1

about.labels.key 和 about.labels.value

additional.fields.key 和 additional.fields.value.string_value

设备组层次结构 (dg_hier_level_2) PanOSDGl2 DeviceGroupHierarchyL2 dg_hier_level_2

about.labels.key 和 about.labels.value

additional.fields.key 和 additional.fields.value.string_value

设备组层次结构 (dg_hier_level_3) PanOSDGl3 DeviceGroupHierarchyL3 dg_hier_level_3

about.labels.key 和 about.labels.value

additional.fields.key 和 additional.fields.value.string_value

设备组层次结构 (dg_hier_level_4) PanOSDGl4 DeviceGroupHierarchyL4 dg_hier_level_4

about.labels.key 和 about.labels.value

additional.fields.key 和 additional.fields.value.string_value

虚拟系统名称 (vsys_name) PanOSVsysName vSrcName principal.resource.name

principal.resource.resource_type=VIRTUAL_MACHINE

设备名称 (device_name) dvchost DeviceName intermediary.hostname
隧道 ID (tunnelid) PanOSTunnelID TunnelID tunnelid

about.labels.key 和 about.labels.value

additional.fields.key 和 additional.fields.value.string_value

监控代码 (monitortag) PanOSMonitorTag MonitorTag monitortag

about.labels.key 和 about.labels.value

additional.fields.key 和 additional.fields.value.string_value

父级会话 ID (parent_session_id) PanOSParentSessionID ParentSessionID parent_session_id network.parent_session_id
父级开始时间 (parent_start_time) PanOSParentStartTime ParentStartTime parent_start_time

about.labels.key 和 about.labels.value

additional.fields.key 和 additional.fields.value.string_value

隧道类型(隧道) cs2 TunnelType 隧道

about.labels.key 和 about.labels.value

additional.fields.key 和 additional.fields.value.string_value

字节 flexNumber1 totalBytes 字节

about.labels.key 和 about.labels.value

additional.fields.key 和 additional.fields.value.string_value

发送的字节数 (bytes_sent) srcBytes network.sent_bytes
已接收的字节数 (bytes_received) out dstBytes network.received_bytes
数据包数量 cn2 totalPackets 数据包

about.labels.key 和 about.labels.value

additional.fields.key 和 additional.fields.value.string_value

发送的数据包数量 (pkts_sent) PanOSPacketsSent srcPackets pkts_sent

about.labels.key 和 about.labels.value

additional.fields.key 和 additional.fields.value.string_value

接收的数据包数量 (pkts_received) PanOSPacketsReceived dstPackets pkts_received

about.labels.key 和 about.labels.value

additional.fields.key 和 additional.fields.value.string_value

最大封装 (max_encap) flexNumber2 MaximumEncapsulation max_encap

about.labels.key 和 about.labels.value

additional.fields.key 和 additional.fields.value.string_value

未知协议 (unknown_proto) cfp1 UnknownProtocol unknown_proto

about.labels.key 和 about.labels.value

additional.fields.key 和 additional.fields.value.string_value

严格检查 (strict_check) cfp2 StrictChecking strict_check

about.labels.key 和 about.labels.value

additional.fields.key 和 additional.fields.value.string_value

隧道 fragment (tunnel_fragment) PanOSTunnelFragment TunnelFragment tunnel_fragment

about.labels.key 和 about.labels.value

additional.fields.key 和 additional.fields.value.string_value

创建的会话 (sessions_created) cfp3 SessionsCreated sessions_created

about.labels.key 和 about.labels.value

additional.fields.key 和 additional.fields.value.string_value

已关闭的会话 (sessions_closed) cfp4 SessionsClosed sessions_closed

about.labels.key 和 about.labels.value

additional.fields.key 和 additional.fields.value.string_value

会话结束原因 (session_end_reason) 原因 SessionEndReason security_result.summary
操作来源 (action_source) cat ActionSource action_source

about.labels.key 和 about.labels.value

additional.fields.key 和 additional.fields.value.string_value

开始时间(开始时间) startTime 开始

about.labels.key 和 about.labels.value

additional.fields.key 和 additional.fields.value.string_value

已用时间 (elapsed) cn3 ElapsedTime 已用时 network.session_duration.seconds
隧道检查规则 (tunnel_insp_rule) PanOSTunneInspectionRule security_result.rule_name = "隧道检查规则:%{PanOSTunnelInspectionRule}
远程用户 IP (remote_user_ip) PanOSRmtUserIP target.ip
远程用户 ID (remote_user_id) PanOSRmtUserID remote_user_id

target.labels.key 和 target.labels.value

additional.fields.key 和 additional.fields.value.string_value

安全规则 UUID (rule_uuid) PanOSRuleUUID security_result.rule_id
PCAP ID (pcap_id) PanOSPcapID pcap_id

about.labels.key 和 about.labels.value

additional.fields.key 和 additional.fields.value.string_value

动态用户组名称 (dynusergroup_name) PanDynamicUsrgrp principal.group.group_display_name
来源外部动态列表 (src_edl) PanOSSourceEDL src_edl

principal.labels.key 和 principal.labels.value

additional.fields.key 和 additional.fields.value.string_value

目标外部动态列表 (dst_edl) PanOSDestinationEDL dst_edl

target.labels.key 和 target.labels.value

additional.fields.key 和 additional.fields.value.string_value

高分辨率时间戳(high_res 时间戳) PanOSTimeGeneratedHighResolution metadata.collected_timestamp,

metadata.event_timestamp(如果“Generate Time”不存在)

