Diese Seite wurde von der Cloud Translation API übersetzt.

Palo Alto Networks-Firewalllogs erfassen

Überblick

In diesem Dokument wird beschrieben, wie Sie Syslog und einen Google Security Operations-Forwarder zum Erfassen von Palo Alto Networks-Firewalllogs konfigurieren können. In diesem Dokument wird auch erläutert, wie Firewall-Logfelder von Palo Alto Networks den Feldern von Google Security Operations Unified Data Model (UDM) zugeordnet werden.

Eine Übersicht über die Datenaufnahme in Google Security Operations finden Sie unter Datenaufnahme in Google Security Operations.

Ein Aufnahmelabel gibt den Parser an, der Logrohdaten in das strukturierte UDM-Format normalisiert. Die Informationen in diesem Dokument gelten für den Parser mit dem Aufnahmelabel PAN_FIREWALL.

Hinweise

Informationen zu den Komponenten, die zum Erfassen von Palo Alto Networks-Firewalllogs bereitgestellt werden, finden Sie in der Bereitstellungsarchitektur. Jede Kundenbereitstellung kann sich von dieser Darstellung unterscheiden und komplexer sein.

Das folgende Diagramm zeigt, wie Sie Syslog in einer Palo Alto Networks-Firewall konfigurieren und einen Google Security Operations-Forwarder auf einem Linux-Server installieren, um Logdaten an Google Security Operations weiterzuleiten. Der Parser unterstützt Logs, die in den folgenden Datenformaten geschrieben sind: CSV (Comma Separated Values), Common Event Format (CEF) und Log Event Extended Format (LEEF).
Prüfen Sie die Logformate und PAN-Betriebssystemversionen, die der Google Security Operations-Parser unterstützt. In der folgenden Tabelle sind die Logformate und die entsprechenden PAN-OS-Versionen aufgeführt, die vom Google Security Operations-Parser unterstützt werden:

Log format PAN-OS-Version

CSV 10.1.3

CEF 10.0.0

LEEF 9.1.0
Prüfen Sie die Firewall-Logtypen der Palo Alto Networks, die der Google Security Operations-Parser unterstützt. Der Google Security Operations-Parser unterstützt die folgenden Firewall-Logtypen von Palo Alto Networks:
- Traffic
- Bedrohung
- WildFire-Einreichungen
- Tunnelinspektion
- Konfiguration
- System
- HIP-Übereinstimmung
- IP-Tag
- User-ID
- Entschlüsselung
- Authentifizierung
- URL-Filter
- Datenfilterung
- GlobalProtect
- Ergebnisse in Beziehung setzen
Weitere Informationen zu den Firewall-Logtypen von Palo Alto Networks finden Sie unter PAN-OS-Logtypen.
Achten Sie darauf, dass alle Systeme in der Bereitstellungsarchitektur in der UTC-Zeitzone konfiguriert sind.
Bevor Sie den Firewall-Parser von Palo Alto Networks verwenden, sollten Sie die Änderungen an Feldzuordnungen zwischen dem vorherigen Parser und dem aktuellen Palo Alto Networks-Firewallparser überprüfen. Achten Sie im Rahmen der Migration darauf, dass die Regeln, Suchvorgänge, Dashboards oder anderen Prozesse, die von den ursprünglichen Feldern abhängen, die aktualisierten Felder verwenden.

In der vorherigen Parserversion ist beispielsweise das Logfeld category dem UDM-Feld security_result.description zugeordnet. Im aktuellen Firewallparser von Palo Alto Networks ist das Logfeld category dem UDM-Feld security_result.category_details zugeordnet. Wenn Sie zum aktuellen Firewallparser von Palo Alto Networks migrieren und das Feld category in Ihren Regeln verwenden, müssen Sie die Regeln so ändern, dass das UDM-Feld security_result.category_details des aktuellen Parsers verwendet wird.

Syslog und die Google Security Operations-Weiterleitung konfigurieren

Führen Sie die folgenden Schritte aus, um Syslog und die Google Security Operations-Weiterleitung zu konfigurieren:

Konfigurieren Sie zum Überwachen von CSV-Logs das Syslog-Serverprofil. Weitere Informationen finden Sie unter Syslog-Serverprofil konfigurieren.

Geben Sie beim Konfigurieren des Syslog-Serverprofils „Default“ als benutzerdefiniertes Logformat an.
Konfigurieren Sie zum Überwachen von CEF-Logs die Firewall von Palo Alto Networks so, dass CEF-Logs weitergeleitet werden. Weitere Informationen finden Sie in der PDF-Datei mit dem CEF-Integrationsleitfaden für PAN-OS und im Abschnitt "Konfiguration von Palo Alto Networks NGFW zur Ausgabe von CEF-Ereignissen".
Konfigurieren Sie zum Überwachen von LEEF-Logs das Syslog-Serverprofil. Weitere Informationen finden Sie unter Benutzerdefinierte Logweiterleitung im LEEF-Format.
Konfigurieren Sie den Google Security Operations-Forwarder so, dass Logs an Google Security Operations gesendet werden. Weitere Informationen finden Sie unter Forwarder unter Linux installieren und konfigurieren. Das folgende Beispiel zeigt eine Google Security Operations-Forwarder-Konfiguration:
```
  - syslog:
      common:
        enabled: true
        data_type: PAN_FIREWALL
        batch_n_seconds: 10
        batch_n_bytes: 1048576
      tcp_address: 0.0.0.0:10518
      connection_timeout_sec: 60
```

Referenz zur Feldzuordnung: Felder in PAN-Firewalllogs zu UDM-Feldern

In diesem Abschnitt wird erläutert, wie der Parser die Firewall-Logfelder von Palo Alto Networks den Google Security Operations UDM-Ereignisfeldern für jeden Logtyp zuordnet.

Der Google Security Operations-Labelschlüssel bezieht sich auf den Namen des Schlüssels, der dem UDM-Feld „Labels.key“ zugeordnet ist. Im Fall des Felds "Virtual System" lautet der Feldname beispielsweise "cs3" im CEF-Format und "VirtualSystem" im LEEF-Format. Das UDM-Feld "about.labels.key" enthält den Wert "vsys" und das UDM-Feld "about.labels.value" den Wert dieses Felds.

Einige der CEF- oder LEEF-Feldnamen haben keinen Namen, der den CSV-Feldnamen entspricht. Wenn Sie in solchen Fällen einen eigenen Variablennamen im benutzerdefinierten Logformat im Syslog-Profil hinzufügen, ordnet der Parser ihn nicht dem UDM-Feld zu.

In den folgenden Abschnitten finden Sie Informationen zur Zuordnung der einzelnen Logtypen:

System
Konfiguration
Bedrohungen/Wilde
Traffic
Nutzer-ID
HIP-Übereinstimmung
IP-Tag
Entschlüsselung
Tunnel
Authentifizierung
URL
Daten
GlobalProtect
Korrelation

System

In der folgenden Tabelle sind die Logfelder des Systemlogtyps und ihre entsprechenden UDM-Felder aufgeführt.

CSV-Feld	CEF-Feld	LEEF-Feld	Google Security Operations-Labelschlüssel	UDM-Feld
Empfangszeit (receive_time oder cef-formatted-receive_time)	rt	devTime		metadata.collected_timestamp metadata.event_timestamp (wenn „Generate Time“ fehlt)
Seriennummer (Seriennummer)	deviceExternalId	SerialNumber		intermediary.asset.hardware.serial_number
Typ (Typ)	Typ (Kopfzeile)	Katze		metadata.product_event_type ist auf "%{type} – %{subtype}" festgelegt.
Bedrohung/Inhaltstyp (Untertyp)	Untertyp (Kopfzeile)	Subtyp		metadata.product_event_type ist auf "%{type} – %{subtype}" festgelegt.
Generierte Zeit (time_generated oder cef-formatted-time_generated)				metadata.event_timestamp
Virtuelles System (vsys)	cs3	VirtualSystem	Vsys	about.labels.key und about.labels.value additional.fields.key und zusätzlicher.fields.value.string_value
Ereignis-ID (eventid)	Katze		eventid	about.labels.key und about.labels.value additional.fields.key und zusätzlicher.fields.value.string_value
Objekt (Objekt)	fname	Dateiname	Objekt	about.labels.key und about.labels.value additional.fields.key und zusätzlicher.fields.value.string_value
Modul (Modul)	flexString2	Modul	module	about.labels.key und about.labels.value additional.fields.key und zusätzlicher.fields.value.string_value
Schweregrad (Schweregrad)	$number-of-severity(header)	Schweregrad		security_result.severity und security_result.severity_details
Beschreibung (opak)	msg	msg		metadata.description
	principal_user_userid (Dieses Feld wird aus dem Feld „Nachtrag“ extrahiert.)			principal.user.userid
	principal_ip3 (Dieses Feld wird aus dem Feld „Nachtrag“ extrahiert.)			principal.ip
	Grund (dieses Feld wird aus dem Feld für Mitteilungen extrahiert)			security_result.description
	server_address (Dieses Feld wird aus dem msg-Feld extrahiert.)			target.ip
	server_profile (Dieses Feld wird aus dem Feld für Mitteilungen extrahiert.)			additional.fields.key und zusätzlicher.fields.value.string_value
Sequenznummer (Sequenznummer)	externalId	Sequenz		metadata.product_log_id
Aktions-Flags	PanOSActionFlags	ActionFlags	Aktionsflags	about.labels.key und about.labels.value additional.fields.key und zusätzlicher.fields.value.string_value
Gerätegruppenhierarchie (dg_hier_level_1 bis dg_hier_level_4)	PanOSDGl1	DeviceGroupHierarchyL1	dg_hier_level_1	about.labels.key und about.labels.value additional.fields.key und zusätzlicher.fields.value.string_value
Gerätegruppenhierarchie (dg_hier_level_2)	PanOSDGl2	DeviceGroupHierarchyL2	dg_hier_level_2	about.labels.key und about.labels.value additional.fields.key und zusätzlicher.fields.value.string_value
Gerätegruppenhierarchie (dg_hier_level_3)	PanOSDGl3	DeviceGroupHierarchyL3	dg_hier_level_3	about.labels.key und about.labels.value additional.fields.key und zusätzlicher.fields.value.string_value
Gerätegruppenhierarchie (dg_hier_level_4)	PanOSDGl4	DeviceGroupHierarchyL4	dg_hier_level_4	about.labels.key und about.labels.value additional.fields.key und zusätzlicher.fields.value.string_value
Name des virtuellen Systems (vsys_name)	PanOSVsysName	vSrcName		principal.resource.name principal.resource.resource_type=VIRTUAL_MACHINE
Gerätename (device_name)	DVDChost	DeviceName		intermediary.hostname
Zeitstempel für hohe Auflösung (high_res_timestamp)	anOSTimeGeneratedHighResolution			metadata.collected_timestamp metadata.event_timestamp (wenn „Generate Time“ fehlt)

Konfiguration

In der folgenden Tabelle sind die Logfelder des Konfigurationsprotokolltyps und ihre entsprechenden UDM-Felder aufgeführt.

CSV-Feld	CEF-Feld	LEEF-Feld	Google Security Operations-Labelschlüssel	UDM-Feld
Empfangszeit (receive_time oder cef-formatted-receive_time)	rt	devTime		metadata.collected_timestamp metadata.event_timestamp (wenn „Generate Time“ fehlt)
Seriennummer (Seriennummer)	deviceExternalId	SerialNumber		intermediary.asset.hardware.serial_number
Typ (Typ)	Typ (Kopfzeile)	Katze		metadata.product_event_type
Bedrohung/Inhaltstyp (Untertyp)	Untertyp (Kopfzeile)			metadata.product_event_type
Generierte Zeit (time_generated oder cef-formatted-time_generated)				metadata.event_timestamp
Host (Host)	Gewitter	src		principal.ip/hostname
Virtuelles System (vsys)	cs3	VirtualSystem	Vsys	about.labels.key und about.labels.value additional.fields.key und zusätzlicher.fields.value.string_value
Befehl (cmd)	act	msg	cmd	metadata.description
Administrator (Admin)	Duser	usrName		principal.user.userid
Kunde (Kunde)	destinationServiceName	client		principal.application
Ergebnis (Ergebnis)	Signatur-ID (Header)(Grund)	Ergebnis		security_result.summary
Konfigurationspfad (Pfad)	msg	ConfigurationPath		principal.process.command_line
Details vor Änderung (before_change_detail)	cs1	BeforeChangeDetail	before_change_detail	target.resource.attribute.labels.key/value
Details nach der Änderung (after_change_detail)	cs2	AfterChangeDetail	after_change_detail	target.resource.attribute.labels.key/value
Sequenznummer (Sequenznummer)	externalId	Sequenz		metadata.product_log_id
Aktions-Flags	PanOSActionFlags	ActionFlags	Aktionsflags	about.labels.key und about.labels.value additional.fields.key und zusätzlicher.fields.value.string_value
Gerätegruppenhierarchie (dg_hier_level_1 bis dg_hier_level_4)	PanOSDGl1	DeviceGroupHierarchyL1	dg_hier_level_1	about.labels.key und about.labels.value additional.fields.key und zusätzlicher.fields.value.string_value
Gerätegruppenhierarchie (dg_hier_level_2)	PanOSDGl2	DeviceGroupHierarchyL2	dg_hier_level_2	about.labels.key und about.labels.value additional.fields.key und zusätzlicher.fields.value.string_value
Gerätegruppenhierarchie (dg_hier_level_3)	PanOSDGl3	DeviceGroupHierarchyL3	dg_hier_level_3	about.labels.key und about.labels.value additional.fields.key und zusätzlicher.fields.value.string_value
Gerätegruppenhierarchie (dg_hier_level_4)	PanOSDGl4	DeviceGroupHierarchyL4	dg_hier_level_4	about.labels.key und about.labels.value additional.fields.key und zusätzlicher.fields.value.string_value
Name des virtuellen Systems (vsys_name)	PanOSVsysName	vSrcName		principal.resource.name principal.resource.resource_type=VIRTUAL_MACHINE
Gerätename (device_name)	DVDChost	DeviceName		intermediary.hostname
Gerätegruppe (dg_id)	PanOSFWDeviceGroup		dg_id	principal.asset.attribute.labels.key/value
Audit-Kommentar (Kommentar)	PanOSPolicyAuditComment		comment	about.labels.key und about.labels.value additional.fields.key und zusätzlicher.fields.value.string_value

Bedrohung/Wildbrand

In der folgenden Tabelle sind die Logfelder des Logtyps „Bedrohungs-/WildFire“ und die zugehörigen UDM-Felder aufgeführt.

