Collecter les journaux de pare-feu Palo Alto Networks

Présentation

Ce document explique comment configurer syslog et un redirecteur Chronicle pour collecter les journaux de pare-feu Palo Alto Networks. Ce document explique également comment les champs de journal de pare-feu de Palo Alto Networks sont mappés avec les champs UDM (Chronicle Unified Data Model).

Pour en savoir plus sur l'ingestion de données Chronicle, consultez Ingestion de données avec Chronicle.

Une étiquette d'ingestion identifie l'analyseur qui normalise les données de journal brutes au format UDM structuré. Les informations de ce document s'appliquent à l'analyseur doté de l'étiquette d'ingestion PAN_FIREWALL.

Avant de commencer

Pour comprendre les composants déployés pour collecter les journaux de pare-feu Palo Alto Networks, consultez l'architecture de déploiement. Chaque déploiement client peut différer de cette représentation et être plus complexe.

Le schéma suivant montre comment configurer syslog sur un pare-feu Palo Alto Networks et installer un redirecteur Chronicle sur un serveur Linux pour transférer les données de journaux vers Chronicle. L'analyseur prend en charge les journaux écrits dans les formats de données suivants: CSV (Comma Separated Values), Common Event Format (CEF) et Log Event Extended Format (LEEF).
Vérifiez les formats de journaux et les versions de PAN-OS compatibles avec l'analyseur Chronicle. Le tableau suivant répertorie les formats de journaux et les versions de PAN-OS correspondantes compatibles avec l'analyseur Chronicle:

Format des journaux Version PAN-OS

CSV 10.1.3

CEF 10.0.0

LEEF 9.1.0
Vérifiez les types de journaux de pare-feu Palo Alto Networks compatibles avec l'analyseur Chronicle. L'analyseur Chronicle est compatible avec les types de journaux de pare-feu Palo Alto Networks suivants:
- Le trafic
- Menace
- Envois WildFire
- Inspection de tunnels
- Configuration
- Système
- Correspondance HIP
- Tag IP
- User-ID
- Déchiffrement
- Ratio d'économie d'énergie (EER)
- Filtrage des URL
- Filtrage des données
- GlobalProtect
- Corrélation
Pour en savoir plus sur les types de journaux de pare-feu Palo Alto Networks, consultez la section Types de journaux PAN-OS.
Assurez-vous que tous les systèmes de l'architecture de déploiement sont configurés dans le fuseau horaire UTC.
Avant d'utiliser l'analyseur Gold de pare-feu Palo Alto Networks, consultez les modifications apportées aux mappages de champs entre l'analyseur par défaut et l'analyseur Gold qui sont indiqués dans ce document. Lors de la migration, assurez-vous que les règles, les recherches, les tableaux de bord ou d'autres processus qui dépendent des champs d'origine utilisent les champs mis à jour.

Par exemple, dans l'analyseur par défaut, le champ de journal "category" est mappé sur le champ UDM "security_result.description". Dans l'analyseur Gold du pare-feu PAN, le champ de journal "category" est mappé au champ UDM "security_result.category_details". Si vous migrez vers l'analyseur Gold du pare-feu PAN et que vous utilisez la catégorie "category" dans vos règles, vous devez modifier les règles pour qu'elles utilisent le champ UDM "security_result.category_details" de l'analyseur Gold.

Configurer syslog et le redirecteur Chronicle

Pour configurer syslog et le redirecteur Chronicle, procédez comme suit:

Pour surveiller les journaux CSV, configurez le profil du serveur syslog. Pour en savoir plus, consultez la page Configurer le profil du serveur syslog.

Lorsque vous configurez le profil du serveur syslog, spécifiez "Par défaut" comme format de journal personnalisé.
Pour surveiller les journaux CEF, configurez le pare-feu Palo Alto Networks afin qu'il transfère les journaux CEF. Pour en savoir plus, téléchargez le guide d'intégration du framework CEF PAN-OS au format PDF et consultez la section "Configuration du NGFW de Palo Alto Networks pour la sortie des événements CEF".
Pour surveiller les journaux LEEF, configurez le profil du serveur syslog. Pour en savoir plus, consultez la section Transfert de journaux personnalisé au format LEEF.
Configurez le redirecteur Chronicle pour envoyer des journaux à Chronicle. Pour plus d'informations, consultez Installer et configurer le redirecteur sous Linux. Voici un exemple de configuration d'un redirecteur Chronicle:
```
  - syslog:
      common:
        enabled: true
        data_type: PAN_FIREWALL
        batch_n_seconds: 10
        batch_n_bytes: 1048576
      tcp_address: 0.0.0.0:10518
      connection_timeout_sec: 60
```

Documentation de référence sur le mappage de champs: champs des journaux de pare-feu PAN vers champs UDM

Cette section explique comment l'analyseur mappe les champs de journal de pare-feu de Palo Alto Networks avec les champs d'événement d'UAM Chronicle pour chaque type de journal.

La clé de libellé Chronicle fait référence au nom de la clé mappée au champ UDM Étiquettes.key. Par exemple, dans le cas du champ "Virtual System" (Système virtuel), le nom du champ est "cs3" au format CEF et "VirtualSystem" au format LEEF. Le champ UDM "about.labels.key" contient la valeur "vsys", et le champ UDM "about.labels.value" contient la valeur de ce champ.

Certains noms de champs CEF ou LEEF n'ont pas de nom correspondant aux noms des champs CSV. Dans ce cas, si vous ajoutez votre propre nom de variable dans un format de journal personnalisé dans le profil syslog, l'analyseur ne le mappe pas au champ UDM.

Reportez-vous aux sections suivantes pour obtenir des informations de référence sur le mappage de chaque type de journal:

Système
Configuration
Menaces/incendies
Trafic
ID utilisateur
Correspondance HIP
Tag IP
Déchiffrement
Tunnel
Authentification
URL
Données
GlobalProtect
Corrélation

Système

Le tableau suivant répertorie les champs de journal du type de journal système et les champs UDM correspondants.

Champ CSV	Champ CEF	Champ LEEF	Clé d'étiquette Chronicle	Champ UDM
Heure de réception (receive_time ou cef-formatted-receive_time)	rt	devTime		"metadata.collected_timestamp", métadonnées.event_timestamp (si la valeur "Generate Time" est absente)
Numéro de série	deviceExternalId	SerialNumber		intermediary.asset.hardware.serial_number
Type	type (en-tête)	cat		"metadata.product_event_type" est défini sur "%{type} - %{subtype}".
Type de menace/contenu (sous-type)	sous-type (En-tête)	Sous-type		"metadata.product_event_type" est défini sur "%{type} - %{subtype}".
Heure de génération (time_generated ou cef-formatted-time_generated)				metadata.event_timestamp
Système virtuel (vsys)	cs3	VirtualSystem	Vsys	about.labels.key et about.labels.value additional.fields.key et additional.fields.value.string_value
ID de l'événement (eventid)	cat		eventid	about.labels.key et about.labels.value additional.fields.key et additional.fields.value.string_value
Objet	fname	Nom de fichier	objet	about.labels.key et about.labels.value additional.fields.key et additional.fields.value.string_value
Module	flexString2	Module	module	about.labels.key et about.labels.value additional.fields.key et additional.fields.value.string_value
Gravité	$number-of-depth(en-tête)	Niveau de gravité		security_result.depth et security_result.depth_details
Description (opaque)	msg	msg		metadata.description
	principal_user_userid (ce champ est extrait du champ msg)			principal.user.userid
	principal_ip3 (ce champ est extrait du champ msg)			principal.ip
	Motif (ce champ est extrait du champ "msg")			security_result.description
	server_address (Ce champ est extrait du champ msg.)			target.ip
	server_profile (Ce champ est extrait du champ de message.)			additional.fields.key et additional.fields.value.string_value
Numéro de séquence (seqno)	externalId	séquence		metadata.product_log_id
Indicateurs d'action	PanOSActionFlags	ActionFlags	indicateurs d'action	about.labels.key et about.labels.value additional.fields.key et additional.fields.value.string_value
Hiérarchie des groupes d'appareils (dg_hier_level_1 à dg_hier_level_4)	PanOSDGl1	DeviceGroupHierarchyL1	dg_hier_level_1	about.labels.key et about.labels.value additional.fields.key et additional.fields.value.string_value
Hiérarchie des groupes d'appareils (dg_hier_level_2)	PanOSDGl2	DeviceGroupHierarchyL2	dg_hier_level_2	about.labels.key et about.labels.value additional.fields.key et additional.fields.value.string_value
Hiérarchie des groupes d'appareils (dg_hier_level_3)	PanOSDGl3	DeviceGroupHierarchyL3	dg_hier_level_3	about.labels.key et about.labels.value additional.fields.key et additional.fields.value.string_value
Hiérarchie des groupes d'appareils (dg_hier_level_4)	PanOSDGl4	DeviceGroupHierarchyL4	dg_hier_level_4	about.labels.key et about.labels.value additional.fields.key et additional.fields.value.string_value
Nom du système virtuel (vsys_name)	PanOSVsysName	vSrcName		principal.resource.name principal.resource.resource_type=VIRTUAL_MACHINE
Nom de l'appareil (device_name)	dvchost	DeviceName		intermediary.hostname
Code temporel haute résolution (high_res_timestamp)	anOSTimeGeneratedHighResolution			"metadata.collected_timestamp", métadonnées.event_timestamp (si la valeur "Generate Time" est absente)

Configuration

Le tableau suivant répertorie les champs de journal du type de journal de configuration et les champs UDM correspondants.

Champ CSV	Champ CEF	Champ LEEF	Clé d'étiquette Chronicle	Champ UDM
Heure de réception (receive_time ou cef-formatted-receive_time)	rt	devTime		"metadata.collected_timestamp", métadonnées.event_timestamp (si la valeur "Generate Time" est absente)
Numéro de série	deviceExternalId	SerialNumber		intermediary.asset.hardware.serial_number
Type	type (en-tête)	cat		metadata.product_event_type
Type de menace/contenu (sous-type)	sous-type (En-tête)			metadata.product_event_type
Heure de génération (time_generated ou cef-formatted-time_generated)				metadata.event_timestamp
Hôte (hôte)	fantôme	src		principal.ip/hostname
Système virtuel (vsys)	cs3	VirtualSystem	Vsys	about.labels.key et about.labels.value additional.fields.key et additional.fields.value.string_value
Commande (cmd)	act	msg	cmd	metadata.description
Administrateur (admin)	CANNOT TRANSLATE	usrName		principal.user.userid
Client	destinationServiceName	client		principal.application
Résultat (résultat)	ID de signature (en-tête)(raison)	Résultat		security_result.summary
Chemin d'accès à la configuration (chemin d'accès)	msg	ConfigurationPath		principal.process.command_line
Avant la modification (before_change_detail)	cs1	BeforeChangeDetail	before_change_detail	target.resource.attribute.labels.key/value
Après modification (after_change_detail)	cs2	AfterChangeDetail	after_change_detail	target.resource.attribute.labels.key/value
Numéro de séquence (seqno)	externalId	séquence		metadata.product_log_id
Indicateurs d'action	PanOSActionFlags	ActionFlags	indicateurs d'action	about.labels.key et about.labels.value additional.fields.key et additional.fields.value.string_value
Hiérarchie des groupes d'appareils (dg_hier_level_1 à dg_hier_level_4)	PanOSDGl1	DeviceGroupHierarchyL1	dg_hier_level_1	about.labels.key et about.labels.value additional.fields.key et additional.fields.value.string_value
Hiérarchie des groupes d'appareils (dg_hier_level_2)	PanOSDGl2	DeviceGroupHierarchyL2	dg_hier_level_2	about.labels.key et about.labels.value additional.fields.key et additional.fields.value.string_value
Hiérarchie des groupes d'appareils (dg_hier_level_3)	PanOSDGl3	DeviceGroupHierarchyL3	dg_hier_level_3	about.labels.key et about.labels.value additional.fields.key et additional.fields.value.string_value
Hiérarchie des groupes d'appareils (dg_hier_level_4)	PanOSDGl4	DeviceGroupHierarchyL4	dg_hier_level_4	about.labels.key et about.labels.value additional.fields.key et additional.fields.value.string_value
Nom du système virtuel (vsys_name)	PanOSVsysName	vSrcName		principal.resource.name principal.resource.resource_type=VIRTUAL_MACHINE
Nom de l'appareil (device_name)	dvchost	DeviceName		intermediary.hostname
Groupe d'appareils (dg_id)	PanOSFWDeviceGroup		dg_id	principal.asset.attribute.labels.key/value
Commentaire d'audit (commentaire)	PanOSPolicyAuditComment		comment	about.labels.key et about.labels.value additional.fields.key et additional.fields.value.string_value

Menace/Feu sauvage

Le tableau suivant répertorie les champs de journal du type de journal Threat/WildFire et les champs UDM correspondants.