Slice 区别 (nssai_sd) nssai_sd

about.labels.key 和 about.labels.value

additional.fields.key 和 additional.fields.value.string_value

Slice 服务类型 (nssai_sd) nssai_sd1

about.labels.key 和 about.labels.value

additional.fields.key 和 additional.fields.value.string_value

PDU 会话 ID (pdu_session_id) pdu_session_id

about.labels.key 和 about.labels.value

additional.fields.key 和 additional.fields.value.string_value

应用子类别 (subcategory_of_app) subcategory_of_app

about.labels.key 和 about.labels.value

additional.fields.key 和 additional.fields.value.string_value

应用类别 (category_of_app) category_of_app

about.labels.key 和 about.labels.value

additional.fields.key 和 additional.fields.value.string_value

应用技术 (technology_of_app) technology_of_app

about.labels.key 和 about.labels.value

additional.fields.key 和 additional.fields.value.string_value

应用风险 (risk_of_app) risk_of_app

about.labels.key 和 about.labels.value

additional.fields.key 和 additional.fields.value.string_value

应用特性 (characteristic_of_app) characteristic_of_app

about.labels.key 和 about.labels.value

additional.fields.key 和 additional.fields.value.string_value

应用容器 (container_of_app) container_of_app

about.labels.key 和 about.labels.value

additional.fields.key 和 additional.fields.value.string_value

应用 SaaS (is_saas_of_app) is_saas_of_app

about.labels.key 和 about.labels.value

additional.fields.key 和 additional.fields.value.string_value

应用批准状态 (sanctioned_state_of_app) sanctioned_state_of_app

about.labels.key 和 about.labels.value

additional.fields.key 和 additional.fields.value.string_value

身份验证

下表列出了身份验证日志类型的日志字段 及其对应的 UDM 字段。

CSV 字段 CEF 字段 LEEF 字段 Google Security Operations 标签键 UDM 字段
接收时间(receive_time 或 cef-formatted-receive_time) rt devTime metadata.collected_timestamp

metadata.event_timestamp(如果“Generate Time”不存在)

序列号(序列号) deviceExternalId SerialNumber intermediary.asset.hardware.serial_number
类型 (type) type(标题) cat metadata.product_event_type
威胁/内容类型(子类型) 子类型(标题) 子类型 metadata.product_event_type
生成时间(time_generated 或 cef-formatted-time_generated) metadata.event_timestamp
虚拟系统 (vsys) cs3 VirtualSystem vsys

about.labels.key 和 about.labels.value

additional.fields.key 和 additional.fields.value.string_value

来源 IP (ip) src src principal.ip
用户 (user) duser usrName target.user.userid
标准化用户 (normalize_user) cs2 NormalizeUser target.user.user_display_name
对象 (object) fname ObjectName 对象

about.labels.key 和 about.labels.value

additional.fields.key 和 additional.fields.value.string_value

身份验证政策 (authpolicy) cs4 AuthPolicy authpolicy

about.labels.key 和 about.labels.value

additional.fields.key 和 additional.fields.value.string_value

重复计数 (repeatcnt) cnt RepeatCount 重复内容

about.labels.key 和 about.labels.value

additional.fields.key 和 additional.fields.value.string_value

身份验证 ID (authid) cn2 AuthenticationID authid

about.labels.key 和 about.labels.value

additional.fields.key 和 additional.fields.value.string_value

供应商 (vendor) flexString2 供应商 供应商

about.labels.key 和 about.labels.value

additional.fields.key 和 additional.fields.value.string_value

日志操作(日志集) cs6 LogForwardingProfile 对数集

about.labels.key 和 about.labels.value

additional.fields.key 和 additional.fields.value.string_value

服务器配置文件 (serverprofile) cs1 ServerProfile serverprofile

about.labels.key 和 about.labels.value

additional.fields.key 和 additional.fields.value.string_value

广告内容描述(降序) PanOSDesc AdditionalAuthInfo security_result.description
客户端类型 (clienttype) cs5 ClientType clienttype

about.labels.key 和 about.labels.value

additional.fields.key 和 additional.fields.value.string_value

事件类型(事件) msg msg extensions.auth.auth_details
因数 (factorno) cn1 FactorNumber Ffactorno

about.labels.key 和 about.labels.value

additional.fields.key 和 additional.fields.value.string_value

序列号 (seqno) externalId 序列 metadata.product_log_id
操作标志 (actionflags) PanOSActionFlags ActionFlags actionflags

about.labels.key 和 about.labels.value

additional.fields.key 和 additional.fields.value.string_value

设备组层次结构 (dg_hier_level_1) PanOSDGl1 DeviceGroupHierarchyL1 dg_hier_level_1

about.labels.key 和 about.labels.value

additional.fields.key 和 additional.fields.value.string_value

设备组层次结构 (dg_hier_level_2) PanOSDGl2 DeviceGroupHierarchyL2 dg_hier_level_2

about.labels.key 和 about.labels.value

additional.fields.key 和 additional.fields.value.string_value

设备组层次结构 (dg_hier_level_3) PanOSDGl3 DeviceGroupHierarchyL3 dg_hier_level_3

about.labels.key 和 about.labels.value

additional.fields.key 和 additional.fields.value.string_value

设备组层次结构 (dg_hier_level_4) PanOSDGl4 DeviceGroupHierarchyL4 dg_hier_level_4

about.labels.key 和 about.labels.value

additional.fields.key 和 additional.fields.value.string_value

虚拟系统名称 (vsys_name) PanOSVsysName vSrcName principal.resource.name

principal.resource.resource_type=VIRTUAL_MACHINE

设备名称 (device_name) dvchost DeviceName intermediary.hostname
虚拟系统 ID (vsys_id) principal.resource.resource_type=VIRTUAL_MACHINE and principal.resource.product_object_id
身份验证协议 (authproto) authproto

about.labels.key 和 about.labels.value

additional.fields.key 和 additional.fields.value.string_value

规则的 UUID (rule_uuid) PanOSRuleUUID/RuleUUID security_result.rule_id
高分辨率时间戳 (high_res _timestamp) PanOSTimeGeneratedHighResolution metadata.collected_timestamp,

metadata.event_timestamp(如果“Generate Time”不存在)

来源设备类别 (src_category) PanOSSourceDeviceCategory src_category

principal.labels.key 和 principal.labels.value

additional.fields.key 和 additional.fields.value.string_value

源设备配置文件 (src_profile) PanOSSourceDeviceProfile src_profile

principal.labels.key 和 principal.labels.value

additional.fields.key 和 additional.fields.value.string_value

源设备型号 (src_model) PanOSSourceDeviceModel src_model

principal.labels.key 和 principal.labels.value

additional.fields.key 和 additional.fields.value.string_value

源设备供应商 (src_vendor) PanOSSourceDeviceVendor src_vendor

principal.labels.key 和 principal.labels.value

additional.fields.key 和 additional.fields.value.string_value

来源设备操作系统系列 (src_osfamily) PanOSSourceDeviceOSFamily

principal.asset.platform_software.platform

principal.labels.key 和 principal.labels.value

additional.fields.key 和 additional.fields.value.string_value

来源设备操作系统版本 (src_osversion) PanOSSourceDeviceOSVersion principal.asset.software.version
来源主机名 (src_host) PanOSSourceHostname principal.hostname
来源 MAC 地址 (src_mac) PanOSSourceMac principal.asset.mac
区域 (region) PanOSTrafficOriginRegion principal.location.country_or_region
用户代理 (user_agent) PanOSHTTPUserAgent network.http.user_agent
会话 ID (sessionid) PanOSTrafficSessionID network.session_id