CSV-Feld	CEF-Feld	LEEF-Feld	Google Security Operations-Labelschlüssel	UDM-Feld
Empfangszeit (receive_time oder cef-formatted-receive_time)	rt	devTime		metadata.collected_timestamp metadata.event_timestamp (wenn „Generate Time“ fehlt)
Seriennummer (Seriennummer)	deviceExternalId	SerialNumber		intermediary.asset.hardware.serial_number
Typ (Typ)	Typ (Kopfzeile)	Katze		metadata.product_event_type
Bedrohung/Inhaltstyp (Untertyp)	cat/subtype (Kopfzeile)	Subtyp		metadata.product_event_type
Generierungszeit (time_generated oder cef-formatted-time_generated)				metadata.event_timestamp
Quelladresse (src)	src	src		principal.ip
Zieladresse (dst)	dst	dst		target.ip
NAT-Quell-IP (natsrc)	sourceTranslatedAddress	srcPostNAT		principal.nat_ip
NAT-Ziel-IP (natdst)	destinationTranslatedAddress	dstPostNAT		target.nat_ip
Regelname (Regel)	cs1	RuleName		security_result.rule_name
Quellnutzer (srcuser)	Suser	SourceUser / usrName		principal.user.userid
Zielnutzer (dstuser)	Duser	DestinationUser		target.user.userid
Anwendung (App)	App	Anwendung		target.application
Virtuelles System (vsys)	cs3	VirtualSystem	Vsys	about.labels.key und about.labels.value additional.fields.key und zusätzlicher.fields.value.string_value
Quellzone (von)	cs4	SourceZone	aus	principal.labels.key und principal.labels.value additional.fields.key und zusätzlicher.fields.value.string_value
Zielzone (nach)	cs5	DestinationZone	bis	target.labels.key und target.labels.value additional.fields.key und zusätzlicher.fields.value.string_value
Eingangsschnittstelle (inbound_if)	deviceInboundInterface	IngressInterface	inbound_if	principal.labels.key und principal.labels.value additional.fields.key und zusätzlicher.fields.value.string_value
Ausgehende Schnittstelle (outbound_if)	deviceOutboundInterface	EgressInterface	outbound_if	target.labels.key und target.labels.value additional.fields.key und zusätzlicher.fields.value.string_value
Protokollaktion (Logset)	cs6	LogForwardingProfile	Loget	about.labels.key und about.labels.value additional.fields.key und zusätzlicher.fields.value.string_value
Sitzungs-ID (sessionid)	cn1	SessionID		network.session_id
Wiederholungszähler (Wiederholungen)	cnt	RepeatCount	Repeatcnt	about.labels.key und about.labels.value additional.fields.key und zusätzlicher.fields.value.string_value
Quellport (Sport)	Spt	srcPort		principal.port
Zielport (dport)	Dpt	dstPort		target.port
NAT-Quellport (natsport)	sourceTranslatedPort	srcPostNATPort		principal.nat_port
NAT-Zielport (natdport)	destinationTranslatedPort	dstPostNATPort		target.nat_port
Markierungen	flexString1	Flags	flags	about.labels.key und about.labels.value additional.fields.key und zusätzlicher.fields.value.string_value
IP-Protokoll (Proto)	proto	proto		network.ip_protocol
Aktion (Aktion)	act	Aktion		security_result.action_details security_result.action
URL/Dateiname (misc)	Anfrage	Andere Beteiligte		target.file.full_path (wenn der Untertyp 'file', 'virus', 'wildfire-virus' oder 'wildfire' ist, wird das Feld "misc" der Datei target.file.full_path zugeordnet) target.url (wenn der Untertyp „url“ ist, wird das Feld „misc“ „target.url“ und „target.hostname“ zugeordnet) target.hostname (wenn der Untertyp "spyware" oder "vulnerability" ist, wird das Feld "misc" "target.file.full_path" und "target.url" zugeordnet)
Name der Bedrohung/des Inhalts (Bedrohung)	Katze	ThreatID		security_result.threat_name
Kategorie (Kategorie)	cs2	URLCategory		security_result.category_details
Schweregrad (Schweregrad)	number-of-severity(header)	Schweregrad		security_result.severity und security_result.severity_details
Richtung (Richtung)	flexString2	Richtung		network.direction
Sequenznummer (Sequenznummer)	externalId	Sequenz		metadata.product_log_id
Aktions-Flags	PanOSActionFlags	ActionFlags	Aktionsflags	about.labels.key und about.labels.value additional.fields.key und zusätzlicher.fields.value.string_value
Quellland (srcloc)		SourceLocation		principal.location.country_or_region
Zielland (dstloc)		DestinationLocation		target.location.country_or_region
Inhaltstyp (contenttype)		ContentType	Inhaltstyp	about.labels.key und about.labels.value additional.fields.key und zusätzlicher.fields.value.string_value
PCAP-ID (pcap_id)	fileId	PCAP_ID	pcap_id	about.labels.key und about.labels.value additional.fields.key und zusätzlicher.fields.value.string_value
File Digest (filedigest) (Datei-Digest)	fileHash	FileDigest		about.file.sha1/md5/sha256
Cloud (Cloud)	filePath	Cloud	Cloud	about.labels.key und about.labels.value additional.fields.key und zusätzlicher.fields.value.string_value
URL-Index (url_idx)		URLIndex	url_idx	about.labels.key und about.labels.value additional.fields.key und zusätzlicher.fields.value.string_value
User-Agent (user_agent)				network.http.user_agent
Dateityp (Dateityp)	fileType	FileType		about.file.mime_type
X-Forwarded-For (xff)				principal.ip
Referrer-URL				network.http.referral_url
Absender (Absender)	Suid	Absender		network.email.from
Betreff (Betreff)	msg	Betreff		network.email.subject
Empfänger (Empfänger)	duid	Empfänger		network.email.to
Berichts-ID (reportid)	oldFileId	ReportID	Bericht-ID	about.labels.key und about.labels.value additional.fields.key und zusätzlicher.fields.value.string_value
Gerätegruppenhierarchie (dg_hier_level_1 bis dg_hier_level_4)	PanOSDGl1	DeviceGroupHierarchyL1	dg_hier_level_1	about.labels.key und about.labels.value additional.fields.key und zusätzlicher.fields.value.string_value
Gerätegruppenhierarchie (dg_hier_level_2)	PanOSDGl2	DeviceGroupHierarchyL2	dg_hier_level_2	about.labels.key und about.labels.value additional.fields.key und zusätzlicher.fields.value.string_value
Gerätegruppenhierarchie (dg_hier_level_3)	PanOSDGl3	DeviceGroupHierarchyL3	dg_hier_level_3	about.labels.key und about.labels.value additional.fields.key und zusätzlicher.fields.value.string_value
Gerätegruppenhierarchie (dg_hier_level_4)	PanOSDGl4	DeviceGroupHierarchyL4	dg_hier_level_4	about.labels.key und about.labels.value additional.fields.key und zusätzlicher.fields.value.string_value
Name des virtuellen Systems (vsys_name)	PanOSVsysName	vSrcName		principal.resource.name principal.resource.resource_type=VIRTUAL_MACHINE
Gerätename (device_name)	DVDChost	DeviceName		intermediary.hostname
Quell-VM-UUID (src_uuid)	PanOSSrcUUID	SrcUUID		principal.user.product_object_id
UUID der Ziel-VM (dst_uuid)	PanOSDstUUID	DstUUID		target.user.product_object_id
HTTP-Methode (http_method)		RequestMethod		network.http.method
Tunnel-ID/IMSI (tunnel_id/imsi)	PanOSTunnelID	TunnelID	tunnel_id/imsi	about.labels.key und about.labels.value additional.fields.key und zusätzlicher.fields.value.string_value
Monitor-Tag/IMEI (monitortag/imei)	PanOSMonitorTag	MonitorTag	Monitortag/imei	about.labels.key und about.labels.value additional.fields.key und zusätzlicher.fields.value.string_value
ID der übergeordneten Sitzung (parent_session_id)	PanOSParentSessionID	ParentSessionID	parent_session_id	network.parent_session_id
Beginn der übergeordneten Sitzung (parent_start_time)	PanOSParentStartTime	ParentStartTime	parent_start_time	about.labels.key und about.labels.value additional.fields.key und zusätzlicher.fields.value.string_value
Tunneltyp (Tunnel)	PanOSTunnelType	TunnelType	Tunnel	about.labels.key und about.labels.value additional.fields.key und zusätzlicher.fields.value.string_value
Bedrohungskategorie (thr_category)	PanOSThreatCategory	ThreatCategory	thr_category	security_result.detection_fields.key/value
Inhaltsversion (contentver)	PanOSContentVer	ContentVer	Contentver	about.labels.key und about.labels.value additional.fields.key und zusätzlicher.fields.value.string_value
SCTP-Verknüpfungs-ID (assoc_id)	PanOSAssocID		assoc_id	about.labels.key und about.labels.value additional.fields.key und zusätzlicher.fields.value.string_value
Nutzlastprotokoll-ID (PPID)	PanOSPPID		ppid	about.labels.key und about.labels.value additional.fields.key und zusätzlicher.fields.value.string_value
HTTP-Header (http_headers)	PanOSHTTPHeader		http_headers	about.labels.key und about.labels.value additional.fields.key und zusätzlicher.fields.value.string_value
URL-Kategorieliste (url_category_list)	PanOSURLCatList		url_category_list	about.labels.key und about.labels.value additional.fields.key und zusätzlicher.fields.value.string_value
Regel-UUID (rule_uuid)	PanOSRuleUUID			security_result.rule_id
HTTP/2-Verbindung (http2_connection)	PanOSHTTP2Con		http2_connection	about.labels.key und about.labels.value additional.fields.key und zusätzlicher.fields.value.string_value
Name der dynamischen Nutzergruppe (dynusergroup_name)	PanDynamicUsrgrp		dynusergroup_name	principal.labels.key und principal.labels.value additional.fields.key und zusätzlicher.fields.value.string_value
XFF-Adresse (xff_ip)	PanXFFIP			principal.ip
Quellgerätekategorie (src_category)	PanSrcDeviceCat		src_category	principal.labels.key und principal.labels.value additional.fields.key und zusätzlicher.fields.value.string_value
Quellgeräteprofil (src_profile)	PanSrcDeviceProf		src_profile	principal.labels.key und principal.labels.value additional.fields.key und zusätzlicher.fields.value.string_value
Quellgerätemodell (src_model)	PanSrcDeviceModel		src_model	principal.labels.key und principal.labels.value additional.fields.key und zusätzlicher.fields.value.string_value
Anbieter der Quelle (src_vendor)	PanSrcDeviceVendor		src_vendor	principal.labels.key und principal.labels.value additional.fields.key und zusätzlicher.fields.value.string_value
Betriebssystemfamilie des Quellgeräts (src_osfamily)	PanSrcDeviceOS		src_osfamily	principal.asset.platform_software.platform principal.labels.key und principal.labels.value additional.fields.key und zusätzlicher.fields.value.string_value
Betriebssystemversion des Quellgeräts (src_osversion)	PanSrcDeviceOSv			principal.asset.software.version
Quell-Hostname (src_host)	PanSrcHostname			principal.hostname
MAC-Quelladresse (src_mac)	PanSrcMac			principal.mac
Zielgerätekategorie (dst_category)	PanDstDeviceCat		dst_category	target.labels.key und target.labels.value additional.fields.key und zusätzlicher.fields.value.string_value
Zielgeräteprofil (dst_profile)	PanDstDeviceProf		dst_profile	target.labels.key und target.labels.value additional.fields.key und zusätzlicher.fields.value.string_value
Modell des Zielgeräts (dst_model)	PanDstDeviceModel		dst_model	target.labels.key und target.labels.value additional.fields.key und zusätzlicher.fields.value.string_value
Zielgeräteanbieter (dst_vendor)	PanDstDeviceVendor		dst_vendor	target.labels.key und target.labels.value additional.fields.key und zusätzlicher.fields.value.string_value
Betriebssystemfamilie des Zielgeräts (dst_osfamily)	PanDstDeviceOS		dst_osfamily	target.labels.key und target.labels.value additional.fields.key und zusätzlicher.fields.value.string_value
Betriebssystemversion des Zielgeräts (dst_osversion)	PanDstDeviceOSv			target.asset.software.version
Ziel-Hostname (dst_host)	PanDstHostname			target.hostname
MAC-Zieladresse (dst_mac)	PanDstMac			target.mac
Container-ID (container_id)	PanContainerName		container_id	about.labels.key und about.labels.value additional.fields.key und zusätzlicher.fields.value.string_value
POD-Namespace (pod_namespace)	PanPODNamespace		pod_namespace	about.labels.key und about.labels.value additional.fields.key und zusätzlicher.fields.value.string_value
POD-Name (pod_name)	PanPODName		pod_name	about.labels.key und about.labels.value additional.fields.key und zusätzlicher.fields.value.string_value
Externe dynamische Quellliste (src_edl)	PanSrcEDL		src_edl	about.labels.key und about.labels.value additional.fields.key und zusätzlicher.fields.value.string_value
Externe dynamische Zielliste (dst_edl)	PanDstEDL		dst_edl	about.labels.key und about.labels.value additional.fields.key und zusätzlicher.fields.value.string_value
Host-ID (hostid)	PanGPHostID		Host-ID	about.labels.key und about.labels.value additional.fields.key und zusätzlicher.fields.value.string_value
Seriennummer des Nutzergeräts (Seriennummer)	PanEPSerial			principal.asset.hardware.serial_number
Domain-EDL (domain_edl)	PanDomainEDL		domain_edl	about.labels.key und about.labels.value additional.fields.key und zusätzlicher.fields.value.string_value
Dynamische Quelladressgruppe (src_dag)	PanSrcDAG			principal.group.group_display_name
Dynamische Zieladressgruppe (dst_dag)	PanDstDAG			target.group.group_display_name
Partieller Hash (partial_hash)	PanPartialHash		partial_hash	about.labels.key und about.labels.value additional.fields.key und zusätzlicher.fields.value.string_value
Zeitstempel der hohen Auflösung (Zeitstempel der höheren Auflösung)	PanTimeHighRes		Zeitstempel mit hoher Auflösung	metadata.collected_timestamp metadata.event_timestamp (wenn „Generate Time“ fehlt)
Grund (Grund)	PanReasonFilteringAction		reason	about.labels.key und about.labels.value additional.fields.key und zusätzlicher.fields.value.string_value
Begründung (Begründung)	PanJustification		Begründung	about.labels.key und about.labels.value additional.fields.key und zusätzlicher.fields.value.string_value
Slice-Diensttyp (nssai_sst)	PanASServiceType		nssai_sst	about.labels.key und about.labels.value additional.fields.key und zusätzlicher.fields.value.string_value
Anwendungsunterkategorie (subcategory_of_app)			subcategory_of_app	about.labels.key und about.labels.value additional.fields.key und zusätzlicher.fields.value.string_value
Anwendungskategorie (category_of_app)			category_of_app	about.labels.key und about.labels.value additional.fields.key und zusätzlicher.fields.value.string_value
Anwendungstechnologie (technology_of_app)			technology_of_app	about.labels.key und about.labels.value additional.fields.key und zusätzlicher.fields.value.string_value
Anwendungsrisiko (risk_of_app)			risk_of_app	about.labels.key und about.labels.value additional.fields.key und zusätzlicher.fields.value.string_value
Anwendungsmerkmal (characteristic_of_app)			characteristic_of_app	about.labels.key und about.labels.value additional.fields.key und zusätzlicher.fields.value.string_value
Anwendungscontainer (container_of_app)			container_of_app	about.labels.key und about.labels.value additional.fields.key und zusätzlicher.fields.value.string_value
SaaS-Anwendung (is_saas_of_app)			is_saas_of_app	about.labels.key und about.labels.value additional.fields.key und zusätzlicher.fields.value.string_value
Anwendung sanctioned_state_of_app (sanctioned_state_of_app)			sanctioned_state_of_app	about.labels.key und about.labels.value additional.fields.key und zusätzlicher.fields.value.string_value

Traffic

In der folgenden Tabelle sind die Logfelder des Traffic-Logtyps und ihre entsprechenden UDM-Felder aufgeführt.