Champ CSV	Champ CEF	Champ LEEF	Clé d'étiquette Chronicle	Champ UDM
Heure de réception (receive_time ou cef-formatted-receive_time)	rt	devTime		"metadata.collected_timestamp", métadonnées.event_timestamp (si la valeur "Generate Time" est absente)
Numéro de série	deviceExternalId	SerialNumber		intermediary.asset.hardware.serial_number
Type	type (en-tête)	cat		metadata.product_event_type
Type de menace/contenu (sous-type)	cat/sous-type (en-tête)	Sous-type		metadata.product_event_type
Générer l'heure (time_generated ou cef-formatted-time_generated)				metadata.event_timestamp
Adresse source (src)	src	src		principal.ip
Adresse de destination (dst)	dst	dst		target.ip
Adresse IP source NAT (natsrc)	sourceTranslatedAddress	srcPostNAT		principal.nat_ip
Adresse IP de destination NAT (natdst)	destinationTranslatedAddress	dstPostNAT		target.nat_ip
Nom de la règle (règle)	cs1	RuleName		security_result.rule_name
Utilisateur source (srcuser)	Suser	SourceUser / usrName		principal.user.userid
Utilisateur de destination (dstuser)	CANNOT TRANSLATE	DestinationUser		target.user.userid
Application	app	Application		target.application
Système virtuel (vsys)	cs3	VirtualSystem	Vsys	about.labels.key et about.labels.value additional.fields.key et additional.fields.value.string_value
Zone source (depuis)	cs4	SourceZone	depuis	principal.labels.key et principal.labels.value additional.fields.key et additional.fields.value.string_value
Zone de destination (vers)	cs5	DestinationZone	pour	target.labels.key et target.labels.value additional.fields.key et additional.fields.value.string_value
Interface entrante (inbound_if)	deviceInboundInterface	IngressInterface	inbound_if	principal.labels.key et principal.labels.value additional.fields.key et additional.fields.value.string_value
Interface sortante (outbound_if)	deviceOutboundInterface	EgressInterface	outbound_if	target.labels.key et target.labels.value additional.fields.key et additional.fields.value.string_value
Action de journal (ensemble de journaux)	cs6	LogForwardingProfile	Ensemble de journaux	about.labels.key et about.labels.value additional.fields.key et additional.fields.value.string_value
ID de session (sessionid)	cn1	SessionID		network.session_id
Nombre de répétitions (répétition)	cnt	RepeatCount	Répéter	about.labels.key et about.labels.value additional.fields.key et additional.fields.value.string_value
Port source (sport)	spt	srcPort		principal.port
Port de destination (dport)	dpt	dstPort		target.port
Port source NAT (natsport)	sourceTranslatedPort	srcPostNATPort		principal.nat_port
Port de destination NAT (natdport)	destinationTranslatedPort	dstPostNATPort		target.nat_port
Indicateurs	flexString1	Options	flags	about.labels.key et about.labels.value additional.fields.key et additional.fields.value.string_value
Protocole IP (proto)	proto	proto		network.ip_protocol
Action (action)	act	action		security_result.action_details security_result.action
URL/Nom de fichier (divers)	requête	Autres		target.file.full_path (si le sous-type est "file", "virus", "incendie-virus" ou "incendie", le champ "misc" est mappé sur target.file.full_path) target.url (si le sous-type est "url", le champ "misc" est mappé sur target.url et target.hostname) target.Hostname (si le sous-type est 'logiciel espion' ou 'vulnérabilité'', le champ "misc" est mappé sur target.file.full_path et target.url)
Nom de la menace/du contenu (menace)	cat	ThreatID		security_result.threat_name
Catégorie	cs2	URLCategory		security_result.category_details
Gravité	number-of-depth(en-tête)	Niveau de gravité		security_result.depth et security_result.depth_details
Sens (direction)	flexString2	Direction		network.direction
Numéro de séquence (seqno)	externalId	séquence		metadata.product_log_id
Indicateurs d'action	PanOSActionFlags	ActionFlags	indicateurs d'action	about.labels.key et about.labels.value additional.fields.key et additional.fields.value.string_value
Pays de la source (srcloc)		SourceLocation		principal.location.country_or_region
Pays de destination (dstloc)		DestinationLocation		target.location.country_or_region
Type de contenu		ContentType	type de contenu	about.labels.key et about.labels.value additional.fields.key et additional.fields.value.string_value
ID PCAP (pcap_id)	fileId	PCAP_ID	pcap_id	about.labels.key et about.labels.value additional.fields.key et additional.fields.value.string_value
Condensé de fichier (filedigest)	fileHash	FileDigest		about.file.sha1/md5/sha256
Cloud (cloud)	filePath	Cloud	cloud	about.labels.key et about.labels.value additional.fields.key et additional.fields.value.string_value
Index d'URL (url_idx)		URLIndex	url_idx	about.labels.key et about.labels.value additional.fields.key et additional.fields.value.string_value
User-agent (user_agent)				network.http.user_agent
Type de fichier	fileType	FileType		about.file.mime_type
X-Forwarded-For (xff)				principal.ip
URL de provenance				network.http.referral_url
Expéditeur (expéditeur)	suid	Expéditeur		network.email.from
Objet (objet)	msg	Objet		network.email.subject
Destinataire (destinataire)	CANNOT TRANSLATE	Destinataire		network.email.to
ID du rapport (reportid)	oldFileId	ReportID	id_rapport	about.labels.key et about.labels.value additional.fields.key et additional.fields.value.string_value
Hiérarchie des groupes d'appareils (dg_hier_level_1 à dg_hier_level_4)	PanOSDGl1	DeviceGroupHierarchyL1	dg_hier_level_1	about.labels.key et about.labels.value additional.fields.key et additional.fields.value.string_value
Hiérarchie des groupes d'appareils (dg_hier_level_2)	PanOSDGl2	DeviceGroupHierarchyL2	dg_hier_level_2	about.labels.key et about.labels.value additional.fields.key et additional.fields.value.string_value
Hiérarchie des groupes d'appareils (dg_hier_level_3)	PanOSDGl3	DeviceGroupHierarchyL3	dg_hier_level_3	about.labels.key et about.labels.value additional.fields.key et additional.fields.value.string_value
Hiérarchie des groupes d'appareils (dg_hier_level_4)	PanOSDGl4	DeviceGroupHierarchyL4	dg_hier_level_4	about.labels.key et about.labels.value additional.fields.key et additional.fields.value.string_value
Nom du système virtuel (vsys_name)	PanOSVsysName	vSrcName		principal.resource.name principal.resource.resource_type=VIRTUAL_MACHINE
Nom de l'appareil (device_name)	dvchost	DeviceName		intermediary.hostname
UUID de la VM source (src_uuid)	PanOSSrcUUID	SrcUUID		principal.user.product_object_id
UUID de la VM de destination (dst_uuid)	PanOSDstUUID	DstUUID		target.user.product_object_id
Méthode HTTP (http_method)		RequestMethod		network.http.method
ID de tunnel/IMSI (tunnel_id/imsi)	PanOSTunnelID	TunnelID	tunnel_id/imsi	about.labels.key et about.labels.value additional.fields.key et additional.fields.value.string_value
Balise Monitor/IMEI (monitortag/imei)	PanOSMonitorTag	MonitorTag	moniteurtag/imei	about.labels.key et about.labels.value additional.fields.key et additional.fields.value.string_value
ID de session parente (parent_session_id)	PanOSParentSessionID	ParentSessionID	parent_session_id	network.parent_session_id
Heure de début de la session parente (parent_start_time)	PanOSParentStartTime	ParentStartTime	parent_start_time	about.labels.key et about.labels.value additional.fields.key et additional.fields.value.string_value
Type de tunnel (tunnel)	PanOSTunnelType	TunnelType	tunnel	about.labels.key et about.labels.value additional.fields.key et additional.fields.value.string_value
Catégorie de menace (thr_category)	PanOSThreatCategory	ThreatCategory	thr_category	security_result.detection_fields.key/value
Version du contenu (contentver)	PanOSContentVer	ContentVer	Contentver	about.labels.key et about.labels.value additional.fields.key et additional.fields.value.string_value
ID d'association SCTP (assoc_id)	PanOSAssocID		assoc_id	about.labels.key et about.labels.value additional.fields.key et additional.fields.value.string_value
ID de protocole de charge utile (ppid)	PanOSPPID		ppid	about.labels.key et about.labels.value additional.fields.key et additional.fields.value.string_value
En-têtes HTTP (http_headers)	PanOSHTTPHeader		http_headers	about.labels.key et about.labels.value additional.fields.key et additional.fields.value.string_value
Liste des catégories d'URL (url_category_list)	PanOSURLCatList		url_category_list	about.labels.key et about.labels.value additional.fields.key et additional.fields.value.string_value
UUID de la règle (rule_uuid)	PanOSRuleUUID			security_result.rule_id
Connexion HTTP/2 (http2_connection)	PanOSHTTP2Con		http2_connection	about.labels.key et about.labels.value additional.fields.key et additional.fields.value.string_value
Nom du groupe d'utilisateurs dynamique (dynusergroup_name)	PanDynamicUsrgrp		dynusergroup_name	principal.labels.key et principal.labels.value additional.fields.key et additional.fields.value.string_value
Adresse XFF (xff_ip)	PanXFFIP			principal.ip
Catégorie d'appareil source (src_category)	PanSrcDeviceCat		src_category	principal.labels.key et principal.labels.value additional.fields.key et additional.fields.value.string_value
Profil de l'appareil source (src_profile)	PanSrcDeviceProf		src_profile	principal.labels.key et principal.labels.value additional.fields.key et additional.fields.value.string_value
Modèle de l'appareil source (src_model)	PanSrcDeviceModel		src_model	principal.labels.key et principal.labels.value additional.fields.key et additional.fields.value.string_value
Fournisseur de l'appareil source (src_vendor)	PanSrcDeviceVendor		src_vendor	principal.labels.key et principal.labels.value additional.fields.key et additional.fields.value.string_value
Famille d'OS de l'appareil source (src_osfamily)	PanSrcDeviceOS		src_osfamily	principal.asset.platform_software.platform principal.labels.key et principal.labels.value additional.fields.key et additional.fields.value.string_value
Version de l'OS de l'appareil source (src_osversion)	PanSrcDeviceOSv			principal.asset.software.version
Nom d'hôte source (src_host)	PanSrcHostname			principal.hostname
Adresse MAC source (src_mac)	PanSrcMac			principal.mac
Catégorie d'appareil de destination (dst_category)	PanDstDeviceCat		dst_category	target.labels.key et target.labels.value additional.fields.key et additional.fields.value.string_value
Profil d'appareil de destination (dst_profile)	PanDstDeviceProf		dst_profile	target.labels.key et target.labels.value additional.fields.key et additional.fields.value.string_value
Modèle de l'appareil de destination (dst_model)	PanDstDeviceModel		dst_model	target.labels.key et target.labels.value additional.fields.key et additional.fields.value.string_value
Fournisseur d'appareil de destination (dst_vendor)	PanDstDeviceVendor		dst_vendor	target.labels.key et target.labels.value additional.fields.key et additional.fields.value.string_value
Famille d'OS de l'appareil de destination (dst_osfamily)	PanDstDeviceOS		dst_osfamily	target.labels.key et target.labels.value additional.fields.key et additional.fields.value.string_value
Version de l'OS de l'appareil de destination (dst_osversion)	PanDstDeviceOSv			target.asset.software.version
Nom d'hôte de destination (dst_host)	PanDstHostname			target.hostname
Adresse MAC de destination (dst_mac)	PanDstMac			target.mac
ID du conteneur (container_id)	PanContainerName		container_id	about.labels.key et about.labels.value additional.fields.key et additional.fields.value.string_value
Espace de noms du POD (pod_namespace)	PanPODNamespace		pod_namespace	about.labels.key et about.labels.value additional.fields.key et additional.fields.value.string_value
Nom du pod (pod_name)	PanPODName		pod_name	about.labels.key et about.labels.value additional.fields.key et additional.fields.value.string_value
Liste dynamique externe source (src_edl)	PanSrcEDL		src_edl	about.labels.key et about.labels.value additional.fields.key et additional.fields.value.string_value
Liste dynamique externe de destination (dst_edl)	PanDstEDL		dst_edl	about.labels.key et about.labels.value additional.fields.key et additional.fields.value.string_value
ID d'hôte (hostid)	PanGPHostID		id_hôte	about.labels.key et about.labels.value additional.fields.key et additional.fields.value.string_value
Numéro de série de l'appareil utilisateur (numéro de série)	PanEPSerial			principal.asset.hardware.serial_number
EDL de domaine (domain_edl)	PanDomainEDL		domain_edl	about.labels.key et about.labels.value additional.fields.key et additional.fields.value.string_value
Groupe d'adresses dynamiques source (src_dag)	PanSrcDAG			principal.group.group_display_name
Groupe d'adresses dynamiques de destination (dst_dag)	PanDstDAG			target.group.group_display_name
Hachage partiel (partial_hash)	PanPartialHash		partial_hash	about.labels.key et about.labels.value additional.fields.key et additional.fields.value.string_value
Code temporel haute résolution (horodatage haute résolution)	PanTimeHighRes		code temporel haute résolution	"metadata.collected_timestamp", métadonnées.event_timestamp (si la valeur "Generate Time" est absente)
Motif	PanReasonFilteringAction		reason	about.labels.key et about.labels.value additional.fields.key et additional.fields.value.string_value
Justification	PanJustification		justification	about.labels.key et about.labels.value additional.fields.key et additional.fields.value.string_value
Un type de service de segment d'application (nssai_sst)	PanASServiceType		nssai_sst	about.labels.key et about.labels.value additional.fields.key et additional.fields.value.string_value
Sous-catégorie de l'application (sous-catégorie_de_l'application)			subcategory_of_app	about.labels.key et about.labels.value additional.fields.key et additional.fields.value.string_value
Catégorie d'application (category_of_app)			category_of_app	about.labels.key et about.labels.value additional.fields.key et additional.fields.value.string_value
Technologie d'application (technologie_des_applications)			technology_of_app	about.labels.key et about.labels.value additional.fields.key et additional.fields.value.string_value
Risque lié à l'application (risque_de_l'application)			risk_of_app	about.labels.key et about.labels.value additional.fields.key et additional.fields.value.string_value
Caractéristique de l'application (characteristic_of_app)			characteristic_of_app	about.labels.key et about.labels.value additional.fields.key et additional.fields.value.string_value
Conteneur d'application (container_of_app)			container_of_app	about.labels.key et about.labels.value additional.fields.key et additional.fields.value.string_value
Application SaaS (is_saas_of_app)			is_saas_of_app	about.labels.key et about.labels.value additional.fields.key et additional.fields.value.string_value
État de l'application sanctionnée (sanctioned_state_of_app)			sanctioned_state_of_app	about.labels.key et about.labels.value additional.fields.key et additional.fields.value.string_value

Le trafic

Le tableau suivant liste les champs de journal de type journal de trafic et les champs UDM correspondants.

