Firewalllogs von Palo Alto Networks erfassen

Überblick

In diesem Dokument wird beschrieben, wie Sie Syslog und einen Chronicle-Forwarder konfigurieren können, um Firewalllogs von Palo Alto Networks zu erfassen. In diesem Dokument wird auch erläutert, wie die Firewall-Logfelder von Palo Alto Networks den Feldern des Chronicle Unified Data Model (UDM) zugeordnet werden.

Einen Überblick über die Datenaufnahme in Chronicle finden Sie unter Datenaufnahme in Chronicle.

Ein Aufnahmelabel identifiziert den Parser, der Log-Rohdaten in das strukturierte UDM-Format normalisiert. Die Informationen in diesem Dokument gelten für den Parser mit dem Aufnahmelabel PAN_FIREWALL.

Hinweise

  • Sehen Sie sich die Bereitstellungsarchitektur an, um mehr über die Komponenten zu erfahren, die zum Erfassen der Firewalllogs von Palo Alto Networks bereitgestellt werden. Jede Kundenbereitstellung kann sich von dieser Darstellung unterscheiden und komplexer sein.

    Das folgende Diagramm zeigt, wie Sie Syslog in einer Palo Alto Networks-Firewall konfigurieren und einen Chronicle-Forwarder auf einem Linux-Server installieren können, um Logdaten an Chronicle weiterzuleiten. Der Parser unterstützt Logs, die in den folgenden Datenformaten geschrieben sind: Comma Separated Values (CSV), Common Event Format (CEF) und Log Event Extended Format (LEEF).

    Bereitstellungsarchitektur

  • Prüfen Sie die vom Chronicle-Parser unterstützten Logformate und PAN-OS-Versionen. In der folgenden Tabelle sind die Logformate und die entsprechenden PAN-OS-Versionen aufgeführt, die vom Chronicle-Parser unterstützt werden:

    Protokollformat PAN-OS-Version
    CSV 10.1.3
    CEF 10.0.0
    LEEF 9.1.0

  • Prüfen Sie die Logtypen der Palo Alto Networks-Firewall, die vom Chronicle-Parser unterstützt werden. Der Chronicle-Parser unterstützt die folgenden Firewall-Logtypen von Palo Alto Networks:

    • Traffic
    • Bedrohung
    • WildFire-Einreichungen
    • Tunnelinspektion
    • Konfiguration
    • System
    • HIP-Übereinstimmung
    • IP-Tag
    • User-ID
    • Entschlüsselung
    • Authentifizierung
    • URL-Filter
    • Datenfilterung
    • GlobalProtect
    • Ergebnisse in Beziehung setzen

    Weitere Informationen zu den Logtypen der Palo Alto Networks-Firewall finden Sie unter PAN-OS-Logtypen.

  • Achten Sie darauf, dass alle Systeme in der Bereitstellungsarchitektur in der UTC-Zeitzone konfiguriert sind.

  • Bevor Sie den Gold-Parser der Palo Alto Networks-Firewall verwenden, lesen Sie die in diesem Dokument aufgeführten Änderungen an den Feldzuordnungen zwischen dem Standardparser und dem Gold-Parser. Achten Sie im Rahmen der Migration darauf, dass die Regeln, Suchanfragen, Dashboards und anderen Prozesse, die von den ursprünglichen Feldern abhängen, die aktualisierten Felder verwenden.

    Im Standard-Parser wird beispielsweise das Logfeld „category“ dem UDM-Feld „security_result.description“ zugeordnet. Im Gold-Parser der PAN-Firewall wird das Logfeld „category“ dem UDM-Feld „security_result.category_details“ zugeordnet. Wenn Sie zum Gold-Parser der PAN-Firewall migrieren und „category“ in Ihren Regeln verwenden, müssen Sie die Regeln so ändern, dass das UDM-Feld „security_result.category_details“ des Gold-Parsers verwendet wird.

Syslog und den Chronicle-Forwarder konfigurieren

Führen Sie die folgenden Schritte aus, um Syslog und den Chronicle-Forwarder zu konfigurieren:

  1. Konfigurieren Sie das Syslog-Serverprofil, um CSV-Protokolle zu überwachen. Weitere Informationen finden Sie unter Syslog-Serverprofil konfigurieren.

    Legen Sie beim Konfigurieren des Syslog-Serverprofils „Standard“ als benutzerdefiniertes Logformat fest.

  2. Konfigurieren Sie die Firewall von Palo Alto Networks so, dass CEF-Logs weitergeleitet werden, um CEF-Logs zu überwachen. Weitere Informationen finden Sie in der PDF-Datei zum Integrationsleitfaden für das PAN-OS-CEF und im Abschnitt „Konfiguration von Palo Alto Networks NGFW zur Ausgabe von CEF-Ereignissen“.

  3. Konfigurieren Sie das Syslog-Serverprofil, um LEEF-Logs zu überwachen. Weitere Informationen finden Sie unter Benutzerdefinierte Logweiterleitung im LEEF-Format.

  4. Konfigurieren Sie den Chronicle-Forwarder so, dass Logs an Chronicle gesendet werden. Weitere Informationen finden Sie unter Forwarder unter Linux installieren und konfigurieren. Im Folgenden finden Sie ein Beispiel für eine Chronicle-Forwarder-Konfiguration:

      - syslog:
          common:
            enabled: true
            data_type: PAN_FIREWALL
            batch_n_seconds: 10
            batch_n_bytes: 1048576
          tcp_address: 0.0.0.0:10518
          connection_timeout_sec: 60
    

Referenz zur Feldzuordnung: Felder in PAN-Firewall-Logs zu UDM-Feldern

In diesem Abschnitt wird erläutert, wie der Parser für jeden Logtyp die Logfelder der Palo Alto Networks-Firewall den Chronicle-UDM-Ereignisfeldern zuordnet.

Der Chronicle-Labelschlüssel bezieht sich auf den Namen des Schlüssels, der dem UDM-Feld „Labels.key“ zugeordnet ist. Im Feld „Virtuelles System“ lautet der Feldname beispielsweise „cs3“ im CEF-Format und „VirtualSystem“ im LEEF-Format. Das UDM-Feld "about.labels.key" enthält den Wert "vsys" und das UDM-Feld "about.labels.value" den Wert dieses Felds.

Einige der CEF- oder LEEF-Feldnamen haben keinen Namen, der den CSV-Feldnamen entspricht. Wenn Sie in solchen Fällen einen eigenen Variablennamen im benutzerdefinierten Logformat im Syslog-Profil hinzufügen, ordnet der Parser ihn nicht dem UDM-Feld zu.

In den folgenden Abschnitten finden Sie die Zuordnungsreferenzen der einzelnen Logtypen:

System

In der folgenden Tabelle sind die Logfelder des System-Logtyps und die entsprechenden UDM-Felder aufgeführt.

CSV-Feld CEF-Feld LEEF-Feld Chronicle-Labelschlüssel UDM-Feld
Empfangszeit (Receive_time oder cef-formatted-receive_time) rt devTime metadata.collected_timestamp,

metadata.event_timestamp (wenn „Generate Time“ nicht vorhanden ist)

Seriennummer (seriell) deviceExternalId SerialNumber intermediary.asset.hardware.serial_number
Typ (Typ) Typ (Header) cat „metadata.product_event_type“ ist auf „%{type} – %{subtype}“ festgelegt.
Bedrohungs-/Inhaltstyp (Untertyp) Untertyp (Header) Subtyp „metadata.product_event_type“ ist auf „%{type} – %{subtype}“ festgelegt.
Generierte Zeit (time_generated oder cef-formatted-time_generated) metadata.event_timestamp
Virtuelles System (vsys) cs3 VirtualSystem Vsys

about.labels.key und about.labels.value

„additional.fields.key“ und „additional.fields.value.string_value“

Ereignis-ID (eventid) cat eventid

about.labels.key und about.labels.value

„additional.fields.key“ und „additional.fields.value.string_value“

Objekt (Objekt) fname Dateiname Objekt

about.labels.key und about.labels.value

„additional.fields.key“ und „additional.fields.value.string_value“

Modul (Modul) flexString2 Modul module

about.labels.key und about.labels.value

„additional.fields.key“ und „additional.fields.value.string_value“

Schweregrad (Schweregrad) $number-of-severity(Header) Schweregrad security_result.severity und security_result.severity_details
Beschreibung (undurchsichtig) msg msg metadata.description
principal_user_userid (dieses Feld wird aus dem msg-Feld extrahiert) principal.user.userid
principal_ip3 (Dieses Feld wird aus dem msg-Feld extrahiert) principal.ip
Grund (dieses Feld wird aus dem Nachrichtenfeld extrahiert) security_result.description
server_address (Dieses Feld wird aus dem Feld „msg“ extrahiert.) target.ip
server_profile (Dieses Feld wird aus dem Nachrichtenfeld extrahiert.) „additional.fields.key“ und „additional.fields.value.string_value“
Sequenznummer (Sequenznummer) externalId Sequenz metadata.product_log_id
Aktions-Flags (actionflags) PanOSActionFlags ActionFlags Aktionsflags

about.labels.key und about.labels.value

„additional.fields.key“ und „additional.fields.value.string_value“

Gerätegruppenhierarchie (dg_hier_level_1 bis dg_hier_level_4) PanOSDGl1 DeviceGroupHierarchyL1 dg_hier_level_1

about.labels.key und about.labels.value

„additional.fields.key“ und „additional.fields.value.string_value“

Gerätegruppenhierarchie (dg_hier_level_2) PanOSDGl2 DeviceGroupHierarchyL2 dg_hier_level_2

about.labels.key und about.labels.value

„additional.fields.key“ und „additional.fields.value.string_value“

Gerätegruppenhierarchie (dg_hier_level_3) PanOSDGl3 DeviceGroupHierarchyL3 dg_hier_level_3

about.labels.key und about.labels.value

„additional.fields.key“ und „additional.fields.value.string_value“

Gerätegruppenhierarchie (dg_hier_level_4) PanOSDGl4 DeviceGroupHierarchyL4 dg_hier_level_4

about.labels.key und about.labels.value

„additional.fields.key“ und „additional.fields.value.string_value“

Name des virtuellen Systems (vsys_name) PanOSVsysName vSrcName principal.resource.name

principal.resource.resource_type=VIRTUAL_MACHINE

Gerätename (device_name) DVD-Host DeviceName intermediary.hostname
Zeitstempel für hohe Auflösung (high_res_timestamp) anOSTimeGeneratedHighResolution metadata.collected_timestamp,

metadata.event_timestamp (wenn „Generate Time“ nicht vorhanden ist)

Konfiguration

In der folgenden Tabelle sind die Logfelder des Konfigurationslogtyps und die entsprechenden UDM-Felder aufgeführt.

CSV-Feld CEF-Feld LEEF-Feld Chronicle-Labelschlüssel UDM-Feld
Empfangszeit (Receive_time oder cef-formatted-receive_time) rt devTime metadata.collected_timestamp,

metadata.event_timestamp (wenn „Generate Time“ nicht vorhanden ist)

Seriennummer (seriell) deviceExternalId SerialNumber intermediary.asset.hardware.serial_number
Typ (Typ) Typ (Header) cat metadata.product_event_type
Bedrohungs-/Inhaltstyp (Untertyp) Untertyp (Header) metadata.product_event_type
Generierte Zeit (time_generated oder cef-formatted-time_generated) metadata.event_timestamp
Host (Host) Geist src principal.ip/hostname
Virtuelles System (vsys) cs3 VirtualSystem Vsys

about.labels.key und about.labels.value

„additional.fields.key“ und „additional.fields.value.string_value“

Befehl (cmd) act msg cmd metadata.description
Administrator (Administrator) Duser usrName principal.user.userid
Kunde (Kunde) destinationServiceName client principal.application
Ergebnis Signatur-ID (Header)(Grund) Ergebnis security_result.summary
Konfigurationspfad (Pfad) msg ConfigurationPath principal.process.command_line
Details vor der Änderung (before_change_detail) cs1 BeforeChangeDetail before_change_detail target.resource.attribute.labels.key/value
Nach Änderungsdetails (after_change_detail) cs2 AfterChangeDetail after_change_detail target.resource.attribute.labels.key/value
Sequenznummer (Sequenznummer) externalId Sequenz metadata.product_log_id
Aktions-Flags (actionflags) PanOSActionFlags ActionFlags Aktionsflags

about.labels.key und about.labels.value

„additional.fields.key“ und „additional.fields.value.string_value“

Gerätegruppenhierarchie (dg_hier_level_1 bis dg_hier_level_4) PanOSDGl1 DeviceGroupHierarchyL1 dg_hier_level_1

about.labels.key und about.labels.value

„additional.fields.key“ und „additional.fields.value.string_value“

Gerätegruppenhierarchie (dg_hier_level_2) PanOSDGl2 DeviceGroupHierarchyL2 dg_hier_level_2

about.labels.key und about.labels.value

„additional.fields.key“ und „additional.fields.value.string_value“

Gerätegruppenhierarchie (dg_hier_level_3) PanOSDGl3 DeviceGroupHierarchyL3 dg_hier_level_3

about.labels.key und about.labels.value

„additional.fields.key“ und „additional.fields.value.string_value“

Gerätegruppenhierarchie (dg_hier_level_4) PanOSDGl4 DeviceGroupHierarchyL4 dg_hier_level_4

about.labels.key und about.labels.value

„additional.fields.key“ und „additional.fields.value.string_value“

Name des virtuellen Systems (vsys_name) PanOSVsysName vSrcName principal.resource.name

principal.resource.resource_type=VIRTUAL_MACHINE

Gerätename (device_name) DVD-Host DeviceName intermediary.hostname
Gerätegruppe (dg_id) PanOSFWDeviceGroup dg_id principal.asset.attribute.labels.key/value
Auditkommentar (Kommentar) PanOSPolicyAuditComment comment

about.labels.key und about.labels.value

„additional.fields.key“ und „additional.fields.value.string_value“

Bedrohung/WildFire

In der folgenden Tabelle sind die Logfelder des Logtyps „Threat/WildFire“ und die entsprechenden UDM-Felder aufgeführt.

CSV-Feld CEF-Feld LEEF-Feld Chronicle-Labelschlüssel UDM-Feld
Empfangszeit (Receive_time oder cef-formatted-receive_time) rt devTime metadata.collected_timestamp,

metadata.event_timestamp (wenn „Generate Time“ nicht vorhanden ist)

Seriennummer (Seriennummer) deviceExternalId SerialNumber intermediary.asset.hardware.serial_number
Typ (Typ) Typ (Header) cat metadata.product_event_type
Bedrohungs-/Inhaltstyp (Untertyp) cat/subtype (Header) Subtyp metadata.product_event_type
Erstellungszeit (time_generated oder cef-formatted-time_generated) metadata.event_timestamp
Quelladresse (src) src src principal.ip
Zieladresse (dst) dst dst target.ip
NAT-Quell-IP (natsrc) sourceTranslatedAddress srcPostNAT principal.nat_ip
NAT-Ziel-IP-Adresse (natdst) destinationTranslatedAddress dstPostNAT target.nat_ip
Regelname (Regel) cs1 RuleName security_result.rule_name
Quellnutzer (srcuser) Suser SourceUser / usrName principal.user.userid
Zielnutzer (dstuser) Duser DestinationUser target.user.userid
Anwendung (App) App Anwendung target.application
Virtuelles System (vsys) cs3 VirtualSystem Vsys

about.labels.key und about.labels.value

„additional.fields.key“ und „additional.fields.value.string_value“

Quellzone (von) cs4 SourceZone aus

principal.labels.key und principal.labels.value

„additional.fields.key“ und „additional.fields.value.string_value“

Zielzone (bis) cs5 DestinationZone zu

target.labels.key und target.labels.value

„additional.fields.key“ und „additional.fields.value.string_value“

Eingangsschnittstelle (inbound_if) deviceInboundInterface IngressInterface inbound_if

principal.labels.key und principal.labels.value

„additional.fields.key“ und „additional.fields.value.string_value“

Ausgehende Schnittstelle (outbound_if) deviceOutboundInterface EgressInterface outbound_if

target.labels.key und target.labels.value

„additional.fields.key“ und „additional.fields.value.string_value“

Protokollaktion (Logset) cs6 LogForwardingProfile Loget

about.labels.key und about.labels.value

„additional.fields.key“ und „additional.fields.value.string_value“

Sitzungs-ID (sessionid) cn1 SessionID network.session_id
Wiederholungszähler (Repeatcnt) cnt RepeatCount Repeatcnt

about.labels.key und about.labels.value

„additional.fields.key“ und „additional.fields.value.string_value“

Quellport (Sport) SPT srcPort principal.port
Zielport (dport) DPT dstPort target.port
NAT-Quellport (Natsport) sourceTranslatedPort srcPostNATPort principal.nat_port
NAT-Zielport (natdport) destinationTranslatedPort dstPostNATPort target.nat_port
Flags flexString1 Flags flags

about.labels.key und about.labels.value

„additional.fields.key“ und „additional.fields.value.string_value“

IP-Protokoll (Proto) proto proto network.ip_protocol
Aktion (Aktion) act Aktion security_result.action_details

security_result.action

URL/Dateiname (Sonstiges) Request Andere Beteiligte

target.file.full_path (wenn der Untertyp „file“, „virus“, „fire-virus“ oder „brand“) ist, wird das Feld „misc“ target.file.full_path zugeordnet.

target.url (wenn der Subtyp „url“ ist, wird das Feld „misc“ „target.url“ und „target.hostname“ zugeordnet)

target.hostname (wenn der Subtyp „spyware“ oder „Sicherheitslücke“ ist, wird das Feld „misc“ „target.file.full_path“ und „target.url“) zugeordnet.