网址

下表列出了网址日志类型的日志字段 及其对应的 UDM 字段。

CSV 字段 CEF 字段 LEEF 字段 Google Security Operations 标签键 UDM 字段
接收时间 (cef-formatted-receive_time) rt devTime metadata.collected_timestamp

metadata.event_timestamp(如果“Generate Time”不存在)

序列号(序列号) deviceExternalId SerialNumber intermediary.asset.hardware.serial_number
类型 (type) type(标题) cat metadata.product_event_type
威胁/内容类型(子类型) 子类型(标题) 子类型 metadata.product_event_type
生成时间 metadata.event_timestamp
来源地址 (src) src src principal.ip
目的地地址 (dst) DST dst target.ip
NAT 来源 IP (natsrc) sourceTranslatedAddress srcPostNAT principal.nat_ip
NAT 目标 IP (natdst) destinationTranslatedAddress dstPostNAT target.nat_ip
规则 cs1 RuleName security_result.rule_name
源用户 (srcuser) Suser SourceUser principal.user.userid
目标用户 (dstuser) 用户 DestinationUser target.user.userid
应用 应用 应用 network.application_protocol
虚拟系统 (vsys) cs3 VirtualSystem vsys

about.labels.key 和 about.labels.value

additional.fields.key 和 additional.fields.value.string_value

来源可用区(起始) cs4 SourceZone from

principal.labels.key 和 principal.labels.value

additional.fields.key 和 additional.fields.value.string_value

目标可用区(到) cs5 DestinationZone

target.labels.key 和 target.labels.value

additional.fields.key 和 additional.fields.value.string_value

入站接口 (inbound_if) deviceInboundInterface IngressInterface inbound_if

principal.labels.key 和 principal.labels.value

additional.fields.key 和 additional.fields.value.string_value

出站接口 (outbound_if) deviceOutboundInterface EgressInterface outbound_if

target.labels.key 和 target.labels.value

additional.fields.key 和 additional.fields.value.string_value

日志操作(日志集) cs6 LogForwardingProfile 对数集

about.labels.key 和 about.labels.value

additional.fields.key 和 additional.fields.value.string_value

记录时间 time_logged

about.labels.key 和 about.labels.value

additional.fields.key 和 additional.fields.value.string_value

会话 ID (sessionid) cn1 SessionID network.session_id
重复计数 (repeatcnt) cnt RepeatCount 重复内容

about.labels.key 和 about.labels.value

additional.fields.key 和 additional.fields.value.string_value

来源端口(体育) spt srcPort principal.port
目标端口 (dport) dpt dstPort target.port
NAT 来源端口 (natsport) sourceTranslatedPort srcPostNATPort principal.nat_port
NAT 目标端口 (natdport) destinationTranslatedPort dstPostNATPort target.nat_port
标志 flexString1 标志 旗帜

about.labels.key 和 about.labels.value

additional.fields.key 和 additional.fields.value.string_value

IP 协议 (proto) proto proto network.ip_protocol
操作 (action) act action security_result.action_details

security_result.action

网址/文件名(其他) 其他 target.file.full_path

target.url

威胁/内容名称 (threatid) ThreatID security_result.threat_id
类别 (category) cs2 URLCategory category

about.labels.key 和 about.labels.value

additional.fields.key 和 additional.fields.value.string_value

严重性(严重性) number-of-severity(标头) 严重级别 security_result.severity

security_result.severity_details

方向 (direction) flexString2 方向 network.direction
序列号 (seqno) externalId 序列 metadata.product_log_id
操作标志 (actionflags) PanOSActionFlags ActionFlags actionflags

about.labels.key 和 about.labels.value

additional.fields.key 和 additional.fields.value.string_value

来源国家/地区 (srcloc) SourceLocation principal.location.country_or_region
目的地国家/地区 (dstloc) DestinationLocation target.location.country_or_region
contenttype (contenttype) requestContext ContentType 内容类型

about.labels.key 和 about.labels.value

additional.fields.key 和 additional.fields.value.string_value

pcap_id (pcap_id) fileId PCAP_ID pcap_id

about.labels.key 和 about.labels.value

additional.fields.key 和 additional.fields.value.string_value

filedigest (filedigest) FileDigest about.file.sha1/md5/sha256
云 (cloud) Cloud Cloud

about.labels.key 和 about.labels.value

additional.fields.key 和 additional.fields.value.string_value

url_idx (url_idx) URLIndex url_idx

about.labels.key 和 about.labels.value

additional.fields.key 和 additional.fields.value.string_value

user_agent (user_agent) requestClientApplication UserAgent network.http.user_agent
filetype(文件类型) about.file.mime_type
xff (xff) PanOSXForwarderfor identSrc xff

about.labels.key 和 about.labels.value

additional.fields.key 和 additional.fields.value.string_value

引荐来源网址 (referer) PanOSReferer 引荐来源网址 network.http.referral_url
发件人(发件人) network.email.from
主题 (subject) 主题 network.email.subject
收件人 network.email.to
reportid (reportid) reportid

about.labels.key 和 about.labels.value

additional.fields.key 和 additional.fields.value.string_value

DG 层次结构第 1 级 (dg_hier_level_1) PanOSDGl1 DeviceGroupHierarchyL1 dg_hier_level_1

about.labels.key 和 about.labels.value

additional.fields.key 和 additional.fields.value.string_value

DG 层次结构级别 2 (dg_hier_level_2) PanOSDGl2 DeviceGroupHierarchyL2 dg_hier_level_2

about.labels.key 和 about.labels.value

additional.fields.key 和 additional.fields.value.string_value

DG 层次结构级别 3 (dg_hier_level_3) PanOSDGl3 DeviceGroupHierarchyL3 dg_hier_level_3

about.labels.key 和 about.labels.value

additional.fields.key 和 additional.fields.value.string_value

DG 层次结构第 4 级 (dg_hier_level_4) PanOSDGl4 DeviceGroupHierarchyL4 dg_hier_level_4

about.labels.key 和 about.labels.value

additional.fields.key 和 additional.fields.value.string_value

虚拟系统名称 (vsys_name) PanOSVsysName vSrcName principal.resource.name

principal.resource.resource_type=VIRTUAL_MACHINE

设备名称 (device_name) dvchost DeviceName intermediary.hostname
file_url (file_url) about.url
来源虚拟机 UUID (src_uuid) SrcUUID principal.asset.asset_id
目标虚拟机 UUID (dst_uuid) DstUUID target.asset.asset_id
http_method (http_method) requestMethod RequestMethod network.http.method
隧道 ID/IMSI (tunnelid) PanOSTunnelID TunnelID tunnelid