Champ CSV	Champ CEF	Champ LEEF	Clé d'étiquette Chronicle	Champ UDM
Heure de réception (receive_time ou cef-formatted-receive_time)	rt	devTime		"metadata.collected_timestamp", métadonnées.event_timestamp (si la valeur "Generate Time" est absente)
Numéro de série	deviceExternalId	SerialNumber		intermediary.asset.hardware.serial_number
Type	type (en-tête)	chat/type		metadata.product_event_type
Type de menace/contenu (sous-type)	sous-type (En-tête)	Sous-type		metadata.product_event_type
Heure de génération (time_generated ou cef-formatted-time_generated)	Départ			metadata.event_timestamp
Adresse source (src)	src	src		principal.ip
Adresse de destination (dst)	dst	dst		target.ip
Adresse IP source NAT (natsrc)	sourceTranslatedAddress	srcPostNAT		principal.nat_ip
Adresse IP de destination NAT (natdst)	destinationTranslatedAddress	dstPostNAT		target.nat_ip
Nom de la règle (règle)	cs1	RuleName		security_result.rule_name
Utilisateur source (srcuser)	Suser	SourceUser		principal.user.userid
Utilisateur de destination (dstuser)	CANNOT TRANSLATE	DestinationUser		target.user.userid
Application	app	Application		target.application
Système virtuel (vsys)	cs3	VirtualSystem	Vsys	about.labels.key et about.labels.value additional.fields.key et additional.fields.value.string_value
Zone source (depuis)	cs4	SourceZone	depuis	principal.labels.key et principal.labels.value additional.fields.key et additional.fields.value.string_value
Zone de destination (vers)	cs5	DestinationZone	pour	target.labels.key et target.labels.value additional.fields.key et additional.fields.value.string_value
Interface entrante (inbound_if)	deviceInboundInterface	IngressInterface	inbound_if	principal.labels.key et principal.labels.value additional.fields.key et additional.fields.value.string_value
Interface sortante (outbound_if)	deviceOutboundInterface	EgressInterface	outbound_if	target.labels.key et target.labels.value additional.fields.key et additional.fields.value.string_value
Action de journal (ensemble de journaux)	cs6	LogForwardingProfile	Ensemble de journaux	about.labels.key et about.labels.value additional.fields.key et additional.fields.value.string_value
ID de session (sessionid)	cn1	SessionID		network.session_id
Nombre de répétitions (répétition)	cnt	RepeatCount	Répéter	about.labels.key et about.labels.value additional.fields.key et additional.fields.value.string_value
Port source (sport)	spt	srcPort		principal.port
Port de destination (dport)	dpt	dstPort		target.port
Port source NAT (natsport)	sourceTranslatedPort	srcPostNATPort		principal.nat_port
Port de destination NAT (natdport)	destinationTranslatedPort	dstPostNATPort		target.nat_port
Indicateurs	flexString1	Options	flags	about.labels.key et about.labels.value additional.fields.key et additional.fields.value.string_value
Protocole IP (proto)	proto	proto		network.ip_protocol
Action (action)	act	action		security_result.action_details security_result.action
Octets (octets)	flexNumber1	totalBytes	bytes	about.labels.key et about.labels.value additional.fields.key et additional.fields.value.string_value
Octets envoyés (bytes_sent)	in	srcBytes		network.sent_bytes
Octets reçus (bytes_received)	interprétés.	dstBytes		network.received_bytes
Paquets (paquets)	cn2	totalPackets	paquets	about.labels.key et about.labels.value additional.fields.key et additional.fields.value.string_value
Heure de début (début)		StartTime	Départ	about.labels.key et about.labels.value additional.fields.key et additional.fields.value.string_value
Temps écoulé	cn3	ElapsedTime	écoulé	network.session_duration.seconds
Catégorie	cs2	URLCategory		security_result.category / security_result.category_details
Numéro de séquence (seqno)	externalId	séquence		metadata.product_log_id
Indicateurs d'action	PanOSActionFlags	ActionFlags	indicateurs d'action	about.labels.key et about.labels.value additional.fields.key et additional.fields.value.string_value
Pays de la source (srcloc)		SourceLocation		principal.location.country_or_region
Pays de destination (dstloc)		DestinationLocation		target.location.country_or_region
Paquets envoyés (pkts_sent)	PanOSPacketsSent	srcPackets	pkts_sent	about.labels.key et about.labels.value additional.fields.key et additional.fields.value.string_value
Paquets reçus (pkts_received)	PanOSPacketsReceived	dstPackets	pkts_received	about.labels.key et about.labels.value additional.fields.key et additional.fields.value.string_value
Motif de fin de session (session_end_reason)	reason	SessionEndReason		security_result.summary
Hiérarchie du groupe d'appareils 1 (dg_hier_level_1 vers dg_hier_level_4)	PanOSDGl1	DeviceGroupHierarchyL1	dg_hier_level_1	about.labels.key et about.labels.value additional.fields.key et additional.fields.value.string_value
Hiérarchie du groupe d'appareils 2 (dg_hier_level_2)	PanOSDGl2	DeviceGroupHierarchyL2	dg_hier_level_2	about.labels.key et about.labels.value additional.fields.key et additional.fields.value.string_value
Hiérarchie du groupe d'appareils 3 (dg_hier_level_3)	PanOSDGl3	DeviceGroupHierarchyL3	dg_hier_level_3	about.labels.key et about.labels.value additional.fields.key et additional.fields.value.string_value
Hiérarchie des groupes d'appareils (dg_hier_level_4)	PanOSDGl4	DeviceGroupHierarchyL4	dg_hier_level_4	about.labels.key et about.labels.value additional.fields.key et additional.fields.value.string_value
Nom du système virtuel (vsys_name)	PanOSVsysName	vSrcName		principal.resource.name principal.resource.resource_type=VIRTUAL_MACHINE
Nom de l'appareil (device_name)	dvchost	DeviceName		intermediary.hostname
Source de l'action (action_source)	cat	ActionSource	action_source	about.labels.key et about.labels.value additional.fields.key et additional.fields.value.string_value
UUID de la VM source (src_uuid)	PanOSSrcUUID	SrcUUID		principal.asset.product_object_id
UUID de la VM de destination (dst_uuid)	PanOSDstUUID	DstUUID		target.asset.product_object_id
ID de tunnel/IMSI (ID de tunnel/imsi)	PanOSTunnelID	TunnelID	identifiant tunnel/imsi	about.labels.key et about.labels.value additional.fields.key et additional.fields.value.string_value
Balise Monitor/IMEI (monitortag/imei)	PanOSMonitorTag	MonitorTag	moniteurtag/imei	about.labels.key et about.labels.value additional.fields.key et additional.fields.value.string_value
ID de session parente (parent_session_id)	PanOSParentSessionID	ParentSessionID	parent_session_id	network.parent_session_id
Heure de début du parent (parent_start_time)	PanOSParentStartTime	ParentStartTime	parent_start_time	about.labels.key et about.labels.value additional.fields.key et additional.fields.value.string_value
Type de tunnel (tunnel)	PanOSTunnelType	TunnelType	tunnel	about.labels.key et about.labels.value additional.fields.key et additional.fields.value.string_value
ID d'association SCTP (assoc_id)	PanOSSCTPAssocID		assoc_id	about.labels.key et about.labels.value additional.fields.key et additional.fields.value.string_value
Fragments SCTP	PanOSSCTPChunks		blocs	about.labels.key et about.labels.value additional.fields.key et additional.fields.value.string_value
Fragments SCTP envoyés (chunks_sent)	PanOSSCTPChunkSent		chunks_sent	about.labels.key et about.labels.value additional.fields.key et additional.fields.value.string_value
Fragments SCTP reçus (chunks_received)	PanOSSCTPChunksRcv		chunks_received	about.labels.key et about.labels.value additional.fields.key et additional.fields.value.string_value
UUID de la règle (rule_uuid)	PanOSRuleUUID			security_result.rule_id
Connexion HTTP/2 (http2_connection)	PanOSHTTP2Con		http2_connection	about.labels.key et about.labels.value additional.fields.key et additional.fields.value.string_value
Nombre d'emplacements d'applis (link_change_count)	PanLinkChange		link_change_count	about.labels.key et about.labels.value additional.fields.key et additional.fields.value.string_value
ID de stratégie (policy_id)	PanPolicyID		policy_id	about.labels.key et about.labels.value additional.fields.key et additional.fields.value.string_value
Commutateurs de liaison (link_switches)	PanLinkDetail		link_switches	about.labels.key et about.labels.value additional.fields.key et additional.fields.value.string_value
Cluster SD-WAN (sdwan_cluster)	PanSDWANCluster		sdwan_cluster	about.labels.key et about.labels.value additional.fields.key et additional.fields.value.string_value
Type d'appareil SD-WAN (sdwan_device_type)	PanSDWANDevice		sdwan_device_type	about.labels.key et about.labels.value additional.fields.key et additional.fields.value.string_value
Type de cluster SD-WAN (sdwan_cluster_type)	PanSDWANClustype		sdwan_cluster_type	about.labels.key et about.labels.value additional.fields.key et additional.fields.value.string_value
Site SD-WAN (sdwan_site)	PanSDWANSite		sdwan_site	about.labels.key et about.labels.value additional.fields.key et additional.fields.value.string_value
Nom du groupe d'utilisateurs dynamique (dynusergroup_name)	PanDynamicUsrgrp		dynusergroup_name	about.labels.key et about.labels.value additional.fields.key et additional.fields.value.string_value
Adresse XFF (xff_ip)	PanXFFIP			principal.ip
Catégorie d'appareil source (src_category)	PanSrcDeviceCat		src_category	principal.labels.key et principal.labels.value additional.fields.key et additional.fields.value.string_value
Profil de l'appareil source (src_profile)	PanSrcDeviceProf		src_profile	principal.labels.key et principal.labels.value additional.fields.key et additional.fields.value.string_value
Modèle de l'appareil source (src_model)	PanSrcDeviceModel		src_model	principal.labels.key et principal.labels.value additional.fields.key et additional.fields.value.string_value
Fournisseur de l'appareil source (src_vendor)	PanSrcDeviceVendor		src_vendor	principal.labels.key et principal.labels.value additional.fields.key et additional.fields.value.string_value
Famille d'OS de l'appareil source (src_osfamily)	PanSrcDeviceOS			principal.asset.platform_software.platform principal.labels.key et principal.labels.value additional.fields.key et additional.fields.value.string_value
Version de l'OS de l'appareil source (src_osversion)	PanSrcDeviceOSv			principal.asset.software.version
Nom d'hôte source (src_host)	PanSrcHostname			principal.hostname
Adresse MAC source (src_mac)	PanSrcMac			principal.mac
Catégorie d'appareil de destination (dst_category)	PanDstDeviceCat		dst_category	target.labels.key et target.labels.value additional.fields.key et additional.fields.value.string_value
Profil d'appareil de destination (dst_profile)	PanDstDeviceProf		dst_profile	target.labels.key et target.labels.value additional.fields.key et additional.fields.value.string_value
Modèle de l'appareil de destination (dst_model)	PanDstDeviceModel		dst_model	target.labels.key et target.labels.value additional.fields.key et additional.fields.value.string_value
Fournisseur d'appareil de destination (dst_vendor)	PanDstDeviceVendor		dst_vendor	target.labels.key et target.labels.value additional.fields.key et additional.fields.value.string_value
Famille d'OS de l'appareil de destination (dst_osfamily)	PanDstDeviceOS		dst_osfamily	target.labels.key et target.labels.value additional.fields.key et additional.fields.value.string_value
Version de l'OS de l'appareil de destination (dst_osversion)	PanDstDeviceOSv			target.asset.software.version
Nom d'hôte de destination (dst_host)	PanDstHostname			target.hostname
Adresse MAC de destination (dst_mac)	PanDstMac			target.mac
ID du conteneur (container_id)	PanContainerName		container_id	about.labels.key et about.labels.value additional.fields.key et additional.fields.value.string_value
Espace de noms du POD (pod_namespace)	PanPODNamespace		pod_namespace	about.labels.key et about.labels.value additional.fields.key et additional.fields.value.string_value
Nom du pod (pod_name)	PanPODName		pod_name	about.labels.key et about.labels.value additional.fields.key et additional.fields.value.string_value
Liste dynamique externe source (src_edl)	PanSrcEDL		src_edl	principal.labels.key et principal.labels.value additional.fields.key et additional.fields.value.string_value
Liste dynamique externe de destination (dst_edl)	PanDstEDL		dst_edl	target.labels.key et target.labels.value additional.fields.key et additional.fields.value.string_value
ID d'hôte (hostid)	PanGPHostID		id_hôte	about.labels.key et about.labels.value additional.fields.key et additional.fields.value.string_value
Numéro de série de l'appareil utilisateur (numéro de série)	PanEPSerial			principal.asset.hardware.serial_number
Groupe d'adresses dynamiques source (src_dag)	PanSrcDAG			principal.group.group_display_name
Groupe d'adresses dynamiques de destination (dst_dag)	PanDstDAG			target.group.group_display_name
Propriétaire de session (session_owner)	PanHASessionOwner		session_owner	about.labels.key et about.labels.value additional.fields.key et additional.fields.value.string_value
Code temporel haute résolution (high_res_timestamp)	PanTimeHighRes			"metadata.collected_timestamp", métadonnées.event_timestamp (si la valeur "Generate Time" est absente)
Un type de service de segment d'application (nsdsai_sst)	PanASServiceType		nsdsai_sst	about.labels.key et about.labels.value additional.fields.key et additional.fields.value.string_value
Un facteur de différenciation par segment (nsdsai_sd)	PanASServiceDiff		nsdsai_sd	about.labels.key et about.labels.value additional.fields.key et additional.fields.value.string_value
Sous-catégorie de l'application (sous-catégorie_de_l'application)			subcategory_of_app	about.labels.key et about.labels.value additional.fields.key et additional.fields.value.string_value
Catégorie d'application (category_of_app)			category_of_app	about.labels.key et about.labels.value additional.fields.key et additional.fields.value.string_value
Technologie d'application (technologie_des_applications)			technology_of_app	about.labels.key et about.labels.value additional.fields.key et additional.fields.value.string_value
Risque lié à l'application (risque_de_l'application)				security_result.severity
Caractéristique de l'application (characteristic_of_app)			characteristic_of_app	about.labels.key et about.labels.value additional.fields.key et additional.fields.value.string_value
Conteneur d'application (container_of_app)			container_of_app	about.labels.key et about.labels.value additional.fields.key et additional.fields.value.string_value
Application SaaS (is_saas_of_app)			is_saas_of_app	about.labels.key et about.labels.value additional.fields.key et additional.fields.value.string_value
État de l'application sanctionnée (sanctioned_state_of_app)			sanctioned_state_of_app	about.labels.key et about.labels.value additional.fields.key et additional.fields.value.string_value
Sous-catégorie de l'application (sous-catégorie_de_l'application)			subcategory_of_app1	about.labels.key et about.labels.value additional.fields.key et additional.fields.value.string_value

User-ID

Le tableau suivant répertorie les champs de journal du type de journal User-ID et les champs UDM correspondants.

