Diese Seite wurde von der Cloud Translation API übersetzt.

Palo Alto Networks-Firewalllogs erfassen

Unterstützt in:

Google SecOps SIEM

Übersicht

In diesem Dokument wird beschrieben, wie Sie syslog und einen Google Security Operations-Weiterleiter konfigurieren, um Palo Alto Networks-Firewall-Logs zu erfassen. Außerdem wird erläutert, wie Palo Alto Networks-Firewallprotokollfelder den Feldern des einheitlichen Datenmodells (Unified Data Model, UDM) von Google Security Operations zugeordnet werden.

Eine Übersicht über die Datenaufnahme in Google Security Operations finden Sie unter Datenaufnahme in Google Security Operations.

Ein Aufnahmelabel gibt den Parser an, der Logrohdaten normalisiert in das strukturierte UDM-Format. Die Informationen in diesem Dokument gelten für den Parser mit dem Datenaufnahmelabel PAN_FIREWALL.

Hinweise

Informationen zu den Komponenten, die zum Erfassen der Palo Alto Networks-Firewall bereitgestellt werden sehen Sie sich die Bereitstellungsarchitektur an. Unterschiedliche Kundenbereitstellungen aus dieser Darstellung stammen und möglicherweise komplexer sein.

Das folgende Diagramm zeigt, wie Sie Syslog für ein Palo Alto Networks konfigurieren Firewall und Google Security Operations-Forwarder auf einem Linux-Server installieren, um das Protokoll weiterzuleiten an Google Security Operations senden. Der Parser unterstützt Protokolle in den folgenden Datenformaten: CSV (Comma Separated Values), CEF (Common Event Format) und LEEF (Log Event Extended Format).
Prüfen, welche Protokollformate und PAN-Betriebssystemversionen der Google Security Operations-Parser verwendet unterstützt. In der folgenden Tabelle sind die Logformate und die entsprechenden PAN-OS-Versionen aufgeführt, die vom Google Security Operations-Parser unterstützt werden:

Logformat PAN-OS-Version

CSV 10.1.3

CEF 10.0.0

LEEF 9.1.0
Prüfen Sie, welche Palo Alto Networks-Firewallprotokolltypen vom Google Security Operations-Parser unterstützt werden. Der Parser für Google Security Operations unterstützt die folgenden Palo Alto Networks-Firewallprotokolltypen:
- Traffic
- Bedrohung
- WildFire-Einreichungen
- Tunnelinspektion
- Konfiguration
- System
- HIP-Übereinstimmung
- IP-Tag
- User-ID
- Entschlüsselung
- Authentifizierung
- URL-Filter
- Datenfilterung
- GlobalProtect
- Ergebnisse in Beziehung setzen
Weitere Informationen zu den Palo Alto Networks-Firewall-Logtypen finden Sie unter PAN-OS-Logtypen.
Achten Sie darauf, dass alle Systeme in der Bereitstellungsarchitektur konfiguriert sind in der Zeitzone UTC angegeben.
Bevor Sie den Palo Alto Networks-Firewallparser verwenden, prüfen Sie, Änderungen an Feldzuordnungen zwischen dem vorherigen Parser und dem aktuellen Palo Alto Networks-Firewallparser Stellen Sie im Rahmen der Migration sicher, Dashboards oder anderen Prozessen, die von den ursprünglichen Feldern abhängen, die aktualisierten Felder.

In der vorherigen Parserversion wird beispielsweise das Protokollfeld category dem UDM-Feld security_result.description zugeordnet. Im aktuellen Palo Alto Networks-Firewall-Parser wird das category-Logfeld dem security_result.category_details-UDM-Feld zugeordnet. Wenn Sie zum aktuellen Firewall-Parser von Palo Alto Networks migrieren und das Feld category in Ihren Regeln verwenden, Sie müssen die Regeln so ändern, dass das UDM-Feld security_result.category_details des aktuellen Parsers verwendet wird.

Syslog und die Google Security Operations-Weiterleitung konfigurieren

Führen Sie die folgenden Schritte aus, um Syslog und die Google Security Operations-Weiterleitung zu konfigurieren:

Konfigurieren Sie zum Überwachen von CSV-Logs das Syslog-Serverprofil. Weitere Informationen finden Sie unter Syslog-Serverprofil konfigurieren.

Geben Sie beim Konfigurieren des syslog-Serverprofils „Standard“ als benutzerdefiniertes Protokollformat an.
Wenn Sie CEF-Logs überwachen möchten, konfigurieren Sie die Palo Alto Networks-Firewall so, dass CEF-Logs weitergeleitet werden. Weitere Informationen finden Sie im Abschnitt „Konfiguration der Palo Alto Networks NGFW zur Ausgabe von CEF-Ereignissen“ des PDF-Leitfadens zur PAN-OS-CEF-Integration.
Wenn Sie LEEF-Protokolle überwachen möchten, konfigurieren Sie das Syslog-Serverprofil. Weitere Informationen finden Sie unter Benutzerdefinierte Logweiterleitung im LEEF-Format.
Google Security Operations-Weiterleitung zum Senden von Logs konfigurieren Google Security Operations Weitere Informationen finden Sie unter Weiterleitung unter Linux installieren und konfigurieren. Im Folgenden finden Sie ein Beispiel für die Konfiguration eines Google Security Operations-Weiterleitungsservers:
```
  - syslog:
      common:
        enabled: true
        data_type: PAN_FIREWALL
        batch_n_seconds: 10
        batch_n_bytes: 1048576
      tcp_address: 0.0.0.0:10518
      connection_timeout_sec: 60
```

Referenz zur Feldzuordnung: Felder in PAN-Firewalllogs zu UDM-Feldern

In diesem Abschnitt wird erläutert, wie der Parser Palo Alto Networks-Firewall-Logfelder den UDM-Ereignisfeldern von Google Security Operations für jeden Logtyp zuordnet.

Der Google Security Operations-Labelschlüssel bezieht sich auf den Namen des Schlüssels, der dem UDM-Feld „Labels.key“ zugeordnet ist. Im Fall des Felds „Virtuelles System“ lautet der Feldname beispielsweise „cs3“ im CEF-Format und „VirtualSystem“ im LEEF-Format. Das UDM-Feld „about.labels.key“ enthält den Wert „vsys“ und das UDM-Feld „about.labels.value“ den Wert dieses Felds.

Einige der CEF- oder LEEF-Feldnamen haben keinen Namen, der den CSV-Feldnamen entspricht. Wenn Sie in solchen Fällen einen eigenen Variablennamen im benutzerdefinierten Logformat hinzufügen, im Syslog-Profil wird der Parser nicht dem UDM-Feld zugeordnet.

In den folgenden Abschnitten finden Sie Informationen zur Zuordnung der einzelnen Logtypen:

System
Konfiguration
Bedrohungen/Wilde
Traffic
Nutzer-ID
HIP-Abgleich
IP-Tag
Entschlüsselung
Tunnel
Authentifizierung
URL
Daten
GlobalProtect
Korrelation

System

In der folgenden Tabelle sind die Logfelder des Systemprotokolltyps aufgeführt und die zugehörigen UDM-Felder.

CSV-Feld	CEF-Feld	LEEF-Feld	Google Security Operations-Labelschlüssel	UDM-Feld
Empfangszeit (receive_time oder cef-formatted-receive_time)	rt	devTime		metadata.collected_timestamp, metadata.event_timestamp (wenn „Generate Time“ nicht vorhanden ist)
Seriennummer (serial)	deviceExternalId	SerialNumber		intermediary.asset.hardware.serial_number
Typ (Typ)	type (Header)	Katze		„metadata.product_event_type“ ist auf „%{type} - %{subtype}“ festgelegt.
Bedrohung/Inhaltstyp (Untertyp)	subtype (Header)	Subtyp		metadata.product_event_type ist auf "%{type} – %{subtype}" festgelegt.
Generierte Zeit (time_generated oder cef-formatted-time_generated)				metadata.event_timestamp
Virtuelles System (vsys)	cs3	VirtualSystem	vsys	about.labels.key und about.labels.value additional.fields.key und additional.fields.value.string_value
Ereignis-ID (eventid)	Katze		eventid	about.labels.key und about.labels.value additional.fields.key und zusätzlicher.fields.value.string_value
Objekt (Objekt)	fname	Dateiname	Objekt	about.labels.key und about.labels.value additional.fields.key und additional.fields.value.string_value
Modul (module)	flexString2	Modul	module	about.labels.key und about.labels.value additional.fields.key und zusätzlicher.fields.value.string_value
Schweregrad (severity)	$number-of-severity(header)	Schweregrad		security_result.severity und security_result.severity_details
Beschreibung (undurchsichtig)	msg	msg		metadata.description
	principal_user_userid (Dieses Feld wird aus dem Feld „Nachtrag“ extrahiert.)			principal.user.userid
	principal_ip3 (Dieses Feld wird aus dem msg-Feld extrahiert)			principal.ip
	Grund (dieses Feld wird aus dem Feld für Mitteilungen extrahiert)			security_result.description
	server_address (Dieses Feld wird aus dem msg-Feld extrahiert.)			target.ip
	server_profile (Dieses Feld wird aus dem msg-Feld extrahiert.)			additional.fields.key und additional.fields.value.string_value
Sequenznummer (seqno)	externalId	Sequenz		metadata.product_log_id
Aktions-Flags (actionflags)	PanOSActionFlags	ActionFlags	actionflags	about.labels.key und about.labels.value additional.fields.key und additional.fields.value.string_value
Hierarchie der Gerätegruppe (dg_hier_level_1 bis dg_hier_level_4)	PanOSDGl1	DeviceGroupHierarchyL1	dg_hier_level_1	about.labels.key und about.labels.value additional.fields.key und additional.fields.value.string_value
Gerätegruppenhierarchie (dg_hier_level_2)	PanOSDGl2	DeviceGroupHierarchyL2	dg_hier_level_2	about.labels.key und about.labels.value additional.fields.key und additional.fields.value.string_value
Gerätegruppenhierarchie (dg_hier_level_3)	PanOSDGl3	DeviceGroupHierarchyL3	dg_hier_level_3	about.labels.key und about.labels.value additional.fields.key und zusätzlicher.fields.value.string_value
Gerätegruppenhierarchie (dg_hier_level_4)	PanOSDGl4	DeviceGroupHierarchyL4	dg_hier_level_4	about.labels.key und about.labels.value „additional.fields.key“ und „additional.fields.value.string_value“
Name des virtuellen Systems (vsys_name)	PanOSVsysName	vSrcName		principal.resource.name principal.resource.resource_type=VIRTUAL_MACHINE
Gerätename (device_name)	dvchost	DeviceName		intermediary.hostname
Zeitstempel für hohe Auflösung (high_res_timestamp)	anOSTimeGeneratedHighResolution			metadata.collected_timestamp, metadata.event_timestamp (wenn „Generate Time“ nicht vorhanden ist)

Konfiguration

In der folgenden Tabelle sind die Logfelder des Konfigurationsprotokolltyps aufgeführt und die zugehörigen UDM-Felder.

CSV-Feld	CEF-Feld	LEEF-Feld	Google Security Operations-Labelschlüssel	UDM-Feld
Empfangszeit (receive_time oder cef-formatted-receive_time)	rt	devTime		metadata.collected_timestamp, metadata.event_timestamp (wenn „Generate Time“ nicht vorhanden ist)
Seriennummer (serial)	deviceExternalId	SerialNumber		intermediary.asset.hardware.serial_number
Typ (Typ)	type (Header)	Katze		metadata.product_event_type
Bedrohung/Inhaltstyp (Untertyp)	subtype (Header)			metadata.product_event_type
Generierte Zeit (time_generated oder cef-formatted-time_generated)				metadata.event_timestamp
Host (Host)	shost	src		principal.ip/hostname
Virtuelles System (vsys)	cs3	VirtualSystem	vsys	about.labels.key und about.labels.value „additional.fields.key“ und „additional.fields.value.string_value“
Befehl (cmd)	Handeln	msg	CMD	metadata.description
Administrator (Admin)	Duser	usrName		principal.user.userid
Kunde (Kunde)	destinationServiceName	Client		principal.application
Ergebnis (Ergebnis)	Signatur-ID (Header)(Grund)	Ergebnis		security_result.summary
Konfigurationspfad (path)	msg	ConfigurationPath		principal.process.command_line
Detail vor der Änderung (before_change_detail)	cs1	BeforeChangeDetail	before_change_detail	target.resource.attribute.labels.key/value
Detail nach Änderung (after_change_detail)	cs2	AfterChangeDetail	after_change_detail	target.resource.attribute.labels.key/value
Sequenznummer (Sequenznummer)	externalId	Sequenz		metadata.product_log_id
Aktions-Flags (actionflags)	PanOSActionFlags	ActionFlags	actionflags	about.labels.key und about.labels.value additional.fields.key und additional.fields.value.string_value
Hierarchie der Gerätegruppe (dg_hier_level_1 bis dg_hier_level_4)	PanOSDGl1	DeviceGroupHierarchyL1	dg_hier_level_1	about.labels.key und about.labels.value additional.fields.key und additional.fields.value.string_value
Gerätegruppenhierarchie (dg_hier_level_2)	PanOSDGl2	DeviceGroupHierarchyL2	dg_hier_level_2	about.labels.key und about.labels.value additional.fields.key und additional.fields.value.string_value
Gerätegruppenhierarchie (dg_hier_level_3)	PanOSDGl3	DeviceGroupHierarchyL3	dg_hier_level_3	about.labels.key und about.labels.value additional.fields.key und zusätzlicher.fields.value.string_value
Gerätegruppenhierarchie (dg_hier_level_4)	PanOSDGl4	DeviceGroupHierarchyL4	dg_hier_level_4	about.labels.key und about.labels.value „additional.fields.key“ und „additional.fields.value.string_value“
Name des virtuellen Systems (vsys_name)	PanOSVsysName	vSrcName		principal.resource.name principal.resource.resource_type=VIRTUAL_MACHINE
Gerätename (device_name)	dvchost	DeviceName		intermediary.hostname
Gerätegruppe (dg_id)	PanOSFWDeviceGroup		dg_id	principal.asset.attribute.labels.key/value
Audit Comment (comment)	PanOSPolicyAuditComment		Kommentar	about.labels.key und about.labels.value additional.fields.key und additional.fields.value.string_value

Bedrohung/WildFire

In der folgenden Tabelle sind die Logfelder des Logtyps „Bedrohung/WildFire“ aufgeführt und die zugehörigen UDM-Felder.