CSV-Feld	CEF-Feld	LEEF-Feld	Google Security Operations-Labelschlüssel	UDM-Feld
Empfangszeit (receive_time oder cef-formatted-receive_time)	rt	devTime		metadata.collected_timestamp metadata.event_timestamp (wenn „Generate Time“ fehlt)
Seriennummer (Seriennummer)	deviceExternalId	SerialNumber		intermediary.asset.hardware.serial_number
Typ (Typ)	Typ (Kopfzeile)	Katze/Typ		metadata.product_event_type
Bedrohung/Inhaltstyp (Untertyp)	Untertyp (Kopfzeile)	Subtyp		metadata.product_event_type
Generierte Zeit (time_generated oder cef-formatted-time_generated)	Starten			metadata.event_timestamp
Quelladresse (src)	src	src		principal.ip
Zieladresse (dst)	dst	dst		target.ip
NAT-Quell-IP (natsrc)	sourceTranslatedAddress	srcPostNAT		principal.nat_ip
NAT-Ziel-IP (natdst)	destinationTranslatedAddress	dstPostNAT		target.nat_ip
Regelname (Regel)	cs1	RuleName		security_result.rule_name
Quellnutzer (srcuser)	Suser	SourceUser		principal.user.userid
Zielnutzer (dstuser)	Duser	DestinationUser		target.user.userid
Anwendung (App)	App	Anwendung		target.application
Virtuelles System (vsys)	cs3	VirtualSystem	Vsys	about.labels.key und about.labels.value additional.fields.key und zusätzlicher.fields.value.string_value
Quellzone (von)	cs4	SourceZone	aus	principal.labels.key und principal.labels.value additional.fields.key und zusätzlicher.fields.value.string_value
Zielzone (nach)	cs5	DestinationZone	bis	target.labels.key und target.labels.value additional.fields.key und zusätzlicher.fields.value.string_value
Eingangsschnittstelle (inbound_if)	deviceInboundInterface	IngressInterface	inbound_if	principal.labels.key und principal.labels.value additional.fields.key und zusätzlicher.fields.value.string_value
Ausgehende Schnittstelle (outbound_if)	deviceOutboundInterface	EgressInterface	outbound_if	target.labels.key und target.labels.value additional.fields.key und zusätzlicher.fields.value.string_value
Protokollaktion (Logset)	cs6	LogForwardingProfile	Loget	about.labels.key und about.labels.value additional.fields.key und zusätzlicher.fields.value.string_value
Sitzungs-ID (sessionid)	cn1	SessionID		network.session_id
Wiederholungszähler (Wiederholungen)	cnt	RepeatCount	Repeatcnt	about.labels.key und about.labels.value additional.fields.key und zusätzlicher.fields.value.string_value
Quellport (Sport)	Spt	srcPort		principal.port
Zielport (dport)	Dpt	dstPort		target.port
NAT-Quellport (natsport)	sourceTranslatedPort	srcPostNATPort		principal.nat_port
NAT-Zielport (natdport)	destinationTranslatedPort	dstPostNATPort		target.nat_port
Markierungen	flexString1	Flags	flags	about.labels.key und about.labels.value additional.fields.key und zusätzlicher.fields.value.string_value
IP-Protokoll (Proto)	proto	proto		network.ip_protocol
Aktion (Aktion)	act	Aktion		security_result.action_details security_result.action
Byte (Byte)	flexNumber1	totalBytes	Byte	about.labels.key und about.labels.value additional.fields.key und zusätzlicher.fields.value.string_value
Bytes gesendet (bytes_sent)	in	srcBytes		network.sent_bytes
Bytes erhalten (bytes_received)	out	dstBytes		network.received_bytes
Pakete (Pakete)	cn2	totalPackets	Pakete	about.labels.key und about.labels.value additional.fields.key und zusätzlicher.fields.value.string_value
Startzeit (Start)		StartTime	Starten	about.labels.key und about.labels.value additional.fields.key und zusätzlicher.fields.value.string_value
Verstrichene Zeit (verstrichene Zeit)	cn3	ElapsedTime	verstrichen	network.session_duration.seconds
Kategorie (Kategorie)	cs2	URLCategory		security_result.category / security_result.category_details
Sequenznummer (Sequenznummer)	externalId	Sequenz		metadata.product_log_id
Aktions-Flags	PanOSActionFlags	ActionFlags	Aktionsflags	about.labels.key und about.labels.value additional.fields.key und zusätzlicher.fields.value.string_value
Quellland (srcloc)		SourceLocation		principal.location.country_or_region
Zielland (dstloc)		DestinationLocation		target.location.country_or_region
Gesendete Pakete (pkts_sent)	PanOSPacketsSent	srcPackets	pkts_sent	about.labels.key und about.labels.value additional.fields.key und zusätzlicher.fields.value.string_value
Empfangene Pakete (pkts_received)	PanOSPacketsReceived	dstPackets	pkts_received	about.labels.key und about.labels.value additional.fields.key und zusätzlicher.fields.value.string_value
Grund für das Ende der Sitzung (session_end_reason)	reason	SessionEndReason		security_result.summary
Gerätegruppenhierarchie1 (dg_hier_level_1 bis dg_hier_level_4)	PanOSDGl1	DeviceGroupHierarchyL1	dg_hier_level_1	about.labels.key und about.labels.value additional.fields.key und zusätzlicher.fields.value.string_value
Gerätegruppenhierarchie 2 (dg_hier_level_2)	PanOSDGl2	DeviceGroupHierarchyL2	dg_hier_level_2	about.labels.key und about.labels.value additional.fields.key und zusätzlicher.fields.value.string_value
Gerätegruppenhierarchie 3 (dg_hier_level_3)	PanOSDGl3	DeviceGroupHierarchyL3	dg_hier_level_3	about.labels.key und about.labels.value additional.fields.key und zusätzlicher.fields.value.string_value
Gerätegruppenhierarchie (dg_hier_level_4)	PanOSDGl4	DeviceGroupHierarchyL4	dg_hier_level_4	about.labels.key und about.labels.value additional.fields.key und zusätzlicher.fields.value.string_value
Name des virtuellen Systems (vsys_name)	PanOSVsysName	vSrcName		principal.resource.name principal.resource.resource_type=VIRTUAL_MACHINE
Gerätename (device_name)	DVDChost	DeviceName		intermediary.hostname
Aktionsquelle (action_source)	Katze	ActionSource	action_source	about.labels.key und about.labels.value additional.fields.key und zusätzlicher.fields.value.string_value
Quell-VM-UUID (src_uuid)	PanOSSrcUUID	SrcUUID		principal.asset.product_object_id
UUID der Ziel-VM (dst_uuid)	PanOSDstUUID	DstUUID		target.asset.product_object_id
Tunnel-ID/IMSI (tunnelid/imsi)	PanOSTunnelID	TunnelID	Tunnel-ID/Imsi	about.labels.key und about.labels.value additional.fields.key und zusätzlicher.fields.value.string_value
Monitor-Tag/IMEI (monitortag/imei)	PanOSMonitorTag	MonitorTag	Monitortag/imei	about.labels.key und about.labels.value additional.fields.key und zusätzlicher.fields.value.string_value
ID der übergeordneten Sitzung (parent_session_id)	PanOSParentSessionID	ParentSessionID	parent_session_id	network.parent_session_id
Beginn des übergeordneten Elements (parent_start_time)	PanOSParentStartTime	ParentStartTime	parent_start_time	about.labels.key und about.labels.value additional.fields.key und zusätzlicher.fields.value.string_value
Tunneltyp (Tunnel)	PanOSTunnelType	TunnelType	Tunnel	about.labels.key und about.labels.value additional.fields.key und zusätzlicher.fields.value.string_value
SCTP-Verknüpfungs-ID (assoc_id)	PanOSSCTPAssocID		assoc_id	about.labels.key und about.labels.value additional.fields.key und zusätzlicher.fields.value.string_value
SCTP-Blöcke (Blöcke)	PanOSSCTPChunks		Blöcke	about.labels.key und about.labels.value additional.fields.key und zusätzlicher.fields.value.string_value
Gesendete SCTP-Blöcke (chunks_sent)	PanOSSCTPChunkSent		chunks_sent	about.labels.key und about.labels.value additional.fields.key und zusätzlicher.fields.value.string_value
Empfangene SCTP-Blöcke (chunks_received)	PanOSSCTPChunksRcv		chunks_received	about.labels.key und about.labels.value additional.fields.key und zusätzlicher.fields.value.string_value
Regel-UUID (rule_uuid)	PanOSRuleUUID			security_result.rule_id
HTTP/2-Verbindung (http2_connection)	PanOSHTTP2Con		http2_connection	about.labels.key und about.labels.value additional.fields.key und zusätzlicher.fields.value.string_value
Anzahl der App-Flächen (link_change_count)	PanLinkChange		link_change_count	about.labels.key und about.labels.value additional.fields.key und zusätzlicher.fields.value.string_value
Richtlinien-ID (policy_id)	PanPolicyID		policy_id	about.labels.key und about.labels.value additional.fields.key und zusätzlicher.fields.value.string_value
Linkschalter (link_switches)	PanLinkDetail		link_switches	about.labels.key und about.labels.value additional.fields.key und zusätzlicher.fields.value.string_value
SD-WAN-Cluster (sdwan_cluster)	PanSDWANCluster		sdwan_cluster	about.labels.key und about.labels.value additional.fields.key und zusätzlicher.fields.value.string_value
SD-WAN-Gerätetyp (sdwan_device_type)	PanSDWANDevice		sdwan_device_type	about.labels.key und about.labels.value additional.fields.key und zusätzlicher.fields.value.string_value
SD-WAN-Clustertyp (sdwan_cluster_type)	PanSDWANClustype		sdwan_cluster_type	about.labels.key und about.labels.value additional.fields.key und zusätzlicher.fields.value.string_value
SD-WAN-Website (sdwan_site)	PanSDWANSite		sdwan_site	about.labels.key und about.labels.value additional.fields.key und zusätzlicher.fields.value.string_value
Name der dynamischen Nutzergruppe (dynusergroup_name)	PanDynamicUsrgrp		dynusergroup_name	about.labels.key und about.labels.value additional.fields.key und zusätzlicher.fields.value.string_value
XFF-Adresse (xff_ip)	PanXFFIP			principal.ip
Quellgerätekategorie (src_category)	PanSrcDeviceCat		src_category	principal.labels.key und principal.labels.value additional.fields.key und zusätzlicher.fields.value.string_value
Quellgeräteprofil (src_profile)	PanSrcDeviceProf		src_profile	principal.labels.key und principal.labels.value additional.fields.key und zusätzlicher.fields.value.string_value
Quellgerätemodell (src_model)	PanSrcDeviceModel		src_model	principal.labels.key und principal.labels.value additional.fields.key und zusätzlicher.fields.value.string_value
Anbieter der Quelle (src_vendor)	PanSrcDeviceVendor		src_vendor	principal.labels.key und principal.labels.value additional.fields.key und zusätzlicher.fields.value.string_value
Betriebssystemfamilie des Quellgeräts (src_osfamily)	PanSrcDeviceOS			principal.asset.platform_software.platform principal.labels.key und principal.labels.value additional.fields.key und zusätzlicher.fields.value.string_value
Betriebssystemversion des Quellgeräts (src_osversion)	PanSrcDeviceOSv			principal.asset.software.version
Quell-Hostname (src_host)	PanSrcHostname			principal.hostname
MAC-Quelladresse (src_mac)	PanSrcMac			principal.mac
Zielgerätekategorie (dst_category)	PanDstDeviceCat		dst_category	target.labels.key und target.labels.value additional.fields.key und zusätzlicher.fields.value.string_value
Zielgeräteprofil (dst_profile)	PanDstDeviceProf		dst_profile	target.labels.key und target.labels.value additional.fields.key und zusätzlicher.fields.value.string_value
Modell des Zielgeräts (dst_model)	PanDstDeviceModel		dst_model	target.labels.key und target.labels.value additional.fields.key und zusätzlicher.fields.value.string_value
Zielgeräteanbieter (dst_vendor)	PanDstDeviceVendor		dst_vendor	target.labels.key und target.labels.value additional.fields.key und zusätzlicher.fields.value.string_value
Betriebssystemfamilie des Zielgeräts (dst_osfamily)	PanDstDeviceOS		dst_osfamily	target.labels.key und target.labels.value additional.fields.key und zusätzlicher.fields.value.string_value
Betriebssystemversion des Zielgeräts (dst_osversion)	PanDstDeviceOSv			target.asset.software.version
Ziel-Hostname (dst_host)	PanDstHostname			target.hostname
MAC-Zieladresse (dst_mac)	PanDstMac			target.mac
Container-ID (container_id)	PanContainerName		container_id	about.labels.key und about.labels.value additional.fields.key und zusätzlicher.fields.value.string_value
POD-Namespace (pod_namespace)	PanPODNamespace		pod_namespace	about.labels.key und about.labels.value additional.fields.key und zusätzlicher.fields.value.string_value
POD-Name (pod_name)	PanPODName		pod_name	about.labels.key und about.labels.value additional.fields.key und zusätzlicher.fields.value.string_value
Externe dynamische Quellliste (src_edl)	PanSrcEDL		src_edl	principal.labels.key und principal.labels.value additional.fields.key und zusätzlicher.fields.value.string_value
Externe dynamische Zielliste (dst_edl)	PanDstEDL		dst_edl	target.labels.key und target.labels.value additional.fields.key und zusätzlicher.fields.value.string_value
Host-ID (hostid)	PanGPHostID		Host-ID	about.labels.key und about.labels.value additional.fields.key und zusätzlicher.fields.value.string_value
Seriennummer des Nutzergeräts (Seriennummer)	PanEPSerial			principal.asset.hardware.serial_number
Dynamische Quelladressgruppe (src_dag)	PanSrcDAG			principal.group.group_display_name
Dynamische Zieladressgruppe (dst_dag)	PanDstDAG			target.group.group_display_name
Sitzungsinhaber (session_owner)	PanHASessionOwner		session_owner	about.labels.key und about.labels.value additional.fields.key und zusätzlicher.fields.value.string_value
Zeitstempel für hohe Auflösung (high_res_timestamp)	PanTimeHighRes			metadata.collected_timestamp metadata.event_timestamp (wenn „Generate Time“ fehlt)
Slice-Diensttyp (nsdsai_sst)	PanASServiceType		nsdsai_sst	about.labels.key und about.labels.value additional.fields.key und zusätzlicher.fields.value.string_value
Ein Slice-Unterscheidungsmerkmal (nsdsai_sd)	PanASServiceDiff		nsdsai_sd	about.labels.key und about.labels.value additional.fields.key und zusätzlicher.fields.value.string_value
Anwendungsunterkategorie (subcategory_of_app)			subcategory_of_app	about.labels.key und about.labels.value additional.fields.key und zusätzlicher.fields.value.string_value
Anwendungskategorie (category_of_app)			category_of_app	about.labels.key und about.labels.value additional.fields.key und zusätzlicher.fields.value.string_value
Anwendungstechnologie (technology_of_app)			technology_of_app	about.labels.key und about.labels.value additional.fields.key und zusätzlicher.fields.value.string_value
Anwendungsrisiko (risk_of_app)				security_result.severity
Anwendungsmerkmal (characteristic_of_app)			characteristic_of_app	about.labels.key und about.labels.value additional.fields.key und zusätzlicher.fields.value.string_value
Anwendungscontainer (container_of_app)			container_of_app	about.labels.key und about.labels.value additional.fields.key und zusätzlicher.fields.value.string_value
SaaS-Anwendung (is_saas_of_app)			is_saas_of_app	about.labels.key und about.labels.value additional.fields.key und zusätzlicher.fields.value.string_value
Anwendung sanctioned_state_of_app (sanctioned_state_of_app)			sanctioned_state_of_app	about.labels.key und about.labels.value additional.fields.key und zusätzlicher.fields.value.string_value
Anwendungsunterkategorie (subcategory_of_app)			subcategory_of_app1	about.labels.key und about.labels.value additional.fields.key und zusätzlicher.fields.value.string_value

User-ID

In der folgenden Tabelle sind die Logfelder des Logtyps „user-id“ und die entsprechenden UDM-Felder aufgeführt.

CSV-Feld	CEF-Feld	LEEF-Feld	Google Security Operations-Labelschlüssel	UDM-Feld
Empfangszeit (receive_time oder cef-formatted-receive_time)	rt	devTime		metadata.collected_timestamp metadata.event_timestamp (wenn „Generate Time“ fehlt)
Seriennummer (Seriennummer)	deviceExternalId	SerialNumber		intermediary.asset.hardware.serial_number
Typ (Typ)	Typ (Kopfzeile)	Katze		metadata.product_event_type
Bedrohung/Inhaltstyp (Untertyp)	Untertyp (Kopfzeile)	Subtyp		metadata.product_event_type
Generierte Zeit (time_generated oder cef-formatted-time_generated)				metadata.event_timestamp
Virtuelles System (vsys)	cs3	VirtualSystem	Vsys	about.labels.key und about.labels.value additional.fields.key und zusätzlicher.fields.value.string_value
Quell-IP (IP)	src	src		principal.ip
Nutzer (Nutzer)	Duser	usrName		target.user.userid target.administrative_domain target.user.email_addresses
Name der Datenquelle (Name der Datenquelle)	cs4	DataSourceName	Name der Datenquelle	principal.labels.key und principal.labels.value additional.fields.key und zusätzlicher.fields.value.string_value
Ereignis-ID (eventid)		EventID	eventid	about.labels.key und about.labels.value additional.fields.key und zusätzlicher.fields.value.string_value
Wiederholungszähler (Wiederholungen)	cnt	RepeatCount	Repeatcnt	about.labels.key und about.labels.value additional.fields.key und zusätzlicher.fields.value.string_value
Grenzwert für Zeitüberschreitung (timeout)	cn3	TimeoutThreshold	Zeitüberschreitung	about.labels.key und about.labels.value additional.fields.key und zusätzlicher.fields.value.string_value
Quellport (beginport)	Spt	srcPort		principal.port
Zielport (Endport)	Dpt	dstPort		target.port
Datenquelle (Datenquelle)	cs5	DataSource	Datenquelle	principal.labels.key und principal.labels.value additional.fields.key und zusätzlicher.fields.value.string_value
Typ der Datenquelle (Datenquellentyp)	cs6	DataSourceType	Datenquellentyp	principal.labels.key und principal.labels.value additional.fields.key und zusätzlicher.fields.value.string_value
Sequenznummer (Sequenznummer)	externalId	Sequenz		metadata.product_log_id
Aktions-Flags	PanOSActionFlags	ActionFlags	Aktionsflags	about.labels.key und about.labels.value additional.fields.key und zusätzlicher.fields.value.string_value
Gerätegruppenhierarchie (dg_hier_level_1)	PanOSDGl1	DeviceGroupHierarchyL1	dg_hier_level_1	about.labels.key und about.labels.value additional.fields.key und zusätzlicher.fields.value.string_value
Gerätegruppenhierarchie (dg_hier_level_2)	PanOSDGl2	DeviceGroupHierarchyL2	dg_hier_level_2	about.labels.key und about.labels.value additional.fields.key und zusätzlicher.fields.value.string_value
Gerätegruppenhierarchie (dg_hier_level_3)	PanOSDGl3	DeviceGroupHierarchyL3	dg_hier_level_3	about.labels.key und about.labels.value additional.fields.key und zusätzlicher.fields.value.string_value
Gerätegruppenhierarchie (dg_hier_level_4)	PanOSDGl4	DeviceGroupHierarchyL4	dg_hier_level_4	about.labels.key und about.labels.value additional.fields.key und zusätzlicher.fields.value.string_value
Name des virtuellen Systems (vsys_name)	PanOSVsysName	vSrcName		principal.resource.name principal.resource.resource_type=VIRTUAL_MACHINE
Gerätename (device_name)	DVDChost	DeviceName		intermediary.hostname
ID des virtuellen Systems (vsys_id)	cn2	VirtualSystemID		principal.resource.resource_type=VIRTUAL_MACHINE und principal.resource.product_object_id
Faktortyp (Faktortyp)	cs1	FactorType	Faktortyp	about.labels.key und about.labels.value additional.fields.key und zusätzlicher.fields.value.string_value
Faktor für Abschlusszeit (Fertigstellungszeit)	end	FactorCompletionTime	Faktorvervollständigungszeit	about.labels.key und about.labels.value additional.fields.key und zusätzlicher.fields.value.string_value
Faktor (Faktorn)	cn1	FactorNumber	Faktorno	about.labels.key und about.labels.value additional.fields.key und zusätzlicher.fields.value.string_value
User-Gruppen-Flags (ugflags)	PanOSUGFlags		Ugflags	about.labels.key und about.labels.value additional.fields.key und zusätzlicher.fields.value.string_value
Nutzer nach Quelle (userbysource)	PanOSUserBySource			principal.user.userid principal.administrative_domain principal.user.email_addresses
Zeitstempel der hohen Auflösung (Zeitstempel der höheren Auflösung)	PanOSTimeGeneratedHighResolution			metadata.collected_timestamp metadata.event_timestamp (wenn „Generate Time“ fehlt)

HIP-Übereinstimmung

In der folgenden Tabelle sind die Logfelder des HIP-Übereinstimmungslogtyps und ihre entsprechenden UDM-Felder aufgeführt.