about.labels.key 和 about.labels.value

additional.fields.key 和 additional.fields.value.string_value

监控代码/IMEI (monitortag) PanOSMonitorTag MonitorTag monitortag

about.labels.key 和 about.labels.value

additional.fields.key 和 additional.fields.value.string_value

父级会话 ID (parent_session_id) PanOSParentSessionID ParentSessionID parent_session_id network.parent_session_id
父级会话开始时间 (parent_start_time) PanOSParentStartTime ParentStartTime parent_start_time

about.labels.key 和 about.labels.value

additional.fields.key 和 additional.fields.value.string_value

隧道 (tunnel) PanOSTunnelType TunnelType 隧道

about.labels.key 和 about.labels.value

additional.fields.key 和 additional.fields.value.string_value

thr_category (thr_category) PanOSThreatCategory ThreatCategory thr_category security_result.detection_fields.key/value
contentver (contentver) PanOSContentVer ContentVer contentver

about.labels.key 和 about.labels.value

additional.fields.key 和 additional.fields.value.string_value

sig_flags (sig_flags) sig_flags

about.labels.key 和 about.labels.value

additional.fields.key 和 additional.fields.value.string_value

SCTP 关联 ID (assoc_id) PanOSAssocID assoc_id

about.labels.key 和 about.labels.value

additional.fields.key 和 additional.fields.value.string_value

载荷协议 ID (ppid) PanOSPPID ppid

about.labels.key 和 about.labels.value

additional.fields.key 和 additional.fields.value.string_value

http_headers (http_headers) PanOSHTTPHeader http_headers

about.labels.key 和 about.labels.value

additional.fields.key 和 additional.fields.value.string_value

网址类别列表 (url_category_list) PanOSURLCatList url_category_list

about.labels.key 和 about.labels.value

additional.fields.key 和 additional.fields.value.string_value

规则的 UUID (rule_uuid) PanOSRuleUUID rule_uuid

about.labels.key 和 about.labels.value

additional.fields.key 和 additional.fields.value.string_value

HTTP/2 连接 (http2_connection) PanOSHTTP2Con http2_connection

about.labels.key 和 about.labels.value

additional.fields.key 和 additional.fields.value.string_value

dynusergroup_name (dynusergroup_name) PanDynamicUsrgrp dynusergroup_name

about.labels.key 和 about.labels.value

additional.fields.key 和 additional.fields.value.string_value

XFF 地址 (xff_ip) PanXFFIP principal.ip
来源设备类别 (src_category) PanSrcDeviceCat src_category

principal.labels.key 和 principal.labels.value

additional.fields.key 和 additional.fields.value.string_value

来源设备配置文件 (src_profile) PanSrcDeviceProf src_profile

principal.labels.key 和 principal.labels.value

additional.fields.key 和 additional.fields.value.string_value

源设备型号 (src_model) PanSrcDeviceModel src_model

principal.labels.key 和 principal.labels.value

additional.fields.key 和 additional.fields.value.string_value

源设备供应商 (src_vendor) PanSrcDeviceVendor src_vendor

principal.labels.key 和 principal.labels.value

additional.fields.key 和 additional.fields.value.string_value

来源设备操作系统系列 (src_osfamily) PanSrcDeviceOS

principal.asset.platform_software.platform

principal.labels.key 和 principal.labels.value

additional.fields.key 和 additional.fields.value.string_value

源设备操作系统版本 (src_osversion) PanSrcDeviceOSv principal.asset.software.version
来源主机名 (src_host) PanSrcHostname src_host

principal.labels.key 和 principal.labels.value

additional.fields.key 和 additional.fields.value.string_value

源 Mac 地址 (src_mac) PanSrcMac principal.mac
目标设备类别 (dst_category) PanDstDeviceCat dst_category

target.labels.key 和 target.labels.value

additional.fields.key 和 additional.fields.value.string_value

目标设备配置文件 (dst_profile) PanDstDeviceProf dst_profile

target.labels.key 和 target.labels.value

additional.fields.key 和 additional.fields.value.string_value

目标设备型号 (dst_model) PanDstDeviceModel dst_model

target.labels.key 和 target.labels.value

additional.fields.key 和 additional.fields.value.string_value

目标设备供应商 (dst_vendor) PanDstDeviceVendor dst_vendor

target.labels.key 和 target.labels.value

additional.fields.key 和 additional.fields.value.string_value

目标设备操作系统系列 (dst_osfamily) PanDstDeviceOS target.asset.platform_software.platform

target.labels.key 和 target.labels.value

目标设备操作系统版本 (dst_osversion) PanDstDeviceOSv target.asset.software.version
目标主机名 (dst_host) PanPODNamespace target.hostname
目的地 MAC 地址 (dst_mac) PanDstMac target.mac
容器 ID (container_id) PanContainerName container_id

about.labels.key 和 about.labels.value

additional.fields.key 和 additional.fields.value.string_value

POD 命名空间 (pod_namespace) PanPODNamespace pod_namespace

about.labels.key 和 about.labels.value

additional.fields.key 和 additional.fields.value.string_value

POD 名称 (pod_name) PanPODName pod_name

about.labels.key 和 about.labels.value

additional.fields.key 和 additional.fields.value.string_value

来源外部动态列表 (src_edl) PanSrcEDL src_edl

principal.labels.key 和 principal.labels.value

additional.fields.key 和 additional.fields.value.string_value

目标外部动态列表 (dst_edl) PanDstEDL dst_edl

target.labels.key 和 target.labels.value

additional.fields.key 和 additional.fields.value.string_value

主机 ID (hostid) PanGPHostID hostid

about.labels.key 和 about.labels.value

additional.fields.key 和 additional.fields.value.string_value

序列号 (serialnumber) PanEPSerial principal.asset.hardware.serial_number
domain_edl (domain_edl) [网域 edl] PanDomainEDL domain_edl

about.labels.key 和 about.labels.value

additional.fields.key 和 additional.fields.value.string_value

来源动态地址组 (src_dag) PanSrcDAG principal.group.group_display_name
目标动态地址组 (dst_dag) PanDstDAG target.group.group_display_name
partial_hash (partial_hash) PanPartialHash partial_hash

about.labels.key 和 about.labels.value

additional.fields.key 和 additional.fields.value.string_value

高分辨率时间戳 (high_res_timestamp) PanTimeHighRes metadata.collected_timestamp,

metadata.event_timestamp(如果“生成时间”不存在)