CSV-Feld	CEF-Feld	LEEF-Feld	Google Security Operations-Labelschlüssel	UDM-Feld
Empfangszeit (receive_time oder cef-formatted-receive_time)	rt	devTime		metadata.collected_timestamp, metadata.event_timestamp (falls „Generate Time“ nicht vorhanden ist)
Seriennummer	deviceExternalId	SerialNumber		intermediary.asset.hardware.serial_number
Typ (Typ)	type (Header)	Katze		metadata.product_event_type
Bedrohungs-/Inhaltstyp (Untertyp)	cat/subtype (Kopfzeile)	Subtyp		metadata.product_event_type
Generierte Uhrzeit (time_generated oder cef-formatted-time_generated)				metadata.event_timestamp
Quelladresse (src)	src	src		principal.ip
Zieladresse (dst)	dst	dst		target.ip
NAT-Quell-IP (natsrc)	sourceTranslatedAddress	srcPostNAT		principal.nat_ip
NAT-Ziel-IP (natdst)	destinationTranslatedAddress	dstPostNAT		target.nat_ip
Regelname (rule)	cs1	RuleName		security_result.rule_name
Quellnutzer (srcuser)	suser	SourceUser / usrName		principal.user.userid
Zielnutzer (dstuser)	Duser	DestinationUser		target.user.userid
Anwendung (App)	App	Anwendung		target.application
Virtuelles System (vsys)	cs3	VirtualSystem	vsys	about.labels.key und about.labels.value additional.fields.key und additional.fields.value.string_value
Quellzone (von)	cs4	SourceZone	von	principal.labels.key und principal.labels.value additional.fields.key und zusätzlicher.fields.value.string_value
Zielzone (bis)	cs5	DestinationZone	bis	target.labels.key und target.labels.value additional.fields.key und additional.fields.value.string_value
Eingangsschnittstelle (inbound_if)	deviceInboundInterface	IngressInterface	inbound_if	principal.labels.key und principal.labels.value additional.fields.key und additional.fields.value.string_value
Ausgehende Schnittstelle (outbound_if)	deviceOutboundInterface	EgressInterface	outbound_if	target.labels.key und target.labels.value additional.fields.key und additional.fields.value.string_value
Protokollaktion (Logset)	cs6	LogForwardingProfile	Loget	about.labels.key und about.labels.value additional.fields.key und additional.fields.value.string_value
Sitzungs-ID (sessionid)	cn1	SessionID		network.session_id
Wiederholungszahl (repeatcnt)	cnt	RepeatCount	repeatcnt	about.labels.key und about.labels.value additional.fields.key und additional.fields.value.string_value
Quellhafen (Sport)	spt	srcPort		principal.port
Zielport (dport)	dpt	dstPort		target.port
NAT-Quellport (natsport)	sourceTranslatedPort	srcPostNATPort		principal.nat_port
NAT-Zielport (natdport)	destinationTranslatedPort	dstPostNATPort		target.nat_port
Flags	flexString1	Flags	flags	about.labels.key und about.labels.value „additional.fields.key“ und „additional.fields.value.string_value“
IP-Protokoll (proto)	Proto	Proto		network.ip_protocol
Aktion (Aktion)	Handeln	Aktion		security_result.action_details security_result.action
URL/Dateiname (Sonstiges)	Anfrage	Sonstiges		target.file.full_path (wenn der Untertyp 'file', 'virus', 'wildfire-virus' oder 'wildfire' ist, wird das Feld "misc" der Datei target.file.full_path zugeordnet) target.url (wenn der Untertyp „url“ ist, wird das Feld „misc“ auf „target.url“ und „target.hostname“ zugeordnet) target.hostname (wenn der Untertyp „Spyware“ oder „Sicherheitslücke“ ist, wird das Feld „misc“ auf target.file.full_path und target.url zugeordnet)
Name der Bedrohung/des Inhalts (Bedrohung)	Katze	ThreatID		security_result.threat_name
Kategorie (Kategorie)	cs2	URLCategory		security_result.category_details
Schweregrad (Schweregrad)	number-of-severity(header)	Schweregrad		security_result.severity und security_result.severity_details
Richtung (Richtung)	flexString2	Richtung		network.direction
Sequenznummer (seqno)	externalId	Sequenz		metadata.product_log_id
Aktions-Flags (actionflags)	PanOSActionFlags	ActionFlags	actionflags	about.labels.key und about.labels.value additional.fields.key und additional.fields.value.string_value
Quellland (srcloc)		SourceLocation		principal.location.country_or_region
Zielland (dstloc)		DestinationLocation		target.location.country_or_region
Inhaltstyp (contenttype)		ContentType	Inhaltstyp	about.labels.key und about.labels.value additional.fields.key und additional.fields.value.string_value
PCAP-ID (pcap_id)	fileId	PCAP_ID	pcap_id	about.labels.key und about.labels.value additional.fields.key und additional.fields.value.string_value
File Digest (Filedigest)	fileHash	FileDigest		about.file.sha1/md5/sha256
Cloud (Cloud)	filePath	Cloud	Cloud	about.labels.key und about.labels.value additional.fields.key und zusätzlicher.fields.value.string_value
URL-Index (url_idx)		URLIndex	url_idx	about.labels.key und about.labels.value „additional.fields.key“ und „additional.fields.value.string_value“
User-Agent (user_agent)				network.http.user_agent
Dateityp (filetype)	fileType	FileType		about.file.mime_type
X-Forwarded-For (xff)				principal.ip
Referrer-URL (referer)				network.http.referral_url
Absender (sender)	suid	Absender		network.email.from
Betreff (subject)	msg	Betreff		network.email.subject
Empfänger (Empfänger)	duid	Empfänger		network.email.to
Berichts-ID (reportid)	oldFileId	ReportID	reportid	about.labels.key und about.labels.value additional.fields.key und additional.fields.value.string_value
Hierarchie der Gerätegruppe (dg_hier_level_1 bis dg_hier_level_4)	PanOSDGl1	DeviceGroupHierarchyL1	dg_hier_level_1	about.labels.key und about.labels.value additional.fields.key und additional.fields.value.string_value
Gerätegruppenhierarchie (dg_hier_level_2)	PanOSDGl2	DeviceGroupHierarchyL2	dg_hier_level_2	about.labels.key und about.labels.value additional.fields.key und additional.fields.value.string_value
Gerätegruppenhierarchie (dg_hier_level_3)	PanOSDGl3	DeviceGroupHierarchyL3	dg_hier_level_3	about.labels.key und about.labels.value additional.fields.key und zusätzlicher.fields.value.string_value
Gerätegruppenhierarchie (dg_hier_level_4)	PanOSDGl4	DeviceGroupHierarchyL4	dg_hier_level_4	about.labels.key und about.labels.value „additional.fields.key“ und „additional.fields.value.string_value“
Name des virtuellen Systems (vsys_name)	PanOSVsysName	vSrcName		principal.resource.name principal.resource.resource_type=VIRTUAL_MACHINE
Gerätename (device_name)	dvchost	DeviceName		intermediary.hostname
UUID der Quell-VM (src_uuid)	PanOSSrcUUID	SrcUUID		principal.user.product_object_id
UUID der Ziel-VM (dst_uuid)	PanOSDstUUID	DstUUID		target.user.product_object_id
HTTP-Methode (http_method)		RequestMethod		network.http.method
Tunnel-ID/IMSI (tunnel_id/imsi)	PanOSTunnelID	TunnelID	tunnel_id/imsi	about.labels.key und about.labels.value additional.fields.key und additional.fields.value.string_value
Monitor-Tag/IMEI (monitortag/imei)	PanOSMonitorTag	MonitorTag	monitortag/imei	about.labels.key und about.labels.value „additional.fields.key“ und „additional.fields.value.string_value“
ID der übergeordneten Sitzung (parent_session_id)	PanOSParentSessionID	ParentSessionID	parent_session_id	network.parent_session_id
Beginn der übergeordneten Sitzung (parent_start_time)	PanOSParentStartTime	ParentStartTime	parent_start_time	about.labels.key und about.labels.value additional.fields.key und additional.fields.value.string_value
Tunneltyp (tunnel)	PanOSTunnelType	TunnelType	Tunnel	about.labels.key und about.labels.value additional.fields.key und additional.fields.value.string_value
Bedrohungskategorie (thr_category)	PanOSThreatCategory	ThreatCategory	thr_category	security_result.detection_fields.key/value
Inhaltsversion (contentver)	PanOSContentVer	ContentVer	Contentver	about.labels.key und about.labels.value additional.fields.key und additional.fields.value.string_value
SCTP-Verknüpfungs-ID (assoc_id)	PanOSAssocID		assoc_id	about.labels.key und about.labels.value additional.fields.key und zusätzlicher.fields.value.string_value
Nutzlastprotokoll-ID (ppid)	PanOSPPID		ppid	about.labels.key und about.labels.value additional.fields.key und additional.fields.value.string_value
HTTP-Header (http_headers)	PanOSHTTPHeader		http_headers	about.labels.key und about.labels.value additional.fields.key und additional.fields.value.string_value
URL-Kategorieliste (url_category_list)	PanOSURLCatList		url_category_list	about.labels.key und about.labels.value additional.fields.key und additional.fields.value.string_value
Regel-UUID (rule_uuid)	PanOSRuleUUID			security_result.rule_id
HTTP/2-Verbindung (http2_connection)	PanOSHTTP2Con		http2_connection	about.labels.key und about.labels.value additional.fields.key und zusätzlicher.fields.value.string_value
Name der dynamischen Nutzergruppe (dynusergroup_name)	PanDynamicUsrgrp		dynusergroup_name	principal.labels.key und principal.labels.value additional.fields.key und additional.fields.value.string_value
XFF-Adresse (xff_ip)	PanXFFIP			principal.ip
Gerätekategorie der Quelle (src_category)	PanSrcDeviceCat		src_category	principal.labels.key und principal.labels.value additional.fields.key und zusätzlicher.fields.value.string_value
Quellgeräteprofil (src_profile)	PanSrcDeviceProf		src_profile	principal.labels.key und principal.labels.value „additional.fields.key“ und „additional.fields.value.string_value“
Quellgerätemodell (src_model)	PanSrcDeviceModel		src_model	principal.labels.key und principal.labels.value additional.fields.key und additional.fields.value.string_value
Anbieter des Quellgeräts (src_vendor)	PanSrcDeviceVendor		src_vendor	principal.labels.key und principal.labels.value additional.fields.key und additional.fields.value.string_value
Betriebssystemfamilie des Quellgeräts (src_osfamily)	PanSrcDeviceOS		src_osfamily	principal.asset.platform_software.platform principal.labels.key und principal.labels.value additional.fields.key und zusätzlicher.fields.value.string_value
Betriebssystemversion des Quellgeräts (src_osversion)	PanSrcDeviceOSv			principal.asset.software.version
Quell-Hostname (src_host)	PanSrcHostname			principal.hostname
MAC-Quelladresse (src_mac)	PanSrcMac			principal.mac
Zielgerätekategorie (dst_category)	PanDstDeviceCat		dst_category	target.labels.key und target.labels.value additional.fields.key und additional.fields.value.string_value
Zielgeräteprofil (dst_profile)	PanDstDeviceProf		dst_profile	target.labels.key und target.labels.value additional.fields.key und additional.fields.value.string_value
Zielgerätemodell (dst_model)	PanDstDeviceModel		dst_model	target.labels.key und target.labels.value additional.fields.key und zusätzlicher.fields.value.string_value
Anbieter des Zielgeräts (dst_vendor)	PanDstDeviceVendor		dst_vendor	target.labels.key und target.labels.value additional.fields.key und additional.fields.value.string_value
Betriebssystemfamilie des Zielgeräts (dst_osfamily)	PanDstDeviceOS		dst_osfamily	target.labels.key und target.labels.value additional.fields.key und zusätzlicher.fields.value.string_value
Betriebssystemversion des Zielgeräts (dst_osversion)	PanDstDeviceOSv			target.asset.software.version
Ziel-Hostname (dst_host)	PanDstHostname			target.hostname
MAC-Zieladresse (dst_mac)	PanDstMac			target.mac
Container-ID (container_id)	PanContainerName		container_id	about.labels.key und about.labels.value additional.fields.key und additional.fields.value.string_value
POD-Namespace (pod_namespace)	PanPODNamespace		pod_namespace	about.labels.key und about.labels.value „additional.fields.key“ und „additional.fields.value.string_value“
POD-Name (pod_name)	PanPODName		pod_name	about.labels.key und about.labels.value additional.fields.key und additional.fields.value.string_value
Externe dynamische Liste der Quelle (src_edl)	PanSrcEDL		src_edl	about.labels.key und about.labels.value additional.fields.key und additional.fields.value.string_value
Externe dynamische Zielliste (dst_edl)	PanDstEDL		dst_edl	about.labels.key und about.labels.value additional.fields.key und additional.fields.value.string_value
Host-ID (hostid)	PanGPHostID		hostid	about.labels.key und about.labels.value additional.fields.key und zusätzlicher.fields.value.string_value
Seriennummer des Nutzergeräts (Seriennummer)	PanEPSerial			principal.asset.hardware.serial_number
Domain-EDL (domain_edl)	PanDomainEDL		domain_edl	about.labels.key und about.labels.value additional.fields.key und additional.fields.value.string_value
Dynamische Quelladressgruppe (src_dag)	PanSrcDAG			principal.group.group_display_name
Dynamische Zieladressgruppe (dst_dag)	PanDstDAG			target.group.group_display_name
Partieller Hash (partial_hash)	PanPartialHash		partial_hash	about.labels.key und about.labels.value additional.fields.key und zusätzlicher.fields.value.string_value
Zeitstempel der hohen Auflösung (Zeitstempel der höheren Auflösung)	PanTimeHighRes		Zeitstempel mit hoher Auflösung	metadata.collected_timestamp, metadata.event_timestamp (falls „Generate Time“ nicht vorhanden ist)
Grund (Grund)	PanReasonFilteringAction		reason	about.labels.key und about.labels.value additional.fields.key und additional.fields.value.string_value
Ausrichtung (Justification)	PanJustification		Begründung	about.labels.key und about.labels.value „additional.fields.key“ und „additional.fields.value.string_value“
Slice-Diensttyp (nssai_sst)	PanASServiceType		nssai_sst	about.labels.key und about.labels.value additional.fields.key und additional.fields.value.string_value
Anwendungsunterkategorie (subcategory_of_app)			subcategory_of_app	about.labels.key und about.labels.value additional.fields.key und additional.fields.value.string_value
Anwendungskategorie (category_of_app)			category_of_app	about.labels.key und about.labels.value „additional.fields.key“ und „additional.fields.value.string_value“
Anwendungstechnologie (technology_of_app)			technology_of_app	about.labels.key und about.labels.value additional.fields.key und additional.fields.value.string_value
Anwendungsrisiko (risk_of_app)			risk_of_app	about.labels.key und about.labels.value additional.fields.key und additional.fields.value.string_value
App-Eigenschaft (characteristic_of_app)			characteristic_of_app	about.labels.key und about.labels.value additional.fields.key und zusätzlicher.fields.value.string_value
Anwendungscontainer (container_of_app)			container_of_app	about.labels.key und about.labels.value additional.fields.key und zusätzlicher.fields.value.string_value
SaaS-Anwendung (is_saas_of_app)			is_saas_of_app	about.labels.key und about.labels.value additional.fields.key und zusätzlicher.fields.value.string_value
Status der App-Sanktion (sanctioned_state_of_app)			sanctioned_state_of_app	about.labels.key und about.labels.value additional.fields.key und zusätzlicher.fields.value.string_value

Traffic

In der folgenden Tabelle sind die Logfelder des Traffic-Logtyps aufgeführt und die zugehörigen UDM-Felder.