Champ CSV	Champ CEF	Champ LEEF	Clé d'étiquette Chronicle	Champ UDM
Heure de réception (receive_time ou cef-formatted-receive_time)	rt	devTime		"metadata.collected_timestamp", métadonnées.event_timestamp (si la valeur "Generate Time" est absente)
Numéro de série	deviceExternalId	SerialNumber		intermediary.asset.hardware.serial_number
Type	type (en-tête)	cat		metadata.product_event_type
Type de menace/contenu (sous-type)	sous-type (En-tête)	Sous-type		metadata.product_event_type
Heure de génération (time_generated ou cef-formatted-time_generated)				metadata.event_timestamp
Système virtuel (vsys)	cs3	VirtualSystem	Vsys	about.labels.key et about.labels.value additional.fields.key et additional.fields.value.string_value
Adresse IP source (IP)	src	src		principal.ip
Utilisateur	CANNOT TRANSLATE	usrName		target.user.userid target.administrative_domain target.user.email_addresses
Nom de la source de données (nom de la source de données)	cs4	DataSourceName	nom de la source de données	principal.labels.key et principal.labels.value additional.fields.key et additional.fields.value.string_value
ID de l'événement (eventid)		EventID	eventid	about.labels.key et about.labels.value additional.fields.key et additional.fields.value.string_value
Nombre de répétitions (répétition)	cnt	RepeatCount	Répéter	about.labels.key et about.labels.value additional.fields.key et additional.fields.value.string_value
Délai d'expiration (délai)	cn3	TimeoutThreshold	délai avant expiration	about.labels.key et about.labels.value additional.fields.key et additional.fields.value.string_value
Port source (début)	spt	srcPort		principal.port
Port de destination (port de terminaison)	dpt	dstPort		target.port
Source de données (source de données)	cs5	DataSource	source de données	principal.labels.key et principal.labels.value additional.fields.key et additional.fields.value.string_value
Type de source de données (datasourcetype)	cs6	DataSourceType	type de source de données	principal.labels.key et principal.labels.value additional.fields.key et additional.fields.value.string_value
Numéro de séquence (seqno)	externalId	séquence		metadata.product_log_id
Indicateurs d'action	PanOSActionFlags	ActionFlags	indicateurs d'action	about.labels.key et about.labels.value additional.fields.key et additional.fields.value.string_value
Hiérarchie des groupes d'appareils (dg_hier_level_1)	PanOSDGl1	DeviceGroupHierarchyL1	dg_hier_level_1	about.labels.key et about.labels.value additional.fields.key et additional.fields.value.string_value
Hiérarchie des groupes d'appareils (dg_hier_level_2)	PanOSDGl2	DeviceGroupHierarchyL2	dg_hier_level_2	about.labels.key et about.labels.value additional.fields.key et additional.fields.value.string_value
Hiérarchie des groupes d'appareils (dg_hier_level_3)	PanOSDGl3	DeviceGroupHierarchyL3	dg_hier_level_3	about.labels.key et about.labels.value additional.fields.key et additional.fields.value.string_value
Hiérarchie des groupes d'appareils (dg_hier_level_4)	PanOSDGl4	DeviceGroupHierarchyL4	dg_hier_level_4	about.labels.key et about.labels.value additional.fields.key et additional.fields.value.string_value
Nom du système virtuel (vsys_name)	PanOSVsysName	vSrcName		principal.resource.name principal.resource.resource_type=VIRTUAL_MACHINE
Nom de l'appareil (device_name)	dvchost	DeviceName		intermediary.hostname
ID du système virtuel (vsys_id)	cn2	VirtualSystemID		principal.resource.resource_type=VIRTUAL_MACHINE et principal.resource.product_object_id
Type de facteur (factortype)	cs1	FactorType	type de facteur	about.labels.key et about.labels.value additional.fields.key et additional.fields.value.string_value
Durée d'exécution du facteur (factorcompletetime)	end	FactorCompletionTime	temps d'achèvement	about.labels.key et about.labels.value additional.fields.key et additional.fields.value.string_value
Facteur (factorno)	cn1	FactorNumber	factorno	about.labels.key et about.labels.value additional.fields.key et additional.fields.value.string_value
Indicateurs de groupe d'utilisateurs (ugflags)	PanOSUGFlags		indicateurs	about.labels.key et about.labels.value additional.fields.key et additional.fields.value.string_value
Utilisateur par source (utilisateur par source)	PanOSUserBySource			principal.user.userid principal.administrative_domain principal.user.email_addresses
Code temporel haute résolution (horodatage haute résolution)	PanOSTimeGeneratedHighResolution			"metadata.collected_timestamp", métadonnées.event_timestamp (si la valeur "Generate Time" est absente)

Correspondance HIP

Le tableau suivant répertorie les champs de journal du type de journal de correspondance HIP et les champs UDM correspondants.

Champ CSV	Champ CEF	Champ LEEF	Clé d'étiquette Chronicle	Champ UDM
Heure de réception (receive_time ou cef-formatted-receive_time)	rt	devTime		"metadata.collected_timestamp", métadonnées.event_timestamp (si la valeur "Generate Time" est absente)
Numéro de série	deviceExternalId	SerialNumber		intermediary.asset.hardware.serial_number
Type	type (en-tête)	cat		metadata.product_event_type
Type de menace/contenu (sous-type)	sous-type (En-tête)	Sous-type
Heure de génération (time_generated ou cef-formatted-time_generated)	Départ	startTime		metadata.event_timestamp
Utilisateur source (srcuser)	Suser	usrName		principal.user.userid
Système virtuel (vsys)	cs3	VirtualSystem	Vsys	about.labels.key et about.labels.value additional.fields.key et additional.fields.value.string_value
Nom de la machine (nom de la machine)	fantôme	identHostName		principal.hostname
Système d'exploitation (OS)	cs2	OS		principal.asset.platform_software.platform
Adresse source (src)	src	identsrc		principal.ip
HIP (matchname)	cat	HIP	nomdecorrespondance	about.labels.key et about.labels.value additional.fields.key et additional.fields.value.string_value
Nombre de répétitions (répétition)	cnt	RepeatCount	Répéter	about.labels.key et about.labels.value additional.fields.key et additional.fields.value.string_value
Type HIP (matchtype)	ID de classe d'événement de l'appareil (en-tête)	HIPType	matchtype	about.labels.key et about.labels.value additional.fields.key et additional.fields.value.string_value
Numéro de séquence (seqno)	externalId	séquence		metadata.product_log_id
Indicateurs d'action	PanOSActionFlags	ActionFlags	indicateurs d'action	about.labels.key et about.labels.value additional.fields.key et additional.fields.value.string_value
Hiérarchie des groupes d'appareils (dg_hier_level_1)	PanOSDGl1	DeviceGroupHierarchyL1	dg_hier_level_1	about.labels.key et about.labels.value additional.fields.key et additional.fields.value.string_value
Hiérarchie des groupes d'appareils (dg_hier_level_2)	PanOSDGl2	DeviceGroupHierarchyL2	dg_hier_level_2	about.labels.key et about.labels.value additional.fields.key et additional.fields.value.string_value
Hiérarchie des groupes d'appareils (dg_hier_level_3)	PanOSDGl3	DeviceGroupHierarchyL3	dg_hier_level_3	about.labels.key et about.labels.value additional.fields.key et additional.fields.value.string_value
Hiérarchie des groupes d'appareils (dg_hier_level_4)	PanOSDGl4	DeviceGroupHierarchyL4	dg_hier_level_4	about.labels.key et about.labels.value additional.fields.key et additional.fields.value.string_value
Nom du système virtuel (vsys_name)	PanOSVsysName	vSrcName		principal.resource.name principal.resource.resource_type=VIRTUAL_MACHINE
Nom de l'appareil (device_name)	dvchost	DeviceName		intermediary.hostname
ID du système virtuel (vsys_id)	cn2	VirtualSystemID		principal.resource.resource_type=VIRTUAL_MACHINE et principal.resource.product_object_id
Adresse système IPv6 (srcipv6)	C6A2	srcipv6		principal.asset.ip
ID d'hôte (hostid)	PanOSHostID			principal.asset.product_object_id
Numéro de série de l'appareil utilisateur (numéro de série)	PanOSEndpointSerialNumber			principal.asset.hardware.serial_number
Adresse MAC de l'appareil (Mac)	PanOSEndpointMac			principal.asset.mac
Code temporel haute résolution (high_res_timestamp)	PanOSTimeGeneratedHighResolution			"metadata.collected_timestamp", métadonnées.event_timestamp (si la valeur "Generate Time" est absente)

Tag IP

Le tableau suivant répertorie les champs de journal du type de journal "Tag IP" et les champs UDM correspondants.

Champ CSV	Champ CEF	Champ LEEF	Clé d'étiquette Chronicle	Champ UDM
Heure de réception (receive_time ou cef-formatted-receive_time)	rt	devTime		"metadata.collected_timestamp", métadonnées.event_timestamp (si la valeur "Generate Time" est absente)
Numéro de série	deviceExternalId	SerialNumber		intermediary.asset.hardware.serial_number
Type	type (en-tête)	cat		metadata.product_event_type
Type de menace/contenu (sous-type)	sous-type (En-tête)	Sous-type		metadata.product_event_type
Heure de génération (time_generated ou cef-formatted-time_generated)		GenerateTime		metadata.event_timestamp
Système virtuel (vsys)	cs3	VirtualSystem	Vsys	about.labels.key et about.labels.value additional.fields.key et additional.fields.value.string_value
Adresse IP source (IP)	src	src		principal.ip
Nom de la balise (tag_name)	PanOSTagName	TagName	tag_name	principal.labels.key et principal.labels.value additional.fields.key et additional.fields.value.string_value
ID de l'événement (event_id)	PanOSEventID	EventID	event_id	about.labels.key et about.labels.value additional.fields.key et additional.fields.value.string_value
Nombre de répétitions (répétition)	cnt	RepeatCount	Répéter	about.labels.key et about.labels.value additional.fields.key et additional.fields.value.string_value
Expiration du délai	PanOSTimeout	TimeoutThreshold	délai avant expiration	about.labels.key et about.labels.value additional.fields.key et additional.fields.value.string_value
Nom de la source de données (nom de la source de données)	PanOSDataSourceName	DataSourceName	nom de la source de données	principal.labels.key et principal.labels.value additional.fields.key et additional.fields.value.string_value
Type de source de données (datasource_type)	PanOSDataSourceType	DataSource	datasource_type	principal.labels.key et principal.labels.value additional.fields.key et additional.fields.value.string_value
Sous-type de la source de données (datasource_subtype)	PanOSDataSourceSubType	DataSourceType	datasource_subtype	principal.labels.key et principal.labels.value additional.fields.key et additional.fields.value.string_value
Numéro de séquence (seqno)	externalId	séquence		metadata.product_log_id
Indicateurs d'action	PanOSActionFlags	ActionFlags	indicateurs d'action	about.labels.key et about.labels.value additional.fields.key et additional.fields.value.string_value
Hiérarchie des groupes d'appareils (dg_hier_level_1)	PanOSDGl1	DeviceGroupHierarchyL1	dg_hier_level_1	about.labels.key et about.labels.value additional.fields.key et additional.fields.value.string_value
Hiérarchie des groupes d'appareils (dg_hier_level_2)	PanOSDGl2	DeviceGroupHierarchyL2	dg_hier_level_2	about.labels.key et about.labels.value additional.fields.key et additional.fields.value.string_value
Hiérarchie des groupes d'appareils (dg_hier_level_3)	PanOSDGl3	DeviceGroupHierarchyL3	dg_hier_level_3	about.labels.key et about.labels.value additional.fields.key et additional.fields.value.string_value
Hiérarchie des groupes d'appareils (dg_hier_level_4)	PanOSDGl4	DeviceGroupHierarchyL4	dg_hier_level_4	about.labels.key et about.labels.value additional.fields.key et additional.fields.value.string_value
Nom du système virtuel (vsys_name)	PanOsVsysName	vSrcName		principal.resource.name principal.resource.resource_type=VIRTUAL_MACHINE
Nom de l'appareil (device_name)	dvchost	DeviceName		intermediary.hostname
ID du système virtuel (vsys_id)	cn2	VirtualSystemID		principal.resource.resource_type=VIRTUAL_MACHINE et principal.resource.product_object_id
Code temporel haute résolution (horodatage haute résolution)	PanOSTimeGeneratedHighResolution			"metadata.collected_timestamp", métadonnées.event_timestamp (si la valeur "Generate Time" est absente)

Déchiffrement

Le tableau suivant répertorie les champs de journal du type de journal de déchiffrement et les champs UDM correspondants.