CSV-Feld	CEF-Feld	LEEF-Feld	Google Security Operations-Labelschlüssel	UDM-Feld
Empfangszeit (receive_time oder cef-formatted-receive_time)	rt	devTime		metadata.collected_timestamp metadata.event_timestamp (wenn „Generate Time“ fehlt)
Seriennummer (Seriennummer)	deviceExternalId	SerialNumber		intermediary.asset.hardware.serial_number
Typ (Typ)	Typ (Kopfzeile)	Katze		metadata.product_event_type
Bedrohung/Inhaltstyp (Untertyp)	Untertyp (Kopfzeile)	Subtyp
Generierte Zeit (time_generated oder cef-formatted-time_generated)	Starten	startTime		metadata.event_timestamp
Quellnutzer (srcuser)	Suser	usrName		principal.user.userid
Virtuelles System (vsys)	cs3	VirtualSystem	Vsys	about.labels.key und about.labels.value additional.fields.key und zusätzlicher.fields.value.string_value
Computername (Maschinenname)	Gewitter	identHostName		principal.hostname
Betriebssystem	cs2	Betriebssystem		principal.asset.platform_software.platform
Quelladresse (src)	src	identsrc		principal.ip
HIP (Übereinstimmungsname)	Katze	HIP	Matchname	about.labels.key und about.labels.value additional.fields.key und zusätzlicher.fields.value.string_value
Wiederholungszähler (Wiederholungen)	cnt	RepeatCount	Repeatcnt	about.labels.key und about.labels.value additional.fields.key und zusätzlicher.fields.value.string_value
HIP-Typ (Keyword-Option)	Geräteereignisklassen-ID (Header)	HIPType	matchtype	about.labels.key und about.labels.value additional.fields.key und zusätzlicher.fields.value.string_value
Sequenznummer (Sequenznummer)	externalId	Sequenz		metadata.product_log_id
Aktions-Flags	PanOSActionFlags	ActionFlags	Aktionsflags	about.labels.key und about.labels.value additional.fields.key und zusätzlicher.fields.value.string_value
Gerätegruppenhierarchie (dg_hier_level_1)	PanOSDGl1	DeviceGroupHierarchyL1	dg_hier_level_1	about.labels.key und about.labels.value additional.fields.key und zusätzlicher.fields.value.string_value
Gerätegruppenhierarchie (dg_hier_level_2)	PanOSDGl2	DeviceGroupHierarchyL2	dg_hier_level_2	about.labels.key und about.labels.value additional.fields.key und zusätzlicher.fields.value.string_value
Gerätegruppenhierarchie (dg_hier_level_3)	PanOSDGl3	DeviceGroupHierarchyL3	dg_hier_level_3	about.labels.key und about.labels.value additional.fields.key und zusätzlicher.fields.value.string_value
Gerätegruppenhierarchie (dg_hier_level_4)	PanOSDGl4	DeviceGroupHierarchyL4	dg_hier_level_4	about.labels.key und about.labels.value additional.fields.key und zusätzlicher.fields.value.string_value
Name des virtuellen Systems (vsys_name)	PanOSVsysName	vSrcName		principal.resource.name principal.resource.resource_type=VIRTUAL_MACHINE
Gerätename (device_name)	DVDChost	DeviceName		intermediary.hostname
ID des virtuellen Systems (vsys_id)	cn2	VirtualSystemID		principal.resource.resource_type=VIRTUAL_MACHINE und principal.resource.product_object_id
IPv6-Systemadresse (srcipv6)	C6a2	srcipv6		principal.asset.ip
Host-ID (hostid)	PanOSHostID			principal.asset.product_object_id
Seriennummer des Nutzergeräts (Seriennummer)	PanOSEndpointSerialNumber			principal.asset.hardware.serial_number
MAC-Adresse des Geräts (Mac)	PanOSEndpointMac			principal.asset.mac
Zeitstempel für hohe Auflösung (high_res_timestamp)	PanOSTimeGeneratedHighResolution			metadata.collected_timestamp metadata.event_timestamp (wenn „Generate Time“ fehlt)

IP-Tag

In der folgenden Tabelle sind die Logfelder des IP-Tag-Logtyps und die zugehörigen UDM-Felder aufgeführt.

CSV-Feld	CEF-Feld	LEEF-Feld	Google Security Operations-Labelschlüssel	UDM-Feld
Empfangszeit (receive_time oder cef-formatted-receive_time)	rt	devTime		metadata.collected_timestamp metadata.event_timestamp (wenn „Generate Time“ fehlt)
Seriennummer (Seriennummer)	deviceExternalId	SerialNumber		intermediary.asset.hardware.serial_number
Typ (Typ)	Typ (Kopfzeile)	Katze		metadata.product_event_type
Bedrohung/Inhaltstyp (Untertyp)	Untertyp (Kopfzeile)	Subtyp		metadata.product_event_type
Generierte Zeit (time_generated oder cef-formatted-time_generated)		GenerateTime		metadata.event_timestamp
Virtuelles System (vsys)	cs3	VirtualSystem	Vsys	about.labels.key und about.labels.value additional.fields.key und zusätzlicher.fields.value.string_value
Quell-IP (IP)	src	src		principal.ip
Tag-Name (tag_name)	PanOSTagName	TagName	tag_name	principal.labels.key und principal.labels.value additional.fields.key und zusätzlicher.fields.value.string_value
Ereignis-ID (event_id)	PanOSEventID	EventID	event_id	about.labels.key und about.labels.value additional.fields.key und zusätzlicher.fields.value.string_value
Wiederholungszähler (Wiederholungen)	cnt	RepeatCount	Repeatcnt	about.labels.key und about.labels.value additional.fields.key und zusätzlicher.fields.value.string_value
Zeitlimit (timeout)	PanOSTimeout	TimeoutThreshold	Zeitüberschreitung	about.labels.key und about.labels.value additional.fields.key und zusätzlicher.fields.value.string_value
Name der Datenquelle (Name der Datenquelle)	PanOSDataSourceName	DataSourceName	Name der Datenquelle	principal.labels.key und principal.labels.value additional.fields.key und zusätzlicher.fields.value.string_value
Typ der Datenquelle (datasource_type)	PanOSDataSourceType	DataSource	datasource_type	principal.labels.key und principal.labels.value additional.fields.key und zusätzlicher.fields.value.string_value
Untertyp der Datenquelle (datasource_subtype)	PanOSDataSourceSubType	DataSourceType	datasource_subtype	principal.labels.key und principal.labels.value additional.fields.key und zusätzlicher.fields.value.string_value
Sequenznummer (Sequenznummer)	externalId	Sequenz		metadata.product_log_id
Aktions-Flags	PanOSActionFlags	ActionFlags	Aktionsflags	about.labels.key und about.labels.value additional.fields.key und zusätzlicher.fields.value.string_value
Gerätegruppenhierarchie (dg_hier_level_1)	PanOSDGl1	DeviceGroupHierarchyL1	dg_hier_level_1	about.labels.key und about.labels.value additional.fields.key und zusätzlicher.fields.value.string_value
Gerätegruppenhierarchie (dg_hier_level_2)	PanOSDGl2	DeviceGroupHierarchyL2	dg_hier_level_2	about.labels.key und about.labels.value additional.fields.key und zusätzlicher.fields.value.string_value
Gerätegruppenhierarchie (dg_hier_level_3)	PanOSDGl3	DeviceGroupHierarchyL3	dg_hier_level_3	about.labels.key und about.labels.value additional.fields.key und zusätzlicher.fields.value.string_value
Gerätegruppenhierarchie (dg_hier_level_4)	PanOSDGl4	DeviceGroupHierarchyL4	dg_hier_level_4	about.labels.key und about.labels.value additional.fields.key und zusätzlicher.fields.value.string_value
Name des virtuellen Systems (vsys_name)	PanOsVsysName	vSrcName		principal.resource.name principal.resource.resource_type=VIRTUAL_MACHINE
Gerätename (device_name)	DVDChost	DeviceName		intermediary.hostname
ID des virtuellen Systems (vsys_id)	cn2	VirtualSystemID		principal.resource.resource_type=VIRTUAL_MACHINE und principal.resource.product_object_id
Zeitstempel der hohen Auflösung (Zeitstempel der höheren Auflösung)	PanOSTimeGeneratedHighResolution			metadata.collected_timestamp metadata.event_timestamp (wenn „Generate Time“ fehlt)

Entschlüsselung

In der folgenden Tabelle sind die Logfelder des Entschlüsselungslogtyps und ihre entsprechenden UDM-Felder aufgeführt.

CSV-Feld	CEF-Feld	LEEF-Feld	Google Security Operations-Labelschlüssel	UDM-Feld
Empfangszeit (receive_time oder cef-formatted-receive_time)	rt			metadata.collected_timestamp metadata.event_timestamp (wenn „Generate Time“ fehlt)
Seriennummer (Seriennummer)	PanOSDeviceSN			intermediary.asset.hardware.serial_number
Typ (Typ)	Typ (Kopfzeile)			metadata.product_event_type
Bedrohung/Inhaltstyp (Untertyp)	Untertyp (Kopfzeile)			metadata.product_event_type
Konfigurationsversion (config_ver)	PanOSConfigVersion		config_ver	about.labels.key und about.labels.value additional.fields.key und zusätzlicher.fields.value.string_value
Generierungszeit (time_generated)	PanOSLogTimeStamp			metadata.event_timestamp
Quelladresse (src)	src			principal.ip
Zieladresse (dst)	dst			target.ip
NAT-Quell-IP (natsrc)	sourceTranslatedAddress			principa.nat_ip
NAT-Ziel-IP (natdst)	destinationTranslatedAddress			target.nat_ip
Regel (Regel)	cs1			security_result.rule_name
Quellnutzer (srcuser)	Suser			principal.user.userid
Zielnutzer (dstuser)	Duser			target.user.userid
Anwendung (App)	App			target.application
Virtuelles System (vsys)	cs3		Vsys	about.labels.key und about.labels.value additional.fields.key und zusätzlicher.fields.value.string_value
Quellzone (von)	cs4		aus	principal.labels.key und principal.labels.value additional.fields.key und zusätzlicher.fields.value.string_value
Zielzone (nach)	cs5		bis	target.labels.key und target.labels.value additional.fields.key und zusätzlicher.fields.value.string_value
Eingangsschnittstelle (inbound_if)	deviceInboundInterface		inbound_if	principal.labels.key und principal.labels.value additional.fields.key und zusätzlicher.fields.value.string_value
Ausgehende Schnittstelle (outbound_if)	deviceOutboundInterface		outbound_if	target.labels.key und target.labels.value additional.fields.key und zusätzlicher.fields.value.string_value
Protokollaktion (Logset)	cs6		Loget	about.labels.key und about.labels.value additional.fields.key und zusätzlicher.fields.value.string_value
Protokollierte Zeit (time_received)	PanOSTimeReceivedManagementPlane			-
Sitzungs-ID (sessionid)	cn1			network.session_id
Wiederholungszähler (Wiederholungen)	PanOSCountOfRepeats/RepeatCount		Repeatcnt	about.labels.key und about.labels.value additional.fields.key und zusätzlicher.fields.value.string_value
Quellport (Sport)	Spt			principal.port
Zielport (dport)	Dpt			target.port
NAT-Quellport (natsport)	sourceTranslatedPort			principal.nat_port
NAT-Zielport (natdport)	destinationTranslatedPort			target.nat_port
Markierungen	flexString1		flags	about.labels.key und about.labels.value additional.fields.key und zusätzlicher.fields.value.string_value
IP-Protokoll (Proto)	proto			network.ip_protocol
Aktion (Aktion)	act			security_result.action_details security_result.action
Tunnel (Tunnel)	PanOSTunnel		Tunnel	about.labels.key und about.labels.value additional.fields.key und zusätzlicher.fields.value.string_value
Quell-VM-UUID (src_uuid)	PanOSSourceUUID			principal.asset.asset_id
UUID der Ziel-VM (dst_uuid)	PanOSDestinationUUID			target.asset.asset_id
UUID für Regel (rule_uuid)	PanOSRuleUUID			security_result.rule_id
Phase für Client-zu-Firewall (hs_stage_c2f)	PanOSClientToFirewall		hs_stage_c2f	about.labels.key und about.labels.value additional.fields.key und zusätzlicher.fields.value.string_value
Phase der Firewall-zu-Server-Verbindung (hs_stage_f2s)	PanOSFirewallToServer		hs_stage_f2s	about.labels.key und about.labels.value additional.fields.key und zusätzlicher.fields.value.string_value
TLS-Version (tls_version)	PanOSTLSVersion			network.tls.version
Schlüsselaustauschalgorithmus (tls_keyxchg)	PanOSTLSKeyExchange		tls_keyxchg	about.labels.key und about.labels.value additional.fields.key und zusätzlicher.fields.value.string_value
Verschlüsselungsalgorithmus (tls_enc)	PanOSTLSEncryptionAlgorithm		tls_enc	about.labels.key und about.labels.value additional.fields.key und zusätzlicher.fields.value.string_value
Hash-Algorithmus (tls_auth)	PanOSTLSAuth		tls_auth	about.labels.key und about.labels.value additional.fields.key und zusätzlicher.fields.value.string_value
Richtlinienname (policy_name)	PanOSPolicyName		policy_name	about.labels.key und about.labels.value additional.fields.key und zusätzlicher.fields.value.string_value
Elliptische Kurve (ec_curve)	PanOSEllipticCurve			network.tls.curve
Fehlerindex (err_index)	PanOSErrorIndex		err_index	about.labels.key und about.labels.value additional.fields.key und zusätzlicher.fields.value.string_value
Root-Status (root_status)	PanOSRootStatus		root_status	about.labels.key und about.labels.value additional.fields.key und zusätzlicher.fields.value.string_value
Kettenstatus (chain_status)	PanOSChainStatus		chain_status	about.labels.key und about.labels.value additional.fields.key und zusätzlicher.fields.value.string_value
Proxy-Typ (proxy_type)	PanOSProxyType		proxy_type	about.labels.key und about.labels.value additional.fields.key und zusätzlicher.fields.value.string_value
Seriennummer des Zertifikats (cert_serial)	PanOSCertificateSerial			network.tls.server.certificate.serial
Fingerabdruck des Zertifikats (Fingerabdruck)	PanOSFingerprint			network.tls.server.certificate.md5/sha1/sha256
Startdatum des Zertifikats (nicht davor)	PanOSTimeNotBefore			network.tls.server.certificate.not_before
Enddatum des Zertifikats (nicht danach)	PanOSTimeNotAfter			network.tls.server.certificate.not_after
Zertifikatversion (cert_ver)	PanOSCertificateVersion			network.tls.server.certificate.version
Zertifikatsgröße (cert_size)	PanOSCertificateSize		cert_size	about.labels.key und about.labels.value additional.fields.key und zusätzlicher.fields.value.string_value
Länge des Common Name (cn_len)	PanOSCommonNameLength		cn_len	about.labels.key und about.labels.value additional.fields.key und zusätzlicher.fields.value.string_value
Länge des allgemeinen Namens des Ausstellers (issuer_len)	PanOSIssuerNameLength		issuer_len	about.labels.key und about.labels.value additional.fields.key und zusätzlicher.fields.value.string_value
Länge des allgemeinen Root-Namens (rootcn_len)	PanOSRootCNLength		rootcn_len	about.labels.key und about.labels.value additional.fields.key und zusätzlicher.fields.value.string_value
SNI-Länge (sni_len)	PanOSSNILength		sni_len	about.labels.key und about.labels.value additional.fields.key und zusätzlicher.fields.value.string_value
Zertifikats-Flags (cert_flags)	PanOSCertificateFlags		cert_flags	about.labels.key und about.labels.value additional.fields.key und zusätzlicher.fields.value.string_value
Allgemeiner Antragstellername (cn)	PanOSCommonName		cn	about.labels.key und about.labels.value additional.fields.key und zusätzlicher.fields.value.string_value
Allgemeiner Name des Ausstellers (issuer_cn)	PanOSIssuerCommonName			network.tls.server.certificate.issuer
Allgemeiner Root-Name (root_cn)	PanOSRootCommonName		root_cn	about.labels.key und about.labels.value additional.fields.key und zusätzlicher.fields.value.string_value
Server Name Indication (sni)				network.tls.client.server_name
Fehler (Fehler)	PanOSErrorMessage		Fehler	about.labels.key und about.labels.value additional.fields.key und zusätzlicher.fields.value.string_value
Container-ID (container_id)	PanOSContainerID		container_id	about.labels.key und about.labels.value additional.fields.key und zusätzlicher.fields.value.string_value
POD-Namespace (pod_namespace)	PanOSContainerNameSpace		pod_namespace	about.labels.key und about.labels.value additional.fields.key und zusätzlicher.fields.value.string_value
POD-Name (pod_name)	PanOSContainerName		pod_name	about.labels.key und about.labels.value additional.fields.key und zusätzlicher.fields.value.string_value
Externe dynamische Quellliste (src_edl)	PanOSSourceEDL		src_edl	principal.labels.key und principal.labels.value additional.fields.key und zusätzlicher.fields.value.string_value
Externe dynamische Zielliste (dst_edl)	PanOSDestinationEDL		dst_edl	target.labels.key und target.labels.value additional.fields.key und zusätzlicher.fields.value.string_value
Dynamische Quelladressgruppe (src_dag)	PanOSSourceDynamicAddressGroup			principal.group.group_display_name
Dynamische Zieladressgruppe (dst_dag)	PanOSDestinationDynamicAddressGroup			target.group.group_display_name
Zeitstempel für hohe Auflösung (high_res_timestamp)	PanOSTimeGeneratedHighResolution			metadata.collected_timestamp metadata.event_timestamp (wenn „Generate Time“ fehlt)
Quellgerätekategorie (src_category)	PanOSSourceDeviceCategory		src_category	principal.labels.key und principal.labels.value additional.fields.key und zusätzlicher.fields.value.string_value
Quellgeräteprofil (src_profile)	PanOSSourceDeviceProfile		src_profile	principal.labels.key und principal.labels.value additional.fields.key und zusätzlicher.fields.value.string_value
Quellgerätemodell (src_model)	PanOSSourceDeviceModel		src_model	principal.labels.key und principal.labels.value additional.fields.key und zusätzlicher.fields.value.string_value
Anbieter der Quelle (src_vendor)	PanOSSourceDeviceVendor		src_vendor	principal.labels.key und principal.labels.value additional.fields.key und zusätzlicher.fields.value.string_value
Betriebssystemfamilie des Quellgeräts (src_osfamily)	PanOSSourceDeviceOSFamily			principal.asset.platform_software.platform principal.labels.key und principal.labels.value
Betriebssystemversion des Quellgeräts (src_osversion)	PanOSSourceDeviceOSVersion			principal.asset.software.version
Quell-Hostname (src_host)	PanOSSourceDeviceHost			principal.hostname
MAC-Quelladresse (src_mac)	PanOSSourceDeviceMac			principal.mac
Zielgerätekategorie (dst_category)	PanOSDestinationDeviceCategory		dst_category	target.labels.key und target.labels.value additional.fields.key und zusätzlicher.fields.value.string_value
Zielgeräteprofil (dst_profile)	PanOSDestinationDeviceProfile		dst_profile	target.labels.key und target.labels.value additional.fields.key und zusätzlicher.fields.value.string_value
Modell des Zielgeräts (dst_model)	PanOSDestinationDeviceModel		dst_model	target.labels.key und target.labels.value additional.fields.key und zusätzlicher.fields.value.string_value
Zielgeräteanbieter (dst_vendor)	PanOSDestinationDeviceVendor		dst_vendor	target.labels.key und target.labels.value additional.fields.key und zusätzlicher.fields.value.string_value
Betriebssystemfamilie des Zielgeräts (dst_osfamily)	PanOSDestinationDeviceOSFamily		dst_osfamily	target.labels.key und target.labels.value additional.fields.key und zusätzlicher.fields.value.string_value
Betriebssystemversion des Zielgeräts (dst_osversion)	PanOSDestinationDeviceOSVersion			target.asset.software.version
Ziel-Hostname (dst_host)	PanOSDestinationDeviceHost			target.hostname
MAC-Zieladresse (dst_mac)	PanOSDestinationDeviceMac			target.mac
Sequenznummer (Sequenznummer)	PanOSLogTypeSeqNo			metadata.product_log_id
Aktions-Flags	PanOSActionFlags		Aktionsflags	about.labels.key und about.labels.value additional.fields.key und zusätzlicher.fields.value.string_value
Gerätegruppenhierarchie (dg_hier_level_1)		DeviceGroupHierarchyL1	dg_hier_level_1	about.labels.key und about.labels.value additional.fields.key und zusätzlicher.fields.value.string_value
Gerätegruppenhierarchie (dg_hier_level_2)		DeviceGroupHierarchyL2	dg_hier_level_2	about.labels.key und about.labels.value additional.fields.key und zusätzlicher.fields.value.string_value
Gerätegruppenhierarchie (dg_hier_level_3)		DeviceGroupHierarchyL3	dg_hier_level_3	about.labels.key und about.labels.value additional.fields.key und zusätzlicher.fields.value.string_value
Gerätegruppenhierarchie (dg_hier_level_4)		DeviceGroupHierarchyL4	dg_hier_level_4	about.labels.key und about.labels.value additional.fields.key und zusätzlicher.fields.value.string_value
Name des virtuellen Systems (vsys_name)				principal.resource.name principal.resource.resource_type=VIRTUAL_MACHINE
Gerätename (device_name)				intermediary.hostname
ID des virtuellen Systems (vsys_id)				principal.resource.resource_type=VIRTUAL_MACHINE und principal.resource.product_object_id
Anwendungsunterkategorie (subcategory_of_app)			subcategory_of_app	about.labels.key und about.labels.value additional.fields.key und zusätzlicher.fields.value.string_value
Anwendungskategorie (category_of_app)			category_of_app	about.labels.key und about.labels.value additional.fields.key und zusätzlicher.fields.value.string_value
Anwendungstechnologie (technology_of_app)			technology_of_app	about.labels.key und about.labels.value additional.fields.key und zusätzlicher.fields.value.string_value
Anwendungsrisiko (risk_of_app)				security_result.severity
Anwendungsmerkmal (characteristic_of_app)			characteristic_of_app	about.labels.key und about.labels.value additional.fields.key und zusätzlicher.fields.value.string_value
Anwendungscontainer (container_of_app)			container_of_app	about.labels.key und about.labels.value additional.fields.key und zusätzlicher.fields.value.string_value
SaaS-Anwendung (is_saas_of_app)			is_saas_of_app	about.labels.key und about.labels.value additional.fields.key und zusätzlicher.fields.value.string_value
Anwendung sanctioned_state_of_app (sanctioned_state_of_app)			sanctioned_state_of_app	about.labels.key und about.labels.value additional.fields.key und zusätzlicher.fields.value.string_value