Name der Bedrohung/Inhalte (Bedrohung) cat ThreatID security_result.threat_name
Kategorie cs2 URLCategory security_result.category_details
Schweregrad (Schweregrad) Schweregradanzahl(Header) Schweregrad security_result.severity und security_result.severity_details
Richtung (Richtung) flexString2 Richtung network.direction
Sequenznummer (Sequenznummer) externalId Sequenz metadata.product_log_id
Aktions-Flags (actionflags) PanOSActionFlags ActionFlags Aktionsflags

about.labels.key und about.labels.value

„additional.fields.key“ und „additional.fields.value.string_value“

Quellland (srcloc) SourceLocation principal.location.country_or_region
Zielland (dstloc) DestinationLocation target.location.country_or_region
Inhaltstyp (contenttype) ContentType Inhaltstyp

about.labels.key und about.labels.value

„additional.fields.key“ und „additional.fields.value.string_value“

PCAP-ID (pcap_id) fileId PCAP_ID pcap_id

about.labels.key und about.labels.value

„additional.fields.key“ und „additional.fields.value.string_value“

Datei-Digest (filedigest) fileHash FileDigest about.file.sha1/md5/sha256
Cloud filePath Cloud Cloud

about.labels.key und about.labels.value

„additional.fields.key“ und „additional.fields.value.string_value“

URL-Index (url_idx) URLIndex url_idx

about.labels.key und about.labels.value

„additional.fields.key“ und „additional.fields.value.string_value“

User-Agent (user_agent) network.http.user_agent
Dateityp (filetype) fileType FileType about.file.mime_type
X-Forwarded-For (xff) principal.ip
Referrer-URL (Referrer) network.http.referral_url
Absender (Absender) Suid Absender network.email.from
Betreff msg Betreff network.email.subject
Empfänger (Empfänger) Duid Empfänger network.email.to
Berichts-ID (reportid) oldFileId ReportID Berichts-ID

about.labels.key und about.labels.value

„additional.fields.key“ und „additional.fields.value.string_value“

Gerätegruppenhierarchie (dg_hier_level_1 bis dg_hier_level_4) PanOSDGl1 DeviceGroupHierarchyL1 dg_hier_level_1

about.labels.key und about.labels.value

„additional.fields.key“ und „additional.fields.value.string_value“

Gerätegruppenhierarchie (dg_hier_level_2) PanOSDGl2 DeviceGroupHierarchyL2 dg_hier_level_2

about.labels.key und about.labels.value

„additional.fields.key“ und „additional.fields.value.string_value“

Gerätegruppenhierarchie (dg_hier_level_3) PanOSDGl3 DeviceGroupHierarchyL3 dg_hier_level_3

about.labels.key und about.labels.value

„additional.fields.key“ und „additional.fields.value.string_value“

Gerätegruppenhierarchie (dg_hier_level_4) PanOSDGl4 DeviceGroupHierarchyL4 dg_hier_level_4

about.labels.key und about.labels.value

„additional.fields.key“ und „additional.fields.value.string_value“

Name des virtuellen Systems (vsys_name) PanOSVsysName vSrcName principal.resource.name

principal.resource.resource_type=VIRTUAL_MACHINE

Gerätename (device_name) DVD-Host DeviceName intermediary.hostname
Quell-VM-UUID (src_uuid) PanOSSrcUUID SrcUUID principal.user.product_object_id
Ziel-VM-UUID (dst_uuid) PanOSDstUUID DstUUID target.user.product_object_id
HTTP-Methode (http_method) RequestMethod network.http.method
Tunnel-ID/IMSI (tunnel_id/imsi) PanOSTunnelID TunnelID tunnel_id/imsi

about.labels.key und about.labels.value

„additional.fields.key“ und „additional.fields.value.string_value“

Monitor-Tag/IMEI (monitortag/imei) PanOSMonitorTag MonitorTag Monitortag/imei

about.labels.key und about.labels.value

„additional.fields.key“ und „additional.fields.value.string_value“

Übergeordnete Sitzungs-ID (parent_session_id) PanOSParentSessionID ParentSessionID parent_session_id network.parent_session_id
Beginn der übergeordneten Sitzung (parent_start_time) PanOSParentStartTime ParentStartTime parent_start_time

about.labels.key und about.labels.value

„additional.fields.key“ und „additional.fields.value.string_value“

Tunneltyp (Tunnel) PanOSTunnelType TunnelType Tunnel

about.labels.key und about.labels.value

„additional.fields.key“ und „additional.fields.value.string_value“

Bedrohungskategorie (thr_category) PanOSThreatCategory ThreatCategory thr_category security_result.detection_fields.key/value
Inhaltsversion (Contentver) PanOSContentVer ContentVer Contentver

about.labels.key und about.labels.value

„additional.fields.key“ und „additional.fields.value.string_value“

SCTP-Verknüpfungs-ID (assoc_id) PanOSAssocID assoc_id

about.labels.key und about.labels.value

„additional.fields.key“ und „additional.fields.value.string_value“

Payload Protocol ID (ppid) PanOSPPID ppid

about.labels.key und about.labels.value

„additional.fields.key“ und „additional.fields.value.string_value“

HTTP-Header (http_headers) PanOSHTTPHeader http_headers

about.labels.key und about.labels.value

„additional.fields.key“ und „additional.fields.value.string_value“

URL-Kategorieliste (url_category_list) PanOSURLCatList url_category_list

about.labels.key und about.labels.value

„additional.fields.key“ und „additional.fields.value.string_value“

Regel-UUID (rule_uuid) PanOSRuleUUID security_result.rule_id
HTTP/2-Verbindung (http2_connection) PanOSHTTP2Con http2_connection

about.labels.key und about.labels.value

„additional.fields.key“ und „additional.fields.value.string_value“

Name der dynamischen Nutzergruppe (dynusergroup_name) PanDynamicUsrgrp dynusergroup_name

principal.labels.key und principal.labels.value

„additional.fields.key“ und „additional.fields.value.string_value“

XFF-Adresse (xff_ip) PanXFFIP principal.ip
Quellgerätekategorie (src_category) PanSrcDeviceCat src_category

principal.labels.key und principal.labels.value

„additional.fields.key“ und „additional.fields.value.string_value“

Quellgeräteprofil (src_profile) PanSrcDeviceProf src_profile

principal.labels.key und principal.labels.value

„additional.fields.key“ und „additional.fields.value.string_value“

Quellgerätemodell (src_model) PanSrcDeviceModel src_model

principal.labels.key und principal.labels.value

„additional.fields.key“ und „additional.fields.value.string_value“

Quellgeräteanbieter (src_vendor) PanSrcDeviceVendor src_vendor

principal.labels.key und principal.labels.value

„additional.fields.key“ und „additional.fields.value.string_value“

Betriebssystemfamilie des Quellgeräts (src_osfamily) PanSrcDeviceOS src_osfamily

principal.asset.platform_software.platform

principal.labels.key und principal.labels.value

„additional.fields.key“ und „additional.fields.value.string_value“

Betriebssystemversion des Quellgeräts (src_osversion) PanSrcDeviceOSv principal.asset.software.version
Quell-Hostname (src_host) PanSrcHostname principal.hostname
MAC-Quelladresse (src_mac) PanSrcMac principal.mac
Kategorie der Zielgeräte (dst_category) PanDstDeviceCat dst_category

target.labels.key und target.labels.value

„additional.fields.key“ und „additional.fields.value.string_value“

Zielgeräteprofil (dst_profile) PanDstDeviceProf dst_profile

target.labels.key und target.labels.value

„additional.fields.key“ und „additional.fields.value.string_value“

Zielgerätemodell (dst_model) PanDstDeviceModel dst_model

target.labels.key und target.labels.value

„additional.fields.key“ und „additional.fields.value.string_value“

Zielgeräteanbieter (dst_vendor) PanDstDeviceVendor dst_vendor

target.labels.key und target.labels.value

„additional.fields.key“ und „additional.fields.value.string_value“

Betriebssystemfamilie des Zielgeräts (dst_osfamily) PanDstDeviceOS dst_osfamily

target.labels.key und target.labels.value

„additional.fields.key“ und „additional.fields.value.string_value“

Betriebssystemversion des Zielgeräts (dst_osversion) PanDstDeviceOSv target.asset.software.version
Ziel-Hostname (dst_host) PanDstHostname target.hostname
MAC-Zieladresse (dst_mac) PanDstMac target.mac
Container-ID (container_id) PanContainerName container_id

about.labels.key und about.labels.value

„additional.fields.key“ und „additional.fields.value.string_value“

POD-Namespace (pod_namespace) PanPODNamespace pod_namespace

about.labels.key und about.labels.value

„additional.fields.key“ und „additional.fields.value.string_value“

POD-Name (pod_name) PanPODName pod_name

about.labels.key und about.labels.value

„additional.fields.key“ und „additional.fields.value.string_value“

Externe dynamische Quellliste (src_edl) PanSrcEDL src_edl

about.labels.key und about.labels.value

„additional.fields.key“ und „additional.fields.value.string_value“

Externe dynamische Zielliste (dst_edl) PanDstEDL dst_edl

about.labels.key und about.labels.value

„additional.fields.key“ und „additional.fields.value.string_value“

Host-ID (hostid) PanGPHostID Host-ID

about.labels.key und about.labels.value

„additional.fields.key“ und „additional.fields.value.string_value“

Seriennummer des Nutzergeräts (Seriennummer) PanEPSerial principal.asset.hardware.serial_number
Domain-EDL (domain_edl) PanDomainEDL domain_edl

about.labels.key und about.labels.value

„additional.fields.key“ und „additional.fields.value.string_value“

Dynamische Quelladressgruppe (src_dag) PanSrcDAG principal.group.group_display_name
Dynamische Zieladresse (dst_dag) PanDstDAG target.group.group_display_name
Teilweiser Hash (partial_hash) PanPartialHash partial_hash

about.labels.key und about.labels.value

„additional.fields.key“ und „additional.fields.value.string_value“

Zeitstempel für hohe Auflösung (Zeitstempel mit hoher Auflösung) PanTimeHighRes Zeitstempel mit hoher Auflösung metadata.collected_timestamp,

metadata.event_timestamp (wenn „Generate Time“ nicht vorhanden ist)

Grund (Grund) PanReasonFilteringAction reason

about.labels.key und about.labels.value

„additional.fields.key“ und „additional.fields.value.string_value“

Begründung (Begründung) PanJustification Begründung

about.labels.key und about.labels.value

„additional.fields.key“ und „additional.fields.value.string_value“

Ein Slice-Diensttyp (nssai_sst) PanASServiceType nssai_sst

about.labels.key und about.labels.value

„additional.fields.key“ und „additional.fields.value.string_value“

Anwendungs-Unterkategorie (subcategory_of_app) subcategory_of_app

about.labels.key und about.labels.value

„additional.fields.key“ und „additional.fields.value.string_value“

Anwendungskategorie (category_of_app) category_of_app

about.labels.key und about.labels.value

„additional.fields.key“ und „additional.fields.value.string_value“

Anwendungstechnologie (Technologie_der_App) technology_of_app

about.labels.key und about.labels.value

„additional.fields.key“ und „additional.fields.value.string_value“

Anwendungsrisiko (risk_of_app) risk_of_app

about.labels.key und about.labels.value

„additional.fields.key“ und „additional.fields.value.string_value“

Anwendungsmerkmal (characteristic_of_app) characteristic_of_app

about.labels.key und about.labels.value

„additional.fields.key“ und „additional.fields.value.string_value“

Anwendungscontainer (container_of_app) container_of_app

about.labels.key und about.labels.value

„additional.fields.key“ und „additional.fields.value.string_value“

SaaS-Anwendung (is_saas_of_app) is_saas_of_app

about.labels.key und about.labels.value

„additional.fields.key“ und „additional.fields.value.string_value“

App-Sanktionen-Bundesstaat (sanctioned_state_of_app) sanctioned_state_of_app

about.labels.key und about.labels.value

„additional.fields.key“ und „additional.fields.value.string_value“

Traffic

In der folgenden Tabelle sind die Logfelder des Traffic-Logtyps und die entsprechenden UDM-Felder aufgeführt.

CSV-Feld CEF-Feld LEEF-Feld Chronicle-Labelschlüssel UDM-Feld
Empfangszeit (Receive_time oder cef-formatted-receive_time) rt devTime metadata.collected_timestamp,

metadata.event_timestamp (wenn „Generate Time“ nicht vorhanden ist)

Seriennummer (seriell) deviceExternalId SerialNumber intermediary.asset.hardware.serial_number
Typ (Typ) Typ (Header) Katze/Typ metadata.product_event_type
Bedrohungs-/Inhaltstyp (Untertyp) Untertyp (Header) Subtyp metadata.product_event_type
Generierte Zeit (time_generated oder cef-formatted-time_generated) Starten metadata.event_timestamp
Quelladresse (src) src src principal.ip
Zieladresse (dst) dst dst target.ip
NAT-Quell-IP (natsrc) sourceTranslatedAddress srcPostNAT principal.nat_ip
NAT-Ziel-IP-Adresse (natdst) destinationTranslatedAddress dstPostNAT target.nat_ip
Regelname (Regel) cs1 RuleName security_result.rule_name
Quellnutzer (srcuser) Suser SourceUser principal.user.userid
Zielnutzer (dstuser) Duser DestinationUser target.user.userid
Anwendung (App) App Anwendung target.application
Virtuelles System (vsys) cs3 VirtualSystem Vsys

about.labels.key und about.labels.value

„additional.fields.key“ und „additional.fields.value.string_value“

Quellzone (von) cs4 SourceZone aus

principal.labels.key und principal.labels.value

„additional.fields.key“ und „additional.fields.value.string_value“

Zielzone (bis) cs5 DestinationZone zu

target.labels.key und target.labels.value

„additional.fields.key“ und „additional.fields.value.string_value“

Eingangsschnittstelle (inbound_if) deviceInboundInterface IngressInterface inbound_if

principal.labels.key und principal.labels.value

„additional.fields.key“ und „additional.fields.value.string_value“

Ausgehende Schnittstelle (outbound_if) deviceOutboundInterface EgressInterface outbound_if

target.labels.key und target.labels.value

„additional.fields.key“ und „additional.fields.value.string_value“

Protokollaktion (Logset) cs6 LogForwardingProfile Loget

about.labels.key und about.labels.value

„additional.fields.key“ und „additional.fields.value.string_value“

Sitzungs-ID (sessionid) cn1 SessionID network.session_id
Wiederholungszähler (Repeatcnt) cnt RepeatCount Repeatcnt

about.labels.key und about.labels.value

„additional.fields.key“ und „additional.fields.value.string_value“

Quellport (Sport) SPT srcPort principal.port
Zielport (dport) DPT dstPort target.port
NAT-Quellport (Natsport) sourceTranslatedPort srcPostNATPort principal.nat_port
NAT-Zielport (natdport) destinationTranslatedPort dstPostNATPort target.nat_port
Flags flexString1 Flags flags

about.labels.key und about.labels.value

„additional.fields.key“ und „additional.fields.value.string_value“

IP-Protokoll (Proto) proto proto network.ip_protocol
Aktion (Aktion) act Aktion security_result.action_details