原因 PanReasonFilteringAction 原因

about.labels.key 和 about.labels.value

additional.fields.key 和 additional.fields.value.string_value

两端对齐(两端对齐) PanJustification 正文对齐

about.labels.key 和 about.labels.value

additional.fields.key 和 additional.fields.value.string_value

nssai_sst (nssai_sst) PanASServiceType nssai_sst

about.labels.key 和 about.labels.value

additional.fields.key 和 additional.fields.value.string_value

应用的子类别 (subcategory_of_app) subcategory_of_app

about.labels.key 和 about.labels.value

additional.fields.key 和 additional.fields.value.string_value

应用类别 (category_of_app) category_of_app

about.labels.key 和 about.labels.value

additional.fields.key 和 additional.fields.value.string_value

应用技术 (technology_of_app) technology_of_app

about.labels.key 和 about.labels.value

additional.fields.key 和 additional.fields.value.string_value

应用风险信号 (risk_of_app) risk_of_app

about.labels.key 和 about.labels.value

additional.fields.key 和 additional.fields.value.string_value

应用的特征 (characteristic_of_app) characteristic_of_app

about.labels.key 和 about.labels.value

additional.fields.key 和 additional.fields.value.string_value

应用容器 (container_of_app) container_of_app

about.labels.key 和 about.labels.value

additional.fields.key 和 additional.fields.value.string_value

隧道应用 (tunneled_app) tunneled_app

about.labels.key 和 about.labels.value

additional.fields.key 和 additional.fields.value.string_value

应用的 SaaS 属性 (is_saas_of_app) is_saas_of_app

about.labels.key 和 about.labels.value

additional.fields.key 和 additional.fields.value.string_value

应用的批准状态 (sanctioned_state_of_app) sanctioned_state_of_app

about.labels.key 和 about.labels.value

additional.fields.key 和 additional.fields.value.string_value

数据

下表列出了数据日志类型的日志字段 及其对应的 UDM 字段。

CSV 字段 CEF 字段 LEEF 字段 Google Security Operations 标签键 UDM 字段
接收时间 (cef-formatted-receive_time) rt devTime metadata.collected_timestamp

metadata.event_timestamp(如果“Generate Time”不存在)

序列号(序列号) deviceExternalId SerialNumber intermediary.asset.hardware.serial_number
类型 (type) type(标题) cat metadata.product_event_type
威胁/内容类型(子类型) 子类型(标题) 子类型 metadata.product_event_type
生成时间 metadata.event_timestamp
来源地址 (src) src src principal.ip
目的地地址 (dst) DST dst target.ip
NAT 来源 IP (natsrc) sourceTranslatedAddress srcPostNAT principal.nat_ip
NAT 目标 IP (natdst) destinationTranslatedAddress dstPostNAT target.nat_ip
规则 cs1 RuleName security_result.rule_name
源用户 (srcuser) Suser SourceUser principal.user.userid
目标用户 (dstuser) 用户 DestinationUser target.user.userid
应用 应用 应用 network.application_protocol
虚拟系统 (vsys) cs3 VirtualSystem vsys

about.labels.key 和 about.labels.value

additional.fields.key 和 additional.fields.value.string_value

来源可用区(起始) cs4 SourceZone from

principal.labels.key 和 principal.labels.value

additional.fields.key 和 additional.fields.value.string_value

目标可用区(到) cs5 DestinationZone

target.labels.key 和 target.labels.value

additional.fields.key 和 additional.fields.value.string_value

入站接口 (inbound_if) deviceInboundInterface IngressInterface inbound_if

principal.labels.key 和 principal.labels.value

additional.fields.key 和 additional.fields.value.string_value

出站接口 (outbound_if) deviceOutboundInterface EgressInterface outbound_if

target.labels.key 和 target.labels.value

additional.fields.key 和 additional.fields.value.string_value

日志操作(日志集) cs6 LogForwardingProfile 对数集

about.labels.key 和 about.labels.value

additional.fields.key 和 additional.fields.value.string_value

记录时间 time_logged

about.labels.key 和 about.labels.value

additional.fields.key 和 additional.fields.value.string_value

会话 ID (sessionid) cn1 SessionID network.session_id
重复计数 (repeatcnt) cnt RepeatCount 重复内容

about.labels.key 和 about.labels.value

additional.fields.key 和 additional.fields.value.string_value

来源端口(体育) spt srcPort principal.port
目标端口 (dport) dpt dstPort target.port
NAT 来源端口 (natsport) sourceTranslatedPort srcPostNATPort principal.nat_port
NAT 目标端口 (natdport) destinationTranslatedPort dstPostNATPort target.nat_port
标志 flexString1 标志 旗帜

about.labels.key 和 about.labels.value

additional.fields.key 和 additional.fields.value.string_value

IP 协议 (proto) proto proto network.ip_protocol
操作 (action) act action security_result.action_details

security_result.action

网址/文件名(其他) 其他 target.file.full_path

target.url

威胁/内容名称 (threatid) ThreatID security_result.threat_id
类别 (category) cs2 URLCategory category

about.labels.key 和 about.labels.value

additional.fields.key 和 additional.fields.value.string_value

严重性(严重性) number-of-severity(标头) 严重级别 security_result.severity

security_result.severity_details

方向 (direction) flexString2 方向 network.direction
序列号 (seqno) externalId 序列 metadata.product_log_id
操作标志 (actionflags) PanOSActionFlags ActionFlags actionflags

about.labels.key 和 about.labels.value

additional.fields.key 和 additional.fields.value.string_value

来源国家/地区 (srcloc) SourceLocation principal.location.country_or_region
目的地国家/地区 (dstloc) DestinationLocation target.location.country_or_region
contenttype (contenttype) ContentType 内容类型

about.labels.key 和 about.labels.value

additional.fields.key 和 additional.fields.value.string_value

pcap_id (pcap_id) fileId PCAP_ID pcap_id

about.labels.key 和 about.labels.value

additional.fields.key 和 additional.fields.value.string_value

filedigest (filedigest) FileDigest about.file.sha1/md5/sha256
云 (cloud) Cloud Cloud