CSV-Feld	CEF-Feld	LEEF-Feld	Google Security Operations-Labelschlüssel	UDM-Feld
Empfangszeit (receive_time oder cef-formatted-receive_time)	rt	devTime		metadata.collected_timestamp, metadata.event_timestamp (wenn „Generate Time“ nicht vorhanden ist)
Seriennummer (serial)	deviceExternalId	SerialNumber		intermediary.asset.hardware.serial_number
Typ (Typ)	Typ (Kopfzeile)	Katze/Typ		metadata.product_event_type
Bedrohung/Inhaltstyp (Untertyp)	subtype (Header)	Subtyp		metadata.product_event_type
Generierte Zeit (time_generated oder cef-formatted-time_generated)	start			metadata.event_timestamp
Quelladresse (src)	src	src		principal.ip
Zieladresse (dst)	dst	dst		target.ip
NAT-Quell-IP (natsrc)	sourceTranslatedAddress	srcPostNAT		principal.nat_ip
NAT-Ziel-IP (natdst)	destinationTranslatedAddress	dstPostNAT		target.nat_ip
Regelname (rule)	cs1	RuleName		security_result.rule_name
Quellnutzer (srcuser)	Suser	SourceUser		principal.user.userid
Zielnutzer (dstuser)	Duser	DestinationUser		target.user.userid
Anwendung (App)	App	Anwendung		target.application
Virtuelles System (vsys)	cs3	VirtualSystem	vsys	about.labels.key und about.labels.value additional.fields.key und additional.fields.value.string_value
Quellzone (von)	cs4	SourceZone	von	principal.labels.key und principal.labels.value additional.fields.key und zusätzlicher.fields.value.string_value
Zielzone (bis)	cs5	DestinationZone	bis	target.labels.key und target.labels.value additional.fields.key und additional.fields.value.string_value
Eingangsschnittstelle (inbound_if)	deviceInboundInterface	IngressInterface	inbound_if	principal.labels.key und principal.labels.value additional.fields.key und additional.fields.value.string_value
Ausgehende Schnittstelle (outbound_if)	deviceOutboundInterface	EgressInterface	outbound_if	target.labels.key und target.labels.value additional.fields.key und additional.fields.value.string_value
Protokollaktion (Logset)	cs6	LogForwardingProfile	Loget	about.labels.key und about.labels.value additional.fields.key und additional.fields.value.string_value
Sitzungs-ID (sessionid)	cn1	SessionID		network.session_id
Wiederholungszahl (repeatcnt)	cnt	RepeatCount	repeatcnt	about.labels.key und about.labels.value additional.fields.key und additional.fields.value.string_value
Quellhafen (Sport)	spt	srcPort		principal.port
Zielport (dport)	dpt	dstPort		target.port
NAT-Quellport (natsport)	sourceTranslatedPort	srcPostNATPort		principal.nat_port
NAT-Zielport (natdport)	destinationTranslatedPort	dstPostNATPort		target.nat_port
Flags	flexString1	Flags	flags	about.labels.key und about.labels.value „additional.fields.key“ und „additional.fields.value.string_value“
IP-Protokoll (proto)	Proto	Proto		network.ip_protocol
Aktion (Aktion)	Handeln	Aktion		security_result.action_details security_result.action
Byte (Byte)	flexNumber1	totalBytes	Byte	about.labels.key und about.labels.value „additional.fields.key“ und „additional.fields.value.string_value“
Bytes gesendet (bytes_sent)	in	srcBytes		network.sent_bytes
Bytes erhalten (bytes_received)	out	dstBytes		network.received_bytes
Pakete (packets)	cn2	totalPackets	Pakete	about.labels.key und about.labels.value „additional.fields.key“ und „additional.fields.value.string_value“
Beginn (start)		StartTime	start	about.labels.key und about.labels.value additional.fields.key und zusätzlicher.fields.value.string_value
Verstrichene Zeit (elapsed)	cn3	ElapsedTime	verstrichen	network.session_duration.seconds
Kategorie (category)	cs2	URLCategory		security_result.category / security_result.category_details
Sequenznummer (seqno)	externalId	Sequenz		metadata.product_log_id
Aktions-Flags (actionflags)	PanOSActionFlags	ActionFlags	actionflags	about.labels.key und about.labels.value additional.fields.key und additional.fields.value.string_value
Quellland (srcloc)		SourceLocation		principal.location.country_or_region
Zielland (dstloc)		DestinationLocation		target.location.country_or_region
Gesendete Pakete (pkts_sent)	PanOSPacketsSent	srcPackets	pkts_sent	about.labels.key und about.labels.value additional.fields.key und zusätzlicher.fields.value.string_value
Empfangene Pakete (pkts_received)	PanOSPacketsReceived	dstPackets	pkts_received	about.labels.key und about.labels.value additional.fields.key und zusätzlicher.fields.value.string_value
Grund für das Ende der Sitzung (session_end_reason)	reason	SessionEndReason		security_result.summary
Gerätegruppenhierarchie1 (dg_hier_level_1 bis dg_hier_level_4)	PanOSDGl1	DeviceGroupHierarchyL1	dg_hier_level_1	about.labels.key und about.labels.value „additional.fields.key“ und „additional.fields.value.string_value“
Gerätegruppenhierarchie2 (dg_hier_level_2)	PanOSDGl2	DeviceGroupHierarchyL2	dg_hier_level_2	about.labels.key und about.labels.value additional.fields.key und additional.fields.value.string_value
Gerätegruppenhierarchie 3 (dg_hier_level_3)	PanOSDGl3	DeviceGroupHierarchyL3	dg_hier_level_3	about.labels.key und about.labels.value additional.fields.key und zusätzlicher.fields.value.string_value
Gerätegruppenhierarchie (dg_hier_level_4)	PanOSDGl4	DeviceGroupHierarchyL4	dg_hier_level_4	about.labels.key und about.labels.value „additional.fields.key“ und „additional.fields.value.string_value“
Name des virtuellen Systems (vsys_name)	PanOSVsysName	vSrcName		principal.resource.name principal.resource.resource_type=VIRTUAL_MACHINE
Gerätename (device_name)	dvchost	DeviceName		intermediary.hostname
Aktionsquelle (action_source)	Katze	ActionSource	action_source	about.labels.key und about.labels.value additional.fields.key und additional.fields.value.string_value
UUID der Quell-VM (src_uuid)	PanOSSrcUUID	SrcUUID		principal.asset.product_object_id
UUID der Ziel-VM (dst_uuid)	PanOSDstUUID	DstUUID		target.asset.product_object_id
Tunnel-ID/IMSI (tunnelid/imsi)	PanOSTunnelID	TunnelID	tunnelid/imsi	about.labels.key und about.labels.value additional.fields.key und additional.fields.value.string_value
Monitor-Tag/IMEI (monitortag/imei)	PanOSMonitorTag	MonitorTag	monitortag/imei	about.labels.key und about.labels.value „additional.fields.key“ und „additional.fields.value.string_value“
ID der übergeordneten Sitzung (parent_session_id)	PanOSParentSessionID	ParentSessionID	parent_session_id	network.parent_session_id
Beginn des übergeordneten Elements (parent_start_time)	PanOSParentStartTime	ParentStartTime	parent_start_time	about.labels.key und about.labels.value additional.fields.key und additional.fields.value.string_value
Tunneltyp (tunnel)	PanOSTunnelType	TunnelType	Tunnel	about.labels.key und about.labels.value additional.fields.key und additional.fields.value.string_value
SCTP-Verknüpfungs-ID (assoc_id)	PanOSSCTPAssocID		assoc_id	about.labels.key und about.labels.value additional.fields.key und additional.fields.value.string_value
SCTP-Chunks (Chunks)	PanOSSCTPChunks		chunks	about.labels.key und about.labels.value additional.fields.key und zusätzlicher.fields.value.string_value
Gesendete SCTP-Chunks (chunks_sent)	PanOSSCTPChunkSent		chunks_sent	about.labels.key und about.labels.value additional.fields.key und additional.fields.value.string_value
Empfangene SCTP-Chunks (chunks_received)	PanOSSCTPChunksRcv		chunks_received	about.labels.key und about.labels.value additional.fields.key und additional.fields.value.string_value
Regel-UUID (rule_uuid)	PanOSRuleUUID			security_result.rule_id
HTTP/2-Verbindung (http2_connection)	PanOSHTTP2Con		http2_connection	about.labels.key und about.labels.value additional.fields.key und additional.fields.value.string_value
Anzahl der App-Infofelder (link_change_count)	PanLinkChange		link_change_count	about.labels.key und about.labels.value additional.fields.key und zusätzlicher.fields.value.string_value
Richtlinien-ID (policy_id)	PanPolicyID		policy_id	about.labels.key und about.labels.value additional.fields.key und zusätzlicher.fields.value.string_value
Linkschalter (link_switches)	PanLinkDetail		link_switches	about.labels.key und about.labels.value additional.fields.key und additional.fields.value.string_value
SD-WAN-Cluster (sdwan_cluster)	PanSDWANCluster		sdwan_cluster	about.labels.key und about.labels.value additional.fields.key und additional.fields.value.string_value
SD-WAN-Gerätetyp (sdwan_device_type)	PanSDWANDevice		sdwan_device_type	about.labels.key und about.labels.value additional.fields.key und additional.fields.value.string_value
SD-WAN-Clustertyp (sdwan_cluster_type)	PanSDWANClustype		sdwan_cluster_type	about.labels.key und about.labels.value additional.fields.key und additional.fields.value.string_value
SD-WAN-Standort (sdwan_site)	PanSDWANSite		sdwan_site	about.labels.key und about.labels.value additional.fields.key und zusätzlicher.fields.value.string_value
Name der dynamischen Nutzergruppe (dynusergroup_name)	PanDynamicUsrgrp		dynusergroup_name	about.labels.key und about.labels.value „additional.fields.key“ und „additional.fields.value.string_value“
XFF-Adresse (xff_ip)	PanXFFIP			principal.ip
Gerätekategorie der Quelle (src_category)	PanSrcDeviceCat		src_category	principal.labels.key und principal.labels.value additional.fields.key und zusätzlicher.fields.value.string_value
Quellgeräteprofil (src_profile)	PanSrcDeviceProf		src_profile	principal.labels.key und principal.labels.value „additional.fields.key“ und „additional.fields.value.string_value“
Quellgerätemodell (src_model)	PanSrcDeviceModel		src_model	principal.labels.key und principal.labels.value additional.fields.key und additional.fields.value.string_value
Anbieter des Quellgeräts (src_vendor)	PanSrcDeviceVendor		src_vendor	principal.labels.key und principal.labels.value additional.fields.key und additional.fields.value.string_value
Betriebssystemfamilie des Quellgeräts (src_osfamily)	PanSrcDeviceOS			principal.asset.platform_software.platform principal.labels.key und principal.labels.value additional.fields.key und zusätzlicher.fields.value.string_value
Betriebssystemversion des Quellgeräts (src_osversion)	PanSrcDeviceOSv			principal.asset.software.version
Quell-Hostname (src_host)	PanSrcHostname			principal.hostname
MAC-Quelladresse (src_mac)	PanSrcMac			principal.mac
Zielgerätekategorie (dst_category)	PanDstDeviceCat		dst_category	target.labels.key und target.labels.value additional.fields.key und additional.fields.value.string_value
Zielgeräteprofil (dst_profile)	PanDstDeviceProf		dst_profile	target.labels.key und target.labels.value additional.fields.key und additional.fields.value.string_value
Zielgerätemodell (dst_model)	PanDstDeviceModel		dst_model	target.labels.key und target.labels.value additional.fields.key und zusätzlicher.fields.value.string_value
Anbieter des Zielgeräts (dst_vendor)	PanDstDeviceVendor		dst_vendor	target.labels.key und target.labels.value additional.fields.key und additional.fields.value.string_value
Betriebssystemfamilie des Zielgeräts (dst_osfamily)	PanDstDeviceOS		dst_osfamily	target.labels.key und target.labels.value additional.fields.key und zusätzlicher.fields.value.string_value
Betriebssystemversion des Zielgeräts (dst_osversion)	PanDstDeviceOSv			target.asset.software.version
Ziel-Hostname (dst_host)	PanDstHostname			target.hostname
MAC-Zieladresse (dst_mac)	PanDstMac			target.mac
Container-ID (container_id)	PanContainerName		container_id	about.labels.key und about.labels.value additional.fields.key und additional.fields.value.string_value
POD-Namespace (pod_namespace)	PanPODNamespace		pod_namespace	about.labels.key und about.labels.value „additional.fields.key“ und „additional.fields.value.string_value“
POD-Name (pod_name)	PanPODName		pod_name	about.labels.key und about.labels.value additional.fields.key und additional.fields.value.string_value
Externe dynamische Liste der Quelle (src_edl)	PanSrcEDL		src_edl	principal.labels.key und principal.labels.value additional.fields.key und additional.fields.value.string_value
Externe dynamische Zielliste (dst_edl)	PanDstEDL		dst_edl	target.labels.key und target.labels.value additional.fields.key und additional.fields.value.string_value
Host-ID (hostid)	PanGPHostID		hostid	about.labels.key und about.labels.value additional.fields.key und zusätzlicher.fields.value.string_value
Seriennummer des Nutzergeräts (Seriennummer)	PanEPSerial			principal.asset.hardware.serial_number
Quell-dynamische Adressgruppe (src_dag)	PanSrcDAG			principal.group.group_display_name
Dynamische Zieladressgruppe (dst_dag)	PanDstDAG			target.group.group_display_name
Sitzungsinhaber (session_owner)	PanHASessionOwner		session_owner	about.labels.key und about.labels.value additional.fields.key und zusätzlicher.fields.value.string_value
Zeitstempel für hohe Auflösung (high_res_timestamp)	PanTimeHighRes			metadata.collected_timestamp, metadata.event_timestamp (wenn „Generate Time“ nicht vorhanden ist)
Slice-Diensttyp (nsdsai_sst)	PanASServiceType		nsdsai_sst	about.labels.key und about.labels.value additional.fields.key und additional.fields.value.string_value
Ein Slice-Unterscheidungsmerkmal (nsdsai_sd)	PanASServiceDiff		nsdsai_sd	about.labels.key und about.labels.value additional.fields.key und additional.fields.value.string_value
Anwendungsunterkategorie (subcategory_of_app)			subcategory_of_app	about.labels.key und about.labels.value additional.fields.key und additional.fields.value.string_value
Anwendungskategorie (category_of_app)			category_of_app	about.labels.key und about.labels.value „additional.fields.key“ und „additional.fields.value.string_value“
Anwendungstechnologie (technology_of_app)			technology_of_app	about.labels.key und about.labels.value additional.fields.key und additional.fields.value.string_value
Anwendungsrisiko (risk_of_app)				security_result.severity
Anwendungsmerkmal (characteristic_of_app)			characteristic_of_app	about.labels.key und about.labels.value additional.fields.key und zusätzlicher.fields.value.string_value
Anwendungscontainer (container_of_app)			container_of_app	about.labels.key und about.labels.value additional.fields.key und zusätzlicher.fields.value.string_value
SaaS-Anwendung (is_saas_of_app)			is_saas_of_app	about.labels.key und about.labels.value additional.fields.key und zusätzlicher.fields.value.string_value
Status der App-Sanktion (sanctioned_state_of_app)			sanctioned_state_of_app	about.labels.key und about.labels.value additional.fields.key und additional.fields.value.string_value
Unterkategorie der Anwendung (subcategory_of_app)			subcategory_of_app1	about.labels.key und about.labels.value additional.fields.key und zusätzlicher.fields.value.string_value

User-ID

In der folgenden Tabelle sind die Logfelder des Logtyps „user-id“ aufgeführt und die zugehörigen UDM-Felder.

CSV-Feld	CEF-Feld	LEEF-Feld	Google Security Operations-Labelschlüssel	UDM-Feld
Empfangszeit (receive_time oder cef-formatted-receive_time)	rt	devTime		metadata.collected_timestamp, metadata.event_timestamp (wenn „Generate Time“ nicht vorhanden ist)
Seriennummer (serial)	deviceExternalId	SerialNumber		intermediary.asset.hardware.serial_number
Typ (Typ)	type (Header)	Katze		metadata.product_event_type
Bedrohung/Inhaltstyp (Untertyp)	subtype (Header)	Subtyp		metadata.product_event_type
Generierte Zeit (time_generated oder cef-formatted-time_generated)				metadata.event_timestamp
Virtuelles System (vsys)	cs3	VirtualSystem	vsys	about.labels.key und about.labels.value „additional.fields.key“ und „additional.fields.value.string_value“
Quell-IP-Adresse (ip)	src	src		principal.ip
Nutzer (user)	duser	usrName		target.user.userid target.administrative_domain target.user.email_addresses
Name der Datenquelle (Name der Datenquelle)	cs4	DataSourceName	datasourcename	principal.labels.key und principal.labels.value „additional.fields.key“ und „additional.fields.value.string_value“
Ereignis-ID (eventid)		EventID	eventid	about.labels.key und about.labels.value additional.fields.key und additional.fields.value.string_value
Wiederholungszähler (Wiederholungen)	cnt	RepeatCount	repeatcnt	about.labels.key und about.labels.value additional.fields.key und additional.fields.value.string_value
Zeitüberschreitungsgrenzwert (Zeitüberschreitung)	cn3	TimeoutThreshold	Zeitüberschreitung	about.labels.key und about.labels.value additional.fields.key und additional.fields.value.string_value
Quellport (beginport)	spt	srcPort		principal.port
Zielport (Endport)	dpt	dstPort		target.port
Datenquelle (datasource)	cs5	DataSource	datasource	principal.labels.key und principal.labels.value „additional.fields.key“ und „additional.fields.value.string_value“
Typ der Datenquelle (datasourcetype)	cs6	DataSourceType	datasourcetype	principal.labels.key und principal.labels.value „additional.fields.key“ und „additional.fields.value.string_value“
Sequenznummer (seqno)	externalId	Sequenz		metadata.product_log_id
Aktions-Flags (actionflags)	PanOSActionFlags	ActionFlags	actionflags	about.labels.key und about.labels.value additional.fields.key und zusätzlicher.fields.value.string_value
Gerätegruppenhierarchie (dg_hier_level_1)	PanOSDGl1	DeviceGroupHierarchyL1	dg_hier_level_1	about.labels.key und about.labels.value additional.fields.key und additional.fields.value.string_value
Gerätegruppenhierarchie (dg_hier_level_2)	PanOSDGl2	DeviceGroupHierarchyL2	dg_hier_level_2	about.labels.key und about.labels.value additional.fields.key und additional.fields.value.string_value
Gerätegruppenhierarchie (dg_hier_level_3)	PanOSDGl3	DeviceGroupHierarchyL3	dg_hier_level_3	about.labels.key und about.labels.value additional.fields.key und zusätzlicher.fields.value.string_value
Gerätegruppenhierarchie (dg_hier_level_4)	PanOSDGl4	DeviceGroupHierarchyL4	dg_hier_level_4	about.labels.key und about.labels.value „additional.fields.key“ und „additional.fields.value.string_value“
Name des virtuellen Systems (vsys_name)	PanOSVsysName	vSrcName		principal.resource.name principal.resource.resource_type=VIRTUAL_MACHINE
Gerätename (device_name)	dvchost	DeviceName		intermediary.hostname
ID des virtuellen Systems (vsys_id)	cn2	VirtualSystemID		principal.resource.resource_type=VIRTUAL_MACHINE and principal.resource.product_object_id
Faktortyp (Faktortyp)	cs1	FactorType	Faktortyp	about.labels.key und about.labels.value „additional.fields.key“ und „additional.fields.value.string_value“
Faktor für die Abschlusszeit (factorcompletiontime)	end	FactorCompletionTime	factorcompletiontime	about.labels.key und about.labels.value „additional.fields.key“ und „additional.fields.value.string_value“
Faktornummer (factorno)	cn1	FactorNumber	factorno	about.labels.key und about.labels.value additional.fields.key und zusätzlicher.fields.value.string_value
Flags für Nutzergruppen (ugflags)	PanOSUGFlags		Ugflags	about.labels.key und about.labels.value additional.fields.key und additional.fields.value.string_value
Nutzer nach Quelle (userbysource)	PanOSUserBySource			principal.user.userid principal.administrative_domain principal.user.email_addresses
Zeitstempel der hohen Auflösung (Zeitstempel der höheren Auflösung)	PanOSTimeGeneratedHighResolution			metadata.collected_timestamp, metadata.event_timestamp (falls „Generate Time“ nicht vorhanden ist)

HIP-Übereinstimmung

In der folgenden Tabelle sind die Protokollfelder des HIP-Abgleichsprotokolltyps und die entsprechenden UDM-Felder aufgeführt.