security_result.action

Byte (Byte) flexNumber1 totalBytes Byte

about.labels.key und about.labels.value

„additional.fields.key“ und „additional.fields.value.string_value“

Gesendete Byte (bytes_sent) in srcBytes network.sent_bytes
Empfangene Byte (bytes_erhalten) out dstBytes network.received_bytes
Pakete (Pakete) cn2 totalPackets Pakete

about.labels.key und about.labels.value

„additional.fields.key“ und „additional.fields.value.string_value“

Startzeit (start) StartTime Starten

about.labels.key und about.labels.value

„additional.fields.key“ und „additional.fields.value.string_value“

Verstrichene Zeit (verstrichen) cn3 ElapsedTime verstrichen network.session_duration.seconds
Kategorie cs2 URLCategory security_result.category / security_result.category_details
Sequenznummer (Sequenznummer) externalId Sequenz metadata.product_log_id
Aktions-Flags (actionflags) PanOSActionFlags ActionFlags Aktionsflags

about.labels.key und about.labels.value

„additional.fields.key“ und „additional.fields.value.string_value“

Quellland (srcloc) SourceLocation principal.location.country_or_region
Zielland (dstloc) DestinationLocation target.location.country_or_region
Gesendete Pakete (pkts_sent) PanOSPacketsSent srcPackets pkts_sent

about.labels.key und about.labels.value

„additional.fields.key“ und „additional.fields.value.string_value“

Empfangene Pakete (pkts_received) PanOSPacketsReceived dstPackets pkts_received

about.labels.key und about.labels.value

„additional.fields.key“ und „additional.fields.value.string_value“

Grund für das Ende der Sitzung (session_end_reason) reason SessionEndReason security_result.summary
Gerätegruppenhierarchie1 (dg_hier_level_1 bis dg_hier_level_4) PanOSDGl1 DeviceGroupHierarchyL1 dg_hier_level_1

about.labels.key und about.labels.value

„additional.fields.key“ und „additional.fields.value.string_value“

Gerätegruppenhierarchie2 (dg_hier_level_2) PanOSDGl2 DeviceGroupHierarchyL2 dg_hier_level_2

about.labels.key und about.labels.value

„additional.fields.key“ und „additional.fields.value.string_value“

Gerätegruppenhierarchie3 (dg_hier_level_3) PanOSDGl3 DeviceGroupHierarchyL3 dg_hier_level_3

about.labels.key und about.labels.value

„additional.fields.key“ und „additional.fields.value.string_value“

Gerätegruppenhierarchie (dg_hier_level_4) PanOSDGl4 DeviceGroupHierarchyL4 dg_hier_level_4

about.labels.key und about.labels.value

„additional.fields.key“ und „additional.fields.value.string_value“

Name des virtuellen Systems (vsys_name) PanOSVsysName vSrcName principal.resource.name

principal.resource.resource_type=VIRTUAL_MACHINE

Gerätename (device_name) DVD-Host DeviceName intermediary.hostname
Aktionsquelle (action_source) cat ActionSource action_source

about.labels.key und about.labels.value

„additional.fields.key“ und „additional.fields.value.string_value“

Quell-VM-UUID (src_uuid) PanOSSrcUUID SrcUUID principal.asset.product_object_id
Ziel-VM-UUID (dst_uuid) PanOSDstUUID DstUUID target.asset.product_object_id
Tunnel-ID/IMSI (tunnelid/imsi) PanOSTunnelID TunnelID Tunnelid/Imsi

about.labels.key und about.labels.value

„additional.fields.key“ und „additional.fields.value.string_value“

Monitor-Tag/IMEI (monitortag/imei) PanOSMonitorTag MonitorTag Monitortag/imei

about.labels.key und about.labels.value

„additional.fields.key“ und „additional.fields.value.string_value“

Übergeordnete Sitzungs-ID (parent_session_id) PanOSParentSessionID ParentSessionID parent_session_id network.parent_session_id
Startzeit des übergeordneten Elements (parent_start_time) PanOSParentStartTime ParentStartTime parent_start_time

about.labels.key und about.labels.value

„additional.fields.key“ und „additional.fields.value.string_value“

Tunneltyp (Tunnel) PanOSTunnelType TunnelType Tunnel

about.labels.key und about.labels.value

„additional.fields.key“ und „additional.fields.value.string_value“

SCTP-Verknüpfungs-ID (assoc_id) PanOSSCTPAssocID assoc_id

about.labels.key und about.labels.value

„additional.fields.key“ und „additional.fields.value.string_value“

SCTP-Blöcke (Blöcke) PanOSSCTPChunks Chunks

about.labels.key und about.labels.value

„additional.fields.key“ und „additional.fields.value.string_value“

Gesendete SCTP-Blöcke (chunks_sent) PanOSSCTPChunkSent chunks_sent

about.labels.key und about.labels.value

„additional.fields.key“ und „additional.fields.value.string_value“

Erhaltene SCTP-Blöcke (chunks_erhalten) PanOSSCTPChunksRcv chunks_received

about.labels.key und about.labels.value

„additional.fields.key“ und „additional.fields.value.string_value“

Regel-UUID (rule_uuid) PanOSRuleUUID security_result.rule_id
HTTP/2-Verbindung (http2_connection) PanOSHTTP2Con http2_connection

about.labels.key und about.labels.value

„additional.fields.key“ und „additional.fields.value.string_value“

Anzahl der App-Flächen (link_change_count) PanLinkChange link_change_count

about.labels.key und about.labels.value

„additional.fields.key“ und „additional.fields.value.string_value“

Richtlinien-ID (policy_id) PanPolicyID policy_id

about.labels.key und about.labels.value

„additional.fields.key“ und „additional.fields.value.string_value“

Link-Switches (link_switches) PanLinkDetail link_switches

about.labels.key und about.labels.value

„additional.fields.key“ und „additional.fields.value.string_value“

SD-WAN-Cluster (sdwan_cluster) PanSDWANCluster sdwan_cluster

about.labels.key und about.labels.value

„additional.fields.key“ und „additional.fields.value.string_value“

SD-WAN-Gerätetyp (sdwan_device_type) PanSDWANDevice sdwan_device_type

about.labels.key und about.labels.value

„additional.fields.key“ und „additional.fields.value.string_value“

SD-WAN-Clustertyp (sdwan_cluster_type) PanSDWANClustype sdwan_cluster_type

about.labels.key und about.labels.value

„additional.fields.key“ und „additional.fields.value.string_value“

SD-WAN-Website (sdwan_site) PanSDWANSite sdwan_site

about.labels.key und about.labels.value

„additional.fields.key“ und „additional.fields.value.string_value“

Name der dynamischen Nutzergruppe (dynusergroup_name) PanDynamicUsrgrp dynusergroup_name

about.labels.key und about.labels.value

„additional.fields.key“ und „additional.fields.value.string_value“

XFF-Adresse (xff_ip) PanXFFIP principal.ip
Quellgerätekategorie (src_category) PanSrcDeviceCat src_category

principal.labels.key und principal.labels.value

„additional.fields.key“ und „additional.fields.value.string_value“

Quellgeräteprofil (src_profile) PanSrcDeviceProf src_profile

principal.labels.key und principal.labels.value

„additional.fields.key“ und „additional.fields.value.string_value“

Quellgerätemodell (src_model) PanSrcDeviceModel src_model

principal.labels.key und principal.labels.value

„additional.fields.key“ und „additional.fields.value.string_value“

Quellgeräteanbieter (src_vendor) PanSrcDeviceVendor src_vendor

principal.labels.key und principal.labels.value

„additional.fields.key“ und „additional.fields.value.string_value“

Betriebssystemfamilie des Quellgeräts (src_osfamily) PanSrcDeviceOS

principal.asset.platform_software.platform

principal.labels.key und principal.labels.value

„additional.fields.key“ und „additional.fields.value.string_value“

Betriebssystemversion des Quellgeräts (src_osversion) PanSrcDeviceOSv principal.asset.software.version
Quell-Hostname (src_host) PanSrcHostname principal.hostname
MAC-Quelladresse (src_mac) PanSrcMac principal.mac
Kategorie der Zielgeräte (dst_category) PanDstDeviceCat dst_category

target.labels.key und target.labels.value

„additional.fields.key“ und „additional.fields.value.string_value“

Zielgeräteprofil (dst_profile) PanDstDeviceProf dst_profile

target.labels.key und target.labels.value

„additional.fields.key“ und „additional.fields.value.string_value“

Zielgerätemodell (dst_model) PanDstDeviceModel dst_model

target.labels.key und target.labels.value

„additional.fields.key“ und „additional.fields.value.string_value“

Zielgeräteanbieter (dst_vendor) PanDstDeviceVendor dst_vendor

target.labels.key und target.labels.value

„additional.fields.key“ und „additional.fields.value.string_value“

Betriebssystemfamilie des Zielgeräts (dst_osfamily) PanDstDeviceOS dst_osfamily

target.labels.key und target.labels.value

„additional.fields.key“ und „additional.fields.value.string_value“

Betriebssystemversion des Zielgeräts (dst_osversion) PanDstDeviceOSv target.asset.software.version
Ziel-Hostname (dst_host) PanDstHostname target.hostname
MAC-Zieladresse (dst_mac) PanDstMac target.mac
Container-ID (container_id) PanContainerName container_id

about.labels.key und about.labels.value

„additional.fields.key“ und „additional.fields.value.string_value“

POD-Namespace (pod_namespace) PanPODNamespace pod_namespace

about.labels.key und about.labels.value

„additional.fields.key“ und „additional.fields.value.string_value“

POD-Name (pod_name) PanPODName pod_name

about.labels.key und about.labels.value

„additional.fields.key“ und „additional.fields.value.string_value“

Externe dynamische Quellliste (src_edl) PanSrcEDL src_edl

principal.labels.key und principal.labels.value

„additional.fields.key“ und „additional.fields.value.string_value“

Externe dynamische Zielliste (dst_edl) PanDstEDL dst_edl

target.labels.key und target.labels.value

„additional.fields.key“ und „additional.fields.value.string_value“

Host-ID (hostid) PanGPHostID Host-ID

about.labels.key und about.labels.value

„additional.fields.key“ und „additional.fields.value.string_value“

Seriennummer des Nutzergeräts (Seriennummer) PanEPSerial principal.asset.hardware.serial_number
Dynamische Quelladressgruppe (src_dag) PanSrcDAG principal.group.group_display_name
Dynamische Zieladresse (dst_dag) PanDstDAG target.group.group_display_name
Sitzungsinhaber (session_owner) PanHASessionOwner session_owner

about.labels.key und about.labels.value

„additional.fields.key“ und „additional.fields.value.string_value“

Zeitstempel für hohe Auflösung (high_res_timestamp) PanTimeHighRes metadata.collected_timestamp,

metadata.event_timestamp (wenn „Generate Time“ nicht vorhanden ist)

Ein Slice-Diensttyp (nsdsai_sst) PanASServiceType nsdsai_sst

about.labels.key und about.labels.value

„additional.fields.key“ und „additional.fields.value.string_value“

Slice-Unterscheidung (nsdsai_sd) PanASServiceDiff nsdsai_sd

about.labels.key und about.labels.value

„additional.fields.key“ und „additional.fields.value.string_value“

Anwendungs-Unterkategorie (subcategory_of_app) subcategory_of_app

about.labels.key und about.labels.value

„additional.fields.key“ und „additional.fields.value.string_value“

Anwendungskategorie (category_of_app) category_of_app

about.labels.key und about.labels.value

„additional.fields.key“ und „additional.fields.value.string_value“

Anwendungstechnologie (Technologie_der_App) technology_of_app

about.labels.key und about.labels.value

„additional.fields.key“ und „additional.fields.value.string_value“

Anwendungsrisiko (risk_of_app) security_result.severity
Anwendungsmerkmal (characteristic_of_app) characteristic_of_app

about.labels.key und about.labels.value

„additional.fields.key“ und „additional.fields.value.string_value“

Anwendungscontainer (container_of_app) container_of_app

about.labels.key und about.labels.value

„additional.fields.key“ und „additional.fields.value.string_value“

SaaS-Anwendung (is_saas_of_app) is_saas_of_app

about.labels.key und about.labels.value

„additional.fields.key“ und „additional.fields.value.string_value“

App-Sanktionen-Bundesstaat (sanctioned_state_of_app) sanctioned_state_of_app

about.labels.key und about.labels.value

„additional.fields.key“ und „additional.fields.value.string_value“

Anwendungs-Unterkategorie (subcategory_of_app) subcategory_of_app1

about.labels.key und about.labels.value

„additional.fields.key“ und „additional.fields.value.string_value“

User-ID

In der folgenden Tabelle sind die Logfelder des Logtyps „User-ID“ und die entsprechenden UDM-Felder aufgeführt.

CSV-Feld CEF-Feld LEEF-Feld Chronicle-Labelschlüssel UDM-Feld
Empfangszeit (Receive_time oder cef-formatted-receive_time) rt devTime metadata.collected_timestamp,

metadata.event_timestamp (wenn „Generate Time“ nicht vorhanden ist)

Seriennummer (seriell) deviceExternalId SerialNumber intermediary.asset.hardware.serial_number
Typ (Typ) Typ (Header) cat metadata.product_event_type
Bedrohungs-/Inhaltstyp (Untertyp) Untertyp (Header) Subtyp metadata.product_event_type
Generierte Zeit (time_generated oder cef-formatted-time_generated) metadata.event_timestamp
Virtuelles System (vsys) cs3 VirtualSystem Vsys

about.labels.key und about.labels.value

„additional.fields.key“ und „additional.fields.value.string_value“

Quell-IP (IP) src src principal.ip
Nutzer (Nutzer) Duser usrName target.user.userid

target.administrative_domain

target.user.email_addresses

Name der Datenquelle (Name der Datenquelle) cs4 DataSourceName Name der Datenquelle

principal.labels.key und principal.labels.value

„additional.fields.key“ und „additional.fields.value.string_value“

Ereignis-ID (eventid) EventID eventid

about.labels.key und about.labels.value

„additional.fields.key“ und „additional.fields.value.string_value“

Wiederholungszähler (Repeatcnt) cnt RepeatCount Repeatcnt

about.labels.key und about.labels.value

„additional.fields.key“ und „additional.fields.value.string_value“

Grenzwert für Zeitüberschreitung (Zeitüberschreitung) cn3 TimeoutThreshold Zeitüberschreitung

about.labels.key und about.labels.value

„additional.fields.key“ und „additional.fields.value.string_value“

Quellport (beginport) SPT srcPort principal.port
Zielport (endport) DPT dstPort target.port
Datenquelle (Datenquelle) cs5 DataSource Datenquelle

principal.labels.key und principal.labels.value

„additional.fields.key“ und „additional.fields.value.string_value“

Typ der Datenquelle (datasourcetype) cs6 DataSourceType Datenquellentyp

principal.labels.key und principal.labels.value

„additional.fields.key“ und „additional.fields.value.string_value“

Sequenznummer (Sequenznummer) externalId Sequenz metadata.product_log_id
Aktions-Flags (actionflags) PanOSActionFlags ActionFlags Aktionsflags

about.labels.key und about.labels.value

„additional.fields.key“ und „additional.fields.value.string_value“

Gerätegruppenhierarchie (dg_hier_level_1) PanOSDGl1 DeviceGroupHierarchyL1 dg_hier_level_1

about.labels.key und about.labels.value

„additional.fields.key“ und „additional.fields.value.string_value“

Gerätegruppenhierarchie (dg_hier_level_2) PanOSDGl2 DeviceGroupHierarchyL2 dg_hier_level_2

about.labels.key und about.labels.value

„additional.fields.key“ und „additional.fields.value.string_value“

Gerätegruppenhierarchie (dg_hier_level_3) PanOSDGl3 DeviceGroupHierarchyL3 dg_hier_level_3

about.labels.key und about.labels.value

„additional.fields.key“ und „additional.fields.value.string_value“

Gerätegruppenhierarchie (dg_hier_level_4) PanOSDGl4 DeviceGroupHierarchyL4 dg_hier_level_4

about.labels.key und about.labels.value

„additional.fields.key“ und „additional.fields.value.string_value“

Name des virtuellen Systems (vsys_name) PanOSVsysName vSrcName principal.resource.name

principal.resource.resource_type=VIRTUAL_MACHINE

Gerätename (device_name) DVD-Host DeviceName intermediary.hostname
ID des virtuellen Systems (vsys_id) cn2 VirtualSystemID principal.resource.resource_type=VIRTUAL_MACHINE und principal.resource.product_object_id
Faktortyp (Faktortyp) cs1 FactorType Faktortyp

about.labels.key und about.labels.value

„additional.fields.key“ und „additional.fields.value.string_value“

Abschlusszeit Faktor (Faktorabschlusszeit) end FactorCompletionTime faktorvervollständigung

about.labels.key und about.labels.value

„additional.fields.key“ und „additional.fields.value.string_value“

Faktornummer (Faktornno) cn1 FactorNumber Faktorno

about.labels.key und about.labels.value

„additional.fields.key“ und „additional.fields.value.string_value“

User-Gruppen-Flags (Ugflags) PanOSUGFlags Ugflags

about.labels.key und about.labels.value

„additional.fields.key“ und „additional.fields.value.string_value“

Nutzer nach Quelle (userbysource) PanOSUserBySource principal.user.userid

principal.administrative_domain

principal.user.email_addresses

Zeitstempel für hohe Auflösung (Zeitstempel mit hoher Auflösung) PanOSTimeGeneratedHighResolution metadata.collected_timestamp,

metadata.event_timestamp (wenn „Generate Time“ nicht vorhanden ist)

HIP-Übereinstimmung

In der folgenden Tabelle sind die Logfelder des HIP-Match-Logtyps und die entsprechenden UDM-Felder aufgeführt.