about.labels.key 和 about.labels.value

additional.fields.key 和 additional.fields.value.string_value

url_idx (url_idx) URLIndex url_idx

about.labels.key 和 about.labels.value

additional.fields.key 和 additional.fields.value.string_value

user_agent (user_agent) network.http.user_agent
filetype(文件类型) about.file.mime_type
xff (xff) xff

about.labels.key 和 about.labels.value

additional.fields.key 和 additional.fields.value.string_value

Referer(引荐来源网址) network.http.referral_url
发件人(发件人) network.email.from
主题 (subject) 主题 network.email.subject
收件人 network.email.to
reportid (reportid) reportid

about.labels.key 和 about.labels.value

additional.fields.key 和 additional.fields.value.string_value

DG 层次结构第 1 级 (dg_hier_level_1) PanOSDGl1 DeviceGroupHierarchyL1 dg_hier_level_1

about.labels.key 和 about.labels.value

additional.fields.key 和 additional.fields.value.string_value

DG 层次结构级别 2 (dg_hier_level_2) PanOSDGl2 DeviceGroupHierarchyL2 dg_hier_level_2

about.labels.key 和 about.labels.value

additional.fields.key 和 additional.fields.value.string_value

DG 层次结构级别 3 (dg_hier_level_3) PanOSDGl3 DeviceGroupHierarchyL3 dg_hier_level_3

about.labels.key 和 about.labels.value

additional.fields.key 和 additional.fields.value.string_value

DG 层次结构第 4 级 (dg_hier_level_4) PanOSDGl4 DeviceGroupHierarchyL4 dg_hier_level_4

about.labels.key 和 about.labels.value

additional.fields.key 和 additional.fields.value.string_value

虚拟系统名称 (vsys_name) PanOSVsysName vSrcName principal.resource.name

principal.resource.resource_type=VIRTUAL_MACHINE

设备名称 (device_name) dvchost DeviceName intermediary.hostname
file_url (file_url) about.url
来源虚拟机 UUID (src_uuid) SrcUUID principal.asset.asset_id
目标虚拟机 UUID (dst_uuid) DstUUID target.asset.asset_id
http_method (http_method) RequestMethod network.http.method
隧道 ID/IMSI (tunnelid) PanOSTunnelID TunnelID tunnelid

about.labels.key 和 about.labels.value

additional.fields.key 和 additional.fields.value.string_value

监控代码/IMEI (monitortag) PanOSMonitorTag MonitorTag monitortag

about.labels.key 和 about.labels.value

additional.fields.key 和 additional.fields.value.string_value

父级会话 ID (parent_session_id) PanOSParentSessionID ParentSessionID parent_session_id network.parent_session_id
父级会话开始时间 (parent_start_time) PanOSParentStartTime ParentStartTime parent_start_time

about.labels.key 和 about.labels.value

additional.fields.key 和 additional.fields.value.string_value

隧道 (tunnel) PanOSTunnelType TunnelType 隧道

about.labels.key 和 about.labels.value

additional.fields.key 和 additional.fields.value.string_value

thr_category (thr_category) PanOSThreatCategory ThreatCategory thr_category security_result.detection_fields.key/value
contentver (contentver) PanOSContentVer ContentVer contentver

about.labels.key 和 about.labels.value

additional.fields.key 和 additional.fields.value.string_value

sig_flags (sig_flags) sig_flags

about.labels.key 和 about.labels.value

additional.fields.key 和 additional.fields.value.string_value

SCTP 关联 ID (assoc_id) PanOSAssocID assoc_id

about.labels.key 和 about.labels.value

additional.fields.key 和 additional.fields.value.string_value

载荷协议 ID (ppid) PanOSPPID ppid

about.labels.key 和 about.labels.value

additional.fields.key 和 additional.fields.value.string_value

http_headers (http_headers) PanOSHTTPHeader http_headers

about.labels.key 和 about.labels.value

additional.fields.key 和 additional.fields.value.string_value

网址类别列表 (url_category_list) url_category_list

about.labels.key 和 about.labels.value

additional.fields.key 和 additional.fields.value.string_value

规则的 UUID (rule_uuid) PanOSRuleUUID rule_uuid

about.labels.key 和 about.labels.value

additional.fields.key 和 additional.fields.value.string_value

HTTP/2 连接 (http2_connection) http2_connection

about.labels.key 和 about.labels.value

additional.fields.key 和 additional.fields.value.string_value

dynusergroup_name(dynusergroup_name) dynusergroup_name

principal.labels.key 和 principal.labels.value

additional.fields.key 和 additional.fields.value.string_value

XFF 地址 (xff_ip) principal.ip
来源设备类别 (src_category) src_category

principal.labels.key 和 principal.labels.value

additional.fields.key 和 additional.fields.value.string_value

源设备配置文件 (src_profile) src_profile

principal.labels.key 和 principal.labels.value

additional.fields.key 和 additional.fields.value.string_value

源设备型号 (src_model) src_model

principal.labels.key 和 principal.labels.value

additional.fields.key 和 additional.fields.value.string_value

来源设备供应商 (src_vendor) src_vendor

principal.labels.key 和 principal.labels.value

additional.fields.key 和 additional.fields.value.string_value

来源设备操作系统系列 (src_osfamily)

principal.asset.platform_software.platform

principal.labels.key 和 principal.labels.value

additional.fields.key 和 additional.fields.value.string_value

源设备操作系统版本 (src_osversion) principal.asset.software.version
来源主机名 (src_host) src_host

principal.labels.key 和 principal.labels.value

additional.fields.key 和 additional.fields.value.string_value

源 Mac 地址 (src_mac) principal.mac
目标设备类别 (dst_category) dst_category

target.labels.key 和 target.labels.value

additional.fields.key 和 additional.fields.value.string_value

目标设备配置文件 (dst_profile) dst_profile

target.labels.key 和 target.labels.value

additional.fields.key 和 additional.fields.value.string_value

目标设备型号 (dst_model) dst_model

target.labels.key 和 target.labels.value

additional.fields.key 和 additional.fields.value.string_value

目标设备供应商 (dst_vendor) dst_vendor

target.labels.key 和 target.labels.value

additional.fields.key 和 additional.fields.value.string_value

目标设备操作系统系列 (dst_osfamily) target.asset.platform_software.platform

target.labels.key 和 target.labels.value

目标设备操作系统版本 (dst_osversion) target.asset.software.version
目标主机名 (dst_host) target.hostname
目的地 MAC 地址 (dst_mac) target.mac
容器 ID (container_id) container_id