Champ CSV	Champ CEF	Champ LEEF	Clé d'étiquette Chronicle	Champ UDM
Heure de réception (receive_time ou cef-formatted-receive_time)	rt			"metadata.collected_timestamp", métadonnées.event_timestamp (si la valeur "Generate Time" est absente)
Numéro de série	PanOSDeviceSN			intermediary.asset.hardware.serial_number
Type	type (en-tête)			metadata.product_event_type
Type de menace/contenu (sous-type)	sous-type (En-tête)			metadata.product_event_type
Version de configuration (config_ver)	PanOSConfigVersion		config_ver	about.labels.key et about.labels.value additional.fields.key et additional.fields.value.string_value
Heure de génération (time_generated)	PanOSLogTimeStamp			metadata.event_timestamp
Adresse source (src)	src			principal.ip
Adresse de destination (dst)	dst			target.ip
Adresse IP source NAT (natsrc)	sourceTranslatedAddress			principa.nat_ip
Adresse IP de destination NAT (natdst)	destinationTranslatedAddress			target.nat_ip
Règle (règle)	cs1			security_result.rule_name
Utilisateur source (srcuser)	Suser			principal.user.userid
Utilisateur de destination (dstuser)	CANNOT TRANSLATE			target.user.userid
Application	app			target.application
Système virtuel (vsys)	cs3		Vsys	about.labels.key et about.labels.value additional.fields.key et additional.fields.value.string_value
Zone source (depuis)	cs4		depuis	principal.labels.key et principal.labels.value additional.fields.key et additional.fields.value.string_value
Zone de destination (vers)	cs5		pour	target.labels.key et target.labels.value additional.fields.key et additional.fields.value.string_value
Interface entrante (inbound_if)	deviceInboundInterface		inbound_if	principal.labels.key et principal.labels.value additional.fields.key et additional.fields.value.string_value
Interface sortante (outbound_if)	deviceOutboundInterface		outbound_if	target.labels.key et target.labels.value additional.fields.key et additional.fields.value.string_value
Action de journal (ensemble de journaux)	cs6		Ensemble de journaux	about.labels.key et about.labels.value additional.fields.key et additional.fields.value.string_value
Heure de journalisation (time_received)	PanOSTimeReceivedManagementPlane			-
ID de session (sessionid)	cn1			network.session_id
Nombre de répétitions (répétition)	PanOSCountOfRepeats/RepeatCount		Répéter	about.labels.key et about.labels.value additional.fields.key et additional.fields.value.string_value
Port source (sport)	spt			principal.port
Port de destination (dport)	dpt			target.port
Port source NAT (natsport)	sourceTranslatedPort			principal.nat_port
Port de destination NAT (natdport)	destinationTranslatedPort			target.nat_port
Indicateurs	flexString1		flags	about.labels.key et about.labels.value additional.fields.key et additional.fields.value.string_value
Protocole IP (proto)	proto			network.ip_protocol
Action (action)	act			security_result.action_details security_result.action
Tunnel (tunnel)	PanOSTunnel		tunnel	about.labels.key et about.labels.value additional.fields.key et additional.fields.value.string_value
UUID de la VM source (src_uuid)	PanOSSourceUUID			principal.asset.asset_id
UUID de la VM de destination (dst_uuid)	PanOSDestinationUUID			target.asset.asset_id
UUID de la règle (rule_uuid)	PanOSRuleUUID			security_result.rule_id
Étape du client vers le pare-feu (hs_stage_c2f)	PanOSClientToFirewall		hs_stage_c2f	about.labels.key et about.labels.value additional.fields.key et additional.fields.value.string_value
Étape du pare-feu au serveur (hs_stage_f2s)	PanOSFirewallToServer		hs_stage_f2s	about.labels.key et about.labels.value additional.fields.key et additional.fields.value.string_value
Version de TLS (tls_version)	PanOSTLSVersion			network.tls.version
Algorithme d'échange de clés (tls_keyxchg)	PanOSTLSKeyExchange		tls_keyxchg	about.labels.key et about.labels.value additional.fields.key et additional.fields.value.string_value
Algorithme de chiffrement (tls_enc)	PanOSTLSEncryptionAlgorithm		tls_enc	about.labels.key et about.labels.value additional.fields.key et additional.fields.value.string_value
Algorithme de hachage (tls_auth)	PanOSTLSAuth		tls_auth	about.labels.key et about.labels.value additional.fields.key et additional.fields.value.string_value
Nom de la stratégie (policy_name)	PanOSPolicyName		policy_name	about.labels.key et about.labels.value additional.fields.key et additional.fields.value.string_value
Courbe elliptique (ec_curve)	PanOSEllipticCurve			network.tls.curve
Index d'erreur (err_index)	PanOSErrorIndex		err_index	about.labels.key et about.labels.value additional.fields.key et additional.fields.value.string_value
État racine (root_status)	PanOSRootStatus		root_status	about.labels.key et about.labels.value additional.fields.key et additional.fields.value.string_value
État de la chaîne (chain_status)	PanOSChainStatus		chain_status	about.labels.key et about.labels.value additional.fields.key et additional.fields.value.string_value
Type de proxy (proxy_type)	PanOSProxyType		proxy_type	about.labels.key et about.labels.value additional.fields.key et additional.fields.value.string_value
Numéro de série du certificat (cert_serial)	PanOSCertificateSerial			network.tls.server.certificate.serial
Empreinte du certificat (empreinte)	PanOSFingerprint			network.tls.server.certificate.md5/sha1/sha256.
Date de début du certificat (pas avant le)	PanOSTimeNotBefore			network.tls.server.certificate.not_before
Date de fin du certificat (pas après)	PanOSTimeNotAfter			network.tls.server.certificate.not_after
Version du certificat (cert_ver)	PanOSCertificateVersion			network.tls.server.certificate.version
Taille du certificat (cert_size)	PanOSCertificateSize		cert_size	about.labels.key et about.labels.value additional.fields.key et additional.fields.value.string_value
Longueur du nom commun (cn_len)	PanOSCommonNameLength		cn_len	about.labels.key et about.labels.value additional.fields.key et additional.fields.value.string_value
Longueur du nom commun de l'émetteur (issuer_len)	PanOSIssuerNameLength		issuer_len	about.labels.key et about.labels.value additional.fields.key et additional.fields.value.string_value
Longueur du nom commun de la racine (rootcn_len)	PanOSRootCNLength		rootcn_len	about.labels.key et about.labels.value additional.fields.key et additional.fields.value.string_value
Longueur SNI (sni_len)	PanOSSNILength		sni_len	about.labels.key et about.labels.value additional.fields.key et additional.fields.value.string_value
Indicateurs de certificat (cert_flags)	PanOSCertificateFlags		cert_flags	about.labels.key et about.labels.value additional.fields.key et additional.fields.value.string_value
Nom commun de l’objet (cn)	PanOSCommonName		cn	about.labels.key et about.labels.value additional.fields.key et additional.fields.value.string_value
Nom commun de l'émetteur (issuer_cn)	PanOSIssuerCommonName			network.tls.server.certificate.issuer
Nom commun de racine (root_cn)	PanOSRootCommonName		root_cn	about.labels.key et about.labels.value additional.fields.key et additional.fields.value.string_value
Indication du nom du serveur (sni)				network.tls.client.server_name
Erreur (erreur)	PanOSErrorMessage		error	about.labels.key et about.labels.value additional.fields.key et additional.fields.value.string_value
ID du conteneur (container_id)	PanOSContainerID		container_id	about.labels.key et about.labels.value additional.fields.key et additional.fields.value.string_value
Espace de noms du POD (pod_namespace)	PanOSContainerNameSpace		pod_namespace	about.labels.key et about.labels.value additional.fields.key et additional.fields.value.string_value
Nom du pod (pod_name)	PanOSContainerName		pod_name	about.labels.key et about.labels.value additional.fields.key et additional.fields.value.string_value
Liste dynamique externe source (src_edl)	PanOSSourceEDL		src_edl	principal.labels.key et principal.labels.value additional.fields.key et additional.fields.value.string_value
Liste dynamique externe de destination (dst_edl)	PanOSDestinationEDL		dst_edl	target.labels.key et target.labels.value additional.fields.key et additional.fields.value.string_value
Groupe d'adresses dynamiques source (src_dag)	PanOSSourceDynamicAddressGroup			principal.group.group_display_name
Groupe d'adresses dynamiques de destination (dst_dag)	PanOSDestinationDynamicAddressGroup			target.group.group_display_name
Code temporel haute résolution (high_res_timestamp)	PanOSTimeGeneratedHighResolution			"metadata.collected_timestamp", métadonnées.event_timestamp (si la valeur "Generate Time" est absente)
Catégorie d'appareil source (src_category)	PanOSSourceDeviceCategory		src_category	principal.labels.key et principal.labels.value additional.fields.key et additional.fields.value.string_value
Profil de l'appareil source (src_profile)	PanOSSourceDeviceProfile		src_profile	principal.labels.key et principal.labels.value additional.fields.key et additional.fields.value.string_value
Modèle de l'appareil source (src_model)	PanOSSourceDeviceModel		src_model	principal.labels.key et principal.labels.value additional.fields.key et additional.fields.value.string_value
Fournisseur de l'appareil source (src_vendor)	PanOSSourceDeviceVendor		src_vendor	principal.labels.key et principal.labels.value additional.fields.key et additional.fields.value.string_value
Famille d'OS de l'appareil source (src_osfamily)	PanOSSourceDeviceOSFamily			principal.asset.platform_software.platform principal.labels.key et principal.labels.value
Version de l'OS de l'appareil source (src_osversion)	PanOSSourceDeviceOSVersion			principal.asset.software.version
Nom d'hôte source (src_host)	PanOSSourceDeviceHost			principal.hostname
Adresse MAC source (src_mac)	PanOSSourceDeviceMac			principal.mac
Catégorie d'appareil de destination (dst_category)	PanOSDestinationDeviceCategory		dst_category	target.labels.key et target.labels.value additional.fields.key et additional.fields.value.string_value
Profil d'appareil de destination (dst_profile)	PanOSDestinationDeviceProfile		dst_profile	target.labels.key et target.labels.value additional.fields.key et additional.fields.value.string_value
Modèle de l'appareil de destination (dst_model)	PanOSDestinationDeviceModel		dst_model	target.labels.key et target.labels.value additional.fields.key et additional.fields.value.string_value
Fournisseur d'appareil de destination (dst_vendor)	PanOSDestinationDeviceVendor		dst_vendor	target.labels.key et target.labels.value additional.fields.key et additional.fields.value.string_value
Famille d'OS de l'appareil de destination (dst_osfamily)	PanOSDestinationDeviceOSFamily		dst_osfamily	target.labels.key et target.labels.value additional.fields.key et additional.fields.value.string_value
Version de l'OS de l'appareil de destination (dst_osversion)	PanOSDestinationDeviceOSVersion			target.asset.software.version
Nom d'hôte de destination (dst_host)	PanOSDestinationDeviceHost			target.hostname
Adresse MAC de destination (dst_mac)	PanOSDestinationDeviceMac			target.mac
Numéro de séquence (seqno)	PanOSLogTypeSeqNo			metadata.product_log_id
Indicateurs d'action	PanOSActionFlags		indicateurs d'action	about.labels.key et about.labels.value additional.fields.key et additional.fields.value.string_value
Hiérarchie des groupes d'appareils (dg_hier_level_1)		DeviceGroupHierarchyL1	dg_hier_level_1	about.labels.key et about.labels.value additional.fields.key et additional.fields.value.string_value
Hiérarchie des groupes d'appareils (dg_hier_level_2)		DeviceGroupHierarchyL2	dg_hier_level_2	about.labels.key et about.labels.value additional.fields.key et additional.fields.value.string_value
Hiérarchie des groupes d'appareils (dg_hier_level_3)		DeviceGroupHierarchyL3	dg_hier_level_3	about.labels.key et about.labels.value additional.fields.key et additional.fields.value.string_value
Hiérarchie des groupes d'appareils (dg_hier_level_4)		DeviceGroupHierarchyL4	dg_hier_level_4	about.labels.key et about.labels.value additional.fields.key et additional.fields.value.string_value
Nom du système virtuel (vsys_name)				principal.resource.name principal.resource.resource_type=VIRTUAL_MACHINE
Nom de l'appareil (device_name)				intermediary.hostname
ID du système virtuel (vsys_id)				principal.resource.resource_type=VIRTUAL_MACHINE et principal.resource.product_object_id
Sous-catégorie de l'application (sous-catégorie_de_l'application)			subcategory_of_app	about.labels.key et about.labels.value additional.fields.key et additional.fields.value.string_value
Catégorie d'application (category_of_app)			category_of_app	about.labels.key et about.labels.value additional.fields.key et additional.fields.value.string_value
Technologie d'application (technologie_des_applications)			technology_of_app	about.labels.key et about.labels.value additional.fields.key et additional.fields.value.string_value
Risque lié à l'application (risque_de_l'application)				security_result.severity
Caractéristique de l'application (characteristic_of_app)			characteristic_of_app	about.labels.key et about.labels.value additional.fields.key et additional.fields.value.string_value
Conteneur d'application (container_of_app)			container_of_app	about.labels.key et about.labels.value additional.fields.key et additional.fields.value.string_value
Application SaaS (is_saas_of_app)			is_saas_of_app	about.labels.key et about.labels.value additional.fields.key et additional.fields.value.string_value
État de l'application sanctionnée (sanctioned_state_of_app)			sanctioned_state_of_app	about.labels.key et about.labels.value additional.fields.key et additional.fields.value.string_value

Option de routage

Le tableau suivant répertorie les champs de journal du type de journal de tunnel et les champs UDM correspondants.

Champ CSV	Champ CEF	Champ LEEF	Clé d'étiquette Chronicle	Champ UDM
Heure de réception (receive_time ou cef-formatted-receive_time)	rt	devTime		"metadata.collected_timestamp", métadonnées.event_timestamp (si la valeur "Generate Time" est absente)
Numéro de série	deviceExternalId	SerialNumber		intermediary.asset.hardware.serial_number
Type	type (en-tête)	cat		metadata.product_event_type
Type de menace/contenu (sous-type)	sous-type (En-tête)	Sous-type		metadata.product_event_type
Heure de génération (time_generated ou cef-formatted-time_generated)				metadata.event_timestamp
Adresse source (src)	src	src		principal.ip
Adresse de destination (dst)	dst	dst		target.ip
Adresse IP source NAT (natsrc)	sourceTranslatedAddress	srcPostNAT		principal.nat_ip
Adresse IP de destination NAT (natdst)	destinationTranslatedAddress	dstPostNAT		target.nat_ip
Nom de la règle (règle)	cs1	RuleName		security_result.rule_name
Utilisateur source (srcuser)	Suser	SourceUser / usrName		principal.user.userid
Utilisateur de destination (dstuser)	CANNOT TRANSLATE	DestinationUser		target.user.userid
Application	app	Application		network.application_protocol
Système virtuel (vsys)	cs3	VirtualSystem	Vsys	about.labels.key et about.labels.value additional.fields.key et additional.fields.value.string_value
Zone source (depuis)	cs4	SourceZone	depuis	principal.labels.key et principal.labels.value additional.fields.key et additional.fields.value.string_value
Zone de destination (vers)	cs5	DestinationZone	pour	target.labels.key et target.labels.value additional.fields.key et additional.fields.value.string_value
Interface entrante (inbound_if)	deviceInboundInterface	IngressInterface	inbound_if	principal.labels.key et principal.labels.value additional.fields.key et additional.fields.value.string_value
Interface sortante (outbound_if)	deviceOutboundInterface	EgressInterface	outbound_if	target.labels.key et target.labels.value additional.fields.key et additional.fields.value.string_value
Action de journal (ensemble de journaux)	cs6	LogForwardingProfile	Ensemble de journaux	about.labels.key et about.labels.value additional.fields.key et additional.fields.value.string_value
ID de session (sessionid)	cn1	SessionID		network.session_id
Nombre de répétitions (répétition)	cnt	RepeatCount	Répéter	about.labels.key et about.labels.value additional.fields.key et additional.fields.value.string_value
Port source (sport)	spt	srcPort		principal.port
Port de destination (dport)	dpt	dstPort		target.port
Port source NAT (natsport)	sourceTranslatedPort	srcPostNATPort		principal.nat_port
Port de destination NAT (natdport)	destinationTranslatedPort	dstPostNATPort		target.nat_port
Indicateurs	flexString1	Options	flags	about.labels.key et about.labels.value additional.fields.key et additional.fields.value.string_value
Protocole IP (proto)	proto	proto		network.ip_protocol
Action (action)	act	action		security_result.action_details security_result.action
Gravité				security_result.depth et security_result.depth_details
Numéro de séquence (seqno)	externalId	séquence		metadata.product_log_id
Indicateurs d'action	PanOSActionFlags	ActionFlags	indicateurs d'action	about.labels.key et about.labels.value additional.fields.key et additional.fields.value.string_value
Emplacement de la source (srcloc)				principal.location.country_or_region
Emplacement de destination (dstloc)				target.location.country_or_region
Hiérarchie des groupes d'appareils (dg_hier_level_1)	PanOSDGl1	DeviceGroupHierarchyL1	dg_hier_level_1	about.labels.key et about.labels.value additional.fields.key et additional.fields.value.string_value
Hiérarchie des groupes d'appareils (dg_hier_level_2)	PanOSDGl2	DeviceGroupHierarchyL2	dg_hier_level_2	about.labels.key et about.labels.value additional.fields.key et additional.fields.value.string_value
Hiérarchie des groupes d'appareils (dg_hier_level_3)	PanOSDGl3	DeviceGroupHierarchyL3	dg_hier_level_3	about.labels.key et about.labels.value additional.fields.key et additional.fields.value.string_value
Hiérarchie des groupes d'appareils (dg_hier_level_4)	PanOSDGl4	DeviceGroupHierarchyL4	dg_hier_level_4	about.labels.key et about.labels.value additional.fields.key et additional.fields.value.string_value
Nom du système virtuel (vsys_name)	PanOSVsysName	vSrcName		principal.resource.name principal.resource.resource_type=VIRTUAL_MACHINE
Nom de l'appareil (device_name)	dvchost	DeviceName		intermediary.hostname
ID de tunnel (ID de tunnel)	PanOSTunnelID	TunnelID	identifiant tunnel	about.labels.key et about.labels.value additional.fields.key et additional.fields.value.string_value
Balise Monitor (balise moniteur)	PanOSMonitorTag	MonitorTag	moniteur	about.labels.key et about.labels.value additional.fields.key et additional.fields.value.string_value
ID de session parente (parent_session_id)	PanOSParentSessionID	ParentSessionID	parent_session_id	network.parent_session_id
Heure de début du parent (parent_start_time)	PanOSParentStartTime	ParentStartTime	parent_start_time	about.labels.key et about.labels.value additional.fields.key et additional.fields.value.string_value
Type de tunnel (tunnel)	cs2	TunnelType	tunnel	about.labels.key et about.labels.value additional.fields.key et additional.fields.value.string_value
Octets (octets)	flexNumber1	totalBytes	bytes	about.labels.key et about.labels.value additional.fields.key et additional.fields.value.string_value
Octets envoyés (bytes_sent)	in	srcBytes		network.sent_bytes
Octets reçus (bytes_received)	interprétés.	dstBytes		network.received_bytes
Paquets (paquets)	cn2	totalPackets	paquets	about.labels.key et about.labels.value additional.fields.key et additional.fields.value.string_value
Paquets envoyés (pkts_sent)	PanOSPacketsSent	srcPackets	pkts_sent	about.labels.key et about.labels.value additional.fields.key et additional.fields.value.string_value
Paquets reçus (pkts_received)	PanOSPacketsReceived	dstPackets	pkts_received	about.labels.key et about.labels.value additional.fields.key et additional.fields.value.string_value
Encapsulation maximale (max_encap)	flexNumber2	MaximumEncapsulation	max_encap	about.labels.key et about.labels.value additional.fields.key et additional.fields.value.string_value
Protocole inconnu (unknown_proto)	cfp1	UnknownProtocol	unknown_proto	about.labels.key et about.labels.value additional.fields.key et additional.fields.value.string_value
Vérification stricte (strict_check)	cfp2	StrictChecking	strict_check	about.labels.key et about.labels.value additional.fields.key et additional.fields.value.string_value
Fragment de tunnel (tunnel_fragment)	PanOSTunnelFragment	TunnelFragment	tunnel_fragment	about.labels.key et about.labels.value additional.fields.key et additional.fields.value.string_value
Sessions créées (sessions_created)	cfp3	SessionsCreated	sessions_created	about.labels.key et about.labels.value additional.fields.key et additional.fields.value.string_value
Sessions fermées (sessions_closed)	cfp4	SessionsClosed	sessions_closed	about.labels.key et about.labels.value additional.fields.key et additional.fields.value.string_value
Motif de fin de session (session_end_reason)	reason	SessionEndReason		security_result.summary
Source de l'action (action_source)	cat	ActionSource	action_source	about.labels.key et about.labels.value additional.fields.key et additional.fields.value.string_value
Heure de début (début)		startTime	Départ	about.labels.key et about.labels.value additional.fields.key et additional.fields.value.string_value
Temps écoulé	cn3	ElapsedTime	écoulé	network.session_duration.seconds
Règle d'inspection de tunnel (tunnel_insp_rule)	PanOSTunneInspectionRule			security_result.rule_name = "Tunnel Inspection Rule: %{PanOSTunnelInspectionRule}"
Adresse IP de l'utilisateur distant (remote_user_ip)	PanOSRmtUserIP			target.ip
ID utilisateur distant (remote_user_id)	PanOSRmtUserID		remote_user_id	target.labels.key et target.labels.value additional.fields.key et additional.fields.value.string_value
UUID de la règle de sécurité (rule_uuid)	PanOSRuleUUID			security_result.rule_id
ID PCAP (pcap_id)	PanOSPcapID		pcap_id	about.labels.key et about.labels.value additional.fields.key et additional.fields.value.string_value
Nom du groupe d'utilisateurs dynamique (dynusergroup_name)	PanDynamicUsrgrp			principal.group.group_display_name
Liste dynamique externe source (src_edl)	PanOSSourceEDL		src_edl	principal.labels.key et principal.labels.value additional.fields.key et additional.fields.value.string_value
Liste dynamique externe de destination (dst_edl)	PanOSDestinationEDL		dst_edl	target.labels.key et target.labels.value additional.fields.key et additional.fields.value.string_value
Code temporel haute résolution (horodatage haute résolution)	PanOSTimeGeneratedHighResolution			"metadata.collected_timestamp", métadonnées.event_timestamp (si la valeur "Generate Time" est absente)
Un différenciateur de segment d'application (nssai_sd)			nssai_sd	about.labels.key et about.labels.value additional.fields.key et additional.fields.value.string_value
Un type de service de segment d'application (nssai_sd)			nssai_sd1	about.labels.key et about.labels.value additional.fields.key et additional.fields.value.string_value
ID de session PDU (pdu_session_id)			pdu_session_id	about.labels.key et about.labels.value additional.fields.key et additional.fields.value.string_value
Sous-catégorie de l'application (sous-catégorie_de_l'application)			subcategory_of_app	about.labels.key et about.labels.value additional.fields.key et additional.fields.value.string_value
Catégorie d'application (category_of_app)			category_of_app	about.labels.key et about.labels.value additional.fields.key et additional.fields.value.string_value
Technologie d'application (technologie_des_applications)			technology_of_app	about.labels.key et about.labels.value additional.fields.key et additional.fields.value.string_value
Risque lié à l'application (risque_de_l'application)			risk_of_app	about.labels.key et about.labels.value additional.fields.key et additional.fields.value.string_value
Caractéristique de l'application (characteristic_of_app)			characteristic_of_app	about.labels.key et about.labels.value additional.fields.key et additional.fields.value.string_value
Conteneur d'application (container_of_app)			container_of_app	about.labels.key et about.labels.value additional.fields.key et additional.fields.value.string_value
Application SaaS (is_saas_of_app)			is_saas_of_app	about.labels.key et about.labels.value additional.fields.key et additional.fields.value.string_value
État de l'application sanctionnée (sanctioned_state_of_app)			sanctioned_state_of_app	about.labels.key et about.labels.value additional.fields.key et additional.fields.value.string_value