Tunnel-

In der folgenden Tabelle sind die Logfelder des Tunnel-Logtyps und die zugehörigen UDM-Felder aufgeführt.

CSV-Feld	CEF-Feld	LEEF-Feld	Google Security Operations-Labelschlüssel	UDM-Feld
Empfangszeit (receive_time oder cef-formatted-receive_time)	rt	devTime		metadata.collected_timestamp metadata.event_timestamp (wenn „Generate Time“ fehlt)
Seriennummer (Seriennummer)	deviceExternalId	SerialNumber		intermediary.asset.hardware.serial_number
Typ (Typ)	Typ (Kopfzeile)	Katze		metadata.product_event_type
Bedrohung/Inhaltstyp (Untertyp)	Untertyp (Kopfzeile)	Subtyp		metadata.product_event_type
Generierte Zeit (time_generated oder cef-formatted-time_generated)				metadata.event_timestamp
Quelladresse (src)	src	src		principal.ip
Zieladresse (dst)	dst	dst		target.ip
NAT-Quell-IP (natsrc)	sourceTranslatedAddress	srcPostNAT		principal.nat_ip
NAT-Ziel-IP (natdst)	destinationTranslatedAddress	dstPostNAT		target.nat_ip
Regelname (Regel)	cs1	RuleName		security_result.rule_name
Quellnutzer (srcuser)	Suser	SourceUser / usrName		principal.user.userid
Zielnutzer (dstuser)	Duser	DestinationUser		target.user.userid
Anwendung (App)	App	Anwendung		network.application_protocol
Virtuelles System (vsys)	cs3	VirtualSystem	Vsys	about.labels.key und about.labels.value additional.fields.key und zusätzlicher.fields.value.string_value
Quellzone (von)	cs4	SourceZone	aus	principal.labels.key und principal.labels.value additional.fields.key und zusätzlicher.fields.value.string_value
Zielzone (nach)	cs5	DestinationZone	bis	target.labels.key und target.labels.value additional.fields.key und zusätzlicher.fields.value.string_value
Eingangsschnittstelle (inbound_if)	deviceInboundInterface	IngressInterface	inbound_if	principal.labels.key und principal.labels.value additional.fields.key und zusätzlicher.fields.value.string_value
Ausgehende Schnittstelle (outbound_if)	deviceOutboundInterface	EgressInterface	outbound_if	target.labels.key und target.labels.value additional.fields.key und zusätzlicher.fields.value.string_value
Protokollaktion (Logset)	cs6	LogForwardingProfile	Loget	about.labels.key und about.labels.value additional.fields.key und zusätzlicher.fields.value.string_value
Sitzungs-ID (sessionid)	cn1	SessionID		network.session_id
Wiederholungszähler (Wiederholungen)	cnt	RepeatCount	Repeatcnt	about.labels.key und about.labels.value additional.fields.key und zusätzlicher.fields.value.string_value
Quellport (Sport)	Spt	srcPort		principal.port
Zielport (dport)	Dpt	dstPort		target.port
NAT-Quellport (natsport)	sourceTranslatedPort	srcPostNATPort		principal.nat_port
NAT-Zielport (natdport)	destinationTranslatedPort	dstPostNATPort		target.nat_port
Markierungen	flexString1	Flags	flags	about.labels.key und about.labels.value additional.fields.key und zusätzlicher.fields.value.string_value
IP-Protokoll (Proto)	proto	proto		network.ip_protocol
Aktion (Aktion)	act	Aktion		security_result.action_details security_result.action
Schweregrad (Schweregrad)				security_result.severity und security_result.severity_details
Sequenznummer (Sequenznummer)	externalId	Sequenz		metadata.product_log_id
Aktions-Flags	PanOSActionFlags	ActionFlags	Aktionsflags	about.labels.key und about.labels.value additional.fields.key und zusätzlicher.fields.value.string_value
Quellort (srcloc)				principal.location.country_or_region
Zielort (dstloc)				target.location.country_or_region
Gerätegruppenhierarchie (dg_hier_level_1)	PanOSDGl1	DeviceGroupHierarchyL1	dg_hier_level_1	about.labels.key und about.labels.value additional.fields.key und zusätzlicher.fields.value.string_value
Gerätegruppenhierarchie (dg_hier_level_2)	PanOSDGl2	DeviceGroupHierarchyL2	dg_hier_level_2	about.labels.key und about.labels.value additional.fields.key und zusätzlicher.fields.value.string_value
Gerätegruppenhierarchie (dg_hier_level_3)	PanOSDGl3	DeviceGroupHierarchyL3	dg_hier_level_3	about.labels.key und about.labels.value additional.fields.key und zusätzlicher.fields.value.string_value
Gerätegruppenhierarchie (dg_hier_level_4)	PanOSDGl4	DeviceGroupHierarchyL4	dg_hier_level_4	about.labels.key und about.labels.value additional.fields.key und zusätzlicher.fields.value.string_value
Name des virtuellen Systems (vsys_name)	PanOSVsysName	vSrcName		principal.resource.name principal.resource.resource_type=VIRTUAL_MACHINE
Gerätename (device_name)	DVDChost	DeviceName		intermediary.hostname
Tunnel-ID (Tunnel-ID)	PanOSTunnelID	TunnelID	Tunnel-ID	about.labels.key und about.labels.value additional.fields.key und zusätzlicher.fields.value.string_value
Überwachungs-Tag (monitortag)	PanOSMonitorTag	MonitorTag	Monitortag	about.labels.key und about.labels.value additional.fields.key und zusätzlicher.fields.value.string_value
ID der übergeordneten Sitzung (parent_session_id)	PanOSParentSessionID	ParentSessionID	parent_session_id	network.parent_session_id
Beginn des übergeordneten Elements (parent_start_time)	PanOSParentStartTime	ParentStartTime	parent_start_time	about.labels.key und about.labels.value additional.fields.key und zusätzlicher.fields.value.string_value
Tunneltyp (Tunnel)	cs2	TunnelType	Tunnel	about.labels.key und about.labels.value additional.fields.key und zusätzlicher.fields.value.string_value
Byte (Byte)	flexNumber1	totalBytes	Byte	about.labels.key und about.labels.value additional.fields.key und zusätzlicher.fields.value.string_value
Bytes gesendet (bytes_sent)	in	srcBytes		network.sent_bytes
Bytes erhalten (bytes_received)	out	dstBytes		network.received_bytes
Pakete (Pakete)	cn2	totalPackets	Pakete	about.labels.key und about.labels.value additional.fields.key und zusätzlicher.fields.value.string_value
Gesendete Pakete (pkts_sent)	PanOSPacketsSent	srcPackets	pkts_sent	about.labels.key und about.labels.value additional.fields.key und zusätzlicher.fields.value.string_value
Empfangene Pakete (pkts_received)	PanOSPacketsReceived	dstPackets	pkts_received	about.labels.key und about.labels.value additional.fields.key und zusätzlicher.fields.value.string_value
Maximale Kapselung (max_encap)	flexNumber2	MaximumEncapsulation	max_encap	about.labels.key und about.labels.value additional.fields.key und zusätzlicher.fields.value.string_value
Unbekanntes Protokoll (unknown_proto)	cfp1	UnknownProtocol	unknown_proto	about.labels.key und about.labels.value additional.fields.key und zusätzlicher.fields.value.string_value
Strikte Überprüfung (strict_check)	cfp2	StrictChecking	strict_check	about.labels.key und about.labels.value additional.fields.key und zusätzlicher.fields.value.string_value
Tunnelfragment (tunnel_fragment)	PanOSTunnelFragment	TunnelFragment	tunnel_fragment	about.labels.key und about.labels.value additional.fields.key und zusätzlicher.fields.value.string_value
Erstellte Sitzungen (sessions_created)	cfp3	SessionsCreated	sessions_created	about.labels.key und about.labels.value additional.fields.key und zusätzlicher.fields.value.string_value
Geschlossene Sitzungen (sessions_closed)	cfp4	SessionsClosed	sessions_closed	about.labels.key und about.labels.value additional.fields.key und zusätzlicher.fields.value.string_value
Grund für das Ende der Sitzung (session_end_reason)	reason	SessionEndReason		security_result.summary
Aktionsquelle (action_source)	Katze	ActionSource	action_source	about.labels.key und about.labels.value additional.fields.key und zusätzlicher.fields.value.string_value
Startzeit (Start)		startTime	Starten	about.labels.key und about.labels.value additional.fields.key und zusätzlicher.fields.value.string_value
Verstrichene Zeit (verstrichene Zeit)	cn3	ElapsedTime	verstrichen	network.session_duration.seconds
Tunnelinspektionsregel (tunnel_insp_rule)	PanOSTunneInspectionRule			security_result.rule_name = "Tunnel Inspection Rule: %{PanOSTunnelInspectionRule}"
IP-Adresse des Remote-Nutzers (remote_user_ip)	PanOSRmtUserIP			target.ip
ID des Remote-Nutzers (remote_user_id)	PanOSRmtUserID		remote_user_id	target.labels.key und target.labels.value additional.fields.key und zusätzlicher.fields.value.string_value
Sicherheitsregel-UUID (rule_uuid)	PanOSRuleUUID			security_result.rule_id
PCAP-ID (pcap_id)	PanOSPcapID		pcap_id	about.labels.key und about.labels.value additional.fields.key und zusätzlicher.fields.value.string_value
Name der dynamischen Nutzergruppe (dynusergroup_name)	PanDynamicUsrgrp			principal.group.group_display_name
Externe dynamische Quellliste (src_edl)	PanOSSourceEDL		src_edl	principal.labels.key und principal.labels.value additional.fields.key und zusätzlicher.fields.value.string_value
Externe dynamische Zielliste (dst_edl)	PanOSDestinationEDL		dst_edl	target.labels.key und target.labels.value additional.fields.key und zusätzlicher.fields.value.string_value
Zeitstempel der hohen Auflösung (Zeitstempel der höheren Auflösung)	PanOSTimeGeneratedHighResolution			metadata.collected_timestamp metadata.event_timestamp (wenn „Generate Time“ fehlt)
Ein Slice-Unterscheidungsmerkmal (nssai_sd)			nssai_sd	about.labels.key und about.labels.value additional.fields.key und zusätzlicher.fields.value.string_value
Slice-Diensttyp (nssai_sd)			nssai_sd1	about.labels.key und about.labels.value additional.fields.key und zusätzlicher.fields.value.string_value
PDU-Sitzungs-ID (pdu_session_id)			pdu_session_id	about.labels.key und about.labels.value additional.fields.key und zusätzlicher.fields.value.string_value
Anwendungsunterkategorie (subcategory_of_app)			subcategory_of_app	about.labels.key und about.labels.value additional.fields.key und zusätzlicher.fields.value.string_value
Anwendungskategorie (category_of_app)			category_of_app	about.labels.key und about.labels.value additional.fields.key und zusätzlicher.fields.value.string_value
Anwendungstechnologie (technology_of_app)			technology_of_app	about.labels.key und about.labels.value additional.fields.key und zusätzlicher.fields.value.string_value
Anwendungsrisiko (risk_of_app)			risk_of_app	about.labels.key und about.labels.value additional.fields.key und zusätzlicher.fields.value.string_value
Anwendungsmerkmal (characteristic_of_app)			characteristic_of_app	about.labels.key und about.labels.value additional.fields.key und zusätzlicher.fields.value.string_value
Anwendungscontainer (container_of_app)			container_of_app	about.labels.key und about.labels.value additional.fields.key und zusätzlicher.fields.value.string_value
SaaS-Anwendung (is_saas_of_app)			is_saas_of_app	about.labels.key und about.labels.value additional.fields.key und zusätzlicher.fields.value.string_value
Anwendung sanctioned_state_of_app (sanctioned_state_of_app)			sanctioned_state_of_app	about.labels.key und about.labels.value additional.fields.key und zusätzlicher.fields.value.string_value

Authentifizierung

In der folgenden Tabelle sind die Logfelder des Authentifizierungslogtyps und ihre entsprechenden UDM-Felder aufgeführt.