about.labels.key 和 about.labels.value

additional.fields.key 和 additional.fields.value.string_value

POD 命名空间 (pod_namespace) pod_namespace

about.labels.key 和 about.labels.value

additional.fields.key 和 additional.fields.value.string_value

POD 名称 (pod_name) pod_name

about.labels.key 和 about.labels.value

additional.fields.key 和 additional.fields.value.string_value

来源外部动态列表 (src_edl) src_edl

principal.labels.key 和 principal.labels.value

additional.fields.key 和 additional.fields.value.string_value

目的地外部动态列表 (dst_edl) dst_edl

target.labels.key 和 target.labels.value

additional.fields.key 和 additional.fields.value.string_value

主机 ID (hostid) hostid

about.labels.key 和 about.labels.value

additional.fields.key 和 additional.fields.value.string_value

序列号(序列号) principal.asset.hardware.serial_number
domain_edl (domain_edl) domain_edl

about.labels.key 和 about.labels.value

additional.fields.key 和 additional.fields.value.string_value

来源动态地址组 (src_dag) principal.group.group_display_name
目标动态地址组 (dst_dag) target.group.group_display_name
partial_hash (partial_hash) partial_hash

about.labels.key 和 about.labels.value

additional.fields.key 和 additional.fields.value.string_value

高分辨率时间戳 (high_res_timestamp) metadata.collected_timestamp,

metadata.event_timestamp(如果“生成时间”不存在)

原因 原因

about.labels.key 和 about.labels.value

additional.fields.key 和 additional.fields.value.string_value

对齐方式 (justification) 两端对齐

about.labels.key 和 about.labels.value

additional.fields.key 和 additional.fields.value.string_value

nssai_sst (nssai_sst) nssai_sst

about.labels.key 和 about.labels.value

additional.fields.key 和 additional.fields.value.string_value

应用的子类别 (subcategory_of_app) subcategory_of_app

about.labels.key 和 about.labels.value

additional.fields.key 和 additional.fields.value.string_value

应用类别 (category_of_app) category_of_app

about.labels.key 和 about.labels.value

additional.fields.key 和 additional.fields.value.string_value

应用技术 (technology_of_app) technology_of_app

about.labels.key 和 about.labels.value

additional.fields.key 和 additional.fields.value.string_value

应用风险信号 (risk_of_app) risk_of_app

about.labels.key 和 about.labels.value

additional.fields.key 和 additional.fields.value.string_value

应用的特征 (characteristic_of_app) characteristic_of_app

about.labels.key 和 about.labels.value

additional.fields.key 和 additional.fields.value.string_value

应用容器 (container_of_app) container_of_app

about.labels.key 和 about.labels.value

additional.fields.key 和 additional.fields.value.string_value

隧道应用 (tunneled_app) tunneled_app

about.labels.key 和 about.labels.value

additional.fields.key 和 additional.fields.value.string_value

应用的 SaaS 属性 (is_saas_of_app) is_saas_of_app

about.labels.key 和 about.labels.value

additional.fields.key 和 additional.fields.value.string_value

应用的批准状态 (sanctioned_state_of_app) sanctioned_state_of_app

about.labels.key 和 about.labels.value

additional.fields.key 和 additional.fields.value.string_value

GlobalProtect

下表列出了 GlobalProtect 日志类型的日志字段 及其对应的 UDM 字段。

CSV 字段 CEF 字段 LEEF 字段 Google Security Operations 标签键 UDM 字段
接收时间 (receive_time) rt received_time metadata.event_timestamp
序列号(序列号) PanOSDeviceSN intermediary_asset_hardware_serial_number intermediary.asset.hardware.serial_number
类型 (type) type(标头) metadata.product_event_type
威胁/内容类型(子类型) 子类型(标题) 子类型 metadata.product_event_type
生成时间 (time_generated) PanOSLogTimeStamp generated_timestamp metadata.event_timestamp
虚拟系统 (vsys) PanOSVirtualSystem vsys

about.labels.key 和 about.labels.value

additional.fields.key 和 additional.fields.value.string_value

事件 ID (eventid) PanOSEventID event_id

about.labels.key 和 about.labels.value

additional.fields.key 和 additional.fields.value.string_value

阶段 PanOSStage 阶段

about.labels.key 和 about.labels.value

additional.fields.key 和 additional.fields.value.string_value

身份验证方法 (auth_method) PanOSAuthMethod extension_auth_auth_details extensions.auth.auth_details
隧道类型 (tunnel_type) PanOSTunnelType 隧道

about.labels.key 和 about.labels.value

additional.fields.key 和 additional.fields.value.string_value

源用户 (srcuser) PanOSSourceUserName src_user principal.user.email_address

principal.user.userid

principal.administrative_domain

来源区域 (srcregion) PanOSSourceRegion src_region principal.location.country_or_region
机器名称 (machinename) PanOSEndpointDeviceName machine_name principal.hostname
公共 IP (public_ip) PanOSPublicIPv4 principal.nat_ip
公共 IPv6 (public_ipv6) PanOSPublicIPv6 principal.nat_ip
专用 IP (private_ip) PanOSPrivateIPv4 principal.ip
专用 IPv6 (private_ipv6) PanOSPrivateIPv6 principal.ip
主机 ID (hostid) PanOSHostID hostid principal.asset.asset_id
序列号 (serialnumber) PanOSDeviceSN principal.asset.hardware.serial_number
客户端版本 (client_ver) PanOSGlobalProtectClientVersion client_ver

about.labels.key 和 about.labels.value

additional.fields.key 和 additional.fields.value.string_value

客户端操作系统 (client_os) PanOSEndpointOSType principal.asset.platform_software.platform(枚举)
客户端操作系统版本 (client_os_ver) PanOSEndpointOSVersion principal.asset.platform_software.platform_version
重复计数 (repeatcnt) PanOSCountOfRepeats repeatcnt

about.labels.key 和 about.labels.value

additional.fields.key 和 additional.fields.value.string_value

原因 PanOSQuarantineReason security_result.summary
错误 (error) PanOSConnectionError 错误 security_result.description
说明(不透明) PanOSDescription security_result.description
状态 (status) PanOSEventStatus 状态

about.labels.key 和 about.labels.value

additional.fields.key 和 additional.fields.value.string_value

位置 (location) PanOSGPGatewayLocation target.location.country_or_region
登录时长 (login_duration) PanOSLoginDuration network.session_duration
连接方法 (connect_method) PanOSConnectionMethod connect_method

about.labels.key 和 about.labels.value

additional.fields.key 和 additional.fields.value.string_value

错误代码 (error_code) PanOSConnectionErrorID error_code

about.labels.key 和 about.labels.value

additional.fields.key 和 additional.fields.value.string_value

门户 (portal) PanOSPortal 门户

about.labels.key 和 about.labels.value

additional.fields.key 和 additional.fields.value.string_value

序列号 (seqno) PanOSSequenceNo metadata.product_log_id
操作标志 (actionflags) PanOSActionFlags actionflags

about.labels.key 和 about.labels.value

additional.fields.key 和 additional.fields.value.string_value

高分辨率时间戳 (high_res_timestamp) anOSTimeGeneratedHighResolution metadata.collected_timestamp

metadata.event_timestamp(如果“生成时间”不存在)