Ratio d'économie d'énergie (EER)

Le tableau suivant répertorie les champs de journal du type de journal d'authentification et les champs UDM correspondants.

Champ CSV	Champ CEF	Champ LEEF	Clé d'étiquette Chronicle	Champ UDM
Heure de réception (receive_time ou cef-formatted-receive_time)	rt	devTime		"metadata.collected_timestamp", métadonnées.event_timestamp (si la valeur "Generate Time" est absente)
Numéro de série	deviceExternalId	SerialNumber		intermediary.asset.hardware.serial_number
Type	type (en-tête)	cat		metadata.product_event_type
Type de menace/contenu (sous-type)	sous-type (En-tête)	Sous-type		metadata.product_event_type
Heure de génération (time_generated ou cef-formatted-time_generated)				metadata.event_timestamp
Système virtuel (vsys)	cs3	VirtualSystem	Vsys	about.labels.key et about.labels.value additional.fields.key et additional.fields.value.string_value
Adresse IP source (IP)	src	src		principal.ip
Utilisateur	CANNOT TRANSLATE	usrName		target.user.userid
Normaliser l'utilisateur (normalize_user)	cs2	NormalizeUser		target.user.user_display_name
Objet	fname	ObjectName	objet	about.labels.key et about.labels.value additional.fields.key et additional.fields.value.string_value
Règle d'authentification (authpolicy)	cs4	AuthPolicy	Politique d'authentification	about.labels.key et about.labels.value additional.fields.key et additional.fields.value.string_value
Nombre de répétitions (répétition)	cnt	RepeatCount	Répéter	about.labels.key et about.labels.value additional.fields.key et additional.fields.value.string_value
Identifiant d'authentification (authid)	cn2	AuthenticationID	authid	about.labels.key et about.labels.value additional.fields.key et additional.fields.value.string_value
Fournisseur	flexString2	Fournisseur	vendor	about.labels.key et about.labels.value additional.fields.key et additional.fields.value.string_value
Action de journal (ensemble de journaux)	cs6	LogForwardingProfile	Ensemble de journaux	about.labels.key et about.labels.value additional.fields.key et additional.fields.value.string_value
Profil de serveur (profil de serveur)	cs1	ServerProfile	profil_serveur	about.labels.key et about.labels.value additional.fields.key et additional.fields.value.string_value
Description (déc.)	PanOSDesc	AdditionalAuthInfo		security_result.description
Type de client (clienttype)	cs5	ClientType	type de client	about.labels.key et about.labels.value additional.fields.key et additional.fields.value.string_value
Type d'événement (événement)	msg	msg		extensions.auth.auth_details
Facteur (factorno)	cn1	FactorNumber	factorno	about.labels.key et about.labels.value additional.fields.key et additional.fields.value.string_value
Numéro de séquence (seqno)	externalId	séquence		metadata.product_log_id
Indicateurs d'action	PanOSActionFlags	ActionFlags	indicateurs d'action	about.labels.key et about.labels.value additional.fields.key et additional.fields.value.string_value
Hiérarchie des groupes d'appareils (dg_hier_level_1)	PanOSDGl1	DeviceGroupHierarchyL1	dg_hier_level_1	about.labels.key et about.labels.value additional.fields.key et additional.fields.value.string_value
Hiérarchie des groupes d'appareils (dg_hier_level_2)	PanOSDGl2	DeviceGroupHierarchyL2	dg_hier_level_2	about.labels.key et about.labels.value additional.fields.key et additional.fields.value.string_value
Hiérarchie des groupes d'appareils (dg_hier_level_3)	PanOSDGl3	DeviceGroupHierarchyL3	dg_hier_level_3	about.labels.key et about.labels.value additional.fields.key et additional.fields.value.string_value
Hiérarchie des groupes d'appareils (dg_hier_level_4)	PanOSDGl4	DeviceGroupHierarchyL4	dg_hier_level_4	about.labels.key et about.labels.value additional.fields.key et additional.fields.value.string_value
Nom du système virtuel (vsys_name)	PanOSVsysName	vSrcName		principal.resource.name principal.resource.resource_type=VIRTUAL_MACHINE
Nom de l'appareil (device_name)	dvchost	DeviceName		intermediary.hostname
ID du système virtuel (vsys_id)				principal.resource.resource_type=VIRTUAL_MACHINE et principal.resource.product_object_id
Protocole d'authentification (authproto)			authproto	about.labels.key et about.labels.value additional.fields.key et additional.fields.value.string_value
UUID de la règle (rule_uuid)	PanOSRuleUUID/RuleUUID			security_result.rule_id
Code temporel haute résolution (high_res _timestamp)	PanOSTimeGeneratedHighResolution			"metadata.collected_timestamp", métadonnées.event_timestamp (si la valeur "Generate Time" est absente)
Catégorie d'appareil source (src_category)	PanOSSourceDeviceCategory		src_category	principal.labels.key et principal.labels.value additional.fields.key et additional.fields.value.string_value
Profil de l'appareil source (src_profile)	PanOSSourceDeviceProfile		src_profile	principal.labels.key et principal.labels.value additional.fields.key et additional.fields.value.string_value
Modèle de l'appareil source (src_model)	PanOSSourceDeviceModel		src_model	principal.labels.key et principal.labels.value additional.fields.key et additional.fields.value.string_value
Fournisseur de l'appareil source (src_vendor)	PanOSSourceDeviceVendor		src_vendor	principal.labels.key et principal.labels.value additional.fields.key et additional.fields.value.string_value
Famille d'OS de l'appareil source (src_osfamily)	PanOSSourceDeviceOSFamily			principal.asset.platform_software.platform principal.labels.key et principal.labels.value additional.fields.key et additional.fields.value.string_value
Version de l'OS de l'appareil source (src_osversion)	PanOSSourceDeviceOSVersion			principal.asset.software.version
Nom d'hôte source (src_host)	PanOSSourceHostname			principal.hostname
Adresse MAC source (src_mac)	PanOSSourceMac			principal.asset.mac
Région (region)	PanOSTrafficOriginRegion			principal.location.country_or_region
User-agent (user_agent)	PanOSHTTPUserAgent			network.http.user_agent
ID de session(ID de session)	PanOSTrafficSessionID			network.session_id

URL

Le tableau suivant répertorie les champs de journal du type de journal d'URL et les champs UDM correspondants.