CSV-Feld	CEF-Feld	LEEF-Feld	Google Security Operations-Labelschlüssel	UDM-Feld
Empfangszeit (receive_time oder cef-formatted-receive_time)	rt	devTime		metadata.collected_timestamp, metadata.event_timestamp (wenn „Generate Time“ nicht vorhanden ist)
Seriennummer (serial)	deviceExternalId	SerialNumber		intermediary.asset.hardware.serial_number
Typ (Typ)	type (Header)	Katze		metadata.product_event_type
Bedrohung/Inhaltstyp (Untertyp)	subtype (Header)	Subtyp
Generierte Uhrzeit (time_generated oder cef-formatted-time_generated)	start	startTime		metadata.event_timestamp
Quellnutzer (srcuser)	Suser	usrName		principal.user.userid
Virtuelles System (vsys)	cs3	VirtualSystem	vsys	about.labels.key und about.labels.value additional.fields.key und zusätzlicher.fields.value.string_value
Computername (machinename)	shost	identHostName		principal.hostname
Betriebssystem (OS)	cs2	Betriebssystem		principal.asset.platform_software.platform
Quelladresse (src)	src	identsrc		principal.ip
HIP (Matchname)	Katze	HIP	matchname	about.labels.key und about.labels.value additional.fields.key und additional.fields.value.string_value
Wiederholungszähler (Wiederholungen)	cnt	RepeatCount	repeatcnt	about.labels.key und about.labels.value „additional.fields.key“ und „additional.fields.value.string_value“
HIP-Typ (Keyword-Option)	Geräteereignisklassen-ID (Header)	HIPType	matchtype	about.labels.key und about.labels.value „additional.fields.key“ und „additional.fields.value.string_value“
Sequenznummer (seqno)	externalId	Sequenz		metadata.product_log_id
Aktions-Flags (actionflags)	PanOSActionFlags	ActionFlags	actionflags	about.labels.key und about.labels.value additional.fields.key und zusätzlicher.fields.value.string_value
Gerätegruppenhierarchie (dg_hier_level_1)	PanOSDGl1	DeviceGroupHierarchyL1	dg_hier_level_1	about.labels.key und about.labels.value additional.fields.key und additional.fields.value.string_value
Gerätegruppenhierarchie (dg_hier_level_2)	PanOSDGl2	DeviceGroupHierarchyL2	dg_hier_level_2	about.labels.key und about.labels.value additional.fields.key und additional.fields.value.string_value
Gerätegruppenhierarchie (dg_hier_level_3)	PanOSDGl3	DeviceGroupHierarchyL3	dg_hier_level_3	about.labels.key und about.labels.value additional.fields.key und zusätzlicher.fields.value.string_value
Gerätegruppenhierarchie (dg_hier_level_4)	PanOSDGl4	DeviceGroupHierarchyL4	dg_hier_level_4	about.labels.key und about.labels.value „additional.fields.key“ und „additional.fields.value.string_value“
Name des virtuellen Systems (vsys_name)	PanOSVsysName	vSrcName		principal.resource.name principal.resource.resource_type=VIRTUAL_MACHINE
Gerätename (device_name)	dvchost	DeviceName		intermediary.hostname
ID des virtuellen Systems (vsys_id)	cn2	VirtualSystemID		principal.resource.resource_type=VIRTUAL_MACHINE and principal.resource.product_object_id
IPv6-Systemadresse (srcipv6)	c6a2	srcipv6		principal.asset.ip
Host-ID (hostid)	PanOSHostID			principal.asset.product_object_id
Seriennummer des Nutzergeräts (serialnumber)	PanOSEndpointSerialNumber			principal.asset.hardware.serial_number
MAC-Adresse des Geräts (Mac)	PanOSEndpointMac			principal.asset.mac
Zeitstempel für hohe Auflösung (high_res_timestamp)	PanOSTimeGeneratedHighResolution			metadata.collected_timestamp, metadata.event_timestamp (falls „Generate Time“ nicht vorhanden ist)

IP-Tag

In der folgenden Tabelle sind die Protokollfelder des Protokolltyps „IP-Tag“ und die entsprechenden UDM-Felder aufgeführt.

CSV-Feld	CEF-Feld	LEEF-Feld	Google Security Operations-Labelschlüssel	UDM-Feld
Empfangszeit (receive_time oder cef-formatted-receive_time)	rt	devTime		metadata.collected_timestamp, metadata.event_timestamp (wenn „Generate Time“ nicht vorhanden ist)
Seriennummer (serial)	deviceExternalId	SerialNumber		intermediary.asset.hardware.serial_number
Typ (Typ)	type (Header)	Katze		metadata.product_event_type
Bedrohung/Inhaltstyp (Untertyp)	subtype (Header)	Subtyp		metadata.product_event_type
Generierte Zeit (time_generated oder cef-formatted-time_generated)		GenerateTime		metadata.event_timestamp
Virtuelles System (vsys)	cs3	VirtualSystem	vsys	about.labels.key und about.labels.value „additional.fields.key“ und „additional.fields.value.string_value“
Quell-IP-Adresse (ip)	src	src		principal.ip
Tag-Name (tag_name)	PanOSTagName	TagName	tag_name	principal.labels.key und principal.labels.value additional.fields.key und additional.fields.value.string_value
Ereignis-ID (event_id)	PanOSEventID	EventID	event_id	about.labels.key und about.labels.value additional.fields.key und additional.fields.value.string_value
Wiederholungszähler (Wiederholungen)	cnt	RepeatCount	repeatcnt	about.labels.key und about.labels.value additional.fields.key und additional.fields.value.string_value
Zeitlimit (timeout)	PanOSTimeout	TimeoutThreshold	Zeitüberschreitung	about.labels.key und about.labels.value additional.fields.key und zusätzlicher.fields.value.string_value
Name der Datenquelle (datasourcename)	PanOSDataSourceName	DataSourceName	datasourcename	principal.labels.key und principal.labels.value additional.fields.key und zusätzlicher.fields.value.string_value
Typ der Datenquelle (datasource_type)	PanOSDataSourceType	DataSource	datasource_type	principal.labels.key und principal.labels.value additional.fields.key und additional.fields.value.string_value
Datenquellen-Subtyp (datasource_subtype)	PanOSDataSourceSubType	DataSourceType	datasource_subtype	principal.labels.key und principal.labels.value „additional.fields.key“ und „additional.fields.value.string_value“
Sequenznummer (seqno)	externalId	Sequenz		metadata.product_log_id
Aktions-Flags (actionflags)	PanOSActionFlags	ActionFlags	actionflags	about.labels.key und about.labels.value additional.fields.key und zusätzlicher.fields.value.string_value
Gerätegruppenhierarchie (dg_hier_level_1)	PanOSDGl1	DeviceGroupHierarchyL1	dg_hier_level_1	about.labels.key und about.labels.value additional.fields.key und additional.fields.value.string_value
Gerätegruppenhierarchie (dg_hier_level_2)	PanOSDGl2	DeviceGroupHierarchyL2	dg_hier_level_2	about.labels.key und about.labels.value additional.fields.key und additional.fields.value.string_value
Gerätegruppenhierarchie (dg_hier_level_3)	PanOSDGl3	DeviceGroupHierarchyL3	dg_hier_level_3	about.labels.key und about.labels.value additional.fields.key und zusätzlicher.fields.value.string_value
Gerätegruppenhierarchie (dg_hier_level_4)	PanOSDGl4	DeviceGroupHierarchyL4	dg_hier_level_4	about.labels.key und about.labels.value „additional.fields.key“ und „additional.fields.value.string_value“
Name des virtuellen Systems (vsys_name)	PanOsVsysName	vSrcName		principal.resource.name principal.resource.resource_type=VIRTUAL_MACHINE
Gerätename (device_name)	dvchost	DeviceName		intermediary.hostname
ID des virtuellen Systems (vsys_id)	cn2	VirtualSystemID		principal.resource.resource_type=VIRTUAL_MACHINE and principal.resource.product_object_id
Zeitstempel mit hoher Auflösung (high_res timestamp)	PanOSTimeGeneratedHighResolution			metadata.collected_timestamp, metadata.event_timestamp (falls „Generate Time“ nicht vorhanden ist)

Entschlüsselung

In der folgenden Tabelle sind die Logfelder des Entschlüsselungslogtyps aufgeführt und die zugehörigen UDM-Felder.