CSV-Feld	CEF-Feld	LEEF-Feld	Google Security Operations-Labelschlüssel	UDM-Feld
Empfangszeit (receive_time oder cef-formatted-receive_time)	rt	devTime		metadata.collected_timestamp metadata.event_timestamp (wenn „Generate Time“ fehlt)
Seriennummer (Seriennummer)	deviceExternalId	SerialNumber		intermediary.asset.hardware.serial_number
Typ (Typ)	Typ (Kopfzeile)	Katze		metadata.product_event_type
Bedrohung/Inhaltstyp (Untertyp)	Untertyp (Kopfzeile)	Subtyp		metadata.product_event_type
Generierte Zeit (time_generated oder cef-formatted-time_generated)				metadata.event_timestamp
Virtuelles System (vsys)	cs3	VirtualSystem	Vsys	about.labels.key und about.labels.value additional.fields.key und zusätzlicher.fields.value.string_value
Quell-IP (IP)	src	src		principal.ip
Nutzer (Nutzer)	Duser	usrName		target.user.userid
Nutzer normalisieren (normalize_user)	cs2	NormalizeUser		target.user.user_display_name
Objekt (Objekt)	fname	ObjectName	Objekt	about.labels.key und about.labels.value additional.fields.key und zusätzlicher.fields.value.string_value
Authentifizierungsrichtlinie (authpolicy)	cs4	AuthPolicy	Authentifizierungsrichtlinie	about.labels.key und about.labels.value additional.fields.key und zusätzlicher.fields.value.string_value
Wiederholungszähler (Wiederholungen)	cnt	RepeatCount	Repeatcnt	about.labels.key und about.labels.value additional.fields.key und zusätzlicher.fields.value.string_value
Authentifizierungs-ID (authid)	cn2	AuthenticationID	Authentifizierungs-ID	about.labels.key und about.labels.value additional.fields.key und zusätzlicher.fields.value.string_value
Anbieter (Anbieter)	flexString2	Lieferant	vendor	about.labels.key und about.labels.value additional.fields.key und zusätzlicher.fields.value.string_value
Protokollaktion (Logset)	cs6	LogForwardingProfile	Loget	about.labels.key und about.labels.value additional.fields.key und zusätzlicher.fields.value.string_value
Serverprofil (Serverprofil)	cs1	ServerProfile	Serverprofil	about.labels.key und about.labels.value additional.fields.key und zusätzlicher.fields.value.string_value
Beschreibung (absteigend)	PanOSDesc	AdditionalAuthInfo		security_result.description
Clienttyp (clienttype)	cs5	ClientType	Clienttyp	about.labels.key und about.labels.value additional.fields.key und zusätzlicher.fields.value.string_value
Ereignistyp (Ereignis)	msg	msg		extensions.auth.auth_details
Faktor (Faktorn)	cn1	FactorNumber	Faktorno	about.labels.key und about.labels.value additional.fields.key und zusätzlicher.fields.value.string_value
Sequenznummer (Sequenznummer)	externalId	Sequenz		metadata.product_log_id
Aktions-Flags	PanOSActionFlags	ActionFlags	Aktionsflags	about.labels.key und about.labels.value additional.fields.key und zusätzlicher.fields.value.string_value
Gerätegruppenhierarchie (dg_hier_level_1)	PanOSDGl1	DeviceGroupHierarchyL1	dg_hier_level_1	about.labels.key und about.labels.value additional.fields.key und zusätzlicher.fields.value.string_value
Gerätegruppenhierarchie (dg_hier_level_2)	PanOSDGl2	DeviceGroupHierarchyL2	dg_hier_level_2	about.labels.key und about.labels.value additional.fields.key und zusätzlicher.fields.value.string_value
Gerätegruppenhierarchie (dg_hier_level_3)	PanOSDGl3	DeviceGroupHierarchyL3	dg_hier_level_3	about.labels.key und about.labels.value additional.fields.key und zusätzlicher.fields.value.string_value
Gerätegruppenhierarchie (dg_hier_level_4)	PanOSDGl4	DeviceGroupHierarchyL4	dg_hier_level_4	about.labels.key und about.labels.value additional.fields.key und zusätzlicher.fields.value.string_value
Name des virtuellen Systems (vsys_name)	PanOSVsysName	vSrcName		principal.resource.name principal.resource.resource_type=VIRTUAL_MACHINE
Gerätename (device_name)	DVDChost	DeviceName		intermediary.hostname
ID des virtuellen Systems (vsys_id)				principal.resource.resource_type=VIRTUAL_MACHINE und principal.resource.product_object_id
Authentifizierungsprotokoll (authproto)			Authproto	about.labels.key und about.labels.value additional.fields.key und zusätzlicher.fields.value.string_value
UUID für Regel (rule_uuid)	PanOSRule-UUID/Regel-UUID			security_result.rule_id
Zeitstempel für hohe Auflösung (high_res _timestamp)	PanOSTimeGeneratedHighResolution			metadata.collected_timestamp metadata.event_timestamp (wenn „Generate Time“ fehlt)
Quellgerätekategorie (src_category)	PanOSSourceDeviceCategory		src_category	principal.labels.key und principal.labels.value additional.fields.key und zusätzlicher.fields.value.string_value
Quellgeräteprofil (src_profile)	PanOSSourceDeviceProfile		src_profile	principal.labels.key und principal.labels.value additional.fields.key und zusätzlicher.fields.value.string_value
Quellgerätemodell (src_model)	PanOSSourceDeviceModel		src_model	principal.labels.key und principal.labels.value additional.fields.key und zusätzlicher.fields.value.string_value
Anbieter der Quelle (src_vendor)	PanOSSourceDeviceVendor		src_vendor	principal.labels.key und principal.labels.value additional.fields.key und zusätzlicher.fields.value.string_value
Betriebssystemfamilie des Quellgeräts (src_osfamily)	PanOSSourceDeviceOSFamily			principal.asset.platform_software.platform principal.labels.key und principal.labels.value additional.fields.key und zusätzlicher.fields.value.string_value
Betriebssystemversion des Quellgeräts (src_osversion)	PanOSSourceDeviceOSVersion			principal.asset.software.version
Quell-Hostname (src_host)	PanOSSourceHostname			principal.hostname
MAC-Quelladresse (src_mac)	PanOSSourceMac			principal.asset.mac
Region (Region)	PanOSTrafficOriginRegion			principal.location.country_or_region
User-Agent (user_agent)	PanOSHTTPUserAgent			network.http.user_agent
Sitzungs-ID(Sitzungs-ID)	PanOSTrafficSessionID			network.session_id

URL

In der folgenden Tabelle sind die Logfelder des URL-Logtyps und die zugehörigen UDM-Felder aufgeführt.

CSV-Feld	CEF-Feld	LEEF-Feld	Google Security Operations-Labelschlüssel	UDM-Feld
Empfangszeit (cef-formatted-receive_time)	rt	devTime		metadata.collected_timestamp metadata.event_timestamp (wenn „Generate Time“ fehlt)
Seriennummer (Seriennummer)	deviceExternalId	SerialNumber		intermediary.asset.hardware.serial_number
Typ (Typ)	Typ (Kopfzeile)	Katze		metadata.product_event_type
Bedrohung/Inhaltstyp (Untertyp)	Untertyp (Kopfzeile)	Subtyp		metadata.product_event_type
Zeit generieren				metadata.event_timestamp
Quelladresse (src)	src	src		principal.ip
Zieladresse (dst)	dst	dst		target.ip
NAT-Quell-IP (natsrc)	sourceTranslatedAddress	srcPostNAT		principal.nat_ip
NAT-Ziel-IP (natdst)	destinationTranslatedAddress	dstPostNAT		target.nat_ip
Regel (Regel)	cs1	RuleName		security_result.rule_name
Quellnutzer (srcuser)	Suser	SourceUser		principal.user.userid
Zielnutzer (dstuser)	Duser	DestinationUser		target.user.userid
Anwendung (App)	App	Anwendung		network.application_protocol
Virtuelles System (vsys)	cs3	VirtualSystem	Vsys	about.labels.key und about.labels.value additional.fields.key und zusätzlicher.fields.value.string_value
Quellzone (von)	cs4	SourceZone	aus	principal.labels.key und principal.labels.value additional.fields.key und zusätzlicher.fields.value.string_value
Zielzone (nach)	cs5	DestinationZone	bis	target.labels.key und target.labels.value additional.fields.key und zusätzlicher.fields.value.string_value
Eingangsschnittstelle (inbound_if)	deviceInboundInterface	IngressInterface	inbound_if	principal.labels.key und principal.labels.value additional.fields.key und zusätzlicher.fields.value.string_value
Ausgehende Schnittstelle (outbound_if)	deviceOutboundInterface	EgressInterface	outbound_if	target.labels.key und target.labels.value additional.fields.key und zusätzlicher.fields.value.string_value
Protokollaktion (Logset)	cs6	LogForwardingProfile	Loget	about.labels.key und about.labels.value additional.fields.key und zusätzlicher.fields.value.string_value
Protokollierte Zeit			time_logged	about.labels.key und about.labels.value additional.fields.key und zusätzlicher.fields.value.string_value
Sitzungs-ID (sessionid)	cn1	SessionID		network.session_id
Wiederholungszähler (Wiederholungen)	cnt	RepeatCount	Repeatcnt	about.labels.key und about.labels.value additional.fields.key und zusätzlicher.fields.value.string_value
Quellport (Sport)	Spt	srcPort		principal.port
Zielport (dport)	Dpt	dstPort		target.port
NAT-Quellport (natsport)	sourceTranslatedPort	srcPostNATPort		principal.nat_port
NAT-Zielport (natdport)	destinationTranslatedPort	dstPostNATPort		target.nat_port
Markierungen	flexString1	Flags	flags	about.labels.key und about.labels.value additional.fields.key und zusätzlicher.fields.value.string_value
IP-Protokoll (Proto)	proto	proto		network.ip_protocol
Aktion (Aktion)	act	Aktion		security_result.action_details security_result.action
URL/Dateiname (misc)		Andere Beteiligte		target.file.full_path target.url
Name der Bedrohung/des Inhalts (Bedrohung)	Katze	ThreatID		security_result.threat_id
Kategorie (Kategorie)	cs2	URLCategory	category	about.labels.key und about.labels.value additional.fields.key und zusätzlicher.fields.value.string_value
Schweregrad (Schweregrad)	number-of-severity (Header)	Schweregrad		security_result.severity security_result.severity_details
Richtung (Richtung)	flexString2	Richtung		network.direction
Sequenznummer (Sequenznummer)	externalId	Sequenz		metadata.product_log_id
Aktions-Flags	PanOSActionFlags	ActionFlags	Aktionsflags	about.labels.key und about.labels.value additional.fields.key und zusätzlicher.fields.value.string_value
Quellland (srcloc)		SourceLocation		principal.location.country_or_region
Zielland (dstloc)		DestinationLocation		target.location.country_or_region
contenttype (contenttype) (Inhaltstyp)	requestContext	ContentType	Inhaltstyp	about.labels.key und about.labels.value additional.fields.key und zusätzlicher.fields.value.string_value
pcap_id (pcap_id)	fileId	PCAP_ID	pcap_id	about.labels.key und about.labels.value additional.fields.key und zusätzlicher.fields.value.string_value
filedigest (filedigest)		FileDigest		about.file.sha1/md5/sha256
Cloud (Cloud)		Cloud	Cloud	about.labels.key und about.labels.value additional.fields.key und zusätzlicher.fields.value.string_value
url_idx (url_idx)		URLIndex	url_idx	about.labels.key und about.labels.value additional.fields.key und zusätzlicher.fields.value.string_value
User-Agent (User_Agent)	requestClientApplication	UserAgent		network.http.user_agent
filetype (filetype) (Dateityp)				about.file.mime_type
xff (xff)	PanOSXForwarderfor	identSrc	XFF	about.labels.key und about.labels.value additional.fields.key und zusätzlicher.fields.value.string_value
Verweis-URL (Referrer)	PanOSReferer	Verwiesen von:		network.http.referral_url
Absender (Absender)				network.email.from
Betreff (Betreff)		Betreff		network.email.subject
Empfänger (Empfänger)				network.email.to
reportid (reportid)			Bericht-ID	about.labels.key und about.labels.value additional.fields.key und zusätzlicher.fields.value.string_value
DG Hierarchieebene 1 (dg_hier_level_1)	PanOSDGl1	DeviceGroupHierarchyL1	dg_hier_level_1	about.labels.key und about.labels.value additional.fields.key und zusätzlicher.fields.value.string_value
DG Hierarchieebene 2 (dg_hier_level_2)	PanOSDGl2	DeviceGroupHierarchyL2	dg_hier_level_2	about.labels.key und about.labels.value additional.fields.key und zusätzlicher.fields.value.string_value
DG Hierarchieebene 3 (dg_hier_level_3)	PanOSDGl3	DeviceGroupHierarchyL3	dg_hier_level_3	about.labels.key und about.labels.value additional.fields.key und zusätzlicher.fields.value.string_value
DG Hierarchieebene 4 (dg_hier_level_4)	PanOSDGl4	DeviceGroupHierarchyL4	dg_hier_level_4	about.labels.key und about.labels.value additional.fields.key und zusätzlicher.fields.value.string_value
Name des virtuellen Systems (vsys_name)	PanOSVsysName	vSrcName		principal.resource.name principal.resource.resource_type=VIRTUAL_MACHINE
Gerätename (device_name)	DVDChost	DeviceName		intermediary.hostname
file_url (Datei-URL)				about.url
Quell-VM-UUID (src_uuid)		SrcUUID		principal.asset.asset_id
UUID der Ziel-VM (dst_uuid)		DstUUID		target.asset.asset_id
http_method (http_method)	requestMethod	RequestMethod		network.http.method
Tunnel-ID/IMSI (Tunnel-ID)	PanOSTunnelID	TunnelID	Tunnel-ID	about.labels.key und about.labels.value additional.fields.key und zusätzlicher.fields.value.string_value
Monitor-Tag/IMEI (monitortag)	PanOSMonitorTag	MonitorTag	Monitortag	about.labels.key und about.labels.value additional.fields.key und zusätzlicher.fields.value.string_value
ID der übergeordneten Sitzung (parent_session_id)	PanOSParentSessionID	ParentSessionID	parent_session_id	network.parent_session_id
Beginn der übergeordneten Sitzung (parent_start_time)	PanOSParentStartTime	ParentStartTime	parent_start_time	about.labels.key und about.labels.value additional.fields.key und zusätzlicher.fields.value.string_value
Tunnel (Tunnel)	PanOSTunnelType	TunnelType	Tunnel	about.labels.key und about.labels.value additional.fields.key und zusätzlicher.fields.value.string_value
thr_category (thr_category)	PanOSThreatCategory	ThreatCategory	thr_category	security_result.detection_fields.key/value
Contentver (contentver)	PanOSContentVer	ContentVer	Contentver	about.labels.key und about.labels.value additional.fields.key und zusätzlicher.fields.value.string_value
sig_flags (sig_flags)			sig_flags	about.labels.key und about.labels.value additional.fields.key und zusätzlicher.fields.value.string_value
SCTP-Verknüpfungs-ID (assoc_id)	PanOSAssocID		assoc_id	about.labels.key und about.labels.value additional.fields.key und zusätzlicher.fields.value.string_value
Nutzlastprotokoll-ID (PPID)	PanOSPPID		ppid	about.labels.key und about.labels.value additional.fields.key und zusätzlicher.fields.value.string_value
http_headers (http_headers)	PanOSHTTPHeader		http_headers	about.labels.key und about.labels.value additional.fields.key und zusätzlicher.fields.value.string_value
URL-Kategorieliste (url_category_list)	PanOSURLCatList		url_category_list	about.labels.key und about.labels.value additional.fields.key und zusätzlicher.fields.value.string_value
UUID für Regel (rule_uuid)	PanOSRuleUUID		rule_uuid	about.labels.key und about.labels.value additional.fields.key und zusätzlicher.fields.value.string_value
HTTP/2-Verbindung (http2_connection)	PanOSHTTP2Con		http2_connection	about.labels.key und about.labels.value additional.fields.key und zusätzlicher.fields.value.string_value
dynusergroup_name (dynusergroup_name)	PanDynamicUsrgrp		dynusergroup_name	about.labels.key und about.labels.value additional.fields.key und zusätzlicher.fields.value.string_value
XFF-Adresse (xff_ip)	PanXFFIP			principal.ip
Quellgerätekategorie (src_category)	PanSrcDeviceCat		src_category	principal.labels.key und principal.labels.value additional.fields.key und zusätzlicher.fields.value.string_value
Quellgeräteprofil (src_profile)	PanSrcDeviceProf		src_profile	principal.labels.key und principal.labels.value additional.fields.key und zusätzlicher.fields.value.string_value
Quellgerätemodell (src_model)	PanSrcDeviceModel		src_model	principal.labels.key und principal.labels.value additional.fields.key und zusätzlicher.fields.value.string_value
Anbieter der Quelle (src_vendor)	PanSrcDeviceVendor		src_vendor	principal.labels.key und principal.labels.value additional.fields.key und zusätzlicher.fields.value.string_value
Betriebssystemfamilie des Quellgeräts (src_osfamily)	PanSrcDeviceOS			principal.asset.platform_software.platform principal.labels.key und principal.labels.value additional.fields.key und zusätzlicher.fields.value.string_value
Betriebssystemversion des Quellgeräts (src_osversion)	PanSrcDeviceOSv			principal.asset.software.version
Quell-Hostname (src_host)	PanSrcHostname		src_host	principal.labels.key und principal.labels.value additional.fields.key und zusätzlicher.fields.value.string_value
Mac-Quelladresse (src_mac)	PanSrcMac			principal.mac
Zielgerätekategorie (dst_category)	PanDstDeviceCat		dst_category	target.labels.key und target.labels.value additional.fields.key und zusätzlicher.fields.value.string_value
Zielgeräteprofil (dst_profile)	PanDstDeviceProf		dst_profile	target.labels.key und target.labels.value additional.fields.key und zusätzlicher.fields.value.string_value
Modell des Zielgeräts (dst_model)	PanDstDeviceModel		dst_model	target.labels.key und target.labels.value additional.fields.key und zusätzlicher.fields.value.string_value
Zielgeräteanbieter (dst_vendor)	PanDstDeviceVendor		dst_vendor	target.labels.key und target.labels.value additional.fields.key und zusätzlicher.fields.value.string_value
Betriebssystemfamilie des Zielgeräts (dst_osfamily)	PanDstDeviceOS			target.asset.platform_software.platform target.labels.key und target.labels.value
Betriebssystemversion des Zielgeräts (dst_osversion)	PanDstDeviceOSv			target.asset.software.version
Ziel-Hostname (dst_host)	PanPODNamespace			target.hostname
Mac-Zieladresse (dst_mac)	PanDstMac			target.mac
Container-ID (container_id)	PanContainerName		container_id	about.labels.key und about.labels.value additional.fields.key und zusätzlicher.fields.value.string_value
POD-Namespace (pod_namespace)	PanPODNamespace		pod_namespace	about.labels.key und about.labels.value additional.fields.key und zusätzlicher.fields.value.string_value
POD-Name (pod_name)	PanPODName		pod_name	about.labels.key und about.labels.value additional.fields.key und zusätzlicher.fields.value.string_value
Externe dynamische Quellliste (src_edl)	PanSrcEDL		src_edl	principal.labels.key und principal.labels.value additional.fields.key und zusätzlicher.fields.value.string_value
Externe dynamische Zielliste (dst_edl)	PanDstEDL		dst_edl	target.labels.key und target.labels.value additional.fields.key und zusätzlicher.fields.value.string_value
Host-ID (hostid)	PanGPHostID		Host-ID	about.labels.key und about.labels.value additional.fields.key und zusätzlicher.fields.value.string_value
Seriennummer (Seriennummer)	PanEPSerial			principal.asset.hardware.serial_number
domain_edl (domain_edl)	PanDomainEDL		domain_edl	about.labels.key und about.labels.value additional.fields.key und zusätzlicher.fields.value.string_value
Dynamische Quelladressgruppe (src_dag)	PanSrcDAG			principal.group.group_display_name
Dynamische Zieladressgruppe (dst_dag)	PanDstDAG			target.group.group_display_name
partial_hash (partial_hash)	PanPartialHash		partial_hash	about.labels.key und about.labels.value additional.fields.key und zusätzlicher.fields.value.string_value
Zeitstempel mit hoher Auflösung (high_res_timestamp)	PanTimeHighRes			metadata.collected_timestamp metadata.event_timestamp (wenn „Generate Time“ fehlt)
Grund (Grund)	PanReasonFilteringAction		reason	about.labels.key und about.labels.value additional.fields.key und zusätzlicher.fields.value.string_value
Begründung (Begründung)	PanJustification		Begründung	about.labels.key und about.labels.value additional.fields.key und zusätzlicher.fields.value.string_value
nssai_sst (nssai_sst)	PanASServiceType		nssai_sst	about.labels.key und about.labels.value additional.fields.key und zusätzlicher.fields.value.string_value
Unterkategorie der App (subcategory_of_app)			subcategory_of_app	about.labels.key und about.labels.value additional.fields.key und zusätzlicher.fields.value.string_value
App-Kategorie (category_of_app)			category_of_app	about.labels.key und about.labels.value additional.fields.key und zusätzlicher.fields.value.string_value
Technologie der App (technology_of_app)			technology_of_app	about.labels.key und about.labels.value additional.fields.key und zusätzlicher.fields.value.string_value
Risiko der App (risk_of_app)			risk_of_app	about.labels.key und about.labels.value additional.fields.key und zusätzlicher.fields.value.string_value
Merkmal der App (characteristic_of_app)			characteristic_of_app	about.labels.key und about.labels.value additional.fields.key und zusätzlicher.fields.value.string_value
Container der Anwendung (container_of_app)			container_of_app	about.labels.key und about.labels.value additional.fields.key und zusätzlicher.fields.value.string_value
Tunneled App (tunneled_app)			tunneled_app	about.labels.key und about.labels.value additional.fields.key und zusätzlicher.fields.value.string_value
SaaS der Anwendung (is_saas_of_app)			is_saas_of_app	about.labels.key und about.labels.value additional.fields.key und zusätzlicher.fields.value.string_value
Genehmigter Status der App (sanctioned_state_of_app)			sanctioned_state_of_app	about.labels.key und about.labels.value additional.fields.key und zusätzlicher.fields.value.string_value