Champ CSV	Champ CEF	Champ LEEF	Clé d'étiquette Chronicle	Champ UDM
Heure de réception (cef-formatted-receive_time)	rt	devTime		"metadata.collected_timestamp", métadonnées.event_timestamp (si la valeur "Generate Time" est absente)
Numéro de série	deviceExternalId	SerialNumber		intermediary.asset.hardware.serial_number
Type	type (en-tête)	cat		metadata.product_event_type
Type de menace/contenu (sous-type)	sous-type (En-tête)	Sous-type		metadata.product_event_type
Heure de génération				metadata.event_timestamp
Adresse source (src)	src	src		principal.ip
Adresse de destination (dst)	dst	dst		target.ip
Adresse IP source NAT (natsrc)	sourceTranslatedAddress	srcPostNAT		principal.nat_ip
Adresse IP de destination NAT (natdst)	destinationTranslatedAddress	dstPostNAT		target.nat_ip
Règle (règle)	cs1	RuleName		security_result.rule_name
Utilisateur source (srcuser)	Suser	SourceUser		principal.user.userid
Utilisateur de destination (dstuser)	CANNOT TRANSLATE	DestinationUser		target.user.userid
Application	app	Application		network.application_protocol
Système virtuel (vsys)	cs3	VirtualSystem	Vsys	about.labels.key et about.labels.value additional.fields.key et additional.fields.value.string_value
Zone source (depuis)	cs4	SourceZone	depuis	principal.labels.key et principal.labels.value additional.fields.key et additional.fields.value.string_value
Zone de destination (vers)	cs5	DestinationZone	pour	target.labels.key et target.labels.value additional.fields.key et additional.fields.value.string_value
Interface entrante (inbound_if)	deviceInboundInterface	IngressInterface	inbound_if	principal.labels.key et principal.labels.value additional.fields.key et additional.fields.value.string_value
Interface sortante (outbound_if)	deviceOutboundInterface	EgressInterface	outbound_if	target.labels.key et target.labels.value additional.fields.key et additional.fields.value.string_value
Action de journal (ensemble de journaux)	cs6	LogForwardingProfile	Ensemble de journaux	about.labels.key et about.labels.value additional.fields.key et additional.fields.value.string_value
Durée d'enregistrement			time_logged	about.labels.key et about.labels.value additional.fields.key et additional.fields.value.string_value
ID de session (sessionid)	cn1	SessionID		network.session_id
Nombre de répétitions (répétition)	cnt	RepeatCount	Répéter	about.labels.key et about.labels.value additional.fields.key et additional.fields.value.string_value
Port source (sport)	spt	srcPort		principal.port
Port de destination (dport)	dpt	dstPort		target.port
Port source NAT (natsport)	sourceTranslatedPort	srcPostNATPort		principal.nat_port
Port de destination NAT (natdport)	destinationTranslatedPort	dstPostNATPort		target.nat_port
Indicateurs	flexString1	Options	flags	about.labels.key et about.labels.value additional.fields.key et additional.fields.value.string_value
Protocole IP (proto)	proto	proto		network.ip_protocol
Action (action)	act	action		security_result.action_details security_result.action
URL/Nom de fichier (divers)		Autres		target.file.full_path target.url
Nom de la menace/du contenu (menace)	cat	ThreatID		security_result.threat_id
Catégorie	cs2	URLCategory	category	about.labels.key et about.labels.value additional.fields.key et additional.fields.value.string_value
Gravité	number-of-depth (en-tête)	Niveau de gravité		security_result.severity security_result.severity_details
Sens (direction)	flexString2	Direction		network.direction
Numéro de séquence (seqno)	externalId	séquence		metadata.product_log_id
Indicateurs d'action	PanOSActionFlags	ActionFlags	indicateurs d'action	about.labels.key et about.labels.value additional.fields.key et additional.fields.value.string_value
Pays de la source (srcloc)		SourceLocation		principal.location.country_or_region
Pays de destination (dstloc)		DestinationLocation		target.location.country_or_region
contenttype (contenttype) (type de contenu)	requestContext	ContentType	type de contenu	about.labels.key et about.labels.value additional.fields.key et additional.fields.value.string_value
pcap_id (pcap_id)	fileId	PCAP_ID	pcap_id	about.labels.key et about.labels.value additional.fields.key et additional.fields.value.string_value
filedigest (filedigest)		FileDigest		about.file.sha1/md5/sha256
cloud (cloud)		Cloud	cloud	about.labels.key et about.labels.value additional.fields.key et additional.fields.value.string_value
url_idx (id_url)		URLIndex	url_idx	about.labels.key et about.labels.value additional.fields.key et additional.fields.value.string_value
user_agent (user_agent)	requestClientApplication	UserAgent		network.http.user_agent
filetype (type de fichier)				about.file.mime_type
xff (xff)	PanOSXForwarderfor	identSrc	Xff	about.labels.key et about.labels.value additional.fields.key et additional.fields.value.string_value
URL de provenance	PanOSReferer	Référent		network.http.referral_url
expéditeur (expéditeur)				network.email.from
subject (objet)		Objet		network.email.subject
destinataire (destinataire)				network.email.to
reportid (reportid)			id_rapport	about.labels.key et about.labels.value additional.fields.key et additional.fields.value.string_value
Hiérarchie DG de niveau 1 (dg_hier_level_1)	PanOSDGl1	DeviceGroupHierarchyL1	dg_hier_level_1	about.labels.key et about.labels.value additional.fields.key et additional.fields.value.string_value
Hiérarchie DG de niveau 2 (dg_hier_level_2)	PanOSDGl2	DeviceGroupHierarchyL2	dg_hier_level_2	about.labels.key et about.labels.value additional.fields.key et additional.fields.value.string_value
Hiérarchie DG de niveau 3 (dg_hier_level_3)	PanOSDGl3	DeviceGroupHierarchyL3	dg_hier_level_3	about.labels.key et about.labels.value additional.fields.key et additional.fields.value.string_value
Hiérarchie DG de niveau 4 (dg_hier_level_4)	PanOSDGl4	DeviceGroupHierarchyL4	dg_hier_level_4	about.labels.key et about.labels.value additional.fields.key et additional.fields.value.string_value
Nom du système virtuel (vsys_name)	PanOSVsysName	vSrcName		principal.resource.name principal.resource.resource_type=VIRTUAL_MACHINE
Nom de l'appareil (device_name)	dvchost	DeviceName		intermediary.hostname
file_url (file_url)				about.url
UUID de la VM source (src_uuid)		SrcUUID		principal.asset.asset_id
UUID de la VM de destination (dst_uuid)		DstUUID		target.asset.asset_id
http_method (http_method)	requestMethod	RequestMethod		network.http.method
ID de tunnel/IMSI (ID de tunnel)	PanOSTunnelID	TunnelID	identifiant tunnel	about.labels.key et about.labels.value additional.fields.key et additional.fields.value.string_value
Balise Monitor/IMEI (balise moniteur)	PanOSMonitorTag	MonitorTag	moniteur	about.labels.key et about.labels.value additional.fields.key et additional.fields.value.string_value
ID de session parente (parent_session_id)	PanOSParentSessionID	ParentSessionID	parent_session_id	network.parent_session_id
Heure de début de la session parente (parent_start_time)	PanOSParentStartTime	ParentStartTime	parent_start_time	about.labels.key et about.labels.value additional.fields.key et additional.fields.value.string_value
Tunnel (tunnel)	PanOSTunnelType	TunnelType	tunnel	about.labels.key et about.labels.value additional.fields.key et additional.fields.value.string_value
thr_category (thr_category)	PanOSThreatCategory	ThreatCategory	thr_category	security_result.detection_fields.key/value
contentver (contentver)	PanOSContentVer	ContentVer	Contentver	about.labels.key et about.labels.value additional.fields.key et additional.fields.value.string_value
sig_flags (sig_flags)			sig_flags	about.labels.key et about.labels.value additional.fields.key et additional.fields.value.string_value
ID d'association SCTP (assoc_id)	PanOSAssocID		assoc_id	about.labels.key et about.labels.value additional.fields.key et additional.fields.value.string_value
ID de protocole de charge utile (ppid)	PanOSPPID		ppid	about.labels.key et about.labels.value additional.fields.key et additional.fields.value.string_value
http_headers (http_headers)	PanOSHTTPHeader		http_headers	about.labels.key et about.labels.value additional.fields.key et additional.fields.value.string_value
Liste des catégories d'URL (url_category_list)	PanOSURLCatList		url_category_list	about.labels.key et about.labels.value additional.fields.key et additional.fields.value.string_value
UUID de la règle (rule_uuid)	PanOSRuleUUID		rule_uuid	about.labels.key et about.labels.value additional.fields.key et additional.fields.value.string_value
Connexion HTTP/2 (http2_connection)	PanOSHTTP2Con		http2_connection	about.labels.key et about.labels.value additional.fields.key et additional.fields.value.string_value
dynusergroup_name (dynusergroup_name)	PanDynamicUsrgrp		dynusergroup_name	about.labels.key et about.labels.value additional.fields.key et additional.fields.value.string_value
Adresse XFF (xff_ip)	PanXFFIP			principal.ip
Catégorie d'appareil source (src_category)	PanSrcDeviceCat		src_category	principal.labels.key et principal.labels.value additional.fields.key et additional.fields.value.string_value
Profil de l'appareil source (src_profile)	PanSrcDeviceProf		src_profile	principal.labels.key et principal.labels.value additional.fields.key et additional.fields.value.string_value
Modèle de l'appareil source (src_model)	PanSrcDeviceModel		src_model	principal.labels.key et principal.labels.value additional.fields.key et additional.fields.value.string_value
Fournisseur de l'appareil source (src_vendor)	PanSrcDeviceVendor		src_vendor	principal.labels.key et principal.labels.value additional.fields.key et additional.fields.value.string_value
Famille d'OS de l'appareil source (src_osfamily)	PanSrcDeviceOS			principal.asset.platform_software.platform principal.labels.key et principal.labels.value additional.fields.key et additional.fields.value.string_value
Version de l'OS de l'appareil source (src_osversion)	PanSrcDeviceOSv			principal.asset.software.version
Nom d'hôte source (src_host)	PanSrcHostname		src_host	principal.labels.key et principal.labels.value additional.fields.key et additional.fields.value.string_value
Adresse Mac source (src_mac)	PanSrcMac			principal.mac
Catégorie d'appareil de destination (dst_category)	PanDstDeviceCat		dst_category	target.labels.key et target.labels.value additional.fields.key et additional.fields.value.string_value
Profil d'appareil de destination (dst_profile)	PanDstDeviceProf		dst_profile	target.labels.key et target.labels.value additional.fields.key et additional.fields.value.string_value
Modèle de l'appareil de destination (dst_model)	PanDstDeviceModel		dst_model	target.labels.key et target.labels.value additional.fields.key et additional.fields.value.string_value
Fournisseur d'appareil de destination (dst_vendor)	PanDstDeviceVendor		dst_vendor	target.labels.key et target.labels.value additional.fields.key et additional.fields.value.string_value
Famille d'OS de l'appareil de destination (dst_osfamily)	PanDstDeviceOS			target.asset.platform_software.platform target.labels.key et target.labels.value
Version de l'OS de l'appareil de destination (dst_osversion)	PanDstDeviceOSv			target.asset.software.version
Nom d'hôte de destination (dst_host)	PanPODNamespace			target.hostname
Adresse Mac de destination (dst_mac)	PanDstMac			target.mac
ID du conteneur (container_id)	PanContainerName		container_id	about.labels.key et about.labels.value additional.fields.key et additional.fields.value.string_value
Espace de noms du POD (pod_namespace)	PanPODNamespace		pod_namespace	about.labels.key et about.labels.value additional.fields.key et additional.fields.value.string_value
Nom du pod (pod_name)	PanPODName		pod_name	about.labels.key et about.labels.value additional.fields.key et additional.fields.value.string_value
Liste dynamique externe source (src_edl)	PanSrcEDL		src_edl	principal.labels.key et principal.labels.value additional.fields.key et additional.fields.value.string_value
Liste dynamique externe de destination (dst_edl)	PanDstEDL		dst_edl	target.labels.key et target.labels.value additional.fields.key et additional.fields.value.string_value
ID d'hôte (hostid)	PanGPHostID		id_hôte	about.labels.key et about.labels.value additional.fields.key et additional.fields.value.string_value
Numéro de série	PanEPSerial			principal.asset.hardware.serial_number
domain_edl (domain_edl)	PanDomainEDL		domain_edl	about.labels.key et about.labels.value additional.fields.key et additional.fields.value.string_value
Groupe d'adresses dynamiques source (src_dag)	PanSrcDAG			principal.group.group_display_name
Groupe d'adresses dynamiques de destination (dst_dag)	PanDstDAG			target.group.group_display_name
partial_hash (partial_hash)	PanPartialHash		partial_hash	about.labels.key et about.labels.value additional.fields.key et additional.fields.value.string_value
Code temporel haute résolution (high_res_timestamp)	PanTimeHighRes			"metadata.collected_timestamp", métadonnées.event_timestamp (si la valeur "Generate Time" est absente)
Motif	PanReasonFilteringAction		reason	about.labels.key et about.labels.value additional.fields.key et additional.fields.value.string_value
justification (justification)	PanJustification		justification	about.labels.key et about.labels.value additional.fields.key et additional.fields.value.string_value
nssai_sst (nssai_sst)	PanASServiceType		nssai_sst	about.labels.key et about.labels.value additional.fields.key et additional.fields.value.string_value
Sous-catégorie de l'application (subcategory_of_app)			subcategory_of_app	about.labels.key et about.labels.value additional.fields.key et additional.fields.value.string_value
Catégorie de l'application ("category_of_app")			category_of_app	about.labels.key et about.labels.value additional.fields.key et additional.fields.value.string_value
Technologie de l'application (technology_of_app)			technology_of_app	about.labels.key et about.labels.value additional.fields.key et additional.fields.value.string_value
Risque lié à l'application (risque_de_l'application)			risk_of_app	about.labels.key et about.labels.value additional.fields.key et additional.fields.value.string_value
Caractéristique de l'application (characteristic_of_app)			characteristic_of_app	about.labels.key et about.labels.value additional.fields.key et additional.fields.value.string_value
Conteneur de l'application (container_of_app)			container_of_app	about.labels.key et about.labels.value additional.fields.key et additional.fields.value.string_value
Application en tunnel (tunneled_app)			tunneled_app	about.labels.key et about.labels.value additional.fields.key et additional.fields.value.string_value
SaaS de l'application (is_saas_of_app)			is_saas_of_app	about.labels.key et about.labels.value additional.fields.key et additional.fields.value.string_value
État de l'application sanctionné (sanctioned_state_of_app)			sanctioned_state_of_app	about.labels.key et about.labels.value additional.fields.key et additional.fields.value.string_value

Données

Le tableau suivant répertorie les champs de journal du type de journal de données et les champs UDM correspondants.