CSV-Feld	CEF-Feld	LEEF-Feld	Google Security Operations-Labelschlüssel	UDM-Feld
Empfangszeit (receive_time oder cef-formatted-receive_time)	rt			metadata.collected_timestamp, metadata.event_timestamp (wenn „Generate Time“ nicht vorhanden ist)
Seriennummer (serial)	PanOSDeviceSN			intermediary.asset.hardware.serial_number
Typ (Typ)	Typ (Kopfzeile)			metadata.product_event_type
Bedrohung/Inhaltstyp (Untertyp)	subtype (Header)			metadata.product_event_type
Konfigurationsversion (config_ver)	PanOSConfigVersion		config_ver	about.labels.key und about.labels.value additional.fields.key und zusätzlicher.fields.value.string_value
Generierungszeit (time_generated)	PanOSLogTimeStamp			metadata.event_timestamp
Quelladresse (src)	src			principal.ip
Zieladresse (dst)	dst			target.ip
NAT-Quell-IP (natsrc)	sourceTranslatedAddress			principa.nat_ip
NAT-Ziel-IP (natdst)	destinationTranslatedAddress			target.nat_ip
Regel (Regel)	cs1			security_result.rule_name
Quellnutzer (srcuser)	Nutzer			principal.user.userid
Zielnutzer (dstuser)	duser			target.user.userid
Anwendung (App)	App			target.application
Virtuelles System (vsys)	cs3		vsys	about.labels.key und about.labels.value additional.fields.key und additional.fields.value.string_value
Quellzone (von)	cs4		von	principal.labels.key und principal.labels.value additional.fields.key und zusätzlicher.fields.value.string_value
Zielzone (bis)	cs5		bis	target.labels.key und target.labels.value additional.fields.key und additional.fields.value.string_value
Eingangsschnittstelle (inbound_if)	deviceInboundInterface		inbound_if	principal.labels.key und principal.labels.value additional.fields.key und additional.fields.value.string_value
Ausgehende Schnittstelle (outbound_if)	deviceOutboundInterface		outbound_if	target.labels.key und target.labels.value additional.fields.key und additional.fields.value.string_value
Protokollaktion (Logset)	cs6		logset	about.labels.key und about.labels.value additional.fields.key und additional.fields.value.string_value
Geloggte Zeit (time_received)	PanOSTimeReceivedManagementPlane			-
Sitzungs-ID (sessionid)	cn1			network.session_id
Wiederholungszahl (repeatcnt)	PanOSCountOfRepeats/RepeatCount		Repeatcnt	about.labels.key und about.labels.value additional.fields.key und additional.fields.value.string_value
Quellhafen (Sport)	spt			principal.port
Zielport (dport)	dpt			target.port
NAT-Quellport (natsport)	sourceTranslatedPort			principal.nat_port
NAT-Zielport (natdport)	destinationTranslatedPort			target.nat_port
Flags	flexString1		flags	about.labels.key und about.labels.value „additional.fields.key“ und „additional.fields.value.string_value“
IP-Protokoll (proto)	Proto			network.ip_protocol
Aktion (Aktion)	handeln			security_result.action_details security_result.action
Tunnel (Tunnel)	PanOSTunnel		Tunnel	about.labels.key und about.labels.value additional.fields.key und additional.fields.value.string_value
Quell-VM-UUID (src_uuid)	PanOSSourceUUID			principal.asset.asset_id
UUID der Ziel-VM (dst_uuid)	PanOSDestinationUUID			target.asset.asset_id
UUID für Regel (rule_uuid)	PanOSRuleUUID			security_result.rule_id
Phase für Client-zu-Firewall (hs_stage_c2f)	PanOSClientToFirewall		hs_stage_c2f	about.labels.key und about.labels.value „additional.fields.key“ und „additional.fields.value.string_value“
Stufe für Firewall-zu-Server (hs_stage_f2s)	PanOSFirewallToServer		hs_stage_f2s	about.labels.key und about.labels.value „additional.fields.key“ und „additional.fields.value.string_value“
TLS-Version (tls_version)	PanOSTLSVersion			network.tls.version
Schlüsselaustauschalgorithmus (tls_keyxchg)	PanOSTLSKeyExchange		tls_keyxchg	about.labels.key und about.labels.value additional.fields.key und additional.fields.value.string_value
Verschlüsselungsalgorithmus (tls_enc)	PanOSTLSEncryptionAlgorithm		tls_enc	about.labels.key und about.labels.value additional.fields.key und zusätzlicher.fields.value.string_value
Hash-Algorithmus (tls_auth)	PanOSTLSAuth		tls_auth	about.labels.key und about.labels.value additional.fields.key und zusätzlicher.fields.value.string_value
Richtlinienname (policy_name)	PanOSPolicyName		policy_name	about.labels.key und about.labels.value additional.fields.key und zusätzlicher.fields.value.string_value
Elliptische Kurve (ec_curve)	PanOSEllipticCurve			network.tls.curve
Fehlerindex (err_index)	PanOSErrorIndex		err_index	about.labels.key und about.labels.value additional.fields.key und additional.fields.value.string_value
Root-Status (root_status)	PanOSRootStatus		root_status	about.labels.key und about.labels.value additional.fields.key und zusätzlicher.fields.value.string_value
Kettenstatus (chain_status)	PanOSChainStatus		chain_status	about.labels.key und about.labels.value additional.fields.key und additional.fields.value.string_value
Proxy-Typ (proxy_type)	PanOSProxyType		proxy_type	about.labels.key und about.labels.value additional.fields.key und additional.fields.value.string_value
Seriennummer des Zertifikats (cert_serial)	PanOSCertificateSerial			network.tls.server.certificate.serial
Zertifikat-Fingerabdruck	PanOSFingerprint			network.tls.server.certificate.md5/sha1/sha256
Startdatum des Zertifikats (notbefore)	PanOSTimeNotBefore			network.tls.server.certificate.not_before
Enddatum des Zertifikats (nicht danach)	PanOSTimeNotAfter			network.tls.server.certificate.not_after
Zertifikatsversion (cert_ver)	PanOSCertificateVersion			network.tls.server.certificate.version
Zertifikatsgröße (cert_size)	PanOSCertificateSize		cert_size	about.labels.key und about.labels.value additional.fields.key und additional.fields.value.string_value
Länge des Common Name (cn_len)	PanOSCommonNameLength		cn_len	about.labels.key und about.labels.value additional.fields.key und zusätzlicher.fields.value.string_value
Länge des gemeinsamen Namens des Ausstellers (issuer_len)	PanOSIssuerNameLength		issuer_len	about.labels.key und about.labels.value additional.fields.key und additional.fields.value.string_value
Länge des gemeinsamen Namens des Stammknotens (rootcn_len)	PanOSRootCNLength		rootcn_len	about.labels.key und about.labels.value additional.fields.key und zusätzlicher.fields.value.string_value
SNI-Länge (sni_len)	PanOSSNILength		sni_len	about.labels.key und about.labels.value additional.fields.key und zusätzlicher.fields.value.string_value
Zertifikats-Flags (cert_flags)	PanOSCertificateFlags		cert_flags	about.labels.key und about.labels.value additional.fields.key und additional.fields.value.string_value
Subject Common Name (CN)	PanOSCommonName		cn	about.labels.key und about.labels.value additional.fields.key und zusätzlicher.fields.value.string_value
Allgemeiner Name des Ausstellers (issuer_cn)	PanOSIssuerCommonName			network.tls.server.certificate.issuer
Allgemeiner Name des Stammknotens (root_cn)	PanOSRootCommonName		root_cn	about.labels.key und about.labels.value additional.fields.key und additional.fields.value.string_value
Server Name Indication (sni)				network.tls.client.server_name
Fehler (Fehler)	PanOSErrorMessage		Fehler	about.labels.key und about.labels.value „additional.fields.key“ und „additional.fields.value.string_value“
Container-ID (container_id)	PanOSContainerID		container_id	about.labels.key und about.labels.value additional.fields.key und additional.fields.value.string_value
POD-Namespace (pod_namespace)	PanOSContainerNameSpace		pod_namespace	about.labels.key und about.labels.value „additional.fields.key“ und „additional.fields.value.string_value“
POD-Name (pod_name)	PanOSContainerName		pod_name	about.labels.key und about.labels.value additional.fields.key und additional.fields.value.string_value
Externe dynamische Quellliste (src_edl)	PanOSSourceEDL		src_edl	principal.labels.key und principal.labels.value additional.fields.key und additional.fields.value.string_value
Externe dynamische Zielliste (dst_edl)	PanOSDestinationEDL		dst_edl	target.labels.key und target.labels.value additional.fields.key und additional.fields.value.string_value
Quell-dynamische Adressgruppe (src_dag)	PanOSSourceDynamicAddressGroup			principal.group.group_display_name
Ziel-dynamische Adressgruppe (dst_dag)	PanOSDestinationDynamicAddressGroup			target.group.group_display_name
Zeitstempel für hohe Auflösung (high_res_timestamp)	PanOSTimeGeneratedHighResolution			metadata.collected_timestamp, metadata.event_timestamp (falls „Generate Time“ nicht vorhanden ist)
Quellgerätekategorie (src_category)	PanOSSourceDeviceCategory		src_category	principal.labels.key und principal.labels.value additional.fields.key und zusätzlicher.fields.value.string_value
Quellgeräteprofil (src_profile)	PanOSSourceDeviceProfile		src_profile	principal.labels.key und principal.labels.value „additional.fields.key“ und „additional.fields.value.string_value“
Quellgerätemodell (src_model)	PanOSSourceDeviceModel		src_model	principal.labels.key und principal.labels.value additional.fields.key und additional.fields.value.string_value
Anbieter der Quelle (src_vendor)	PanOSSourceDeviceVendor		src_vendor	principal.labels.key und principal.labels.value additional.fields.key und additional.fields.value.string_value
Betriebssystemfamilie des Quellgeräts (src_osfamily)	PanOSSourceDeviceOSFamily			principal.asset.platform_software.platform principal.labels.key und principal.labels.value
Betriebssystemversion des Quellgeräts (src_osversion)	PanOSSourceDeviceOSVersion			principal.asset.software.version
Quell-Hostname (src_host)	PanOSSourceDeviceHost			principal.hostname
MAC-Quelladresse (src_mac)	PanOSSourceDeviceMac			principal.mac
Zielgerätekategorie (dst_category)	PanOSDestinationDeviceCategory		dst_category	target.labels.key und target.labels.value additional.fields.key und additional.fields.value.string_value
Zielgeräteprofil (dst_profile)	PanOSDestinationDeviceProfile		dst_profile	target.labels.key und target.labels.value additional.fields.key und additional.fields.value.string_value
Zielgerätemodell (dst_model)	PanOSDestinationDeviceModel		dst_model	target.labels.key und target.labels.value additional.fields.key und zusätzlicher.fields.value.string_value
Anbieter des Zielgeräts (dst_vendor)	PanOSDestinationDeviceVendor		dst_vendor	target.labels.key und target.labels.value additional.fields.key und additional.fields.value.string_value
Betriebssystemfamilie des Zielgeräts (dst_osfamily)	PanOSDestinationDeviceOSFamily		dst_osfamily	target.labels.key und target.labels.value additional.fields.key und zusätzlicher.fields.value.string_value
Betriebssystemversion des Zielgeräts (dst_osversion)	PanOSDestinationDeviceOSVersion			target.asset.software.version
Ziel-Hostname (dst_host)	PanOSDestinationDeviceHost			target.hostname
MAC-Zieladresse (dst_mac)	PanOSDestinationDeviceMac			target.mac
Sequenznummer (seqno)	PanOSLogTypeSeqNo			metadata.product_log_id
Aktions-Flags (actionflags)	PanOSActionFlags		Aktionsflags	about.labels.key und about.labels.value additional.fields.key und zusätzlicher.fields.value.string_value
Gerätegruppenhierarchie (dg_hier_level_1)		DeviceGroupHierarchyL1	dg_hier_level_1	about.labels.key und about.labels.value additional.fields.key und additional.fields.value.string_value
Gerätegruppenhierarchie (dg_hier_level_2)		DeviceGroupHierarchyL2	dg_hier_level_2	about.labels.key und about.labels.value additional.fields.key und additional.fields.value.string_value
Gerätegruppenhierarchie (dg_hier_level_3)		DeviceGroupHierarchyL3	dg_hier_level_3	about.labels.key und about.labels.value additional.fields.key und zusätzlicher.fields.value.string_value
Gerätegruppenhierarchie (dg_hier_level_4)		DeviceGroupHierarchyL4	dg_hier_level_4	about.labels.key und about.labels.value „additional.fields.key“ und „additional.fields.value.string_value“
Name des virtuellen Systems (vsys_name)				principal.resource.name principal.resource.resource_type=VIRTUAL_MACHINE
Gerätename (device_name)				intermediary.hostname
ID des virtuellen Systems (vsys_id)				principal.resource.resource_type=VIRTUAL_MACHINE und principal.resource.product_object_id
Anwendungsunterkategorie (subcategory_of_app)			subcategory_of_app	about.labels.key und about.labels.value additional.fields.key und additional.fields.value.string_value
Anwendungskategorie (category_of_app)			category_of_app	about.labels.key und about.labels.value „additional.fields.key“ und „additional.fields.value.string_value“
Anwendungstechnologie (technology_of_app)			technology_of_app	about.labels.key und about.labels.value additional.fields.key und additional.fields.value.string_value
Anwendungsrisiko (risk_of_app)				security_result.severity
Anwendungsmerkmal (characteristic_of_app)			characteristic_of_app	about.labels.key und about.labels.value additional.fields.key und zusätzlicher.fields.value.string_value
Anwendungscontainer (container_of_app)			container_of_app	about.labels.key und about.labels.value additional.fields.key und zusätzlicher.fields.value.string_value
SaaS-Anwendung (is_saas_of_app)			is_saas_of_app	about.labels.key und about.labels.value additional.fields.key und zusätzlicher.fields.value.string_value
Status der App-Sanktion (sanctioned_state_of_app)			sanctioned_state_of_app	about.labels.key und about.labels.value „additional.fields.key“ und „additional.fields.value.string_value“

Tunnel

In der folgenden Tabelle sind die Logfelder des Tunnellogtyps aufgeführt und die zugehörigen UDM-Felder.

CSV-Feld	CEF-Feld	LEEF-Feld	Google Security Operations-Labelschlüssel	UDM-Feld
Empfangszeit (receive_time oder cef-formatted-receive_time)	rt	devTime		metadata.collected_timestamp, metadata.event_timestamp (wenn „Generate Time“ nicht vorhanden ist)
Seriennummer (serial)	deviceExternalId	SerialNumber		intermediary.asset.hardware.serial_number
Typ (Typ)	type (Header)	Katze		metadata.product_event_type
Bedrohung/Inhaltstyp (Untertyp)	subtype (Header)	Subtyp		metadata.product_event_type
Generierte Zeit (time_generated oder cef-formatted-time_generated)				metadata.event_timestamp
Quelladresse (src)	src	src		principal.ip
Zieladresse (dst)	dst	dst		target.ip
NAT-Quell-IP (natsrc)	sourceTranslatedAddress	srcPostNAT		principal.nat_ip
NAT-Ziel-IP (natdst)	destinationTranslatedAddress	dstPostNAT		target.nat_ip
Regelname (rule)	cs1	RuleName		security_result.rule_name
Quellnutzer (srcuser)	suser	SourceUser / usrName		principal.user.userid
Zielnutzer (dstuser)	Duser	DestinationUser		target.user.userid
Anwendung (App)	App	Anwendung		network.application_protocol
Virtuelles System (vsys)	cs3	VirtualSystem	vsys	about.labels.key und about.labels.value additional.fields.key und additional.fields.value.string_value
Quellzone (von)	cs4	SourceZone	von	principal.labels.key und principal.labels.value additional.fields.key und zusätzlicher.fields.value.string_value
Zielzone (bis)	cs5	DestinationZone	bis	target.labels.key und target.labels.value additional.fields.key und additional.fields.value.string_value
Eingangsschnittstelle (inbound_if)	deviceInboundInterface	IngressInterface	inbound_if	principal.labels.key und principal.labels.value additional.fields.key und additional.fields.value.string_value
Ausgehende Schnittstelle (outbound_if)	deviceOutboundInterface	EgressInterface	outbound_if	target.labels.key und target.labels.value additional.fields.key und additional.fields.value.string_value
Protokollaktion (Logset)	cs6	LogForwardingProfile	Loget	about.labels.key und about.labels.value additional.fields.key und additional.fields.value.string_value
Sitzungs-ID (sessionid)	cn1	SessionID		network.session_id
Wiederholungszahl (repeatcnt)	cnt	RepeatCount	repeatcnt	about.labels.key und about.labels.value additional.fields.key und additional.fields.value.string_value
Quellhafen (Sport)	spt	srcPort		principal.port
Zielport (dport)	dpt	dstPort		target.port
NAT-Quellport (natsport)	sourceTranslatedPort	srcPostNATPort		principal.nat_port
NAT-Zielport (natdport)	destinationTranslatedPort	dstPostNATPort		target.nat_port
Flags	flexString1	Flags	flags	about.labels.key und about.labels.value „additional.fields.key“ und „additional.fields.value.string_value“
IP-Protokoll (proto)	Proto	Proto		network.ip_protocol
Aktion (Aktion)	Handeln	Aktion		security_result.action_details security_result.action
Schweregrad (Schweregrad)				security_result.severity und security_result.severity_details
Sequenznummer (Sequenznummer)	externalId	Sequenz		metadata.product_log_id
Aktions-Flags (actionflags)	PanOSActionFlags	ActionFlags	actionflags	about.labels.key und about.labels.value additional.fields.key und zusätzlicher.fields.value.string_value
Quellort (srcloc)				principal.location.country_or_region
Zielort (dstloc)				target.location.country_or_region
Gerätegruppenhierarchie (dg_hier_level_1)	PanOSDGl1	DeviceGroupHierarchyL1	dg_hier_level_1	about.labels.key und about.labels.value additional.fields.key und additional.fields.value.string_value
Gerätegruppenhierarchie (dg_hier_level_2)	PanOSDGl2	DeviceGroupHierarchyL2	dg_hier_level_2	about.labels.key und about.labels.value additional.fields.key und additional.fields.value.string_value
Gerätegruppenhierarchie (dg_hier_level_3)	PanOSDGl3	DeviceGroupHierarchyL3	dg_hier_level_3	about.labels.key und about.labels.value additional.fields.key und zusätzlicher.fields.value.string_value
Gerätegruppenhierarchie (dg_hier_level_4)	PanOSDGl4	DeviceGroupHierarchyL4	dg_hier_level_4	about.labels.key und about.labels.value „additional.fields.key“ und „additional.fields.value.string_value“
Name des virtuellen Systems (vsys_name)	PanOSVsysName	vSrcName		principal.resource.name principal.resource.resource_type=VIRTUAL_MACHINE
Gerätename (device_name)	dvchost	DeviceName		intermediary.hostname
Tunnel-ID (tunnelid)	PanOSTunnelID	TunnelID	tunnelid	about.labels.key und about.labels.value „additional.fields.key“ und „additional.fields.value.string_value“
Monitor-Tag (monitortag)	PanOSMonitorTag	MonitorTag	monitortag	about.labels.key und about.labels.value „additional.fields.key“ und „additional.fields.value.string_value“
ID der übergeordneten Sitzung (parent_session_id)	PanOSParentSessionID	ParentSessionID	parent_session_id	network.parent_session_id
Beginn des übergeordneten Elements (parent_start_time)	PanOSParentStartTime	ParentStartTime	parent_start_time	about.labels.key und about.labels.value additional.fields.key und additional.fields.value.string_value
Tunneltyp (tunnel)	cs2	TunnelType	Tunnel	about.labels.key und about.labels.value additional.fields.key und additional.fields.value.string_value
Byte (Byte)	flexNumber1	totalBytes	Byte	about.labels.key und about.labels.value „additional.fields.key“ und „additional.fields.value.string_value“
Bytes gesendet (bytes_sent)	in	srcBytes		network.sent_bytes
Bytes erhalten (bytes_received)	out	dstBytes		network.received_bytes
Pakete (packets)	cn2	totalPackets	Pakete	about.labels.key und about.labels.value additional.fields.key und additional.fields.value.string_value
Gesendete Pakete (pkts_sent)	PanOSPacketsSent	srcPackets	pkts_sent	about.labels.key und about.labels.value additional.fields.key und zusätzlicher.fields.value.string_value
Empfangene Pakete (pkts_received)	PanOSPacketsReceived	dstPackets	pkts_received	about.labels.key und about.labels.value additional.fields.key und zusätzlicher.fields.value.string_value
Maximale Kapselung (max_encap)	flexNumber2	MaximumEncapsulation	max_encap	about.labels.key und about.labels.value additional.fields.key und additional.fields.value.string_value
Unbekanntes Protokoll (unknown_proto)	cfp1	UnknownProtocol	unknown_proto	about.labels.key und about.labels.value additional.fields.key und zusätzlicher.fields.value.string_value
Strikte Überprüfung (strict_check)	cfp2	StrictChecking	strict_check	about.labels.key und about.labels.value additional.fields.key und zusätzlicher.fields.value.string_value
Tunnelfragment (tunnel_fragment)	PanOSTunnelFragment	TunnelFragment	tunnel_fragment	about.labels.key und about.labels.value „additional.fields.key“ und „additional.fields.value.string_value“
Erstellte Sitzungen (sessions_created)	cfp3	SessionsCreated	sessions_created	about.labels.key und about.labels.value additional.fields.key und zusätzlicher.fields.value.string_value
Geschlossene Sitzungen (sessions_closed)	cfp4	SessionsClosed	sessions_closed	about.labels.key und about.labels.value additional.fields.key und zusätzlicher.fields.value.string_value
Grund für das Ende der Sitzung (session_end_reason)	reason	SessionEndReason		security_result.summary
Aktionsquelle (action_source)	Katze	ActionSource	action_source	about.labels.key und about.labels.value „additional.fields.key“ und „additional.fields.value.string_value“
Startzeit (Start)		startTime	start	about.labels.key und about.labels.value additional.fields.key und zusätzlicher.fields.value.string_value
Verstrichene Zeit (elapsed)	cn3	ElapsedTime	verstrichen	network.session_duration.seconds
Tunnelinspektionsregel (tunnel_insp_rule)	PanOSTunneInspectionRule			security_result.rule_name = "Tunnel-Prüfungsregel: %{PanOSTunnelInspectionRule}"
IP-Adresse des Remote-Nutzers (remote_user_ip)	PanOSRmtUserIP			target.ip
ID des Remote-Nutzers (remote_user_id)	PanOSRmtUserID		remote_user_id	target.labels.key und target.labels.value additional.fields.key und additional.fields.value.string_value
Sicherheitsregel-UUID (rule_uuid)	PanOSRuleUUID			security_result.rule_id
PCAP-ID (pcap_id)	PanOSPcapID		pcap_id	about.labels.key und about.labels.value additional.fields.key und zusätzlicher.fields.value.string_value
Name der dynamischen Nutzergruppe (dynusergroup_name)	PanDynamicUsrgrp			principal.group.group_display_name
Externe dynamische Quellliste (src_edl)	PanOSSourceEDL		src_edl	principal.labels.key und principal.labels.value additional.fields.key und additional.fields.value.string_value
Externe dynamische Zielliste (dst_edl)	PanOSDestinationEDL		dst_edl	target.labels.key und target.labels.value additional.fields.key und additional.fields.value.string_value
Zeitstempel der hohen Auflösung (Zeitstempel der höheren Auflösung)	PanOSTimeGeneratedHighResolution			metadata.collected_timestamp, metadata.event_timestamp (wenn „Generate Time“ nicht vorhanden ist)
Ein Slice-Unterscheidungsmerkmal (nssai_sd)			nssai_sd	about.labels.key und about.labels.value „additional.fields.key“ und „additional.fields.value.string_value“
Slice-Diensttyp (nssai_sd)			nssai_sd1	about.labels.key und about.labels.value additional.fields.key und additional.fields.value.string_value
PDU-Sitzungs-ID (pdu_session_id)			pdu_session_id	about.labels.key und about.labels.value additional.fields.key und additional.fields.value.string_value
Anwendungsunterkategorie (subcategory_of_app)			subcategory_of_app	about.labels.key und about.labels.value additional.fields.key und additional.fields.value.string_value
Anwendungskategorie (category_of_app)			category_of_app	about.labels.key und about.labels.value „additional.fields.key“ und „additional.fields.value.string_value“
Anwendungstechnologie (technology_of_app)			technology_of_app	about.labels.key und about.labels.value additional.fields.key und additional.fields.value.string_value
Anwendungsrisiko (risk_of_app)			risk_of_app	about.labels.key und about.labels.value additional.fields.key und additional.fields.value.string_value
App-Eigenschaft (characteristic_of_app)			characteristic_of_app	about.labels.key und about.labels.value additional.fields.key und zusätzlicher.fields.value.string_value
Anwendungscontainer (container_of_app)			container_of_app	about.labels.key und about.labels.value additional.fields.key und zusätzlicher.fields.value.string_value
SaaS-Anwendung (is_saas_of_app)			is_saas_of_app	about.labels.key und about.labels.value additional.fields.key und zusätzlicher.fields.value.string_value
Status der App-Sanktion (sanctioned_state_of_app)			sanctioned_state_of_app	about.labels.key und about.labels.value additional.fields.key und zusätzlicher.fields.value.string_value

Authentifizierung

In der folgenden Tabelle sind die Logfelder des Authentifizierungsprotokolltyps aufgeführt und die zugehörigen UDM-Felder.