CSV-Feld CEF-Feld LEEF-Feld Chronicle-Labelschlüssel UDM-Feld
Empfangszeit (Receive_time oder cef-formatted-receive_time) rt devTime metadata.collected_timestamp,

metadata.event_timestamp (wenn „Generate Time“ nicht vorhanden ist)

Seriennummer (seriell) deviceExternalId SerialNumber intermediary.asset.hardware.serial_number
Typ (Typ) Typ (Header) cat metadata.product_event_type
Bedrohungs-/Inhaltstyp (Untertyp) Untertyp (Header) Subtyp
Generierte Zeit (time_generated oder cef-formatted-time_generated) Starten startTime metadata.event_timestamp
Quellnutzer (srcuser) Suser usrName principal.user.userid
Virtuelles System (vsys) cs3 VirtualSystem Vsys

about.labels.key und about.labels.value

„additional.fields.key“ und „additional.fields.value.string_value“

Computername (Maschinenname) Geist identHostName principal.hostname
Betriebssystem cs2 Betriebssystem principal.asset.platform_software.platform
Quelladresse (src) src „identsrc“ principal.ip
HIP (Übereinstimmungsname) cat HIP übereinstimmungsname

about.labels.key und about.labels.value

„additional.fields.key“ und „additional.fields.value.string_value“

Wiederholungszähler (Repeatcnt) cnt RepeatCount Repeatcnt

about.labels.key und about.labels.value

„additional.fields.key“ und „additional.fields.value.string_value“

HIP-Typ (Übereinstimmungstyp) Klassen-ID des Geräteereignisses (Header) HIPType matchtype

about.labels.key und about.labels.value

„additional.fields.key“ und „additional.fields.value.string_value“

Sequenznummer (Sequenznummer) externalId Sequenz metadata.product_log_id
Aktions-Flags (actionflags) PanOSActionFlags ActionFlags Aktionsflags

about.labels.key und about.labels.value

„additional.fields.key“ und „additional.fields.value.string_value“

Gerätegruppenhierarchie (dg_hier_level_1) PanOSDGl1 DeviceGroupHierarchyL1 dg_hier_level_1

about.labels.key und about.labels.value

„additional.fields.key“ und „additional.fields.value.string_value“

Gerätegruppenhierarchie (dg_hier_level_2) PanOSDGl2 DeviceGroupHierarchyL2 dg_hier_level_2

about.labels.key und about.labels.value

„additional.fields.key“ und „additional.fields.value.string_value“

Gerätegruppenhierarchie (dg_hier_level_3) PanOSDGl3 DeviceGroupHierarchyL3 dg_hier_level_3

about.labels.key und about.labels.value

„additional.fields.key“ und „additional.fields.value.string_value“

Gerätegruppenhierarchie (dg_hier_level_4) PanOSDGl4 DeviceGroupHierarchyL4 dg_hier_level_4

about.labels.key und about.labels.value

„additional.fields.key“ und „additional.fields.value.string_value“

Name des virtuellen Systems (vsys_name) PanOSVsysName vSrcName principal.resource.name

principal.resource.resource_type=VIRTUAL_MACHINE

Gerätename (device_name) DVD-Host DeviceName intermediary.hostname
ID des virtuellen Systems (vsys_id) cn2 VirtualSystemID principal.resource.resource_type=VIRTUAL_MACHINE und principal.resource.product_object_id
IPv6-Systemadresse (srcipv6) C6a2 srcipv6 principal.asset.ip
Host-ID (hostid) PanOSHostID principal.asset.product_object_id
Seriennummer des Nutzergeräts (Seriennummer) PanOSEndpointSerialNumber principal.asset.hardware.serial_number
MAC-Adresse des Geräts (Mac) PanOSEndpointMac principal.asset.mac
Zeitstempel für hohe Auflösung (high_res_timestamp) PanOSTimeGeneratedHighResolution metadata.collected_timestamp,

metadata.event_timestamp (wenn „Generate Time“ nicht vorhanden ist)

IP-Tag

In der folgenden Tabelle sind die Logfelder des Logtyps für IP-Tags und die entsprechenden UDM-Felder aufgeführt.

CSV-Feld CEF-Feld LEEF-Feld Chronicle-Labelschlüssel UDM-Feld
Empfangszeit (Receive_time oder cef-formatted-receive_time) rt devTime metadata.collected_timestamp,

metadata.event_timestamp (wenn „Generate Time“ nicht vorhanden ist)

Seriennummer (seriell) deviceExternalId SerialNumber intermediary.asset.hardware.serial_number
Typ (Typ) Typ (Header) cat metadata.product_event_type
Bedrohungs-/Inhaltstyp (Untertyp) Untertyp (Header) Subtyp metadata.product_event_type
Generierte Zeit (time_generated oder cef-formatted-time_generated) GenerateTime metadata.event_timestamp
Virtuelles System (vsys) cs3 VirtualSystem Vsys

about.labels.key und about.labels.value

„additional.fields.key“ und „additional.fields.value.string_value“

Quell-IP (IP) src src principal.ip
Tag-Name (tag_name) PanOSTagName TagName tag_name

principal.labels.key und principal.labels.value

„additional.fields.key“ und „additional.fields.value.string_value“

Ereignis-ID (event_id) PanOSEventID EventID event_id

about.labels.key und about.labels.value

„additional.fields.key“ und „additional.fields.value.string_value“

Wiederholungszähler (Repeatcnt) cnt RepeatCount Repeatcnt

about.labels.key und about.labels.value

„additional.fields.key“ und „additional.fields.value.string_value“

Zeitlimit (Zeitüberschreitung) PanOSTimeout TimeoutThreshold Zeitüberschreitung

about.labels.key und about.labels.value

„additional.fields.key“ und „additional.fields.value.string_value“

Name der Datenquelle (Name der Datenquelle) PanOSDataSourceName DataSourceName Name der Datenquelle

principal.labels.key und principal.labels.value

„additional.fields.key“ und „additional.fields.value.string_value“

Typ der Datenquelle (datasource_type) PanOSDataSourceType DataSource datasource_type

principal.labels.key und principal.labels.value

„additional.fields.key“ und „additional.fields.value.string_value“

Untertyp der Datenquelle (datasource_subtype) PanOSDataSourceSubType DataSourceType datasource_subtype

principal.labels.key und principal.labels.value

„additional.fields.key“ und „additional.fields.value.string_value“

Sequenznummer (Sequenznummer) externalId Sequenz metadata.product_log_id
Aktions-Flags (actionflags) PanOSActionFlags ActionFlags Aktionsflags

about.labels.key und about.labels.value

„additional.fields.key“ und „additional.fields.value.string_value“

Gerätegruppenhierarchie (dg_hier_level_1) PanOSDGl1 DeviceGroupHierarchyL1 dg_hier_level_1

about.labels.key und about.labels.value

„additional.fields.key“ und „additional.fields.value.string_value“

Gerätegruppenhierarchie (dg_hier_level_2) PanOSDGl2 DeviceGroupHierarchyL2 dg_hier_level_2

about.labels.key und about.labels.value

„additional.fields.key“ und „additional.fields.value.string_value“

Gerätegruppenhierarchie (dg_hier_level_3) PanOSDGl3 DeviceGroupHierarchyL3 dg_hier_level_3

about.labels.key und about.labels.value

„additional.fields.key“ und „additional.fields.value.string_value“

Gerätegruppenhierarchie (dg_hier_level_4) PanOSDGl4 DeviceGroupHierarchyL4 dg_hier_level_4

about.labels.key und about.labels.value

„additional.fields.key“ und „additional.fields.value.string_value“

Name des virtuellen Systems (vsys_name) PanOsVsysName vSrcName principal.resource.name

principal.resource.resource_type=VIRTUAL_MACHINE

Gerätename (device_name) DVD-Host DeviceName intermediary.hostname
ID des virtuellen Systems (vsys_id) cn2 VirtualSystemID principal.resource.resource_type=VIRTUAL_MACHINE und principal.resource.product_object_id
Zeitstempel für hohe Auflösung (Zeitstempel mit hoher Auflösung) PanOSTimeGeneratedHighResolution metadata.collected_timestamp,

metadata.event_timestamp (wenn „Generate Time“ nicht vorhanden ist)

Entschlüsselung

In der folgenden Tabelle sind die Logfelder des Entschlüsselungslogtyps und die entsprechenden UDM-Felder aufgeführt.

CSV-Feld CEF-Feld LEEF-Feld Chronicle-Labelschlüssel UDM-Feld
Empfangszeit (Receive_time oder cef-formatted-receive_time) rt metadata.collected_timestamp,

metadata.event_timestamp (wenn „Generate Time“ nicht vorhanden ist)

Seriennummer (seriell) PanOSDeviceSN intermediary.asset.hardware.serial_number
Typ (Typ) Typ (Header) metadata.product_event_type
Bedrohungs-/Inhaltstyp (Untertyp) Untertyp (Header) metadata.product_event_type
Konfigurationsversion (config_ver) PanOSConfigVersion config_ver

about.labels.key und about.labels.value

„additional.fields.key“ und „additional.fields.value.string_value“

Erstellungszeit (time_generated) PanOSLogTimeStamp metadata.event_timestamp
Quelladresse (src) src principal.ip
Zieladresse (dst) dst target.ip
NAT-Quell-IP (natsrc) sourceTranslatedAddress principa.nat_ip
NAT-Ziel-IP-Adresse (natdst) destinationTranslatedAddress target.nat_ip
Regel (Regel) cs1 security_result.rule_name
Quellnutzer (srcuser) Suser principal.user.userid
Zielnutzer (dstuser) Duser target.user.userid
Anwendung (App) App target.application
Virtuelles System (vsys) cs3 Vsys

about.labels.key und about.labels.value

„additional.fields.key“ und „additional.fields.value.string_value“

Quellzone (von) cs4 aus

principal.labels.key und principal.labels.value

„additional.fields.key“ und „additional.fields.value.string_value“

Zielzone (bis) cs5 zu

target.labels.key und target.labels.value

„additional.fields.key“ und „additional.fields.value.string_value“

Eingangsschnittstelle (inbound_if) deviceInboundInterface inbound_if

principal.labels.key und principal.labels.value

„additional.fields.key“ und „additional.fields.value.string_value“

Ausgehende Schnittstelle (outbound_if) deviceOutboundInterface outbound_if

target.labels.key und target.labels.value

„additional.fields.key“ und „additional.fields.value.string_value“

Protokollaktion (Logset) cs6 Loget

about.labels.key und about.labels.value

„additional.fields.key“ und „additional.fields.value.string_value“

Protokollierte Zeit (time_Received) PanOSTimeReceivedManagementPlane -
Sitzungs-ID (sessionid) cn1 network.session_id
Wiederholungszähler (Repeatcnt) PanOSCountOfRepeats/RepeatCount Repeatcnt

about.labels.key und about.labels.value

„additional.fields.key“ und „additional.fields.value.string_value“

Quellport (Sport) SPT principal.port
Zielport (dport) DPT target.port
NAT-Quellport (Natsport) sourceTranslatedPort principal.nat_port
NAT-Zielport (natdport) destinationTranslatedPort target.nat_port
Flags flexString1 flags

about.labels.key und about.labels.value

„additional.fields.key“ und „additional.fields.value.string_value“

IP-Protokoll (Proto) proto network.ip_protocol
Aktion (Aktion) act security_result.action_details

security_result.action

Tunnel (Tunnel) PanOSTunnel Tunnel

about.labels.key und about.labels.value

„additional.fields.key“ und „additional.fields.value.string_value“

Quell-VM-UUID (src_uuid) PanOSSourceUUID principal.asset.asset_id
Ziel-VM-UUID (dst_uuid) PanOSDestinationUUID target.asset.asset_id
UUID für Regel (rule_uuid) PanOSRuleUUID security_result.rule_id
Phase für Client zur Firewall (hs_stage_c2f) PanOSClientToFirewall hs_stage_c2f

about.labels.key und about.labels.value

„additional.fields.key“ und „additional.fields.value.string_value“

Phase für Firewall zu Server (hs_stage_f2s) PanOSFirewallToServer hs_stage_f2s

about.labels.key und about.labels.value

„additional.fields.key“ und „additional.fields.value.string_value“

TLS-Version (tls_version) PanOSTLSVersion network.tls.version
Schlüsselaustauschalgorithmus (tls_keyxchg) PanOSTLSKeyExchange tls_keyxchg

about.labels.key und about.labels.value

„additional.fields.key“ und „additional.fields.value.string_value“

Verschlüsselungsalgorithmus (tls_enc) PanOSTLSEncryptionAlgorithm tls_enc

about.labels.key und about.labels.value

„additional.fields.key“ und „additional.fields.value.string_value“

Hash-Algorithmus (tls_auth) PanOSTLSAuth tls_auth

about.labels.key und about.labels.value

„additional.fields.key“ und „additional.fields.value.string_value“

Richtlinienname (policy_name) PanOSPolicyName policy_name

about.labels.key und about.labels.value

„additional.fields.key“ und „additional.fields.value.string_value“

Elliptische Kurve (ec_curve) PanOSEllipticCurve network.tls.curve
Fehlerindex (err_index) PanOSErrorIndex err_index

about.labels.key und about.labels.value

„additional.fields.key“ und „additional.fields.value.string_value“

Stammstatus (root_status) PanOSRootStatus root_status

about.labels.key und about.labels.value

„additional.fields.key“ und „additional.fields.value.string_value“

Kettenstatus (chain_status) PanOSChainStatus chain_status

about.labels.key und about.labels.value

„additional.fields.key“ und „additional.fields.value.string_value“

Proxy-Typ (proxy_type) PanOSProxyType proxy_type

about.labels.key und about.labels.value

„additional.fields.key“ und „additional.fields.value.string_value“

Seriennummer des Zertifikats (cert_serial) PanOSCertificateSerial network.tls.server.certificate.serial
Zertifikat-Fingerabdruck (Fingerabdruck) PanOSFingerprint network.tls.server.certificate.md5/sha1/sha256
Startdatum des Zertifikats (nicht davor) PanOSTimeNotBefore network.tls.server.certificate.not_before
Enddatum des Zertifikats (nicht danach) PanOSTimeNotAfter network.tls.server.certificate.not_after
Zertifikatsversion (cert_ver) PanOSCertificateVersion network.tls.server.certificate.version
Zertifikatsgröße (cert_size) PanOSCertificateSize cert_size

about.labels.key und about.labels.value

„additional.fields.key“ und „additional.fields.value.string_value“

Länge des allgemeinen Namens (cn_len) PanOSCommonNameLength cn_len

about.labels.key und about.labels.value

„additional.fields.key“ und „additional.fields.value.string_value“

Länge des gemeinsamen Namens des Ausstellers (issuer_len) PanOSIssuerNameLength issuer_len

about.labels.key und about.labels.value

„additional.fields.key“ und „additional.fields.value.string_value“

Länge des Stammnamens (rootcn_len) PanOSRootCNLength rootcn_len

about.labels.key und about.labels.value

„additional.fields.key“ und „additional.fields.value.string_value“

SNI-Länge (sni_len) PanOSSNILength sni_len

about.labels.key und about.labels.value

„additional.fields.key“ und „additional.fields.value.string_value“

Zertifikats-Flags (cert_flags) PanOSCertificateFlags cert_flags

about.labels.key und about.labels.value

„additional.fields.key“ und „additional.fields.value.string_value“

Allgemeiner Name des Antragstellers (cn) PanOSCommonName cn

about.labels.key und about.labels.value

„additional.fields.key“ und „additional.fields.value.string_value“

Allgemeiner Name des Ausstellers (issuer_cn) PanOSIssuerCommonName network.tls.server.certificate.issuer
Allgemeiner Stammname (root_cn) PanOSRootCommonName root_cn

about.labels.key und about.labels.value

„additional.fields.key“ und „additional.fields.value.string_value“

Server Name Indication

(sni)

network.tls.client.server_name
Fehler (Fehler) PanOSErrorMessage Fehler

about.labels.key und about.labels.value

„additional.fields.key“ und „additional.fields.value.string_value“

Container-ID (container_id) PanOSContainerID container_id

about.labels.key und about.labels.value

„additional.fields.key“ und „additional.fields.value.string_value“

POD-Namespace (pod_namespace) PanOSContainerNameSpace pod_namespace

about.labels.key und about.labels.value

„additional.fields.key“ und „additional.fields.value.string_value“

POD-Name (pod_name) PanOSContainerName pod_name

about.labels.key und about.labels.value

„additional.fields.key“ und „additional.fields.value.string_value“

Externe dynamische Quellliste (src_edl) PanOSSourceEDL src_edl

principal.labels.key und principal.labels.value

„additional.fields.key“ und „additional.fields.value.string_value“

Externe dynamische Zielliste (dst_edl) PanOSDestinationEDL dst_edl

target.labels.key und target.labels.value

„additional.fields.key“ und „additional.fields.value.string_value“

Dynamische Quelladressgruppe (src_dag) PanOSSourceDynamicAddressGroup principal.group.group_display_name
Dynamische Zieladresse (dst_dag) PanOSDestinationDynamicAddressGroup target.group.group_display_name
Zeitstempel für hohe Auflösung (high_res_timestamp) PanOSTimeGeneratedHighResolution metadata.collected_timestamp,

metadata.event_timestamp (wenn „Generate Time“ nicht vorhanden ist)