网关选择方法 (selection_type) PanOSGatewaySelectionType selection_type

about.labels.key 和 about.labels.value

additional.fields.key 和 additional.fields.value.string_value

SSL 响应时间 (response_time) PanOSSSLResponseTime response_time

about.labels.key 和 about.labels.value

additional.fields.key 和 additional.fields.value.string_value

网关优先级(优先级) PanOSGatewayPriority 优先级

about.labels.key 和 about.labels.value

additional.fields.key 和 additional.fields.value.string_value

尝试的网关 (attempted_gateways) PanOSAttemptedGateways attempted_gateways

about.labels.key 和 about.labels.value

additional.fields.key 和 additional.fields.value.string_value

网关名称(网关) PanOSAttemptedGateways 网关

about.labels.key 和 about.labels.value

additional.fields.key 和 additional.fields.value.string_value

设备组层次结构 (dg_hier_level_1) dg_hier_level_1

about.labels.key 和 about.labels.value

additional.fields.key 和 additional.fields.value.string_value

设备组层次结构 (dg_hier_level_2) dg_hier_level_2

about.labels.key 和 about.labels.value

additional.fields.key 和 additional.fields.value.string_value

设备组层次结构 (dg_hier_level_3) dg_hier_level_3

about.labels.key 和 about.labels.value

additional.fields.key 和 additional.fields.value.string_value

设备组层次结构 (dg_hier_level_4) dg_hier_level_4

about.labels.key 和 about.labels.value

additional.fields.key 和 additional.fields.value.string_value

虚拟系统名称 (vsys_name) principal.resource.name

principal.resource.resource_type=VIRTUAL_MACHINE

设备名称 (device_name) target.hostname
虚拟系统 ID (vsys_id) principal.resource.resource_type=VIRTUAL_MACHINE and principal.resource.product_object_id

相关性

下表列出了“相关性”日志类型的日志字段 及其对应的 UDM 字段。

CSV 字段 CEF 字段 LEEF 字段 Google Security Operations 标签键 UDM 字段
生成时间(time_generated 或 cef-formatted-time_generated) startTime generated_timestamp metadata.event_timestamp
来源地址 (src) src principal.ip
源用户 (srcuser) SourceUser / usrName principal.user.userid
虚拟系统 (vsys) VirtualSystem vsys

about.labels.key 和 about.labels.value

additional.fields.key 和 additional.fields.value.string_value

类别 (category) security_result.category_details
严重性(严重性) 严重程度 security_result.severity 和 security_result.severity_details
设备组层次结构级别 1 DeviceGroupHierarchyL1

about.labels.key 和 about.labels.value

additional.fields.key 和 additional.fields.value.string_value

设备组层次结构级别 2 DeviceGroupHierarchyL2

about.labels.key 和 about.labels.value

additional.fields.key 和 additional.fields.value.string_value

设备组层次结构级别 3 DeviceGroupHierarchyL3

about.labels.key 和 about.labels.value

additional.fields.key 和 additional.fields.value.string_value

设备组层次结构级别 4 DeviceGroupHierarchyL4

about.labels.key 和 about.labels.value

additional.fields.key 和 additional.fields.value.string_value

虚拟系统名称 (vsys_name) vSrcName principal.resource.name

principal.resource.resource_type=VIRTUAL_MACHINE

设备名称 (device_name) DeviceName intermediary.hostname
虚拟系统 ID (vsys_id) VirtualSystemID principal.resource.resource_type=VIRTUAL_MACHINE and principal.resource.product_object_id
对象名称 (objectname) ObjectName target.resource.name
对象 ID (object_id) ObjectID target.resource.product_object_id

字段映射参考文档:日志类型到 UDM 事件类型

下表列出了 Palo Alto Networks 防火墙日志类型及其对应的 UDM 事件类型。

日志类型 UDM 事件类型
流量 NETWORK_CONNECTION
威胁 NETWORK_CONNECTION
网址过滤 NETWORK_CONNECTION
WildFire NETWORK_CONNECTION

WildFire 提交日志是威胁日志类型的子类型,使用相同的 Syslog 格式。

数据过滤 NETWORK_CONNECTION
隧道 NETWORK_CONNECTION
配置 SETTING_MODIFICATION/SETTING_CREATION/SETTING_DELETION/SETTING_UNCATEGORIZED

“Command (cmd)”字段的值决定了 UDM 事件类型映射。 如果 cmd 字段值为 add 或 clone,则设置 SETTING_CREATION。

如果 cmd 字段值为 delete,则 SETTING_DELETION 已设置。

如果 cmd 字段值为 edit、move、re 重命名、set 或 commit 已设置 SETTING_MODIFICATION。

如果 cmd 字段值中不包含任何值,则 SETTING_UNCATEGORIZED 。

系统

如果子类型值为“dhcp”,则设置 NETWORK_DHCP。

如果子类型值为“auth”,则设置“USER_LOGIN”。

如果说明值为“已登录”,则设置 USER_LOGIN。

如果说明值为“logged out”,则设置 USER_LOGOUT。

对于子类型的其他值,会设置 GENERIC_EVENT。

HIP 匹配 NETWORK_CONNECTION
IP 代码 GENERIC_EVENT
User-ID USER_LOGIN/USER_LOGOUT/USER_UNCATEGORIZED

如果子类型值为“login”,则设置 USER_LOGIN。

如果子类型值为“logout”,则设置“USER_LOGOUT”。

如果子类型不包含任何值,则系统会设置 USER_UNCATEGORIZED。

解密 NETWORK_CONNECTION
Authentication GENERIC_EVENT

后续步骤