CSV-Feld	CEF-Feld	LEEF-Feld	Google Security Operations-Labelschlüssel	UDM-Feld
Empfangszeit (receive_time oder cef-formatted-receive_time)	rt	devTime		metadata.collected_timestamp, metadata.event_timestamp (wenn „Generate Time“ nicht vorhanden ist)
Seriennummer (serial)	deviceExternalId	SerialNumber		intermediary.asset.hardware.serial_number
Typ (Typ)	type (Header)	Katze		metadata.product_event_type
Bedrohung/Inhaltstyp (Untertyp)	subtype (Header)	Subtyp		metadata.product_event_type
Generierte Zeit (time_generated oder cef-formatted-time_generated)				metadata.event_timestamp
Virtuelles System (vsys)	cs3	VirtualSystem	vsys	about.labels.key und about.labels.value „additional.fields.key“ und „additional.fields.value.string_value“
Quell-IP-Adresse (ip)	src	src		principal.ip
Nutzer (user)	duser	usrName		target.user.userid
Nutzer normalisieren (normalize_user)	cs2	NormalizeUser		target.user.user_display_name
Objekt (Objekt)	fname	ObjectName	Objekt	about.labels.key und about.labels.value additional.fields.key und additional.fields.value.string_value
Authentifizierungsrichtlinie (authpolicy)	cs4	AuthPolicy	authpolicy	about.labels.key und about.labels.value additional.fields.key und additional.fields.value.string_value
Wiederholungszähler (Wiederholungen)	cnt	RepeatCount	repeatcnt	about.labels.key und about.labels.value additional.fields.key und additional.fields.value.string_value
Authentifizierungs-ID (authid)	cn2	AuthenticationID	authid	about.labels.key und about.labels.value additional.fields.key und additional.fields.value.string_value
Anbieter (Anbieter)	flexString2	Lieferant	vendor	about.labels.key und about.labels.value additional.fields.key und additional.fields.value.string_value
Protokollaktion (Logset)	cs6	LogForwardingProfile	Loget	about.labels.key und about.labels.value additional.fields.key und additional.fields.value.string_value
Serverprofil (Serverprofil)	cs1	ServerProfile	serverprofile	about.labels.key und about.labels.value „additional.fields.key“ und „additional.fields.value.string_value“
Beschreibung (desc)	PanOSDesc	AdditionalAuthInfo		security_result.description
Clienttyp (clienttype)	cs5	ClientType	clienttype	about.labels.key und about.labels.value additional.fields.key und additional.fields.value.string_value
Ereignistyp (Ereignis)	msg	msg		extensions.auth.auth_details
Faktor (Faktorno)	cn1	FactorNumber	factorno	about.labels.key und about.labels.value „additional.fields.key“ und „additional.fields.value.string_value“
Sequenznummer (seqno)	externalId	Sequenz		metadata.product_log_id
Aktions-Flags (actionflags)	PanOSActionFlags	ActionFlags	actionflags	about.labels.key und about.labels.value additional.fields.key und zusätzlicher.fields.value.string_value
Gerätegruppenhierarchie (dg_hier_level_1)	PanOSDGl1	DeviceGroupHierarchyL1	dg_hier_level_1	about.labels.key und about.labels.value additional.fields.key und additional.fields.value.string_value
Gerätegruppenhierarchie (dg_hier_level_2)	PanOSDGl2	DeviceGroupHierarchyL2	dg_hier_level_2	about.labels.key und about.labels.value additional.fields.key und additional.fields.value.string_value
Gerätegruppenhierarchie (dg_hier_level_3)	PanOSDGl3	DeviceGroupHierarchyL3	dg_hier_level_3	about.labels.key und about.labels.value additional.fields.key und zusätzlicher.fields.value.string_value
Gerätegruppenhierarchie (dg_hier_level_4)	PanOSDGl4	DeviceGroupHierarchyL4	dg_hier_level_4	about.labels.key und about.labels.value „additional.fields.key“ und „additional.fields.value.string_value“
Name des virtuellen Systems (vsys_name)	PanOSVsysName	vSrcName		principal.resource.name principal.resource.resource_type=VIRTUAL_MACHINE
Gerätename (device_name)	dvchost	DeviceName		intermediary.hostname
ID des virtuellen Systems (vsys_id)				principal.resource.resource_type=VIRTUAL_MACHINE und principal.resource.product_object_id
Authentifizierungsprotokoll (authproto)			authproto	about.labels.key und about.labels.value „additional.fields.key“ und „additional.fields.value.string_value“
UUID für Regel (rule_uuid)	PanOSRuleUUID/RuleUUID			security_result.rule_id
Zeitstempel mit hoher Auflösung (high_res_timestamp)	PanOSTimeGeneratedHighResolution			metadata.collected_timestamp, metadata.event_timestamp (falls „Generate Time“ nicht vorhanden ist)
Quellgerätekategorie (src_category)	PanOSSourceDeviceCategory		src_category	principal.labels.key und principal.labels.value additional.fields.key und zusätzlicher.fields.value.string_value
Quellgeräteprofil (src_profile)	PanOSSourceDeviceProfile		src_profile	principal.labels.key und principal.labels.value „additional.fields.key“ und „additional.fields.value.string_value“
Quellgerätemodell (src_model)	PanOSSourceDeviceModel		src_model	principal.labels.key und principal.labels.value additional.fields.key und additional.fields.value.string_value
Anbieter der Quelle (src_vendor)	PanOSSourceDeviceVendor		src_vendor	principal.labels.key und principal.labels.value additional.fields.key und additional.fields.value.string_value
Betriebssystemfamilie des Quellgeräts (src_osfamily)	PanOSSourceDeviceOSFamily			principal.asset.platform_software.platform principal.labels.key und principal.labels.value additional.fields.key und zusätzlicher.fields.value.string_value
Betriebssystemversion des Quellgeräts (src_osversion)	PanOSSourceDeviceOSVersion			principal.asset.software.version
Quell-Hostname (src_host)	PanOSSourceHostname			principal.hostname
MAC-Quelladresse (src_mac)	PanOSSourceMac			principal.asset.mac
Region (Region)	PanOSTrafficOriginRegion			principal.location.country_or_region
User-Agent (user_agent)	PanOSHTTPUserAgent			network.http.user_agent
Sitzungs-ID (sessionid)	PanOSTrafficSessionID			network.session_id

URL

In der folgenden Tabelle sind die Logfelder des URL-Protokolltyps aufgeführt und die zugehörigen UDM-Felder.

CSV-Feld	CEF-Feld	LEEF-Feld	Google Security Operations-Labelschlüssel	UDM-Feld
Empfangszeit (cef-formatted-receive_time)	rt	devTime		metadata.collected_timestamp, metadata.event_timestamp (wenn „Generate Time“ nicht vorhanden ist)
Seriennummer (serial)	deviceExternalId	SerialNumber		intermediary.asset.hardware.serial_number
Typ (Typ)	type (Header)	Katze		metadata.product_event_type
Bedrohung/Inhaltstyp (Untertyp)	subtype (Header)	Subtyp		metadata.product_event_type
Zeit generieren				metadata.event_timestamp
Quelladresse (src)	src	src		principal.ip
Zieladresse (dst)	dst	dst		target.ip
NAT-Quell-IP (natsrc)	sourceTranslatedAddress	srcPostNAT		principal.nat_ip
NAT-Ziel-IP (natdst)	destinationTranslatedAddress	dstPostNAT		target.nat_ip
Regel (Regel)	cs1	RuleName		security_result.rule_name
Quellnutzer (srcuser)	Suser	SourceUser		principal.user.userid
Zielnutzer (dstuser)	Duser	DestinationUser		target.user.userid
Anwendung (App)	App	Anwendung		network.application_protocol
Virtuelles System (vsys)	cs3	VirtualSystem	vsys	about.labels.key und about.labels.value additional.fields.key und additional.fields.value.string_value
Quellzone (von)	cs4	SourceZone	von	principal.labels.key und principal.labels.value additional.fields.key und zusätzlicher.fields.value.string_value
Zielzone (bis)	cs5	DestinationZone	bis	target.labels.key und target.labels.value additional.fields.key und additional.fields.value.string_value
Eingangsschnittstelle (inbound_if)	deviceInboundInterface	IngressInterface	inbound_if	principal.labels.key und principal.labels.value additional.fields.key und additional.fields.value.string_value
Ausgehende Schnittstelle (outbound_if)	deviceOutboundInterface	EgressInterface	outbound_if	target.labels.key und target.labels.value additional.fields.key und additional.fields.value.string_value
Protokollaktion (Logset)	cs6	LogForwardingProfile	Loget	about.labels.key und about.labels.value „additional.fields.key“ und „additional.fields.value.string_value“
Aufgezeichnete Zeit			time_logged	about.labels.key und about.labels.value additional.fields.key und additional.fields.value.string_value
Sitzungs-ID (sessionid)	cn1	SessionID		network.session_id
Wiederholungszahl (repeatcnt)	cnt	RepeatCount	repeatcnt	about.labels.key und about.labels.value additional.fields.key und additional.fields.value.string_value
Quellhafen (Sport)	spt	srcPort		principal.port
Zielport (dport)	dpt	dstPort		target.port
NAT-Quellport (natsport)	sourceTranslatedPort	srcPostNATPort		principal.nat_port
NAT-Zielport (natdport)	destinationTranslatedPort	dstPostNATPort		target.nat_port
Flags	flexString1	Flags	flags	about.labels.key und about.labels.value „additional.fields.key“ und „additional.fields.value.string_value“
IP-Protokoll (proto)	Proto	Proto		network.ip_protocol
Aktion (Aktion)	Handeln	Aktion		security_result.action_details security_result.action
URL/Dateiname (Sonstiges)		Sonstiges		target.file.full_path target.url
Name der Bedrohung/des Inhalts (Bedrohung)	Katze	ThreatID		security_result.threat_id
Kategorie (Kategorie)	cs2	URLCategory	category	about.labels.key und about.labels.value additional.fields.key und zusätzlicher.fields.value.string_value
Schweregrad (severity)	number-of-severity (Header)	Schweregrad		security_result.severity security_result.severity_details
Richtung (direction)	flexString2	Richtung		network.direction
Sequenznummer (seqno)	externalId	Sequenz		metadata.product_log_id
Aktions-Flags (actionflags)	PanOSActionFlags	ActionFlags	actionflags	about.labels.key und about.labels.value additional.fields.key und additional.fields.value.string_value
Quellland (srcloc)		SourceLocation		principal.location.country_or_region
Zielland (dstloc)		DestinationLocation		target.location.country_or_region
contenttype (contenttype) (Inhaltstyp)	requestContext	ContentType	Inhaltstyp	about.labels.key und about.labels.value additional.fields.key und additional.fields.value.string_value
pcap_id (pcap_id)	fileId	PCAP_ID	pcap_id	about.labels.key und about.labels.value „additional.fields.key“ und „additional.fields.value.string_value“
filedigest (filedigest)		FileDigest		about.file.sha1/md5/sha256
cloud (cloud)		Cloud	Cloud	about.labels.key und about.labels.value additional.fields.key und additional.fields.value.string_value
url_idx (url_idx)		URLIndex	url_idx	about.labels.key und about.labels.value additional.fields.key und additional.fields.value.string_value
user_agent (user_agent)	requestClientApplication	User-Agent		network.http.user_agent
Dateityp [filetype]				about.file.mime_type
xff (xff)	PanOSXForwarderfor	identSrc	xff	about.labels.key und about.labels.value additional.fields.key und additional.fields.value.string_value
Verweis-URL (Referrer)	PanOSReferer	Verwiesen von:		network.http.referral_url
Absender (Absender)				network.email.from
Betreff (Betreff)		Betreff		network.email.subject
recipient (Empfänger)				network.email.to
reportid (reportid)			reportid	about.labels.key und about.labels.value additional.fields.key und additional.fields.value.string_value
DG-Hierarchie – Ebene 1 (dg_hier_level_1)	PanOSDGl1	DeviceGroupHierarchyL1	dg_hier_level_1	about.labels.key und about.labels.value additional.fields.key und additional.fields.value.string_value
DG Hierarchieebene 2 (dg_hier_level_2)	PanOSDGl2	DeviceGroupHierarchyL2	dg_hier_level_2	about.labels.key und about.labels.value additional.fields.key und additional.fields.value.string_value
DG Hierarchieebene 3 (dg_hier_level_3)	PanOSDGl3	DeviceGroupHierarchyL3	dg_hier_level_3	about.labels.key und about.labels.value additional.fields.key und additional.fields.value.string_value
DG Hierarchieebene 4 (dg_hier_level_4)	PanOSDGl4	DeviceGroupHierarchyL4	dg_hier_level_4	about.labels.key und about.labels.value „additional.fields.key“ und „additional.fields.value.string_value“
Name des virtuellen Systems (vsys_name)	PanOSVsysName	vSrcName		principal.resource.name principal.resource.resource_type=VIRTUAL_MACHINE
Gerätename (device_name)	dvchost	DeviceName		intermediary.hostname
file_url (file_url)				about.url
UUID der Quell-VM (src_uuid)		SrcUUID		principal.asset.asset_id
UUID der Ziel-VM (dst_uuid)		DstUUID		target.asset.asset_id
http_method (http_method)	requestMethod	RequestMethod		network.http.method
Tunnel-ID/IMSI (Tunnel-ID)	PanOSTunnelID	TunnelID	tunnelid	about.labels.key und about.labels.value additional.fields.key und additional.fields.value.string_value
Monitor-Tag/IMEI (monitortag)	PanOSMonitorTag	MonitorTag	monitortag	about.labels.key und about.labels.value „additional.fields.key“ und „additional.fields.value.string_value“
ID der übergeordneten Sitzung (parent_session_id)	PanOSParentSessionID	ParentSessionID	parent_session_id	network.parent_session_id
Beginn der übergeordneten Sitzung (parent_start_time)	PanOSParentStartTime	ParentStartTime	parent_start_time	about.labels.key und about.labels.value additional.fields.key und additional.fields.value.string_value
Tunnel (Tunnel)	PanOSTunnelType	TunnelType	Tunnel	about.labels.key und about.labels.value additional.fields.key und zusätzlicher.fields.value.string_value
thr_category (thr_category)	PanOSThreatCategory	ThreatCategory	thr_category	security_result.detection_fields.key/value
contentver (contentver)	PanOSContentVer	ContentVer	Contentver	about.labels.key und about.labels.value additional.fields.key und additional.fields.value.string_value
sig_flags (sig_flags)			sig_flags	about.labels.key und about.labels.value additional.fields.key und additional.fields.value.string_value
SCTP-Verknüpfungs-ID (assoc_id)	PanOSAssocID		assoc_id	about.labels.key und about.labels.value additional.fields.key und zusätzlicher.fields.value.string_value
Nutzlastprotokoll-ID (ppid)	PanOSPPID		ppid	about.labels.key und about.labels.value „additional.fields.key“ und „additional.fields.value.string_value“
http_headers (http_headers)	PanOSHTTPHeader		http_headers	about.labels.key und about.labels.value additional.fields.key und additional.fields.value.string_value
URL-Kategorieliste (url_category_list)	PanOSURLCatList		url_category_list	about.labels.key und about.labels.value „additional.fields.key“ und „additional.fields.value.string_value“
UUID für Regel (rule_uuid)	PanOSRuleUUID		rule_uuid	about.labels.key und about.labels.value additional.fields.key und additional.fields.value.string_value
HTTP/2-Verbindung (http2_connection)	PanOSHTTP2Con		http2_connection	about.labels.key und about.labels.value additional.fields.key und additional.fields.value.string_value
dynusergroup_name (dynusergroup_name)	PanDynamicUsrgrp		dynusergroup_name	about.labels.key und about.labels.value additional.fields.key und zusätzlicher.fields.value.string_value
XFF-Adresse (xff_ip)	PanXFFIP			principal.ip
Gerätekategorie der Quelle (src_category)	PanSrcDeviceCat		src_category	principal.labels.key und principal.labels.value additional.fields.key und zusätzlicher.fields.value.string_value
Quellgeräteprofil (src_profile)	PanSrcDeviceProf		src_profile	principal.labels.key und principal.labels.value „additional.fields.key“ und „additional.fields.value.string_value“
Quellgerätemodell (src_model)	PanSrcDeviceModel		src_model	principal.labels.key und principal.labels.value additional.fields.key und additional.fields.value.string_value
Anbieter des Quellgeräts (src_vendor)	PanSrcDeviceVendor		src_vendor	principal.labels.key und principal.labels.value additional.fields.key und additional.fields.value.string_value
Betriebssystemfamilie des Quellgeräts (src_osfamily)	PanSrcDeviceOS			principal.asset.platform_software.platform principal.labels.key und principal.labels.value additional.fields.key und zusätzlicher.fields.value.string_value
Betriebssystemversion des Quellgeräts (src_osversion)	PanSrcDeviceOSv			principal.asset.software.version
Quell-Hostname (src_host)	PanSrcHostname		src_host	principal.labels.key und principal.labels.value additional.fields.key und zusätzlicher.fields.value.string_value
MAC-Quelladresse (src_mac)	PanSrcMac			principal.mac
Zielgerätekategorie (dst_category)	PanDstDeviceCat		dst_category	target.labels.key und target.labels.value additional.fields.key und additional.fields.value.string_value
Zielgeräteprofil (dst_profile)	PanDstDeviceProf		dst_profile	target.labels.key und target.labels.value additional.fields.key und additional.fields.value.string_value
Zielgerätemodell (dst_model)	PanDstDeviceModel		dst_model	target.labels.key und target.labels.value additional.fields.key und zusätzlicher.fields.value.string_value
Anbieter des Zielgeräts (dst_vendor)	PanDstDeviceVendor		dst_vendor	target.labels.key und target.labels.value additional.fields.key und additional.fields.value.string_value
Betriebssystemfamilie des Zielgeräts (dst_osfamily)	PanDstDeviceOS			target.asset.platform_software.platform target.labels.key und target.labels.value
Betriebssystemversion des Zielgeräts (dst_osversion)	PanDstDeviceOSv			target.asset.software.version
Ziel-Hostname (dst_host)	PanPODNamespace			target.hostname
MAC-Zieladresse (dst_mac)	PanDstMac			target.mac
Container-ID (container_id)	PanContainerName		container_id	about.labels.key und about.labels.value additional.fields.key und additional.fields.value.string_value
POD-Namespace (pod_namespace)	PanPODNamespace		pod_namespace	about.labels.key und about.labels.value „additional.fields.key“ und „additional.fields.value.string_value“
POD-Name (pod_name)	PanPODName		pod_name	about.labels.key und about.labels.value additional.fields.key und additional.fields.value.string_value
Externe dynamische Liste der Quelle (src_edl)	PanSrcEDL		src_edl	principal.labels.key und principal.labels.value additional.fields.key und additional.fields.value.string_value
Externe dynamische Zielliste (dst_edl)	PanDstEDL		dst_edl	target.labels.key und target.labels.value additional.fields.key und additional.fields.value.string_value
Host-ID (hostid)	PanGPHostID		hostid	about.labels.key und about.labels.value „additional.fields.key“ und „additional.fields.value.string_value“
Seriennummer (serialnumber)	PanEPSerial			principal.asset.hardware.serial_number
domain_edl (domain_edl)	PanDomainEDL		domain_edl	about.labels.key und about.labels.value additional.fields.key und additional.fields.value.string_value
Dynamische Quelladressgruppe (src_dag)	PanSrcDAG			principal.group.group_display_name
Dynamische Zieladressgruppe (dst_dag)	PanDstDAG			target.group.group_display_name
partial_hash (partial_hash)	PanPartialHash		partial_hash	about.labels.key und about.labels.value additional.fields.key und zusätzlicher.fields.value.string_value
Zeitstempel mit hoher Auflösung (high_res_timestamp)	PanTimeHighRes			metadata.collected_timestamp, metadata.event_timestamp (falls „Generate Time“ nicht vorhanden ist)
Grund (Grund)	PanReasonFilteringAction		reason	about.labels.key und about.labels.value „additional.fields.key“ und „additional.fields.value.string_value“
Begründung (Begründung)	PanJustification		Begründung	about.labels.key und about.labels.value „additional.fields.key“ und „additional.fields.value.string_value“
nssai_sst (nssai_sst)	PanASServiceType		nssai_sst	about.labels.key und about.labels.value additional.fields.key und zusätzlicher.fields.value.string_value
Unterkategorie der App (subcategory_of_app)			subcategory_of_app	about.labels.key und about.labels.value „additional.fields.key“ und „additional.fields.value.string_value“
App-Kategorie (category_of_app)			category_of_app	about.labels.key und about.labels.value additional.fields.key und additional.fields.value.string_value
Technologie der App (technology_of_app)			technology_of_app	about.labels.key und about.labels.value additional.fields.key und additional.fields.value.string_value
Risiko der App (risk_of_app)			risk_of_app	about.labels.key und about.labels.value „additional.fields.key“ und „additional.fields.value.string_value“
Merkmal der App (characteristic_of_app)			characteristic_of_app	about.labels.key und about.labels.value additional.fields.key und additional.fields.value.string_value
Container der Anwendung (container_of_app)			container_of_app	about.labels.key und about.labels.value additional.fields.key und additional.fields.value.string_value
Tunneled App (tunneled_app)			tunneled_app	about.labels.key und about.labels.value additional.fields.key und additional.fields.value.string_value
SaaS der Anwendung (is_saas_of_app)			is_saas_of_app	about.labels.key und about.labels.value additional.fields.key und additional.fields.value.string_value
Status der sanktionierten App (sanctioned_state_of_app)			sanctioned_state_of_app	about.labels.key und about.labels.value additional.fields.key und additional.fields.value.string_value