Quellgerätekategorie (src_category) PanOSSourceDeviceCategory src_category

principal.labels.key und principal.labels.value

„additional.fields.key“ und „additional.fields.value.string_value“

Quellgeräteprofil (src_profile) PanOSSourceDeviceProfile src_profile

principal.labels.key und principal.labels.value

„additional.fields.key“ und „additional.fields.value.string_value“

Quellgerätemodell (src_model) PanOSSourceDeviceModel src_model

principal.labels.key und principal.labels.value

„additional.fields.key“ und „additional.fields.value.string_value“

Quellgeräteanbieter (src_vendor) PanOSSourceDeviceVendor src_vendor

principal.labels.key und principal.labels.value

„additional.fields.key“ und „additional.fields.value.string_value“

Betriebssystemfamilie des Quellgeräts (src_osfamily) PanOSSourceDeviceOSFamily

principal.asset.platform_software.platform

principal.labels.key und principal.labels.value

Betriebssystemversion des Quellgeräts (src_osversion) PanOSSourceDeviceOSVersion principal.asset.software.version
Quell-Hostname (src_host) PanOSSourceDeviceHost principal.hostname
MAC-Quelladresse (src_mac) PanOSSourceDeviceMac principal.mac
Kategorie der Zielgeräte (dst_category) PanOSDestinationDeviceCategory dst_category

target.labels.key und target.labels.value

„additional.fields.key“ und „additional.fields.value.string_value“

Zielgeräteprofil (dst_profile) PanOSDestinationDeviceProfile dst_profile

target.labels.key und target.labels.value

„additional.fields.key“ und „additional.fields.value.string_value“

Zielgerätemodell (dst_model) PanOSDestinationDeviceModel dst_model

target.labels.key und target.labels.value

„additional.fields.key“ und „additional.fields.value.string_value“

Zielgeräteanbieter (dst_vendor) PanOSDestinationDeviceVendor dst_vendor

target.labels.key und target.labels.value

„additional.fields.key“ und „additional.fields.value.string_value“

Betriebssystemfamilie des Zielgeräts (dst_osfamily) PanOSDestinationDeviceOSFamily dst_osfamily

target.labels.key und target.labels.value

„additional.fields.key“ und „additional.fields.value.string_value“

Betriebssystemversion des Zielgeräts (dst_osversion) PanOSDestinationDeviceOSVersion target.asset.software.version
Ziel-Hostname (dst_host) PanOSDestinationDeviceHost target.hostname
MAC-Zieladresse (dst_mac) PanOSDestinationDeviceMac target.mac
Sequenznummer (Sequenznummer) PanOSLogTypeSeqNo metadata.product_log_id
Aktions-Flags (actionflags) PanOSActionFlags Aktionsflags

about.labels.key und about.labels.value

„additional.fields.key“ und „additional.fields.value.string_value“

Gerätegruppenhierarchie (dg_hier_level_1) DeviceGroupHierarchyL1 dg_hier_level_1

about.labels.key und about.labels.value

„additional.fields.key“ und „additional.fields.value.string_value“

Gerätegruppenhierarchie (dg_hier_level_2) DeviceGroupHierarchyL2 dg_hier_level_2

about.labels.key und about.labels.value

„additional.fields.key“ und „additional.fields.value.string_value“

Gerätegruppenhierarchie (dg_hier_level_3) DeviceGroupHierarchyL3 dg_hier_level_3

about.labels.key und about.labels.value

„additional.fields.key“ und „additional.fields.value.string_value“

Gerätegruppenhierarchie (dg_hier_level_4) DeviceGroupHierarchyL4 dg_hier_level_4

about.labels.key und about.labels.value

„additional.fields.key“ und „additional.fields.value.string_value“

Name des virtuellen Systems (vsys_name) principal.resource.name

principal.resource.resource_type=VIRTUAL_MACHINE

Gerätename (device_name) intermediary.hostname
ID des virtuellen Systems (vsys_id) principal.resource.resource_type=VIRTUAL_MACHINE und principal.resource.product_object_id
Anwendungs-Unterkategorie (subcategory_of_app) subcategory_of_app

about.labels.key und about.labels.value

„additional.fields.key“ und „additional.fields.value.string_value“

Anwendungskategorie (category_of_app) category_of_app

about.labels.key und about.labels.value

„additional.fields.key“ und „additional.fields.value.string_value“

Anwendungstechnologie (Technologie_der_App) technology_of_app

about.labels.key und about.labels.value

„additional.fields.key“ und „additional.fields.value.string_value“

Anwendungsrisiko (risk_of_app) security_result.severity
Anwendungsmerkmal (characteristic_of_app) characteristic_of_app

about.labels.key und about.labels.value

„additional.fields.key“ und „additional.fields.value.string_value“

Anwendungscontainer (container_of_app) container_of_app

about.labels.key und about.labels.value

„additional.fields.key“ und „additional.fields.value.string_value“

SaaS-Anwendung (is_saas_of_app) is_saas_of_app

about.labels.key und about.labels.value

„additional.fields.key“ und „additional.fields.value.string_value“

App-Sanktionen-Bundesstaat (sanctioned_state_of_app) sanctioned_state_of_app

about.labels.key und about.labels.value

„additional.fields.key“ und „additional.fields.value.string_value“

Tunnel-

In der folgenden Tabelle sind die Logfelder des Tunnel-Logtyps und die entsprechenden UDM-Felder aufgeführt.

CSV-Feld CEF-Feld LEEF-Feld Chronicle-Labelschlüssel UDM-Feld
Empfangszeit (Receive_time oder cef-formatted-receive_time) rt devTime metadata.collected_timestamp,

metadata.event_timestamp (wenn „Generate Time“ nicht vorhanden ist)

Seriennummer (seriell) deviceExternalId SerialNumber intermediary.asset.hardware.serial_number
Typ (Typ) Typ (Header) cat metadata.product_event_type
Bedrohungs-/Inhaltstyp (Untertyp) Untertyp (Header) Subtyp metadata.product_event_type
Generierte Zeit (time_generated oder cef-formatted-time_generated) metadata.event_timestamp
Quelladresse (src) src src principal.ip
Zieladresse (dst) dst dst target.ip
NAT-Quell-IP (natsrc) sourceTranslatedAddress srcPostNAT principal.nat_ip
NAT-Ziel-IP-Adresse (natdst) destinationTranslatedAddress dstPostNAT target.nat_ip
Regelname (Regel) cs1 RuleName security_result.rule_name
Quellnutzer (srcuser) Suser SourceUser / usrName principal.user.userid
Zielnutzer (dstuser) Duser DestinationUser target.user.userid
Anwendung (App) App Anwendung network.application_protocol
Virtuelles System (vsys) cs3 VirtualSystem Vsys

about.labels.key und about.labels.value

„additional.fields.key“ und „additional.fields.value.string_value“

Quellzone (von) cs4 SourceZone aus

principal.labels.key und principal.labels.value

„additional.fields.key“ und „additional.fields.value.string_value“

Zielzone (bis) cs5 DestinationZone zu

target.labels.key und target.labels.value

„additional.fields.key“ und „additional.fields.value.string_value“

Eingangsschnittstelle (inbound_if) deviceInboundInterface IngressInterface inbound_if

principal.labels.key und principal.labels.value

„additional.fields.key“ und „additional.fields.value.string_value“

Ausgehende Schnittstelle (outbound_if) deviceOutboundInterface EgressInterface outbound_if

target.labels.key und target.labels.value

„additional.fields.key“ und „additional.fields.value.string_value“

Protokollaktion (Logset) cs6 LogForwardingProfile Loget

about.labels.key und about.labels.value

„additional.fields.key“ und „additional.fields.value.string_value“

Sitzungs-ID (sessionid) cn1 SessionID network.session_id
Wiederholungszähler (Repeatcnt) cnt RepeatCount Repeatcnt

about.labels.key und about.labels.value

„additional.fields.key“ und „additional.fields.value.string_value“

Quellport (Sport) SPT srcPort principal.port
Zielport (dport) DPT dstPort target.port
NAT-Quellport (Natsport) sourceTranslatedPort srcPostNATPort principal.nat_port
NAT-Zielport (natdport) destinationTranslatedPort dstPostNATPort target.nat_port
Flags flexString1 Flags flags

about.labels.key und about.labels.value

„additional.fields.key“ und „additional.fields.value.string_value“

IP-Protokoll (Proto) proto proto network.ip_protocol
Aktion (Aktion) act Aktion security_result.action_details

security_result.action

Schweregrad (Schweregrad) security_result.severity und security_result.severity_details
Sequenznummer (Sequenznummer) externalId Sequenz metadata.product_log_id
Aktions-Flags (actionflags) PanOSActionFlags ActionFlags Aktionsflags

about.labels.key und about.labels.value

„additional.fields.key“ und „additional.fields.value.string_value“

Quellort (srcloc) principal.location.country_or_region
Zielort (dstloc) target.location.country_or_region
Gerätegruppenhierarchie (dg_hier_level_1) PanOSDGl1 DeviceGroupHierarchyL1 dg_hier_level_1

about.labels.key und about.labels.value

„additional.fields.key“ und „additional.fields.value.string_value“

Gerätegruppenhierarchie (dg_hier_level_2) PanOSDGl2 DeviceGroupHierarchyL2 dg_hier_level_2

about.labels.key und about.labels.value

„additional.fields.key“ und „additional.fields.value.string_value“

Gerätegruppenhierarchie (dg_hier_level_3) PanOSDGl3 DeviceGroupHierarchyL3 dg_hier_level_3

about.labels.key und about.labels.value

„additional.fields.key“ und „additional.fields.value.string_value“

Gerätegruppenhierarchie (dg_hier_level_4) PanOSDGl4 DeviceGroupHierarchyL4 dg_hier_level_4

about.labels.key und about.labels.value

„additional.fields.key“ und „additional.fields.value.string_value“

Name des virtuellen Systems (vsys_name) PanOSVsysName vSrcName principal.resource.name

principal.resource.resource_type=VIRTUAL_MACHINE

Gerätename (device_name) DVD-Host DeviceName intermediary.hostname
Tunnel-ID (tunnelid) PanOSTunnelID TunnelID Tunnelid

about.labels.key und about.labels.value

„additional.fields.key“ und „additional.fields.value.string_value“

Monitor-Tag (monitortag) PanOSMonitorTag MonitorTag Monitor-Tag

about.labels.key und about.labels.value

„additional.fields.key“ und „additional.fields.value.string_value“

Übergeordnete Sitzungs-ID (parent_session_id) PanOSParentSessionID ParentSessionID parent_session_id network.parent_session_id
Startzeit des übergeordneten Elements (parent_start_time) PanOSParentStartTime ParentStartTime parent_start_time

about.labels.key und about.labels.value

„additional.fields.key“ und „additional.fields.value.string_value“

Tunneltyp (Tunnel) cs2 TunnelType Tunnel

about.labels.key und about.labels.value

„additional.fields.key“ und „additional.fields.value.string_value“

Byte (Byte) flexNumber1 totalBytes Byte

about.labels.key und about.labels.value

„additional.fields.key“ und „additional.fields.value.string_value“

Gesendete Byte (bytes_sent) in srcBytes network.sent_bytes
Empfangene Byte (bytes_erhalten) out dstBytes network.received_bytes
Pakete (Pakete) cn2 totalPackets Pakete

about.labels.key und about.labels.value

„additional.fields.key“ und „additional.fields.value.string_value“

Gesendete Pakete (pkts_sent) PanOSPacketsSent srcPackets pkts_sent

about.labels.key und about.labels.value

„additional.fields.key“ und „additional.fields.value.string_value“

Empfangene Pakete (pkts_received) PanOSPacketsReceived dstPackets pkts_received

about.labels.key und about.labels.value

„additional.fields.key“ und „additional.fields.value.string_value“

Maximale Datenkapselung (max_encap) flexNumber2 MaximumEncapsulation max_encap

about.labels.key und about.labels.value

„additional.fields.key“ und „additional.fields.value.string_value“

Unbekanntes Protokoll (unknown_proto) cfp1 UnknownProtocol unknown_proto

about.labels.key und about.labels.value

„additional.fields.key“ und „additional.fields.value.string_value“

Strikte Überprüfung (strict_check) cfp2 StrictChecking strict_check

about.labels.key und about.labels.value

„additional.fields.key“ und „additional.fields.value.string_value“

Tunnelfragment (tunnel_fragment) PanOSTunnelFragment TunnelFragment tunnel_fragment

about.labels.key und about.labels.value

„additional.fields.key“ und „additional.fields.value.string_value“

Erstellte Sitzungen (sessions_created) cfp3 SessionsCreated sessions_created

about.labels.key und about.labels.value

„additional.fields.key“ und „additional.fields.value.string_value“

Geschlossene Sitzungen (sessions_closed) cfp4 SessionsClosed sessions_closed

about.labels.key und about.labels.value

„additional.fields.key“ und „additional.fields.value.string_value“

Grund für das Ende der Sitzung (session_end_reason) reason SessionEndReason security_result.summary
Aktionsquelle (action_source) cat ActionSource action_source

about.labels.key und about.labels.value

„additional.fields.key“ und „additional.fields.value.string_value“

Startzeit (start) startTime Starten

about.labels.key und about.labels.value

„additional.fields.key“ und „additional.fields.value.string_value“

Verstrichene Zeit (verstrichen) cn3 ElapsedTime verstrichen network.session_duration.seconds
Tunnelinspektionsregel (tunnel_insp_rule) PanOSTunneInspectionRule security_result.rule_name = "Tunnel Inspection Rule: %{PanOSTunnelInspectionRule}"
IP-Adresse des Remote-Nutzers (remote_user_ip) PanOSRmtUserIP target.ip
Remote-Nutzer-ID (remote_user_id) PanOSRmtUserID remote_user_id

target.labels.key und target.labels.value

„additional.fields.key“ und „additional.fields.value.string_value“

UUID der Sicherheitsregel (rule_uuid) PanOSRuleUUID security_result.rule_id
PCAP-ID (pcap_id) PanOSPcapID pcap_id

about.labels.key und about.labels.value

„additional.fields.key“ und „additional.fields.value.string_value“

Name der dynamischen Nutzergruppe (dynusergroup_name) PanDynamicUsrgrp principal.group.group_display_name
Externe dynamische Quellliste (src_edl) PanOSSourceEDL src_edl

principal.labels.key und principal.labels.value

„additional.fields.key“ und „additional.fields.value.string_value“

Externe dynamische Zielliste (dst_edl) PanOSDestinationEDL dst_edl

target.labels.key und target.labels.value

„additional.fields.key“ und „additional.fields.value.string_value“

Zeitstempel für hohe Auflösung (Zeitstempel mit hoher Auflösung) PanOSTimeGeneratedHighResolution metadata.collected_timestamp,

metadata.event_timestamp (wenn „Generate Time“ nicht vorhanden ist)

Slice-Unterscheidung (nssai_sd) nssai_sd

about.labels.key und about.labels.value

„additional.fields.key“ und „additional.fields.value.string_value“

Ein Slice-Diensttyp (nssai_sd) nssai_sd1

about.labels.key und about.labels.value

„additional.fields.key“ und „additional.fields.value.string_value“

PDU-Sitzungs-ID (pdu_session_id) pdu_session_id

about.labels.key und about.labels.value

„additional.fields.key“ und „additional.fields.value.string_value“

Anwendungs-Unterkategorie (subcategory_of_app) subcategory_of_app

about.labels.key und about.labels.value

„additional.fields.key“ und „additional.fields.value.string_value“

Anwendungskategorie (category_of_app) category_of_app

about.labels.key und about.labels.value

„additional.fields.key“ und „additional.fields.value.string_value“

Anwendungstechnologie (Technologie_der_App) technology_of_app

about.labels.key und about.labels.value

„additional.fields.key“ und „additional.fields.value.string_value“

Anwendungsrisiko (risk_of_app) risk_of_app

about.labels.key und about.labels.value

„additional.fields.key“ und „additional.fields.value.string_value“

Anwendungsmerkmal (characteristic_of_app) characteristic_of_app

about.labels.key und about.labels.value

„additional.fields.key“ und „additional.fields.value.string_value“

Anwendungscontainer (container_of_app) container_of_app

about.labels.key und about.labels.value

„additional.fields.key“ und „additional.fields.value.string_value“

SaaS-Anwendung (is_saas_of_app) is_saas_of_app

about.labels.key und about.labels.value

„additional.fields.key“ und „additional.fields.value.string_value“

App-Sanktionen-Bundesstaat (sanctioned_state_of_app) sanctioned_state_of_app

about.labels.key und about.labels.value

„additional.fields.key“ und „additional.fields.value.string_value“

Authentifizierung

In der folgenden Tabelle sind die Logfelder des Authentifizierungslogtyps und die entsprechenden UDM-Felder aufgeführt.