Daten

In der folgenden Tabelle sind die Logfelder des Datenlogtyps und ihre entsprechenden UDM-Felder aufgeführt.

CSV-Feld	CEF-Feld	LEEF-Feld	Google Security Operations-Labelschlüssel	UDM-Feld
Empfangszeit (cef-formatted-receive_time)	rt	devTime		metadata.collected_timestamp metadata.event_timestamp (wenn „Generate Time“ fehlt)
Seriennummer (Seriennummer)	deviceExternalId	SerialNumber		intermediary.asset.hardware.serial_number
Typ (Typ)	Typ (Kopfzeile)	Katze		metadata.product_event_type
Bedrohung/Inhaltstyp (Untertyp)	Untertyp (Kopfzeile)	Subtyp		metadata.product_event_type
Zeit generieren				metadata.event_timestamp
Quelladresse (src)	src	src		principal.ip
Zieladresse (dst)	dst	dst		target.ip
NAT-Quell-IP (natsrc)	sourceTranslatedAddress	srcPostNAT		principal.nat_ip
NAT-Ziel-IP (natdst)	destinationTranslatedAddress	dstPostNAT		target.nat_ip
Regel (Regel)	cs1	RuleName		security_result.rule_name
Quellnutzer (srcuser)	Suser	SourceUser		principal.user.userid
Zielnutzer (dstuser)	Duser	DestinationUser		target.user.userid
Anwendung (App)	App	Anwendung		network.application_protocol
Virtuelles System (vsys)	cs3	VirtualSystem	Vsys	about.labels.key und about.labels.value additional.fields.key und zusätzlicher.fields.value.string_value
Quellzone (von)	cs4	SourceZone	aus	principal.labels.key und principal.labels.value additional.fields.key und zusätzlicher.fields.value.string_value
Zielzone (nach)	cs5	DestinationZone	bis	target.labels.key und target.labels.value additional.fields.key und zusätzlicher.fields.value.string_value
Eingangsschnittstelle (inbound_if)	deviceInboundInterface	IngressInterface	inbound_if	principal.labels.key und principal.labels.value additional.fields.key und zusätzlicher.fields.value.string_value
Ausgehende Schnittstelle (outbound_if)	deviceOutboundInterface	EgressInterface	outbound_if	target.labels.key und target.labels.value additional.fields.key und zusätzlicher.fields.value.string_value
Protokollaktion (Logset)	cs6	LogForwardingProfile	Loget	about.labels.key und about.labels.value additional.fields.key und zusätzlicher.fields.value.string_value
Protokollierte Zeit			time_logged	about.labels.key und about.labels.value additional.fields.key und zusätzlicher.fields.value.string_value
Sitzungs-ID (sessionid)	cn1	SessionID		network.session_id
Wiederholungszähler (Wiederholungen)	cnt	RepeatCount	Repeatcnt	about.labels.key und about.labels.value additional.fields.key und zusätzlicher.fields.value.string_value
Quellport (Sport)	Spt	srcPort		principal.port
Zielport (dport)	Dpt	dstPort		target.port
NAT-Quellport (natsport)	sourceTranslatedPort	srcPostNATPort		principal.nat_port
NAT-Zielport (natdport)	destinationTranslatedPort	dstPostNATPort		target.nat_port
Markierungen	flexString1	Flags	flags	about.labels.key und about.labels.value additional.fields.key und zusätzlicher.fields.value.string_value
IP-Protokoll (Proto)	proto	proto		network.ip_protocol
Aktion (Aktion)	act	Aktion		security_result.action_details security_result.action
URL/Dateiname (misc)		Andere Beteiligte		target.file.full_path target.url
Name der Bedrohung/des Inhalts (Bedrohung)	Katze	ThreatID		security_result.threat_id
Kategorie (Kategorie)	cs2	URLCategory	category	about.labels.key und about.labels.value additional.fields.key und zusätzlicher.fields.value.string_value
Schweregrad (Schweregrad)	number-of-severity (Header)	Schweregrad		security_result.severity security_result.severity_details
Richtung (Richtung)	flexString2	Richtung		network.direction
Sequenznummer (Sequenznummer)	externalId	Sequenz		metadata.product_log_id
Aktions-Flags	PanOSActionFlags	ActionFlags	Aktionsflags	about.labels.key und about.labels.value additional.fields.key und zusätzlicher.fields.value.string_value
Quellland (srcloc)		SourceLocation		principal.location.country_or_region
Zielland (dstloc)		DestinationLocation		target.location.country_or_region
contenttype (contenttype) (Inhaltstyp)		ContentType	Inhaltstyp	about.labels.key und about.labels.value additional.fields.key und zusätzlicher.fields.value.string_value
pcap_id (pcap_id)	fileId	PCAP_ID	pcap_id	about.labels.key und about.labels.value additional.fields.key und zusätzlicher.fields.value.string_value
filedigest (filedigest)		FileDigest		about.file.sha1/md5/sha256
Cloud (Cloud)		Cloud	Cloud	about.labels.key und about.labels.value additional.fields.key und zusätzlicher.fields.value.string_value
url_idx (url_idx)		URLIndex	url_idx	about.labels.key und about.labels.value additional.fields.key und zusätzlicher.fields.value.string_value
User-Agent (User_Agent)				network.http.user_agent
filetype (filetype) (Dateityp)				about.file.mime_type
xff (xff)			XFF	about.labels.key und about.labels.value additional.fields.key und zusätzlicher.fields.value.string_value
Verweis-URL (Referrer)				network.http.referral_url
Absender (Absender)				network.email.from
Betreff (Betreff)		Betreff		network.email.subject
Empfänger (Empfänger)				network.email.to
reportid (reportid)			Bericht-ID	about.labels.key und about.labels.value additional.fields.key und zusätzlicher.fields.value.string_value
DG Hierarchieebene 1 (dg_hier_level_1)	PanOSDGl1	DeviceGroupHierarchyL1	dg_hier_level_1	about.labels.key und about.labels.value additional.fields.key und zusätzlicher.fields.value.string_value
DG Hierarchieebene 2 (dg_hier_level_2)	PanOSDGl2	DeviceGroupHierarchyL2	dg_hier_level_2	about.labels.key und about.labels.value additional.fields.key und zusätzlicher.fields.value.string_value
DG Hierarchieebene 3 (dg_hier_level_3)	PanOSDGl3	DeviceGroupHierarchyL3	dg_hier_level_3	about.labels.key und about.labels.value additional.fields.key und zusätzlicher.fields.value.string_value
DG Hierarchieebene 4 (dg_hier_level_4)	PanOSDGl4	DeviceGroupHierarchyL4	dg_hier_level_4	about.labels.key und about.labels.value additional.fields.key und zusätzlicher.fields.value.string_value
Name des virtuellen Systems (vsys_name)	PanOSVsysName	vSrcName		principal.resource.name principal.resource.resource_type=VIRTUAL_MACHINE
Gerätename (device_name)	DVDChost	DeviceName		intermediary.hostname
file_url (Datei-URL)				about.url
Quell-VM-UUID (src_uuid)		SrcUUID		principal.asset.asset_id
UUID der Ziel-VM (dst_uuid)		DstUUID		target.asset.asset_id
http_method (http_method)		RequestMethod		network.http.method
Tunnel-ID/IMSI (Tunnel-ID)	PanOSTunnelID	TunnelID	Tunnel-ID	about.labels.key und about.labels.value additional.fields.key und zusätzlicher.fields.value.string_value
Monitor-Tag/IMEI (monitortag)	PanOSMonitorTag	MonitorTag	Monitortag	about.labels.key und about.labels.value additional.fields.key und zusätzlicher.fields.value.string_value
ID der übergeordneten Sitzung (parent_session_id)	PanOSParentSessionID	ParentSessionID	parent_session_id	network.parent_session_id
Beginn der übergeordneten Sitzung (parent_start_time)	PanOSParentStartTime	ParentStartTime	parent_start_time	about.labels.key und about.labels.value additional.fields.key und zusätzlicher.fields.value.string_value
Tunnel (Tunnel)	PanOSTunnelType	TunnelType	Tunnel	about.labels.key und about.labels.value additional.fields.key und zusätzlicher.fields.value.string_value
thr_category (thr_category)	PanOSThreatCategory	ThreatCategory	thr_category	security_result.detection_fields.key/value
Contentver (contentver)	PanOSContentVer	ContentVer	Contentver	about.labels.key und about.labels.value additional.fields.key und zusätzlicher.fields.value.string_value
sig_flags (sig_flags)			sig_flags	about.labels.key und about.labels.value additional.fields.key und zusätzlicher.fields.value.string_value
SCTP-Verknüpfungs-ID (assoc_id)	PanOSAssocID		assoc_id	about.labels.key und about.labels.value additional.fields.key und zusätzlicher.fields.value.string_value
Nutzlastprotokoll-ID (PPID)	PanOSPPID		ppid	about.labels.key und about.labels.value additional.fields.key und zusätzlicher.fields.value.string_value
http_headers (http_headers)	PanOSHTTPHeader		http_headers	about.labels.key und about.labels.value additional.fields.key und zusätzlicher.fields.value.string_value
URL-Kategorieliste (url_category_list)			url_category_list	about.labels.key und about.labels.value additional.fields.key und zusätzlicher.fields.value.string_value
UUID für Regel (rule_uuid)	PanOSRuleUUID		rule_uuid	about.labels.key und about.labels.value additional.fields.key und zusätzlicher.fields.value.string_value
HTTP/2-Verbindung (http2_connection)			http2_connection	about.labels.key und about.labels.value additional.fields.key und zusätzlicher.fields.value.string_value
dynusergroup_name (dynusergroup_name)			dynusergroup_name	principal.labels.key und principal.labels.value additional.fields.key und zusätzlicher.fields.value.string_value
XFF-Adresse (xff_ip)				principal.ip
Quellgerätekategorie (src_category)			src_category	principal.labels.key und principal.labels.value additional.fields.key und zusätzlicher.fields.value.string_value
Quellgeräteprofil (src_profile)			src_profile	principal.labels.key und principal.labels.value additional.fields.key und zusätzlicher.fields.value.string_value
Quellgerätemodell (src_model)			src_model	principal.labels.key und principal.labels.value additional.fields.key und zusätzlicher.fields.value.string_value
Anbieter der Quelle (src_vendor)			src_vendor	principal.labels.key und principal.labels.value additional.fields.key und zusätzlicher.fields.value.string_value
Betriebssystemfamilie des Quellgeräts (src_osfamily)				principal.asset.platform_software.platform principal.labels.key und principal.labels.value additional.fields.key und zusätzlicher.fields.value.string_value
Betriebssystemversion des Quellgeräts (src_osversion)				principal.asset.software.version
Quell-Hostname (src_host)			src_host	principal.labels.key und principal.labels.value additional.fields.key und zusätzlicher.fields.value.string_value
Mac-Quelladresse (src_mac)				principal.mac
Zielgerätekategorie (dst_category)			dst_category	target.labels.key und target.labels.value additional.fields.key und zusätzlicher.fields.value.string_value
Zielgeräteprofil (dst_profile)			dst_profile	target.labels.key und target.labels.value additional.fields.key und zusätzlicher.fields.value.string_value
Modell des Zielgeräts (dst_model)			dst_model	target.labels.key und target.labels.value additional.fields.key und zusätzlicher.fields.value.string_value
Zielgeräteanbieter (dst_vendor)			dst_vendor	target.labels.key und target.labels.value additional.fields.key und zusätzlicher.fields.value.string_value
Betriebssystemfamilie des Zielgeräts (dst_osfamily)				target.asset.platform_software.platform target.labels.key und target.labels.value
Betriebssystemversion des Zielgeräts (dst_osversion)				target.asset.software.version
Ziel-Hostname (dst_host)				target.hostname
Mac-Zieladresse (dst_mac)				target.mac
Container-ID (container_id)			container_id	about.labels.key und about.labels.value additional.fields.key und zusätzlicher.fields.value.string_value
POD-Namespace (pod_namespace)			pod_namespace	about.labels.key und about.labels.value additional.fields.key und zusätzlicher.fields.value.string_value
POD-Name (pod_name)			pod_name	about.labels.key und about.labels.value additional.fields.key und zusätzlicher.fields.value.string_value
Externe dynamische Quellliste (src_edl)			src_edl	principal.labels.key und principal.labels.value additional.fields.key und zusätzlicher.fields.value.string_value
Externe dynamische Zielliste (dst_edl)			dst_edl	target.labels.key und target.labels.value additional.fields.key und zusätzlicher.fields.value.string_value
Host-ID (hostid)			Host-ID	about.labels.key und about.labels.value additional.fields.key und zusätzlicher.fields.value.string_value
Seriennummer (Seriennummer)				principal.asset.hardware.serial_number
domain_edl (domain_edl)			domain_edl	about.labels.key und about.labels.value additional.fields.key und zusätzlicher.fields.value.string_value
Dynamische Quelladressgruppe (src_dag)				principal.group.group_display_name
Dynamische Zieladressgruppe (dst_dag)				target.group.group_display_name
partial_hash (partial_hash)			partial_hash	about.labels.key und about.labels.value additional.fields.key und zusätzlicher.fields.value.string_value
Zeitstempel mit hoher Auflösung (high_res_timestamp)				metadata.collected_timestamp metadata.event_timestamp (wenn „Generate Time“ fehlt)
Grund (Grund)			reason	about.labels.key und about.labels.value additional.fields.key und zusätzlicher.fields.value.string_value
Begründung (Begründung)			Begründung	about.labels.key und about.labels.value additional.fields.key und zusätzlicher.fields.value.string_value
nssai_sst (nssai_sst)			nssai_sst	about.labels.key und about.labels.value additional.fields.key und zusätzlicher.fields.value.string_value
Unterkategorie der App (subcategory_of_app)			subcategory_of_app	about.labels.key und about.labels.value additional.fields.key und zusätzlicher.fields.value.string_value
App-Kategorie (category_of_app)			category_of_app	about.labels.key und about.labels.value additional.fields.key und zusätzlicher.fields.value.string_value
Technologie der App (technology_of_app)			technology_of_app	about.labels.key und about.labels.value additional.fields.key und zusätzlicher.fields.value.string_value
Risiko der App (risk_of_app)			risk_of_app	about.labels.key und about.labels.value additional.fields.key und zusätzlicher.fields.value.string_value
Merkmal der App (characteristic_of_app)			characteristic_of_app	about.labels.key und about.labels.value additional.fields.key und zusätzlicher.fields.value.string_value
Container der Anwendung (container_of_app)			container_of_app	about.labels.key und about.labels.value additional.fields.key und zusätzlicher.fields.value.string_value
Tunneled App (tunneled_app)			tunneled_app	about.labels.key und about.labels.value additional.fields.key und zusätzlicher.fields.value.string_value
SaaS der Anwendung (is_saas_of_app)			is_saas_of_app	about.labels.key und about.labels.value additional.fields.key und zusätzlicher.fields.value.string_value
Genehmigter Status der App (sanctioned_state_of_app)			sanctioned_state_of_app	about.labels.key und about.labels.value additional.fields.key und zusätzlicher.fields.value.string_value