Daten

In der folgenden Tabelle sind die Logfelder des Datenlogtyps aufgeführt und die zugehörigen UDM-Felder.

CSV-Feld	CEF-Feld	LEEF-Feld	Google Security Operations-Labelschlüssel	UDM-Feld
Empfangszeit (cef-formatted-receive_time)	rt	devTime		metadata.collected_timestamp, metadata.event_timestamp (wenn „Generate Time“ nicht vorhanden ist)
Seriennummer (serial)	deviceExternalId	SerialNumber		intermediary.asset.hardware.serial_number
Typ (Typ)	type (Header)	Katze		metadata.product_event_type
Bedrohung/Inhaltstyp (Untertyp)	subtype (Header)	Subtyp		metadata.product_event_type
Zeit generieren				metadata.event_timestamp
Quelladresse (src)	src	src		principal.ip
Zieladresse (dst)	dst	dst		target.ip
NAT-Quell-IP (natsrc)	sourceTranslatedAddress	srcPostNAT		principal.nat_ip
NAT-Ziel-IP (natdst)	destinationTranslatedAddress	dstPostNAT		target.nat_ip
Regel (Regel)	cs1	RuleName		security_result.rule_name
Quellnutzer (srcuser)	Suser	SourceUser		principal.user.userid
Zielnutzer (dstuser)	Duser	DestinationUser		target.user.userid
Anwendung (App)	App	Anwendung		network.application_protocol
Virtuelles System (vsys)	cs3	VirtualSystem	vsys	about.labels.key und about.labels.value additional.fields.key und additional.fields.value.string_value
Quellzone (von)	cs4	SourceZone	von	principal.labels.key und principal.labels.value additional.fields.key und zusätzlicher.fields.value.string_value
Zielzone (bis)	cs5	DestinationZone	bis	target.labels.key und target.labels.value additional.fields.key und additional.fields.value.string_value
Eingangsschnittstelle (inbound_if)	deviceInboundInterface	IngressInterface	inbound_if	principal.labels.key und principal.labels.value additional.fields.key und additional.fields.value.string_value
Ausgehende Schnittstelle (outbound_if)	deviceOutboundInterface	EgressInterface	outbound_if	target.labels.key und target.labels.value additional.fields.key und additional.fields.value.string_value
Protokollaktion (Logset)	cs6	LogForwardingProfile	Loget	about.labels.key und about.labels.value „additional.fields.key“ und „additional.fields.value.string_value“
Aufgezeichnete Zeit			time_logged	about.labels.key und about.labels.value additional.fields.key und additional.fields.value.string_value
Sitzungs-ID (sessionid)	cn1	SessionID		network.session_id
Wiederholungszahl (repeatcnt)	cnt	RepeatCount	repeatcnt	about.labels.key und about.labels.value additional.fields.key und additional.fields.value.string_value
Quellhafen (Sport)	spt	srcPort		principal.port
Zielport (dport)	dpt	dstPort		target.port
NAT-Quellport (natsport)	sourceTranslatedPort	srcPostNATPort		principal.nat_port
NAT-Zielport (natdport)	destinationTranslatedPort	dstPostNATPort		target.nat_port
Flags	flexString1	Flags	flags	about.labels.key und about.labels.value „additional.fields.key“ und „additional.fields.value.string_value“
IP-Protokoll (proto)	Proto	Proto		network.ip_protocol
Aktion (Aktion)	Handeln	Aktion		security_result.action_details security_result.action
URL/Dateiname (Sonstiges)		Sonstiges		target.file.full_path target.url
Name der Bedrohung/des Inhalts (Bedrohung)	Katze	ThreatID		security_result.threat_id
Kategorie (Kategorie)	cs2	URLCategory	category	about.labels.key und about.labels.value additional.fields.key und zusätzlicher.fields.value.string_value
Schweregrad (severity)	number-of-severity (Header)	Schweregrad		security_result.severity security_result.severity_details
Richtung (direction)	flexString2	Richtung		network.direction
Sequenznummer (seqno)	externalId	Sequenz		metadata.product_log_id
Aktions-Flags (actionflags)	PanOSActionFlags	ActionFlags	actionflags	about.labels.key und about.labels.value additional.fields.key und additional.fields.value.string_value
Quellland (srcloc)		SourceLocation		principal.location.country_or_region
Zielland (dstloc)		DestinationLocation		target.location.country_or_region
contenttype (contenttype)		ContentType	Inhaltstyp	about.labels.key und about.labels.value additional.fields.key und additional.fields.value.string_value
pcap_id (pcap_id)	fileId	PCAP_ID	pcap_id	about.labels.key und about.labels.value „additional.fields.key“ und „additional.fields.value.string_value“
filedigest (filedigest)		FileDigest		about.file.sha1/md5/sha256
cloud (cloud)		Cloud	Cloud	about.labels.key und about.labels.value additional.fields.key und additional.fields.value.string_value
url_idx (url_idx)		URLIndex	url_idx	about.labels.key und about.labels.value additional.fields.key und additional.fields.value.string_value
user_agent (user_agent)				network.http.user_agent
Dateityp [filetype]				about.file.mime_type
xff (xff)			xff	about.labels.key und about.labels.value additional.fields.key und additional.fields.value.string_value
Verweis-URL (Referrer)				network.http.referral_url
Absender (Absender)				network.email.from
Betreff (Betreff)		Betreff		network.email.subject
recipient (Empfänger)				network.email.to
reportid (reportid)			reportid	about.labels.key und about.labels.value additional.fields.key und additional.fields.value.string_value
DG-Hierarchie – Ebene 1 (dg_hier_level_1)	PanOSDGl1	DeviceGroupHierarchyL1	dg_hier_level_1	about.labels.key und about.labels.value additional.fields.key und additional.fields.value.string_value
DG Hierarchieebene 2 (dg_hier_level_2)	PanOSDGl2	DeviceGroupHierarchyL2	dg_hier_level_2	about.labels.key und about.labels.value additional.fields.key und additional.fields.value.string_value
DG Hierarchieebene 3 (dg_hier_level_3)	PanOSDGl3	DeviceGroupHierarchyL3	dg_hier_level_3	about.labels.key und about.labels.value additional.fields.key und additional.fields.value.string_value
DG Hierarchieebene 4 (dg_hier_level_4)	PanOSDGl4	DeviceGroupHierarchyL4	dg_hier_level_4	about.labels.key und about.labels.value „additional.fields.key“ und „additional.fields.value.string_value“
Name des virtuellen Systems (vsys_name)	PanOSVsysName	vSrcName		principal.resource.name principal.resource.resource_type=VIRTUAL_MACHINE
Gerätename (device_name)	dvchost	DeviceName		intermediary.hostname
file_url (file_url)				about.url
UUID der Quell-VM (src_uuid)		SrcUUID		principal.asset.asset_id
UUID der Ziel-VM (dst_uuid)		DstUUID		target.asset.asset_id
http_method (http_method)		RequestMethod		network.http.method
Tunnel-ID/IMSI (Tunnel-ID)	PanOSTunnelID	TunnelID	tunnelid	about.labels.key und about.labels.value additional.fields.key und additional.fields.value.string_value
Monitor-Tag/IMEI (monitortag)	PanOSMonitorTag	MonitorTag	monitortag	about.labels.key und about.labels.value „additional.fields.key“ und „additional.fields.value.string_value“
ID der übergeordneten Sitzung (parent_session_id)	PanOSParentSessionID	ParentSessionID	parent_session_id	network.parent_session_id
Beginn der übergeordneten Sitzung (parent_start_time)	PanOSParentStartTime	ParentStartTime	parent_start_time	about.labels.key und about.labels.value additional.fields.key und additional.fields.value.string_value
Tunnel (Tunnel)	PanOSTunnelType	TunnelType	Tunnel	about.labels.key und about.labels.value additional.fields.key und zusätzlicher.fields.value.string_value
thr_category (thr_category)	PanOSThreatCategory	ThreatCategory	thr_category	security_result.detection_fields.key/value
contentver (contentver)	PanOSContentVer	ContentVer	Contentver	about.labels.key und about.labels.value additional.fields.key und additional.fields.value.string_value
sig_flags (sig_flags)			sig_flags	about.labels.key und about.labels.value additional.fields.key und additional.fields.value.string_value
SCTP-Verknüpfungs-ID (assoc_id)	PanOSAssocID		assoc_id	about.labels.key und about.labels.value additional.fields.key und zusätzlicher.fields.value.string_value
Nutzlastprotokoll-ID (ppid)	PanOSPPID		ppid	about.labels.key und about.labels.value „additional.fields.key“ und „additional.fields.value.string_value“
http_headers (http_headers)	PanOSHTTPHeader		http_headers	about.labels.key und about.labels.value additional.fields.key und additional.fields.value.string_value
URL-Kategorieliste (url_category_list)			url_category_list	about.labels.key und about.labels.value „additional.fields.key“ und „additional.fields.value.string_value“
UUID für Regel (rule_uuid)	PanOSRuleUUID		rule_uuid	about.labels.key und about.labels.value additional.fields.key und additional.fields.value.string_value
HTTP/2-Verbindung (http2_connection)			http2_connection	about.labels.key und about.labels.value additional.fields.key und additional.fields.value.string_value
dynusergroup_name (dynusergroup_name)			dynusergroup_name	principal.labels.key und principal.labels.value additional.fields.key und zusätzlicher.fields.value.string_value
XFF-Adresse (xff_ip)				principal.ip
Gerätekategorie der Quelle (src_category)			src_category	principal.labels.key und principal.labels.value additional.fields.key und zusätzlicher.fields.value.string_value
Quellgeräteprofil (src_profile)			src_profile	principal.labels.key und principal.labels.value „additional.fields.key“ und „additional.fields.value.string_value“
Quellgerätemodell (src_model)			src_model	principal.labels.key und principal.labels.value additional.fields.key und additional.fields.value.string_value
Anbieter des Quellgeräts (src_vendor)			src_vendor	principal.labels.key und principal.labels.value additional.fields.key und additional.fields.value.string_value
Betriebssystemfamilie des Quellgeräts (src_osfamily)				principal.asset.platform_software.platform principal.labels.key und principal.labels.value additional.fields.key und zusätzlicher.fields.value.string_value
Betriebssystemversion des Quellgeräts (src_osversion)				principal.asset.software.version
Quell-Hostname (src_host)			src_host	principal.labels.key und principal.labels.value additional.fields.key und zusätzlicher.fields.value.string_value
Mac-Quelladresse (src_mac)				principal.mac
Zielgerätekategorie (dst_category)			dst_category	target.labels.key und target.labels.value additional.fields.key und additional.fields.value.string_value
Zielgeräteprofil (dst_profile)			dst_profile	target.labels.key und target.labels.value additional.fields.key und additional.fields.value.string_value
Zielgerätemodell (dst_model)			dst_model	target.labels.key und target.labels.value additional.fields.key und zusätzlicher.fields.value.string_value
Anbieter des Zielgeräts (dst_vendor)			dst_vendor	target.labels.key und target.labels.value additional.fields.key und additional.fields.value.string_value
Betriebssystemfamilie des Zielgeräts (dst_osfamily)				target.asset.platform_software.platform target.labels.key und target.labels.value
Betriebssystemversion des Zielgeräts (dst_osversion)				target.asset.software.version
Ziel-Hostname (dst_host)				target.hostname
MAC-Zieladresse (dst_mac)				target.mac
Container-ID (container_id)			container_id	about.labels.key und about.labels.value additional.fields.key und additional.fields.value.string_value
Pod-Namespace (pod_namespace)			pod_namespace	about.labels.key und about.labels.value „additional.fields.key“ und „additional.fields.value.string_value“
POD-Name (pod_name)			pod_name	about.labels.key und about.labels.value additional.fields.key und additional.fields.value.string_value
Externe dynamische Liste der Quelle (src_edl)			src_edl	principal.labels.key und principal.labels.value additional.fields.key und additional.fields.value.string_value
Externe dynamische Zielliste (dst_edl)			dst_edl	target.labels.key und target.labels.value additional.fields.key und additional.fields.value.string_value
Host-ID (hostid)			hostid	about.labels.key und about.labels.value „additional.fields.key“ und „additional.fields.value.string_value“
Seriennummer (Seriennummer)				principal.asset.hardware.serial_number
domain_edl (domain_edl)			domain_edl	about.labels.key und about.labels.value additional.fields.key und additional.fields.value.string_value
Dynamische Quelladressgruppe (src_dag)				principal.group.group_display_name
Dynamische Zieladressgruppe (dst_dag)				target.group.group_display_name
partial_hash (partial_hash)			partial_hash	about.labels.key und about.labels.value additional.fields.key und zusätzlicher.fields.value.string_value
Zeitstempel mit hoher Auflösung (high_res_timestamp)				metadata.collected_timestamp, metadata.event_timestamp (falls „Generate Time“ nicht vorhanden ist)
Grund (reason)			reason	about.labels.key und about.labels.value „additional.fields.key“ und „additional.fields.value.string_value“
Ausrichtung (justification)			justification	about.labels.key und about.labels.value „additional.fields.key“ und „additional.fields.value.string_value“
nssai_sst (nssai_sst)			nssai_sst	about.labels.key und about.labels.value additional.fields.key und zusätzlicher.fields.value.string_value
Unterkategorie der App (subcategory_of_app)			subcategory_of_app	about.labels.key und about.labels.value „additional.fields.key“ und „additional.fields.value.string_value“
App-Kategorie (category_of_app)			category_of_app	about.labels.key und about.labels.value additional.fields.key und additional.fields.value.string_value
Technologie der App (technology_of_app)			technology_of_app	about.labels.key und about.labels.value additional.fields.key und additional.fields.value.string_value
Risiko der App (risk_of_app)			risk_of_app	about.labels.key und about.labels.value „additional.fields.key“ und „additional.fields.value.string_value“
Merkmal der App (characteristic_of_app)			characteristic_of_app	about.labels.key und about.labels.value additional.fields.key und additional.fields.value.string_value
Container der Anwendung (container_of_app)			container_of_app	about.labels.key und about.labels.value additional.fields.key und additional.fields.value.string_value
Tunneled App (tunneled_app)			tunneled_app	about.labels.key und about.labels.value additional.fields.key und additional.fields.value.string_value
SaaS der Anwendung (is_saas_of_app)			is_saas_of_app	about.labels.key und about.labels.value additional.fields.key und additional.fields.value.string_value
Status der sanktionierten App (sanctioned_state_of_app)			sanctioned_state_of_app	about.labels.key und about.labels.value additional.fields.key und additional.fields.value.string_value