CSV-Feld CEF-Feld LEEF-Feld Chronicle-Labelschlüssel UDM-Feld
Empfangszeit (Receive_time oder cef-formatted-receive_time) rt devTime metadata.collected_timestamp,

metadata.event_timestamp (wenn „Generate Time“ nicht vorhanden ist)

Seriennummer (seriell) deviceExternalId SerialNumber intermediary.asset.hardware.serial_number
Typ (Typ) Typ (Header) cat metadata.product_event_type
Bedrohungs-/Inhaltstyp (Untertyp) Untertyp (Header) Subtyp metadata.product_event_type
Generierte Zeit (time_generated oder cef-formatted-time_generated) metadata.event_timestamp
Virtuelles System (vsys) cs3 VirtualSystem Vsys

about.labels.key und about.labels.value

„additional.fields.key“ und „additional.fields.value.string_value“

Quell-IP (IP) src src principal.ip
Nutzer (Nutzer) Duser usrName target.user.userid
Nutzer normalisieren (normalize_user) cs2 NormalizeUser target.user.user_display_name
Objekt (Objekt) fname ObjectName Objekt

about.labels.key und about.labels.value

„additional.fields.key“ und „additional.fields.value.string_value“

Authentifizierungsrichtlinie (authpolicy) cs4 AuthPolicy authpolicy

about.labels.key und about.labels.value

„additional.fields.key“ und „additional.fields.value.string_value“

Wiederholungszähler (Repeatcnt) cnt RepeatCount Repeatcnt

about.labels.key und about.labels.value

„additional.fields.key“ und „additional.fields.value.string_value“

Authentifizierungs-ID (authid) cn2 AuthenticationID Authentifizierungs-ID

about.labels.key und about.labels.value

„additional.fields.key“ und „additional.fields.value.string_value“

Anbieter (Anbieter) flexString2 Lieferant vendor

about.labels.key und about.labels.value

„additional.fields.key“ und „additional.fields.value.string_value“

Protokollaktion (Logset) cs6 LogForwardingProfile Loget

about.labels.key und about.labels.value

„additional.fields.key“ und „additional.fields.value.string_value“

Serverprofil (Serverprofil) cs1 ServerProfile Serverprofil

about.labels.key und about.labels.value

„additional.fields.key“ und „additional.fields.value.string_value“

Beschreibung (absteigend) PanOSDesc AdditionalAuthInfo security_result.description
Clienttyp (clienttype) cs5 ClientType Clienttyp

about.labels.key und about.labels.value

„additional.fields.key“ und „additional.fields.value.string_value“

Ereignistyp (Ereignis) msg msg extensions.auth.auth_details
Faktornummer (Faktornno) cn1 FactorNumber Faktorno

about.labels.key und about.labels.value

„additional.fields.key“ und „additional.fields.value.string_value“

Sequenznummer (Sequenznummer) externalId Sequenz metadata.product_log_id
Aktions-Flags (actionflags) PanOSActionFlags ActionFlags Aktionsflags

about.labels.key und about.labels.value

„additional.fields.key“ und „additional.fields.value.string_value“

Gerätegruppenhierarchie (dg_hier_level_1) PanOSDGl1 DeviceGroupHierarchyL1 dg_hier_level_1

about.labels.key und about.labels.value

„additional.fields.key“ und „additional.fields.value.string_value“

Gerätegruppenhierarchie (dg_hier_level_2) PanOSDGl2 DeviceGroupHierarchyL2 dg_hier_level_2

about.labels.key und about.labels.value

„additional.fields.key“ und „additional.fields.value.string_value“

Gerätegruppenhierarchie (dg_hier_level_3) PanOSDGl3 DeviceGroupHierarchyL3 dg_hier_level_3

about.labels.key und about.labels.value

„additional.fields.key“ und „additional.fields.value.string_value“

Gerätegruppenhierarchie (dg_hier_level_4) PanOSDGl4 DeviceGroupHierarchyL4 dg_hier_level_4

about.labels.key und about.labels.value

„additional.fields.key“ und „additional.fields.value.string_value“

Name des virtuellen Systems (vsys_name) PanOSVsysName vSrcName principal.resource.name

principal.resource.resource_type=VIRTUAL_MACHINE

Gerätename (device_name) DVD-Host DeviceName intermediary.hostname
ID des virtuellen Systems (vsys_id) principal.resource.resource_type=VIRTUAL_MACHINE und principal.resource.product_object_id
Authentifizierungsprotokoll (authproto) Authproto

about.labels.key und about.labels.value

„additional.fields.key“ und „additional.fields.value.string_value“

UUID für Regel (rule_uuid) PanOSRuleUUID/RuleUUID security_result.rule_id
Hochauflösender Zeitstempel (high_res _timestamp) PanOSTimeGeneratedHighResolution metadata.collected_timestamp,

metadata.event_timestamp (wenn „Generate Time“ nicht vorhanden ist)

Quellgerätekategorie (src_category) PanOSSourceDeviceCategory src_category

principal.labels.key und principal.labels.value

„additional.fields.key“ und „additional.fields.value.string_value“

Quellgeräteprofil (src_profile) PanOSSourceDeviceProfile src_profile

principal.labels.key und principal.labels.value

„additional.fields.key“ und „additional.fields.value.string_value“

Quellgerätemodell (src_model) PanOSSourceDeviceModel src_model

principal.labels.key und principal.labels.value

„additional.fields.key“ und „additional.fields.value.string_value“

Quellgeräteanbieter (src_vendor) PanOSSourceDeviceVendor src_vendor

principal.labels.key und principal.labels.value

„additional.fields.key“ und „additional.fields.value.string_value“

Betriebssystemfamilie des Quellgeräts (src_osfamily) PanOSSourceDeviceOSFamily

principal.asset.platform_software.platform

principal.labels.key und principal.labels.value

„additional.fields.key“ und „additional.fields.value.string_value“

Betriebssystemversion des Quellgeräts (src_osversion) PanOSSourceDeviceOSVersion principal.asset.software.version
Quell-Hostname (src_host) PanOSSourceHostname principal.hostname
MAC-Quelladresse (src_mac) PanOSSourceMac principal.asset.mac
Region (Region) PanOSTrafficOriginRegion principal.location.country_or_region
User-Agent (user_agent) PanOSHTTPUserAgent network.http.user_agent
Sitzungs-ID(Sitzungs-ID) PanOSTrafficSessionID network.session_id

URL

In der folgenden Tabelle sind die Logfelder des URL-Logtyps und die entsprechenden UDM-Felder aufgeführt.

CSV-Feld CEF-Feld LEEF-Feld Chronicle-Labelschlüssel UDM-Feld
Empfangszeit (cef-formatted-receive_time) rt devTime metadata.collected_timestamp,

metadata.event_timestamp (wenn „Generate Time“ nicht vorhanden ist)

Seriennummer (Seriennummer) deviceExternalId SerialNumber intermediary.asset.hardware.serial_number
Typ (Typ) Typ (Header) cat metadata.product_event_type
Bedrohungs-/Inhaltstyp (Untertyp) Untertyp (Header) Subtyp metadata.product_event_type
Erstellungszeit metadata.event_timestamp
Quelladresse (src) src src principal.ip
Zieladresse (dst) dst dst target.ip
NAT-Quell-IP (natsrc) sourceTranslatedAddress srcPostNAT principal.nat_ip
NAT-Ziel-IP-Adresse (natdst) destinationTranslatedAddress dstPostNAT target.nat_ip
Regel (Regel) cs1 RuleName security_result.rule_name
Quellnutzer (srcuser) Suser SourceUser principal.user.userid
Zielnutzer (dstuser) Duser DestinationUser target.user.userid
Anwendung (App) App Anwendung network.application_protocol
Virtuelles System (vsys) cs3 VirtualSystem Vsys

about.labels.key und about.labels.value

„additional.fields.key“ und „additional.fields.value.string_value“

Quellzone (von) cs4 SourceZone aus

principal.labels.key und principal.labels.value

„additional.fields.key“ und „additional.fields.value.string_value“

Zielzone (bis) cs5 DestinationZone zu

target.labels.key und target.labels.value

„additional.fields.key“ und „additional.fields.value.string_value“

Eingangsschnittstelle (inbound_if) deviceInboundInterface IngressInterface inbound_if

principal.labels.key und principal.labels.value

„additional.fields.key“ und „additional.fields.value.string_value“

Ausgehende Schnittstelle (outbound_if) deviceOutboundInterface EgressInterface outbound_if

target.labels.key und target.labels.value

„additional.fields.key“ und „additional.fields.value.string_value“

Protokollaktion (Logset) cs6 LogForwardingProfile Loget

about.labels.key und about.labels.value

„additional.fields.key“ und „additional.fields.value.string_value“

Zeit der Protokollierung time_logged

about.labels.key und about.labels.value

„additional.fields.key“ und „additional.fields.value.string_value“

Sitzungs-ID (sessionid) cn1 SessionID network.session_id
Wiederholungszähler (Repeatcnt) cnt RepeatCount Repeatcnt

about.labels.key und about.labels.value

„additional.fields.key“ und „additional.fields.value.string_value“

Quellport (Sport) SPT srcPort principal.port
Zielport (dport) DPT dstPort target.port
NAT-Quellport (Natsport) sourceTranslatedPort srcPostNATPort principal.nat_port
NAT-Zielport (natdport) destinationTranslatedPort dstPostNATPort target.nat_port
Flags flexString1 Flags flags

about.labels.key und about.labels.value

„additional.fields.key“ und „additional.fields.value.string_value“

IP-Protokoll (Proto) proto proto network.ip_protocol
Aktion (Aktion) act Aktion security_result.action_details

security_result.action

URL/Dateiname (Sonstiges) Andere Beteiligte target.file.full_path

target.url

Name der Bedrohung/Inhalte (Bedrohung) cat ThreatID security_result.threat_id
Kategorie cs2 URLCategory category

about.labels.key und about.labels.value

„additional.fields.key“ und „additional.fields.value.string_value“

Schweregrad (Schweregrad) Schweregradanzahl (Header) Schweregrad security_result.severity

security_result.severity_details

Richtung (Richtung) flexString2 Richtung network.direction
Sequenznummer (Sequenznummer) externalId Sequenz metadata.product_log_id
Aktions-Flags (actionflags) PanOSActionFlags ActionFlags Aktionsflags

about.labels.key und about.labels.value

„additional.fields.key“ und „additional.fields.value.string_value“

Quellland (srcloc) SourceLocation principal.location.country_or_region
Zielland (dstloc) DestinationLocation target.location.country_or_region
contenttype (contenttype) requestContext ContentType Inhaltstyp

about.labels.key und about.labels.value

„additional.fields.key“ und „additional.fields.value.string_value“

pcap_id (pcap_id) fileId PCAP_ID pcap_id

about.labels.key und about.labels.value

„additional.fields.key“ und „additional.fields.value.string_value“

filedigest (filedigest) FileDigest about.file.sha1/md5/sha256
Cloud Cloud Cloud

about.labels.key und about.labels.value

„additional.fields.key“ und „additional.fields.value.string_value“

url_idx (url_idx) URLIndex url_idx

about.labels.key und about.labels.value

„additional.fields.key“ und „additional.fields.value.string_value“

user_agent (user_agent) requestClientApplication UserAgent network.http.user_agent
filetype (filetype) about.file.mime_type
XFF (xff) PanOSXForwarderfor identSrc XFF

about.labels.key und about.labels.value

„additional.fields.key“ und „additional.fields.value.string_value“

Referrer-URL (Referrer) PanOSReferer Verwiesen von: network.http.referral_url
Absender (Absender) network.email.from
Betreff (Betreff) Betreff network.email.subject
Empfänger (Empfänger) network.email.to
reportid (Berichts-ID) Berichts-ID

about.labels.key und about.labels.value

„additional.fields.key“ und „additional.fields.value.string_value“

DG-Hierarchieebene 1 (dg_hier_level_1) PanOSDGl1 DeviceGroupHierarchyL1 dg_hier_level_1

about.labels.key und about.labels.value

„additional.fields.key“ und „additional.fields.value.string_value“

DG-Hierarchieebene 2 (dg_hier_level_2) PanOSDGl2 DeviceGroupHierarchyL2 dg_hier_level_2

about.labels.key und about.labels.value

„additional.fields.key“ und „additional.fields.value.string_value“

DG-Hierarchieebene 3 (dg_hier_level_3) PanOSDGl3 DeviceGroupHierarchyL3 dg_hier_level_3

about.labels.key und about.labels.value

„additional.fields.key“ und „additional.fields.value.string_value“

DG-Hierarchieebene 4 (dg_hier_level_4) PanOSDGl4 DeviceGroupHierarchyL4 dg_hier_level_4

about.labels.key und about.labels.value

„additional.fields.key“ und „additional.fields.value.string_value“

Name des virtuellen Systems (vsys_name) PanOSVsysName vSrcName principal.resource.name

principal.resource.resource_type=VIRTUAL_MACHINE

Gerätename (device_name) DVD-Host DeviceName intermediary.hostname
file_url (file_url) about.url
Quell-VM-UUID (src_uuid) SrcUUID principal.asset.asset_id
Ziel-VM-UUID (dst_uuid) DstUUID target.asset.asset_id
http_method (http_method) requestMethod RequestMethod network.http.method
Tunnel-ID/IMSI (tunnelid) PanOSTunnelID TunnelID Tunnelid

about.labels.key und about.labels.value

„additional.fields.key“ und „additional.fields.value.string_value“

Monitor-Tag/IMEI PanOSMonitorTag MonitorTag Monitor-Tag

about.labels.key und about.labels.value

„additional.fields.key“ und „additional.fields.value.string_value“

Übergeordnete Sitzungs-ID (parent_session_id) PanOSParentSessionID ParentSessionID parent_session_id network.parent_session_id
Beginn der übergeordneten Sitzung (parent_start_time) PanOSParentStartTime ParentStartTime parent_start_time

about.labels.key und about.labels.value

„additional.fields.key“ und „additional.fields.value.string_value“

Tunnel (Tunnel) PanOSTunnelType TunnelType Tunnel

about.labels.key und about.labels.value

„additional.fields.key“ und „additional.fields.value.string_value“

thr_category (thr_category) PanOSThreatCategory ThreatCategory thr_category security_result.detection_fields.key/value
Contentver (Contentver) PanOSContentVer ContentVer Contentver