GlobalProtect

In der folgenden Tabelle sind die Logfelder des GlobalProtect-Logtyps und die zugehörigen UDM-Felder aufgeführt.

CSV-Feld	CEF-Feld	LEEF-Feld	Google Security Operations-Labelschlüssel	UDM-Feld
Empfangszeit (receive_time)	rt		received_time	metadata.event_timestamp
Seriennummer (Seriennummer)	PanOSDeviceSN		intermediary_asset_hardware_serial_number	intermediary.asset.hardware.serial_number
Typ (Typ)	Typ (Kopfzeile)			metadata.product_event_type
Bedrohung/Inhaltstyp (Untertyp)	Untertyp (Kopfzeile)	Subtyp		metadata.product_event_type
Generierungszeit (time_generated)	PanOSLogTimeStamp		generated_timestamp	metadata.event_timestamp
Virtuelles System (vsys)	PanOSVirtualSystem		Vsys	about.labels.key und about.labels.value additional.fields.key und zusätzlicher.fields.value.string_value
Ereignis-ID (eventid)	PanOSEventID		event_id	about.labels.key und about.labels.value additional.fields.key und zusätzlicher.fields.value.string_value
Phase (stage)	PanOSStage		Phase	about.labels.key und about.labels.value additional.fields.key und zusätzlicher.fields.value.string_value
Authentifizierungsmethode (auth_method)	PanOSAuthMethod		extension_auth_auth_details	extensions.auth.auth_details
Tunneltyp (tunnel_type)	PanOSTunnelType		Tunnel	about.labels.key und about.labels.value additional.fields.key und zusätzlicher.fields.value.string_value
Quellnutzer (srcuser)	PanOSSourceUserName		src_user	principal.user.email_address principal.user.userid principal.administrative_domain
Quellregion (srcregion)	PanOSSourceRegion		src_region	principal.location.country_or_region
Computername (Maschinenname)	PanOSEndpointDeviceName		machine_name	principal.hostname
Öffentliche IP-Adresse (public_ip)	PanOSPublicIPv4			principal.nat_ip
Öffentliches IPv6 (public_ipv6)	PanOSPublicIPv6			principal.nat_ip
Private IP-Adresse (private_ip)	PanOSPrivateIPv4			principal.ip
Privates IPv6 (private_ipv6)	PanOSPrivateIPv6			principal.ip
Host-ID (hostid)	PanOSHostID		Host-ID	principal.asset.asset_id
Seriennummer (Seriennummer)	PanOSDeviceSN			principal.asset.hardware.serial_number
Clientversion (client_ver)	PanOSGlobalProtectClientVersion		client_ver	about.labels.key und about.labels.value additional.fields.key und zusätzlicher.fields.value.string_value
Clientbetriebssystem (client_os)	PanOSEndpointOSType			principal.asset.platform_software.platform(enum)
Version des Clientbetriebssystems (client_os_ver)	PanOSEndpointOSVersion			principal.asset.platform_software.platform_version
Wiederholungszähler (Wiederholungen)	PanOSCountOfRepeats		Repeatcnt	about.labels.key und about.labels.value additional.fields.key und zusätzlicher.fields.value.string_value
Grund (Grund)	PanOSQuarantineReason			security_result.summary
Fehler (Fehler)	PanOSConnectionError		Fehler	security_result.description
Beschreibung (opak)	PanOSDescription			security_result.description
Status (Status)	PanOSEventStatus		Status	about.labels.key und about.labels.value additional.fields.key und zusätzlicher.fields.value.string_value
Standort (location)	PanOSGPGatewayLocation			target.location.country_or_region
Anmeldedauer (login_duration)	PanOSLoginDuration			network.session_duration
Verbindungsmethode (connect_method)	PanOSConnectionMethod		connect_method	about.labels.key und about.labels.value additional.fields.key und zusätzlicher.fields.value.string_value
Fehlercode (error_code)	PanOSConnectionErrorID		error_code	about.labels.key und about.labels.value additional.fields.key und zusätzlicher.fields.value.string_value
Portal (Portal)	PanOSPortal		Portal	about.labels.key und about.labels.value additional.fields.key und zusätzlicher.fields.value.string_value
Sequenznummer (Sequenznummer)	PanOSSequenceNo			metadata.product_log_id
Aktions-Flags	PanOSActionFlags		Aktionsflags	about.labels.key und about.labels.value additional.fields.key und zusätzlicher.fields.value.string_value
Zeitstempel für hohe Auflösung (high_res_timestamp)	anOSTimeGeneratedHighResolution			metadata.collected_timestamp metadata.event_timestamp (wenn „Generate Time“ fehlt)
Gateway-Auswahlmethode (selection_type)	PanOSGatewaySelectionType		selection_type	about.labels.key und about.labels.value additional.fields.key und zusätzlicher.fields.value.string_value
SSL-Antwortzeit (response_time)	PanOSSSLResponseTime		response_time	about.labels.key und about.labels.value additional.fields.key und zusätzlicher.fields.value.string_value
Gateway-Priorität (Priorität)	PanOSGatewayPriority		Priorität	about.labels.key und about.labels.value additional.fields.key und zusätzlicher.fields.value.string_value
Versuchte Gateways (attempted_gateways)	PanOSAttemptedGateways		attempted_gateways	about.labels.key und about.labels.value additional.fields.key und zusätzlicher.fields.value.string_value
Gateway-Name (Gateway)	PanOSAttemptedGateways		Gateway	about.labels.key und about.labels.value additional.fields.key und zusätzlicher.fields.value.string_value
Gerätegruppenhierarchie (dg_hier_level_1)			dg_hier_level_1	about.labels.key und about.labels.value additional.fields.key und zusätzlicher.fields.value.string_value
Gerätegruppenhierarchie (dg_hier_level_2)			dg_hier_level_2	about.labels.key und about.labels.value additional.fields.key und zusätzlicher.fields.value.string_value
Gerätegruppenhierarchie (dg_hier_level_3)			dg_hier_level_3	about.labels.key und about.labels.value additional.fields.key und zusätzlicher.fields.value.string_value
Gerätegruppenhierarchie (dg_hier_level_4)			dg_hier_level_4	about.labels.key und about.labels.value additional.fields.key und zusätzlicher.fields.value.string_value
Name des virtuellen Systems (vsys_name)				principal.resource.name principal.resource.resource_type=VIRTUAL_MACHINE
Gerätename (device_name)				target.hostname
ID des virtuellen Systems (vsys_id)				principal.resource.resource_type=VIRTUAL_MACHINE und principal.resource.product_object_id

Ergebnisse in Beziehung setzen

In der folgenden Tabelle sind die Logfelder des Korrelationslogtyps und ihre entsprechenden UDM-Felder aufgeführt.

CSV-Feld	LEEF-Feld	Google Security Operations-Labelschlüssel	UDM-Feld
Generierte Zeit (time_generated oder cef-formatted-time_generated)	startTime	generated_timestamp	metadata.event_timestamp
Quelladresse (src)	src		principal.ip
Quellnutzer (srcuser)	SourceUser / usrName		principal.user.userid
Virtuelles System (vsys)	VirtualSystem	Vsys	about.labels.key und about.labels.value additional.fields.key und zusätzlicher.fields.value.string_value
Kategorie (Kategorie)			security_result.category_details
Schweregrad (Schweregrad)	Schweregrad		security_result.severity und security_result.severity_details
Gerätegruppenhierarchie Stufe 1	DeviceGroupHierarchyL1		about.labels.key und about.labels.value additional.fields.key und zusätzlicher.fields.value.string_value
Gerätegruppenhierarchie Stufe 2	DeviceGroupHierarchyL2		about.labels.key und about.labels.value additional.fields.key und zusätzlicher.fields.value.string_value
Gerätegruppenhierarchie Stufe 3	DeviceGroupHierarchyL3		about.labels.key und about.labels.value additional.fields.key und zusätzlicher.fields.value.string_value
Gerätegruppenhierarchie Stufe 4	DeviceGroupHierarchyL4		about.labels.key und about.labels.value additional.fields.key und zusätzlicher.fields.value.string_value
Name des virtuellen Systems (vsys_name)	vSrcName		principal.resource.name principal.resource.resource_type=VIRTUAL_MACHINE
Gerätename (device_name)	DeviceName		intermediary.hostname
ID des virtuellen Systems (vsys_id)	VirtualSystemID		principal.resource.resource_type=VIRTUAL_MACHINE und principal.resource.product_object_id
Objektname (Objektname)	ObjectName		target.resource.name
Objekt-ID (object_id)	ObjectID		target.resource.product_object_id

Referenz zur Feldzuordnung: Logtypen zum UDM-Ereignistyp

In der folgenden Tabelle sind die Firewall-Logtypen von Palo Alto Networks und die entsprechenden UDM-Ereignistypen aufgeführt.

Logtyp	UDM-Ereignistyp
Traffic	NETWORK_CONNECTION
Bedrohung	NETWORK_CONNECTION
URL-Filter	NETWORK_CONNECTION
WildFire	NETWORK_CONNECTION WildFire-Übertragungslogs sind ein Untertyp des Bedrohungsprotokolltyps und verwenden dasselbe Syslog-Format.
Datenfilterung	NETWORK_CONNECTION
Tunnel-	NETWORK_CONNECTION
Konfiguration	SETTING_MODIFICATION/SETTING_CREATION/SETTING_DELETION/SETTING_UNCATEGORIZED Der Wert im Feld „Befehl (cmd)“ bestimmt die Zuordnung des UDM-Ereignistyps. Wenn der Wert des cmd-Feldes zum Hinzufügen oder Klonen festgelegt ist, wird SETTING_CREATION festgelegt. Wenn der Wert des cmd-Felds gelöscht wird, wird SETTING_DELETION festgelegt. Wenn der Wert des cmd-Felds bearbeitet, verschoben, umbenannt, festgelegt oder per Commit übergeben wird, ist SETTING_MODIFICATION festgelegt. Wenn der Wert des cmd-Felds keine Werte enthält, wird SETTING_UNCATEGORIZED festgelegt.
System	Wenn der Wert des Untertyps „dhcp“ lautet, ist NETWORK_DHCP festgelegt. Wenn der Wert des Untertyps "auth" ist, wird USER_LOGIN festgelegt. Wenn der Beschreibungswert "angemeldet" ist, wird USER_LOGIN festgelegt. Wenn der Beschreibungswert "abgemeldet" ist, wird USER_LOGOUT festgelegt. Für andere Werte des Untertyps wird GENERIC_EVENT festgelegt.
HIP-Übereinstimmung	NETWORK_CONNECTION
IP-Tag	GENERIC_EVENT
User-ID	USER_LOGIN/USER_LOGOUT/USER_UNCATEGORIZED Wenn der Untertypwert "login" ist, wird USER_LOGIN festgelegt. Wenn der Untertypwert "logout" ist, wird USER_LOGOUT festgelegt. Wenn der Untertyp keinen Wert enthält, wird USER_UNCATEGORIZED festgelegt.
Entschlüsselung	NETWORK_CONNECTION
Authentifizierung	GENERIC_EVENT

Nächste Schritte

Datenaufnahme in Google Security Operations

Log format	PAN-OS-Version
CSV	10.1.3
CEF	10.0.0
LEEF	9.1.0