GlobalProtect

In der folgenden Tabelle sind die Logfelder des Logtyps „GlobalProtect“ aufgeführt und die zugehörigen UDM-Felder.

CSV-Feld	CEF-Feld	LEEF-Feld	Google Security Operations-Labelschlüssel	UDM-Feld
Empfangszeit (receive_time)	rt		received_time	metadata.event_timestamp
Seriennummer (Seriennummer)	PanOSDeviceSN		intermediary_asset_hardware_serial_number	intermediary.asset.hardware.serial_number
Typ (Typ)	Typ (Kopfzeile)			metadata.product_event_type
Bedrohung/Inhaltstyp (Untertyp)	subtype (Header)	Subtyp		metadata.product_event_type
Generierungszeit (time_generated)	PanOSLogTimeStamp		generated_timestamp	metadata.event_timestamp
Virtuelles System (vsys)	PanOSVirtualSystem		vsys	about.labels.key und about.labels.value additional.fields.key und additional.fields.value.string_value
Ereignis-ID (eventid)	PanOSEventID		event_id	about.labels.key und about.labels.value additional.fields.key und additional.fields.value.string_value
Bühne (stage)	PanOSStage		Phase	about.labels.key und about.labels.value additional.fields.key und zusätzlicher.fields.value.string_value
Authentifizierungsmethode (auth_method)	PanOSAuthMethod		extension_auth_auth_details	extensions.auth.auth_details
Tunneltyp (tunnel_type)	PanOSTunnelType		Tunnel	about.labels.key und about.labels.value additional.fields.key und zusätzlicher.fields.value.string_value
Quellnutzer (srcuser)	PanOSSourceUserName		src_user	principal.user.email_address principal.user.userid principal.administrative_domain
Quellregion (srcregion)	PanOSSourceRegion		src_region	principal.location.country_or_region
Computername (Maschinenname)	PanOSEndpointDeviceName		machine_name	principal.hostname
Öffentliche IP-Adresse (public_ip)	PanOSPublicIPv4			principal.nat_ip
Öffentliche IPv6-Adresse (public_ipv6)	PanOSPublicIPv6			principal.nat_ip
Private IP-Adresse (private_ip)	PanOSPrivateIPv4			principal.ip
Privates IPv6 (private_ipv6)	PanOSPrivateIPv6			principal.ip
Host-ID (hostid)	PanOSHostID		hostid	principal.asset.asset_id
Seriennummer (serialnumber)	PanOSDeviceSN			principal.asset.hardware.serial_number
Clientversion (client_ver)	PanOSGlobalProtectClientVersion		client_ver	about.labels.key und about.labels.value additional.fields.key und zusätzlicher.fields.value.string_value
Client-Betriebssystem (client_os)	PanOSEndpointOSType			principal.asset.platform_software.platform(enum)
Version des Clientbetriebssystems (client_os_ver)	PanOSEndpointOSVersion			principal.asset.platform_software.platform_version
Wiederholungszähler (Wiederholungen)	PanOSCountOfRepeats		repeatcnt	about.labels.key und about.labels.value additional.fields.key und zusätzlicher.fields.value.string_value
Grund (reason)	PanOSQuarantineReason			security_result.summary
Fehler (Fehler)	PanOSConnectionError		Fehler	security_result.description
Beschreibung (undurchsichtig)	PanOSDescription			security_result.description
Status (status)	PanOSEventStatus		Status	about.labels.key und about.labels.value additional.fields.key und additional.fields.value.string_value
Standort (location)	PanOSGPGatewayLocation			target.location.country_or_region
Dauer der Anmeldung (login_duration)	PanOSLoginDuration			network.session_duration
Verbindungsmethode (connect_method)	PanOSConnectionMethod		connect_method	about.labels.key und about.labels.value additional.fields.key und zusätzlicher.fields.value.string_value
Fehlercode (error_code)	PanOSConnectionErrorID		error_code	about.labels.key und about.labels.value additional.fields.key und zusätzlicher.fields.value.string_value
Portal (portal)	PanOSPortal		Portal	about.labels.key und about.labels.value „additional.fields.key“ und „additional.fields.value.string_value“
Sequenznummer (Sequenznummer)	PanOSSequenceNo			metadata.product_log_id
Aktions-Flags (actionflags)	PanOSActionFlags		Aktionsflags	about.labels.key und about.labels.value additional.fields.key und zusätzlicher.fields.value.string_value
Zeitstempel für hohe Auflösung (high_res_timestamp)	anOSTimeGeneratedHighResolution			metadata.collected_timestamp, metadata.event_timestamp (wenn „Generate Time“ nicht vorhanden ist)
Gateway-Auswahlmethode (selection_type)	PanOSGatewaySelectionType		selection_type	about.labels.key und about.labels.value additional.fields.key und zusätzlicher.fields.value.string_value
SSL-Antwortzeit (response_time)	PanOSSSLResponseTime		response_time	about.labels.key und about.labels.value additional.fields.key und additional.fields.value.string_value
Gateway-Priorität (Priorität)	PanOSGatewayPriority		Priorität	about.labels.key und about.labels.value additional.fields.key und additional.fields.value.string_value
Versuchte Gateways (attempted_gateways)	PanOSAttemptedGateways		attempted_gateways	about.labels.key und about.labels.value additional.fields.key und zusätzlicher.fields.value.string_value
Gateway-Name (Gateway)	PanOSAttemptedGateways		Gateway	about.labels.key und about.labels.value additional.fields.key und zusätzlicher.fields.value.string_value
Gerätegruppenhierarchie (dg_hier_level_1)			dg_hier_level_1	about.labels.key und about.labels.value additional.fields.key und additional.fields.value.string_value
Gerätegruppenhierarchie (dg_hier_level_2)			dg_hier_level_2	about.labels.key und about.labels.value additional.fields.key und additional.fields.value.string_value
Gerätegruppenhierarchie (dg_hier_level_3)			dg_hier_level_3	about.labels.key und about.labels.value additional.fields.key und zusätzlicher.fields.value.string_value
Gerätegruppenhierarchie (dg_hier_level_4)			dg_hier_level_4	about.labels.key und about.labels.value „additional.fields.key“ und „additional.fields.value.string_value“
Name des virtuellen Systems (vsys_name)				principal.resource.name principal.resource.resource_type=VIRTUAL_MACHINE
Gerätename (device_name)				target.hostname
ID des virtuellen Systems (vsys_id)				principal.resource.resource_type=VIRTUAL_MACHINE and principal.resource.product_object_id

Ergebnisse in Beziehung setzen

In der folgenden Tabelle sind die Protokollfelder des Typs „Korrelationsprotokoll“ und die zugehörigen UDM-Felder aufgeführt.

CSV-Feld	LEEF-Feld	Google Security Operations-Labelschlüssel	UDM-Feld
Generierte Zeit (time_generated oder cef-formatted-time_generated)	startTime	generated_timestamp	metadata.event_timestamp
Quelladresse (src)	src		principal.ip
Quellnutzer (srcuser)	SourceUser / usrName		principal.user.userid
Virtuelles System (vsys)	VirtualSystem	vsys	about.labels.key und about.labels.value additional.fields.key und additional.fields.value.string_value
Kategorie (Kategorie)			security_result.category_details
Schweregrad (severity)	Schweregrad		security_result.severity und security_result.severity_details
Gerätegruppenhierarchie Stufe 1	DeviceGroupHierarchyL1		about.labels.key und about.labels.value additional.fields.key und zusätzlicher.fields.value.string_value
Gerätegruppenhierarchie – Stufe 2	DeviceGroupHierarchyL2		about.labels.key und about.labels.value additional.fields.key und additional.fields.value.string_value
Gerätegruppenhierarchie Stufe 3	DeviceGroupHierarchyL3		about.labels.key und about.labels.value additional.fields.key und zusätzlicher.fields.value.string_value
Gerätegruppenhierarchie Stufe 4	DeviceGroupHierarchyL4		about.labels.key und about.labels.value „additional.fields.key“ und „additional.fields.value.string_value“
Name des virtuellen Systems (vsys_name)	vSrcName		principal.resource.name principal.resource.resource_type=VIRTUAL_MACHINE
Gerätename (device_name)	DeviceName		intermediary.hostname
ID des virtuellen Systems (vsys_id)	VirtualSystemID		principal.resource.resource_type=VIRTUAL_MACHINE und principal.resource.product_object_id
Objektname (Objektname)	ObjectName		target.resource.name
Objekt-ID (object_id)	ObjectID		target.resource.product_object_id

Referenz zur Feldzuordnung: Logtypen zum UDM-Ereignistyp

In der folgenden Tabelle sind die Firewall-Logtypen von Palo Alto Networks aufgeführt und die zugehörigen UDM-Ereignistypen.

Logtyp	UDM-Ereignistyp
Traffic	NETWORK_CONNECTION
Bedrohung	NETWORK_CONNECTION
URL-Filter	NETWORK_CONNECTION
WildFire	NETWORK_CONNECTION WildFire-Übertragungslogs sind ein Untertyp des Bedrohungsprotokolltyps und verwenden dieselben Syslog-Format.
Datenfilterung	NETWORK_CONNECTION
Tunnel	NETWORK_CONNECTION
Konfiguration	SETTING_MODIFICATION/SETTING_CREATION/SETTING_DELETION/SETTING_UNCATEGORIZED Der Wert des Felds „Command (cmd)“ bestimmt die Zuordnung des UDM-Ereignistyps. Wenn der Wert des Felds „cmd“ „add“ oder „clone“ ist, wird „SETTING_CREATION“ festgelegt. Wenn der Wert des cmd-Felds gelöscht wird, wird SETTING_DELETION festgelegt. Wenn der Wert des cmd-Felds „edit“, „move“, „rename“, „set“ oder „commit“ ist, wird SETTING_MODIFICATION festgelegt. Wenn das Feld „cmd“ keine Werte enthält, wird „SETTING_UNCATEGORIZED“ festgelegt.
System	Wenn der Wert des Untertyps „dhcp“ lautet, wird NETWORK_DHCP festgelegt. Wenn der Wert des Untertyps "auth" ist, wird USER_LOGIN festgelegt. Wenn der Beschreibungswert „angemeldet“ ist, wird USER_LOGIN festgelegt. Wenn der Beschreibungswert "abgemeldet" ist, wird USER_LOGOUT festgelegt. Für andere Werte des Untertyps wird GENERIC_EVENT festgelegt.
HIP-Übereinstimmung	NETWORK_CONNECTION
IP-Tag	GENERIC_EVENT
User-ID	USER_LOGIN/USER_LOGOUT/USER_UNCATEGORIZED Wenn der Wert für den Untertyp „login“ ist, wird USER_LOGIN festgelegt. Wenn der Wert für den Untertyp „logout“ ist, wird USER_LOGOUT festgelegt. Wenn „Untertyp“ keinen Wert enthält, wird „USER_UNCATEGORIZED“ festgelegt.
Entschlüsselung	NETWORK_CONNECTION
Authentifizierung	GENERIC_EVENT

Nächste Schritte

Datenaufnahme in Google Security Operations

Logformat	PAN-OS-Version
CSV	10.1.3
CEF	10.0.0
LEEF	9.1.0