about.labels.key und about.labels.value

„additional.fields.key“ und „additional.fields.value.string_value“

sig_flags (sig_flags) sig_flags

about.labels.key und about.labels.value

„additional.fields.key“ und „additional.fields.value.string_value“

SCTP-Verknüpfungs-ID (assoc_id) PanOSAssocID assoc_id

about.labels.key und about.labels.value

„additional.fields.key“ und „additional.fields.value.string_value“

Payload Protocol ID (ppid) PanOSPPID ppid

about.labels.key und about.labels.value

„additional.fields.key“ und „additional.fields.value.string_value“

http_headers (http_headers) PanOSHTTPHeader http_headers

about.labels.key und about.labels.value

„additional.fields.key“ und „additional.fields.value.string_value“

URL-Kategorieliste (url_category_list) PanOSURLCatList url_category_list

about.labels.key und about.labels.value

„additional.fields.key“ und „additional.fields.value.string_value“

UUID für Regel (rule_uuid) PanOSRuleUUID rule_uuid

about.labels.key und about.labels.value

„additional.fields.key“ und „additional.fields.value.string_value“

HTTP/2-Verbindung (http2_connection) PanOSHTTP2Con http2_connection

about.labels.key und about.labels.value

„additional.fields.key“ und „additional.fields.value.string_value“

dynusergroup_name (dynusergroup_name) PanDynamicUsrgrp dynusergroup_name

about.labels.key und about.labels.value

„additional.fields.key“ und „additional.fields.value.string_value“

XFF-Adresse (xff_ip) PanXFFIP principal.ip
Quellgerätekategorie (src_category) PanSrcDeviceCat src_category

principal.labels.key und principal.labels.value

„additional.fields.key“ und „additional.fields.value.string_value“

Quellgeräteprofil (src_profile) PanSrcDeviceProf src_profile

principal.labels.key und principal.labels.value

„additional.fields.key“ und „additional.fields.value.string_value“

Quellgerätemodell (src_model) PanSrcDeviceModel src_model

principal.labels.key und principal.labels.value

„additional.fields.key“ und „additional.fields.value.string_value“

Quellgeräteanbieter (src_vendor) PanSrcDeviceVendor src_vendor

principal.labels.key und principal.labels.value

„additional.fields.key“ und „additional.fields.value.string_value“

Betriebssystemfamilie des Quellgeräts (src_osfamily) PanSrcDeviceOS

principal.asset.platform_software.platform

principal.labels.key und principal.labels.value

„additional.fields.key“ und „additional.fields.value.string_value“

Betriebssystemversion des Quellgeräts (src_osversion) PanSrcDeviceOSv principal.asset.software.version
Quell-Hostname (src_host) PanSrcHostname src_host

principal.labels.key und principal.labels.value

„additional.fields.key“ und „additional.fields.value.string_value“

Mac-Quelladresse (src_mac) PanSrcMac principal.mac
Kategorie der Zielgeräte (dst_category) PanDstDeviceCat dst_category

target.labels.key und target.labels.value

„additional.fields.key“ und „additional.fields.value.string_value“

Zielgeräteprofil (dst_profile) PanDstDeviceProf dst_profile

target.labels.key und target.labels.value

„additional.fields.key“ und „additional.fields.value.string_value“

Zielgerätemodell (dst_model) PanDstDeviceModel dst_model

target.labels.key und target.labels.value

„additional.fields.key“ und „additional.fields.value.string_value“

Zielgeräteanbieter (dst_vendor) PanDstDeviceVendor dst_vendor

target.labels.key und target.labels.value

„additional.fields.key“ und „additional.fields.value.string_value“

Betriebssystemfamilie des Zielgeräts (dst_osfamily) PanDstDeviceOS target.asset.platform_software.platform

target.labels.key und target.labels.value

Betriebssystemversion des Zielgeräts (dst_osversion) PanDstDeviceOSv target.asset.software.version
Ziel-Hostname (dst_host) PanPODNamespace target.hostname
Ziel-MAC-Adresse (dst_mac) PanDstMac target.mac
Container-ID (container_id) PanContainerName container_id

about.labels.key und about.labels.value

„additional.fields.key“ und „additional.fields.value.string_value“

POD-Namespace (pod_namespace) PanPODNamespace pod_namespace

about.labels.key und about.labels.value

„additional.fields.key“ und „additional.fields.value.string_value“

POD-Name (pod_name) PanPODName pod_name

about.labels.key und about.labels.value

„additional.fields.key“ und „additional.fields.value.string_value“

Externe dynamische Quellliste (src_edl) PanSrcEDL src_edl

principal.labels.key und principal.labels.value

„additional.fields.key“ und „additional.fields.value.string_value“

Externe dynamische Zielliste (dst_edl) PanDstEDL dst_edl

target.labels.key und target.labels.value

„additional.fields.key“ und „additional.fields.value.string_value“

Host-ID (hostid) PanGPHostID Host-ID

about.labels.key und about.labels.value

„additional.fields.key“ und „additional.fields.value.string_value“

Seriennummer (Seriennummer) PanEPSerial principal.asset.hardware.serial_number
domain_edl (domain_edl) PanDomainEDL domain_edl

about.labels.key und about.labels.value

„additional.fields.key“ und „additional.fields.value.string_value“

Dynamische Quelladressgruppe (src_dag) PanSrcDAG principal.group.group_display_name
Dynamische Zieladresse (dst_dag) PanDstDAG target.group.group_display_name
partial_hash (partial_hash) PanPartialHash partial_hash

about.labels.key und about.labels.value

„additional.fields.key“ und „additional.fields.value.string_value“

Zeitstempel mit hoher Auflösung (high_res_timestamp) PanTimeHighRes metadata.collected_timestamp,

metadata.event_timestamp (wenn „Generate Time“ nicht vorhanden ist)

Grund (Grund) PanReasonFilteringAction reason

about.labels.key und about.labels.value

„additional.fields.key“ und „additional.fields.value.string_value“

Begründung (Justification) PanJustification Begründung

about.labels.key und about.labels.value

„additional.fields.key“ und „additional.fields.value.string_value“

nssai_sst (nssai_sst) PanASServiceType nssai_sst

about.labels.key und about.labels.value

„additional.fields.key“ und „additional.fields.value.string_value“

Unterkategorie der App (subcategory_of_app) subcategory_of_app

about.labels.key und about.labels.value

„additional.fields.key“ und „additional.fields.value.string_value“

Kategorie der App (category_of_app) category_of_app

about.labels.key und about.labels.value

„additional.fields.key“ und „additional.fields.value.string_value“

App-Technologie (technology_of_app) technology_of_app

about.labels.key und about.labels.value

„additional.fields.key“ und „additional.fields.value.string_value“

Risiko der Anwendung (risk_of_app) risk_of_app

about.labels.key und about.labels.value

„additional.fields.key“ und „additional.fields.value.string_value“

Merkmal der App (characteristic_of_app) characteristic_of_app

about.labels.key und about.labels.value

„additional.fields.key“ und „additional.fields.value.string_value“

Container der Anwendung (container_of_app) container_of_app

about.labels.key und about.labels.value

„additional.fields.key“ und „additional.fields.value.string_value“

Tunneling-App (tunneled_app) tunneled_app

about.labels.key und about.labels.value

„additional.fields.key“ und „additional.fields.value.string_value“

SaaS der Anwendung (is_saas_of_app) is_saas_of_app

about.labels.key und about.labels.value

„additional.fields.key“ und „additional.fields.value.string_value“

Von Sanktionen betroffener Status der App (sanctioned_state_of_app) sanctioned_state_of_app

about.labels.key und about.labels.value

„additional.fields.key“ und „additional.fields.value.string_value“

Daten

In der folgenden Tabelle sind die Logfelder des Datenlogtyps und die entsprechenden UDM-Felder aufgeführt.

CSV-Feld CEF-Feld LEEF-Feld Chronicle-Labelschlüssel UDM-Feld
Empfangszeit (cef-formatted-receive_time) rt devTime metadata.collected_timestamp,

metadata.event_timestamp (wenn „Generate Time“ nicht vorhanden ist)

Seriennummer (Seriennummer) deviceExternalId SerialNumber intermediary.asset.hardware.serial_number
Typ (Typ) Typ (Header) cat metadata.product_event_type
Bedrohungs-/Inhaltstyp (Untertyp) Untertyp (Header) Subtyp metadata.product_event_type
Erstellungszeit metadata.event_timestamp
Quelladresse (src) src src principal.ip
Zieladresse (dst) dst dst target.ip
NAT-Quell-IP (natsrc) sourceTranslatedAddress srcPostNAT principal.nat_ip
NAT-Ziel-IP-Adresse (natdst) destinationTranslatedAddress dstPostNAT target.nat_ip
Regel (Regel) cs1 RuleName security_result.rule_name
Quellnutzer (srcuser) Suser SourceUser principal.user.userid
Zielnutzer (dstuser) Duser DestinationUser target.user.userid
Anwendung (App) App Anwendung network.application_protocol
Virtuelles System (vsys) cs3 VirtualSystem Vsys

about.labels.key und about.labels.value

„additional.fields.key“ und „additional.fields.value.string_value“

Quellzone (von) cs4 SourceZone aus

principal.labels.key und principal.labels.value

„additional.fields.key“ und „additional.fields.value.string_value“

Zielzone (bis) cs5 DestinationZone zu

target.labels.key und target.labels.value

„additional.fields.key“ und „additional.fields.value.string_value“

Eingangsschnittstelle (inbound_if) deviceInboundInterface IngressInterface inbound_if

principal.labels.key und principal.labels.value

„additional.fields.key“ und „additional.fields.value.string_value“

Ausgehende Schnittstelle (outbound_if) deviceOutboundInterface EgressInterface outbound_if

target.labels.key und target.labels.value

„additional.fields.key“ und „additional.fields.value.string_value“

Protokollaktion (Logset) cs6 LogForwardingProfile Loget

about.labels.key und about.labels.value

„additional.fields.key“ und „additional.fields.value.string_value“

Zeit der Protokollierung time_logged

about.labels.key und about.labels.value

„additional.fields.key“ und „additional.fields.value.string_value“

Sitzungs-ID (sessionid) cn1 SessionID network.session_id
Wiederholungszähler (Repeatcnt) cnt RepeatCount Repeatcnt

about.labels.key und about.labels.value

„additional.fields.key“ und „additional.fields.value.string_value“

Quellport (Sport) SPT srcPort principal.port
Zielport (dport) DPT dstPort target.port
NAT-Quellport (Natsport) sourceTranslatedPort srcPostNATPort principal.nat_port
NAT-Zielport (natdport) destinationTranslatedPort dstPostNATPort target.nat_port
Flags flexString1 Flags flags

about.labels.key und about.labels.value

„additional.fields.key“ und „additional.fields.value.string_value“

IP-Protokoll (Proto) proto proto network.ip_protocol
Aktion (Aktion) act Aktion security_result.action_details

security_result.action

URL/Dateiname (Sonstiges) Andere Beteiligte target.file.full_path

target.url

Name der Bedrohung/Inhalte (Bedrohung) cat ThreatID security_result.threat_id
Kategorie cs2 URLCategory category

about.labels.key und about.labels.value

„additional.fields.key“ und „additional.fields.value.string_value“

Schweregrad (Schweregrad) Schweregradanzahl (Header) Schweregrad security_result.severity

security_result.severity_details

Richtung (Richtung) flexString2 Richtung network.direction
Sequenznummer (Sequenznummer) externalId Sequenz metadata.product_log_id
Aktions-Flags (actionflags) PanOSActionFlags ActionFlags Aktionsflags

about.labels.key und about.labels.value

„additional.fields.key“ und „additional.fields.value.string_value“

Quellland (srcloc) SourceLocation principal.location.country_or_region
Zielland (dstloc) DestinationLocation target.location.country_or_region
contenttype (contenttype) ContentType Inhaltstyp

about.labels.key und about.labels.value

„additional.fields.key“ und „additional.fields.value.string_value“

pcap_id (pcap_id) fileId PCAP_ID pcap_id

about.labels.key und about.labels.value

„additional.fields.key“ und „additional.fields.value.string_value“

filedigest (filedigest) FileDigest about.file.sha1/md5/sha256
Cloud Cloud Cloud

about.labels.key und about.labels.value

„additional.fields.key“ und „additional.fields.value.string_value“

url_idx (url_idx) URLIndex url_idx

about.labels.key und about.labels.value

„additional.fields.key“ und „additional.fields.value.string_value“

user_agent (user_agent) network.http.user_agent
filetype (filetype) about.file.mime_type
XFF (xff) XFF

about.labels.key und about.labels.value

„additional.fields.key“ und „additional.fields.value.string_value“

Referrer-URL (Referrer) network.http.referral_url
Absender (Absender) network.email.from
Betreff (Betreff) Betreff network.email.subject
Empfänger (Empfänger) network.email.to
reportid (Berichts-ID) Berichts-ID

about.labels.key und about.labels.value

„additional.fields.key“ und „additional.fields.value.string_value“

DG-Hierarchieebene 1 (dg_hier_level_1) PanOSDGl1 DeviceGroupHierarchyL1 dg_hier_level_1

about.labels.key und about.labels.value

„additional.fields.key“ und „additional.fields.value.string_value“

DG-Hierarchieebene 2 (dg_hier_level_2) PanOSDGl2 DeviceGroupHierarchyL2 dg_hier_level_2

about.labels.key und about.labels.value

„additional.fields.key“ und „additional.fields.value.string_value“

DG-Hierarchieebene 3 (dg_hier_level_3) PanOSDGl3 DeviceGroupHierarchyL3 dg_hier_level_3

about.labels.key und about.labels.value

„additional.fields.key“ und „additional.fields.value.string_value“

DG-Hierarchieebene 4 (dg_hier_level_4) PanOSDGl4 DeviceGroupHierarchyL4 dg_hier_level_4

about.labels.key und about.labels.value

„additional.fields.key“ und „additional.fields.value.string_value“

Name des virtuellen Systems (vsys_name) PanOSVsysName vSrcName principal.resource.name

principal.resource.resource_type=VIRTUAL_MACHINE

Gerätename (device_name) DVD-Host DeviceName intermediary.hostname
file_url (file_url) about.url
Quell-VM-UUID (src_uuid) SrcUUID principal.asset.asset_id
Ziel-VM-UUID (dst_uuid) DstUUID target.asset.asset_id
http_method (http_method) RequestMethod network.http.method
Tunnel-ID/IMSI (tunnelid) PanOSTunnelID TunnelID Tunnelid

about.labels.key und about.labels.value

„additional.fields.key“ und „additional.fields.value.string_value“

Monitor-Tag/IMEI PanOSMonitorTag MonitorTag Monitor-Tag

about.labels.key und about.labels.value

„additional.fields.key“ und „additional.fields.value.string_value“

Übergeordnete Sitzungs-ID (parent_session_id) PanOSParentSessionID ParentSessionID parent_session_id network.parent_session_id
Beginn der übergeordneten Sitzung (parent_start_time) PanOSParentStartTime ParentStartTime parent_start_time

about.labels.key und about.labels.value

„additional.fields.key“ und „additional.fields.value.string_value“

Tunnel (Tunnel) PanOSTunnelType TunnelType Tunnel

about.labels.key und about.labels.value

„additional.fields.key“ und „additional.fields.value.string_value“

thr_category (thr_category) PanOSThreatCategory ThreatCategory thr_category security_result.detection_fields.key/value
Contentver (Contentver) PanOSContentVer ContentVer Contentver

about.labels.key und about.labels.value

„additional.fields.key“ und „additional.fields.value.string_value“

sig_flags (sig_flags) sig_flags

about.labels.key und about.labels.value

„additional.fields.key“ und „additional.fields.value.string_value“

SCTP-Verknüpfungs-ID (assoc_id) PanOSAssocID assoc_id

about.labels.key und about.labels.value

„additional.fields.key“ und „additional.fields.value.string_value“

Payload Protocol ID (ppid) PanOSPPID ppid

about.labels.key und about.labels.value

„additional.fields.key“ und „additional.fields.value.string_value“

http_headers (http_headers) PanOSHTTPHeader http_headers

about.labels.key und about.labels.value

„additional.fields.key“ und „additional.fields.value.string_value“

URL-Kategorieliste (url_category_list) url_category_list

about.labels.key und about.labels.value

„additional.fields.key“ und „additional.fields.value.string_value“

UUID für Regel (rule_uuid) PanOSRuleUUID rule_uuid

about.labels.key und about.labels.value

„additional.fields.key“ und „additional.fields.value.string_value“

HTTP/2-Verbindung (http2_connection) http2_connection

about.labels.key und about.labels.value

„additional.fields.key“ und „additional.fields.value.string_value“

dynusergroup_name (dynusergroup_name) dynusergroup_name

principal.labels.key und principal.labels.value

„additional.fields.key“ und „additional.fields.value.string_value“

XFF-Adresse (xff_ip) principal.ip
Quellgerätekategorie (src_category) src_category

principal.labels.key und principal.labels.value

„additional.fields.key“ und „additional.fields.value.string_value“

Quellgeräteprofil (src_profile) src_profile

principal.labels.key und principal.labels.value

„additional.fields.key“ und „additional.fields.value.string_value“

Quellgerätemodell (src_model) src_model

principal.labels.key und principal.labels.value

„additional.fields.key“ und „additional.fields.value.string_value“

Quellgeräteanbieter (src_vendor) src_vendor

principal.labels.key und principal.labels.value

„additional.fields.key“ und „additional.fields.value.string_value“

Betriebssystemfamilie des Quellgeräts (src_osfamily)

principal.asset.platform_software.platform

principal.labels.key und principal.labels.value

„additional.fields.key“ und „additional.fields.value.string_value“

Betriebssystemversion des Quellgeräts (src_osversion) principal.asset.software.version
Quell-Hostname (src_host) src_host

principal.labels.key und principal.labels.value

„additional.fields.key“ und „additional.fields.value.string_value“

Mac-Quelladresse (src_mac) principal.mac
Kategorie der Zielgeräte (dst_category) dst_category

target.labels.key und target.labels.value

„additional.fields.key“ und „additional.fields.value.string_value“

Zielgeräteprofil (dst_profile) dst_profile

target.labels.key und target.labels.value

„additional.fields.key“ und „additional.fields.value.string_value“

Zielgerätemodell (dst_model) dst_model

target.labels.key und target.labels.value

„additional.fields.key“ und „additional.fields.value.string_value“

Zielgeräteanbieter (dst_vendor) dst_vendor

target.labels.key und target.labels.value

„additional.fields.key“ und „additional.fields.value.string_value“

Betriebssystemfamilie des Zielgeräts (dst_osfamily) target.asset.platform_software.platform

target.labels.key und target.labels.value

Betriebssystemversion des Zielgeräts (dst_osversion) target.asset.software.version
Ziel-Hostname (dst_host) target.hostname
Ziel-MAC-Adresse (dst_mac) target.mac
Container-ID (container_id) container_id

about.labels.key und about.labels.value

„additional.fields.key“ und „additional.fields.value.string_value“

POD-Namespace (pod_namespace) pod_namespace

about.labels.key und about.labels.value

„additional.fields.key“ und „additional.fields.value.string_value“

POD-Name (pod_name) pod_name

about.labels.key und about.labels.value

„additional.fields.key“ und „additional.fields.value.string_value“

Externe dynamische Quellliste (src_edl) src_edl

principal.labels.key und principal.labels.value

„additional.fields.key“ und „additional.fields.value.string_value“

Externe dynamische Zielliste (dst_edl) dst_edl

target.labels.key und target.labels.value

„additional.fields.key“ und „additional.fields.value.string_value“

Host-ID (hostid) Host-ID

about.labels.key und about.labels.value

„additional.fields.key“ und „additional.fields.value.string_value“

Seriennummer (Seriennummer) principal.asset.hardware.serial_number
domain_edl (domain_edl) domain_edl

about.labels.key und about.labels.value

„additional.fields.key“ und „additional.fields.value.string_value“

Dynamische Quelladressgruppe (src_dag) principal.group.group_display_name
Dynamische Zieladresse (dst_dag) target.group.group_display_name
partial_hash (partial_hash) partial_hash

about.labels.key und about.labels.value

„additional.fields.key“ und „additional.fields.value.string_value“

Zeitstempel mit hoher Auflösung (high_res_timestamp) metadata.collected_timestamp,

metadata.event_timestamp (wenn „Generate Time“ nicht vorhanden ist)

Grund (Grund) reason

about.labels.key und about.labels.value

„additional.fields.key“ und „additional.fields.value.string_value“

Begründung (Justification) Begründung

about.labels.key und about.labels.value

„additional.fields.key“ und „additional.fields.value.string_value“

nssai_sst (nssai_sst) nssai_sst

about.labels.key und about.labels.value

„additional.fields.key“ und „additional.fields.value.string_value“

Unterkategorie der App (subcategory_of_app) subcategory_of_app

about.labels.key und about.labels.value

„additional.fields.key“ und „additional.fields.value.string_value“

Kategorie der App (category_of_app) category_of_app

about.labels.key und about.labels.value

„additional.fields.key“ und „additional.fields.value.string_value“

App-Technologie (technology_of_app) technology_of_app

about.labels.key und about.labels.value

„additional.fields.key“ und „additional.fields.value.string_value“

Risiko der Anwendung (risk_of_app) risk_of_app

about.labels.key und about.labels.value

„additional.fields.key“ und „additional.fields.value.string_value“

Merkmal der App (characteristic_of_app) characteristic_of_app

about.labels.key und about.labels.value

„additional.fields.key“ und „additional.fields.value.string_value“

Container der Anwendung (container_of_app) container_of_app

about.labels.key und about.labels.value

„additional.fields.key“ und „additional.fields.value.string_value“

Tunneling-App (tunneled_app) tunneled_app

about.labels.key und about.labels.value

„additional.fields.key“ und „additional.fields.value.string_value“

SaaS der Anwendung (is_saas_of_app) is_saas_of_app

about.labels.key und about.labels.value

„additional.fields.key“ und „additional.fields.value.string_value“

Von Sanktionen betroffener Status der App (sanctioned_state_of_app) sanctioned_state_of_app

about.labels.key und about.labels.value

„additional.fields.key“ und „additional.fields.value.string_value“

GlobalProtect

In der folgenden Tabelle sind die Logfelder des GlobalProtect-Logtyps und die entsprechenden UDM-Felder aufgeführt.

CSV-Feld CEF-Feld LEEF-Feld Chronicle-Labelschlüssel UDM-Feld
Empfangszeit (Receive_time) rt received_time metadata.event_timestamp
Seriennummer (Seriennummer) PanOSDeviceSN intermediary_asset_hardware_serial_number intermediary.asset.hardware.serial_number
Typ (Typ) Typ (Header) metadata.product_event_type
Bedrohungs-/Inhaltstyp (Untertyp) Untertyp (Header) Subtyp metadata.product_event_type
Erstellungszeit (time_generated) PanOSLogTimeStamp generated_timestamp metadata.event_timestamp
Virtuelles System (vsys) PanOSVirtualSystem Vsys

about.labels.key und about.labels.value

„additional.fields.key“ und „additional.fields.value.string_value“

Ereignis-ID (eventid) PanOSEventID event_id

about.labels.key und about.labels.value

„additional.fields.key“ und „additional.fields.value.string_value“

Phase (Phase) PanOSStage Phase

about.labels.key und about.labels.value

„additional.fields.key“ und „additional.fields.value.string_value“

Authentifizierungsmethode (auth_method) PanOSAuthMethod extension_auth_auth_details extensions.auth.auth_details
Tunneltyp (tunnel_type) PanOSTunnelType Tunnel

about.labels.key und about.labels.value

„additional.fields.key“ und „additional.fields.value.string_value“

Quellnutzer (srcuser) PanOSSourceUserName src_user principal.user.email_address

principal.user.userid

principal.administrative_domain

Quellregion (srcregion) PanOSSourceRegion src_region principal.location.country_or_region
Computername (Maschinenname) PanOSEndpointDeviceName machine_name principal.hostname
Öffentliche IP-Adresse (public_ip) PanOSPublicIPv4 principal.nat_ip
Öffentliches IPv6 (public_ipv6) PanOSPublicIPv6 principal.nat_ip
Private IP-Adresse (private_ip) PanOSPrivateIPv4 principal.ip
Privates IPv6 (private_ipv6) PanOSPrivateIPv6 principal.ip
Host-ID (hostid) PanOSHostID Host-ID principal.asset.asset_id
Seriennummer (Seriennummer) PanOSDeviceSN principal.asset.hardware.serial_number
Clientversion (client_ver) PanOSGlobalProtectClientVersion client_ver

about.labels.key und about.labels.value

„additional.fields.key“ und „additional.fields.value.string_value“

Clientbetriebssystem (client_os) PanOSEndpointOSType principal.asset.platform_software.platform(enum)
Betriebssystemversion des Clients (client_os_ver) PanOSEndpointOSVersion principal.asset.platform_software.platform_version
Wiederholungszähler (Repeatcnt) PanOSCountOfRepeats Repeatcnt

about.labels.key und about.labels.value

„additional.fields.key“ und „additional.fields.value.string_value“

Grund (Grund) PanOSQuarantineReason security_result.summary
Fehler (Fehler) PanOSConnectionError Fehler security_result.description
Beschreibung (undurchsichtig) PanOSDescription security_result.description
Status (Status) PanOSEventStatus Status

about.labels.key und about.labels.value

„additional.fields.key“ und „additional.fields.value.string_value“

Standort PanOSGPGatewayLocation target.location.country_or_region
Anmeldedauer (login_duration) PanOSLoginDuration network.session_duration
Verbindungsmethode (connect_method) PanOSConnectionMethod connect_method

about.labels.key und about.labels.value

„additional.fields.key“ und „additional.fields.value.string_value“

Fehlercode (error_code) PanOSConnectionErrorID error_code

about.labels.key und about.labels.value

„additional.fields.key“ und „additional.fields.value.string_value“

Portal PanOSPortal Portal

about.labels.key und about.labels.value

„additional.fields.key“ und „additional.fields.value.string_value“

Sequenznummer (Sequenznummer) PanOSSequenceNo metadata.product_log_id
Aktions-Flags (actionflags) PanOSActionFlags Aktionsflags

about.labels.key und about.labels.value

„additional.fields.key“ und „additional.fields.value.string_value“

Zeitstempel für hohe Auflösung (high_res_timestamp) anOSTimeGeneratedHighResolution metadata.collected_timestamp,

metadata.event_timestamp (wenn „Generate Time“ nicht vorhanden ist)

Gateway-Auswahlmethode (selection_type) PanOSGatewaySelectionType selection_type

about.labels.key und about.labels.value

„additional.fields.key“ und „additional.fields.value.string_value“

SSL-Antwortzeit (response_time) PanOSSSLResponseTime response_time

about.labels.key und about.labels.value

„additional.fields.key“ und „additional.fields.value.string_value“

Gateway-Priorität (Priorität) PanOSGatewayPriority Priorität

about.labels.key und about.labels.value

„additional.fields.key“ und „additional.fields.value.string_value“

Versuchte Gateways (attempted_gateways) PanOSAttemptedGateways attempted_gateways

about.labels.key und about.labels.value

„additional.fields.key“ und „additional.fields.value.string_value“

Gatewayname (Gateway) PanOSAttemptedGateways Gateway

about.labels.key und about.labels.value

„additional.fields.key“ und „additional.fields.value.string_value“

Gerätegruppenhierarchie (dg_hier_level_1) dg_hier_level_1

about.labels.key und about.labels.value

„additional.fields.key“ und „additional.fields.value.string_value“

Gerätegruppenhierarchie (dg_hier_level_2) dg_hier_level_2

about.labels.key und about.labels.value

„additional.fields.key“ und „additional.fields.value.string_value“

Gerätegruppenhierarchie (dg_hier_level_3) dg_hier_level_3

about.labels.key und about.labels.value

„additional.fields.key“ und „additional.fields.value.string_value“

Gerätegruppenhierarchie (dg_hier_level_4) dg_hier_level_4

about.labels.key und about.labels.value

„additional.fields.key“ und „additional.fields.value.string_value“

Name des virtuellen Systems (vsys_name) principal.resource.name

principal.resource.resource_type=VIRTUAL_MACHINE

Gerätename (device_name) target.hostname
ID des virtuellen Systems (vsys_id) principal.resource.resource_type=VIRTUAL_MACHINE und principal.resource.product_object_id

Ergebnisse in Beziehung setzen

In der folgenden Tabelle sind die Logfelder des Korrelationslogtyps und die entsprechenden UDM-Felder aufgeführt.

CSV-Feld CEF-Feld LEEF-Feld Chronicle-Labelschlüssel UDM-Feld
Generierte Zeit (time_generated oder cef-formatted-time_generated) startTime generated_timestamp metadata.event_timestamp
Quelladresse (src) src principal.ip
Quellnutzer (srcuser) SourceUser / usrName principal.user.userid
Virtuelles System (vsys) VirtualSystem Vsys

about.labels.key und about.labels.value

„additional.fields.key“ und „additional.fields.value.string_value“

Kategorie security_result.category_details
Schweregrad (Schweregrad) Schweregrad security_result.severity und security_result.severity_details
Gerätegruppenhierarchieebene 1 DeviceGroupHierarchyL1

about.labels.key und about.labels.value

„additional.fields.key“ und „additional.fields.value.string_value“

Gerätegruppenhierarchieebene 2 DeviceGroupHierarchyL2

about.labels.key und about.labels.value

„additional.fields.key“ und „additional.fields.value.string_value“

Gerätegruppenhierarchieebene 3 DeviceGroupHierarchyL3

about.labels.key und about.labels.value

„additional.fields.key“ und „additional.fields.value.string_value“

Gerätegruppenhierarchieebene 4 DeviceGroupHierarchyL4

about.labels.key und about.labels.value

„additional.fields.key“ und „additional.fields.value.string_value“

Name des virtuellen Systems (vsys_name) vSrcName principal.resource.name

principal.resource.resource_type=VIRTUAL_MACHINE

Gerätename (device_name) DeviceName intermediary.hostname
ID des virtuellen Systems (vsys_id) VirtualSystemID principal.resource.resource_type=VIRTUAL_MACHINE und principal.resource.product_object_id
Objektname (Objektname) ObjectName target.resource.name
Objekt-ID (object_id) ObjectID target.resource.product_object_id

Referenz zur Feldzuordnung: Logtypen zum UDM-Ereignistyp

In der folgenden Tabelle sind die Logtypen der Palo Alto Networks-Firewall und ihre entsprechenden UDM-Ereignistypen aufgeführt.

Logtyp UDM-Ereignistyp
Traffic NETWORK_CONNECTION
Bedrohung NETWORK_CONNECTION
URL-Filter NETWORK_CONNECTION
WildFire NETWORK_CONNECTION

WildFire-Übermittlungslogs sind ein Untertyp des Bedrohungs-Logtyps und verwenden dasselbe Syslog-Format.

Datenfilterung NETWORK_CONNECTION
Tunnel- NETWORK_CONNECTION
Konfiguration SETTING_MODIFICATION/SETTING_CREATION/SETTING_DELETION/SETTING_UNCATEGORIZED

Der Wert des Feldes „Befehl (cmd)“ bestimmt die Zuordnung der UDM-Ereignistypen. Wenn der Wert des cmd-Felds "Hinzufügen" oder "Klonen" lautet, ist "SETTING_CREATION" festgelegt.

Wenn der Wert des cmd-Felds gelöscht wird, ist SETTING_DELETION festgelegt.

Wenn der Wert des cmd-Felds „Bearbeiten“, „Verschieben“, „Umbenennen“, „Festlegen“ oder „Commit“ lautet, ist SETTING_MODIFICATION festgelegt.

Wenn der Wert des cmd-Felds keine Werte enthält, wird SETTING_UNCATEGORIZED festgelegt.

System

Wenn der Wert des Untertyps "dhcp" ist, ist NETWORK_DHCP festgelegt.

Wenn der Wert des Untertyps "auth" ist, wird USER_LOGIN festgelegt.

Für andere Werte des Untertyps wird GENERIC_EVENT festgelegt.

HIP-Übereinstimmung NETWORK_CONNECTION
IP-Tag GENERIC_EVENT
User-ID USER_LOGIN/USER_LOGOUT/USER_UNCATEGORIZED

Wenn der Wert des Untertyps "login" ist, wird USER_LOGIN festgelegt.

Wenn der Wert des Untertyps „logout“ ist, wird USER_LOGOUT festgelegt.

Wenn der Untertyp keinen Wert enthält, wird USER_UNCATEGORIZED festgelegt.

Entschlüsselung NETWORK_CONNECTION
Authentifizierung GENERIC_EVENT

Nächste Schritte