Champ CSV	Champ CEF	Champ LEEF	Clé d'étiquette Chronicle	Champ UDM
Heure de réception (cef-formatted-receive_time)	rt	devTime		"metadata.collected_timestamp", métadonnées.event_timestamp (si la valeur "Generate Time" est absente)
Numéro de série	deviceExternalId	SerialNumber		intermediary.asset.hardware.serial_number
Type	type (en-tête)	cat		metadata.product_event_type
Type de menace/contenu (sous-type)	sous-type (En-tête)	Sous-type		metadata.product_event_type
Heure de génération				metadata.event_timestamp
Adresse source (src)	src	src		principal.ip
Adresse de destination (dst)	dst	dst		target.ip
Adresse IP source NAT (natsrc)	sourceTranslatedAddress	srcPostNAT		principal.nat_ip
Adresse IP de destination NAT (natdst)	destinationTranslatedAddress	dstPostNAT		target.nat_ip
Règle (règle)	cs1	RuleName		security_result.rule_name
Utilisateur source (srcuser)	Suser	SourceUser		principal.user.userid
Utilisateur de destination (dstuser)	CANNOT TRANSLATE	DestinationUser		target.user.userid
Application	app	Application		network.application_protocol
Système virtuel (vsys)	cs3	VirtualSystem	Vsys	about.labels.key et about.labels.value additional.fields.key et additional.fields.value.string_value
Zone source (depuis)	cs4	SourceZone	depuis	principal.labels.key et principal.labels.value additional.fields.key et additional.fields.value.string_value
Zone de destination (vers)	cs5	DestinationZone	pour	target.labels.key et target.labels.value additional.fields.key et additional.fields.value.string_value
Interface entrante (inbound_if)	deviceInboundInterface	IngressInterface	inbound_if	principal.labels.key et principal.labels.value additional.fields.key et additional.fields.value.string_value
Interface sortante (outbound_if)	deviceOutboundInterface	EgressInterface	outbound_if	target.labels.key et target.labels.value additional.fields.key et additional.fields.value.string_value
Action de journal (ensemble de journaux)	cs6	LogForwardingProfile	Ensemble de journaux	about.labels.key et about.labels.value additional.fields.key et additional.fields.value.string_value
Durée d'enregistrement			time_logged	about.labels.key et about.labels.value additional.fields.key et additional.fields.value.string_value
ID de session (sessionid)	cn1	SessionID		network.session_id
Nombre de répétitions (répétition)	cnt	RepeatCount	Répéter	about.labels.key et about.labels.value additional.fields.key et additional.fields.value.string_value
Port source (sport)	spt	srcPort		principal.port
Port de destination (dport)	dpt	dstPort		target.port
Port source NAT (natsport)	sourceTranslatedPort	srcPostNATPort		principal.nat_port
Port de destination NAT (natdport)	destinationTranslatedPort	dstPostNATPort		target.nat_port
Indicateurs	flexString1	Options	flags	about.labels.key et about.labels.value additional.fields.key et additional.fields.value.string_value
Protocole IP (proto)	proto	proto		network.ip_protocol
Action (action)	act	action		security_result.action_details security_result.action
URL/Nom de fichier (divers)		Autres		target.file.full_path target.url
Nom de la menace/du contenu (menace)	cat	ThreatID		security_result.threat_id
Catégorie	cs2	URLCategory	category	about.labels.key et about.labels.value additional.fields.key et additional.fields.value.string_value
Gravité	number-of-depth (en-tête)	Niveau de gravité		security_result.severity security_result.severity_details
Sens (direction)	flexString2	Direction		network.direction
Numéro de séquence (seqno)	externalId	séquence		metadata.product_log_id
Indicateurs d'action	PanOSActionFlags	ActionFlags	indicateurs d'action	about.labels.key et about.labels.value additional.fields.key et additional.fields.value.string_value
Pays de la source (srcloc)		SourceLocation		principal.location.country_or_region
Pays de destination (dstloc)		DestinationLocation		target.location.country_or_region
contenttype (contenttype) (type de contenu)		ContentType	type de contenu	about.labels.key et about.labels.value additional.fields.key et additional.fields.value.string_value
pcap_id (pcap_id)	fileId	PCAP_ID	pcap_id	about.labels.key et about.labels.value additional.fields.key et additional.fields.value.string_value
filedigest (filedigest)		FileDigest		about.file.sha1/md5/sha256
cloud (cloud)		Cloud	cloud	about.labels.key et about.labels.value additional.fields.key et additional.fields.value.string_value
url_idx (id_url)		URLIndex	url_idx	about.labels.key et about.labels.value additional.fields.key et additional.fields.value.string_value
user_agent (user_agent)				network.http.user_agent
filetype (type de fichier)				about.file.mime_type
xff (xff)			Xff	about.labels.key et about.labels.value additional.fields.key et additional.fields.value.string_value
URL de provenance				network.http.referral_url
expéditeur (expéditeur)				network.email.from
subject (objet)		Objet		network.email.subject
destinataire (destinataire)				network.email.to
reportid (reportid)			id_rapport	about.labels.key et about.labels.value additional.fields.key et additional.fields.value.string_value
Hiérarchie DG de niveau 1 (dg_hier_level_1)	PanOSDGl1	DeviceGroupHierarchyL1	dg_hier_level_1	about.labels.key et about.labels.value additional.fields.key et additional.fields.value.string_value
Hiérarchie DG de niveau 2 (dg_hier_level_2)	PanOSDGl2	DeviceGroupHierarchyL2	dg_hier_level_2	about.labels.key et about.labels.value additional.fields.key et additional.fields.value.string_value
Hiérarchie DG de niveau 3 (dg_hier_level_3)	PanOSDGl3	DeviceGroupHierarchyL3	dg_hier_level_3	about.labels.key et about.labels.value additional.fields.key et additional.fields.value.string_value
Hiérarchie DG de niveau 4 (dg_hier_level_4)	PanOSDGl4	DeviceGroupHierarchyL4	dg_hier_level_4	about.labels.key et about.labels.value additional.fields.key et additional.fields.value.string_value
Nom du système virtuel (vsys_name)	PanOSVsysName	vSrcName		principal.resource.name principal.resource.resource_type=VIRTUAL_MACHINE
Nom de l'appareil (device_name)	dvchost	DeviceName		intermediary.hostname
file_url (file_url)				about.url
UUID de la VM source (src_uuid)		SrcUUID		principal.asset.asset_id
UUID de la VM de destination (dst_uuid)		DstUUID		target.asset.asset_id
http_method (http_method)		RequestMethod		network.http.method
ID de tunnel/IMSI (ID de tunnel)	PanOSTunnelID	TunnelID	identifiant tunnel	about.labels.key et about.labels.value additional.fields.key et additional.fields.value.string_value
Balise Monitor/IMEI (balise moniteur)	PanOSMonitorTag	MonitorTag	moniteur	about.labels.key et about.labels.value additional.fields.key et additional.fields.value.string_value
ID de session parente (parent_session_id)	PanOSParentSessionID	ParentSessionID	parent_session_id	network.parent_session_id
Heure de début de la session parente (parent_start_time)	PanOSParentStartTime	ParentStartTime	parent_start_time	about.labels.key et about.labels.value additional.fields.key et additional.fields.value.string_value
Tunnel (tunnel)	PanOSTunnelType	TunnelType	tunnel	about.labels.key et about.labels.value additional.fields.key et additional.fields.value.string_value
thr_category (thr_category)	PanOSThreatCategory	ThreatCategory	thr_category	security_result.detection_fields.key/value
contentver (contentver)	PanOSContentVer	ContentVer	Contentver	about.labels.key et about.labels.value additional.fields.key et additional.fields.value.string_value
sig_flags (sig_flags)			sig_flags	about.labels.key et about.labels.value additional.fields.key et additional.fields.value.string_value
ID d'association SCTP (assoc_id)	PanOSAssocID		assoc_id	about.labels.key et about.labels.value additional.fields.key et additional.fields.value.string_value
ID de protocole de charge utile (ppid)	PanOSPPID		ppid	about.labels.key et about.labels.value additional.fields.key et additional.fields.value.string_value
http_headers (http_headers)	PanOSHTTPHeader		http_headers	about.labels.key et about.labels.value additional.fields.key et additional.fields.value.string_value
Liste des catégories d'URL (url_category_list)			url_category_list	about.labels.key et about.labels.value additional.fields.key et additional.fields.value.string_value
UUID de la règle (rule_uuid)	PanOSRuleUUID		rule_uuid	about.labels.key et about.labels.value additional.fields.key et additional.fields.value.string_value
Connexion HTTP/2 (http2_connection)			http2_connection	about.labels.key et about.labels.value additional.fields.key et additional.fields.value.string_value
dynusergroup_name (dynusergroup_name)			dynusergroup_name	principal.labels.key et principal.labels.value additional.fields.key et additional.fields.value.string_value
Adresse XFF (xff_ip)				principal.ip
Catégorie d'appareil source (src_category)			src_category	principal.labels.key et principal.labels.value additional.fields.key et additional.fields.value.string_value
Profil de l'appareil source (src_profile)			src_profile	principal.labels.key et principal.labels.value additional.fields.key et additional.fields.value.string_value
Modèle de l'appareil source (src_model)			src_model	principal.labels.key et principal.labels.value additional.fields.key et additional.fields.value.string_value
Fournisseur de l'appareil source (src_vendor)			src_vendor	principal.labels.key et principal.labels.value additional.fields.key et additional.fields.value.string_value
Famille d'OS de l'appareil source (src_osfamily)				principal.asset.platform_software.platform principal.labels.key et principal.labels.value additional.fields.key et additional.fields.value.string_value
Version de l'OS de l'appareil source (src_osversion)				principal.asset.software.version
Nom d'hôte source (src_host)			src_host	principal.labels.key et principal.labels.value additional.fields.key et additional.fields.value.string_value
Adresse Mac source (src_mac)				principal.mac
Catégorie d'appareil de destination (dst_category)			dst_category	target.labels.key et target.labels.value additional.fields.key et additional.fields.value.string_value
Profil d'appareil de destination (dst_profile)			dst_profile	target.labels.key et target.labels.value additional.fields.key et additional.fields.value.string_value
Modèle de l'appareil de destination (dst_model)			dst_model	target.labels.key et target.labels.value additional.fields.key et additional.fields.value.string_value
Fournisseur d'appareil de destination (dst_vendor)			dst_vendor	target.labels.key et target.labels.value additional.fields.key et additional.fields.value.string_value
Famille d'OS de l'appareil de destination (dst_osfamily)				target.asset.platform_software.platform target.labels.key et target.labels.value
Version de l'OS de l'appareil de destination (dst_osversion)				target.asset.software.version
Nom d'hôte de destination (dst_host)				target.hostname
Adresse Mac de destination (dst_mac)				target.mac
ID du conteneur (container_id)			container_id	about.labels.key et about.labels.value additional.fields.key et additional.fields.value.string_value
Espace de noms du POD (pod_namespace)			pod_namespace	about.labels.key et about.labels.value additional.fields.key et additional.fields.value.string_value
Nom du pod (pod_name)			pod_name	about.labels.key et about.labels.value additional.fields.key et additional.fields.value.string_value
Liste dynamique externe source (src_edl)			src_edl	principal.labels.key et principal.labels.value additional.fields.key et additional.fields.value.string_value
Liste dynamique externe de destination (dst_edl)			dst_edl	target.labels.key et target.labels.value additional.fields.key et additional.fields.value.string_value
ID d'hôte (hostid)			id_hôte	about.labels.key et about.labels.value additional.fields.key et additional.fields.value.string_value
Numéro de série				principal.asset.hardware.serial_number
domain_edl (domain_edl)			domain_edl	about.labels.key et about.labels.value additional.fields.key et additional.fields.value.string_value
Groupe d'adresses dynamiques source (src_dag)				principal.group.group_display_name
Groupe d'adresses dynamiques de destination (dst_dag)				target.group.group_display_name
partial_hash (partial_hash)			partial_hash	about.labels.key et about.labels.value additional.fields.key et additional.fields.value.string_value
Code temporel haute résolution (high_res_timestamp)				"metadata.collected_timestamp", métadonnées.event_timestamp (si la valeur "Generate Time" est absente)
Motif			reason	about.labels.key et about.labels.value additional.fields.key et additional.fields.value.string_value
justification (justification)			justification	about.labels.key et about.labels.value additional.fields.key et additional.fields.value.string_value
nssai_sst (nssai_sst)			nssai_sst	about.labels.key et about.labels.value additional.fields.key et additional.fields.value.string_value
Sous-catégorie de l'application (subcategory_of_app)			subcategory_of_app	about.labels.key et about.labels.value additional.fields.key et additional.fields.value.string_value
Catégorie de l'application ("category_of_app")			category_of_app	about.labels.key et about.labels.value additional.fields.key et additional.fields.value.string_value
Technologie de l'application (technology_of_app)			technology_of_app	about.labels.key et about.labels.value additional.fields.key et additional.fields.value.string_value
Risque lié à l'application (risque_de_l'application)			risk_of_app	about.labels.key et about.labels.value additional.fields.key et additional.fields.value.string_value
Caractéristique de l'application (characteristic_of_app)			characteristic_of_app	about.labels.key et about.labels.value additional.fields.key et additional.fields.value.string_value
Conteneur de l'application (container_of_app)			container_of_app	about.labels.key et about.labels.value additional.fields.key et additional.fields.value.string_value
Application en tunnel (tunneled_app)			tunneled_app	about.labels.key et about.labels.value additional.fields.key et additional.fields.value.string_value
SaaS de l'application (is_saas_of_app)			is_saas_of_app	about.labels.key et about.labels.value additional.fields.key et additional.fields.value.string_value
État de l'application sanctionné (sanctioned_state_of_app)			sanctioned_state_of_app	about.labels.key et about.labels.value additional.fields.key et additional.fields.value.string_value

GlobalProtect

Le tableau suivant répertorie les champs de journal du type de journal GlobalProtect et les champs UDM correspondants.

Champ CSV	Champ CEF	Champ LEEF	Clé d'étiquette Chronicle	Champ UDM
Heure de réception (receive_time)	rt		received_time	metadata.event_timestamp
Numéro de série	PanOSDeviceSN		intermediary_asset_hardware_serial_number	intermediary.asset.hardware.serial_number
Type	type (en-tête)			metadata.product_event_type
Type de menace/contenu (sous-type)	sous-type (En-tête)	Sous-type		metadata.product_event_type
Heure de génération (time_generated)	PanOSLogTimeStamp		generated_timestamp	metadata.event_timestamp
Système virtuel (vsys)	PanOSVirtualSystem		Vsys	about.labels.key et about.labels.value additional.fields.key et additional.fields.value.string_value
ID de l'événement (eventid)	PanOSEventID		event_id	about.labels.key et about.labels.value additional.fields.key et additional.fields.value.string_value
Étape	PanOSStage		étape	about.labels.key et about.labels.value additional.fields.key et additional.fields.value.string_value
Méthode d'authentification (auth_method)	PanOSAuthMethod		extension_auth_auth_details	extensions.auth.auth_details
Type de tunnel (tunnel_type)	PanOSTunnelType		tunnel	about.labels.key et about.labels.value additional.fields.key et additional.fields.value.string_value
Utilisateur source (srcuser)	PanOSSourceUserName		src_user	principal.user.email_address principal.user.userid principal.administrative_domain
Région source (srcregion)	PanOSSourceRegion		src_region	principal.location.country_or_region
Nom de la machine (nom de la machine)	PanOSEndpointDeviceName		machine_name	principal.hostname
Adresse IP publique (public_ip)	PanOSPublicIPv4			principal.nat_ip
Adresse IPv6 publique (public_ipv6)	PanOSPublicIPv6			principal.nat_ip
Adresse IP privée (private_ip)	PanOSPrivateIPv4			principal.ip
IPv6 privé (private_ipv6)	PanOSPrivateIPv6			principal.ip
ID d'hôte (hostid)	PanOSHostID		id_hôte	principal.asset.asset_id
Numéro de série	PanOSDeviceSN			principal.asset.hardware.serial_number
Version du client (client_ver)	PanOSGlobalProtectClientVersion		client_ver	about.labels.key et about.labels.value additional.fields.key et additional.fields.value.string_value
Système d'exploitation client (client_os)	PanOSEndpointOSType			principal.asset.platform_software.platform(enum)
Version de l'OS client (client_os_ver)	PanOSEndpointOSVersion			principal.asset.platform_software.platform_version
Nombre de répétitions (répétition)	PanOSCountOfRepeats		Répéter	about.labels.key et about.labels.value additional.fields.key et additional.fields.value.string_value
Motif	PanOSQuarantineReason			security_result.summary
Erreur (erreur)	PanOSConnectionError		error	security_result.description
Description (opaque)	PanOSDescription			security_result.description
État (état)	PanOSEventStatus		état	about.labels.key et about.labels.value additional.fields.key et additional.fields.value.string_value
Emplacement	PanOSGPGatewayLocation			target.location.country_or_region
Durée de connexion (login_duration)	PanOSLoginDuration			network.session_duration
Méthode Connect (connect_method)	PanOSConnectionMethod		connect_method	about.labels.key et about.labels.value additional.fields.key et additional.fields.value.string_value
Code d'erreur (error_code)	PanOSConnectionErrorID		error_code	about.labels.key et about.labels.value additional.fields.key et additional.fields.value.string_value
Portail (portail)	PanOSPortal		portail	about.labels.key et about.labels.value additional.fields.key et additional.fields.value.string_value
Numéro de séquence (seqno)	PanOSSequenceNo			metadata.product_log_id
Indicateurs d'action	PanOSActionFlags		indicateurs d'action	about.labels.key et about.labels.value additional.fields.key et additional.fields.value.string_value
Code temporel haute résolution (high_res_timestamp)	anOSTimeGeneratedHighResolution			"metadata.collected_timestamp", métadonnées.event_timestamp (si la valeur "Generate Time" est absente)
Méthode de sélection de la passerelle (selection_type)	PanOSGatewaySelectionType		selection_type	about.labels.key et about.labels.value additional.fields.key et additional.fields.value.string_value
Temps de réponse SSL (response_time)	PanOSSSLResponseTime		response_time	about.labels.key et about.labels.value additional.fields.key et additional.fields.value.string_value
Priorité de la passerelle (priorité)	PanOSGatewayPriority		priority	about.labels.key et about.labels.value additional.fields.key et additional.fields.value.string_value
Tentatives de passerelles (attempted_gateways)	PanOSAttemptedGateways		attempted_gateways	about.labels.key et about.labels.value additional.fields.key et additional.fields.value.string_value
Nom de la passerelle (passerelle)	PanOSAttemptedGateways		passerelle	about.labels.key et about.labels.value additional.fields.key et additional.fields.value.string_value
Hiérarchie des groupes d'appareils (dg_hier_level_1)			dg_hier_level_1	about.labels.key et about.labels.value additional.fields.key et additional.fields.value.string_value
Hiérarchie des groupes d'appareils (dg_hier_level_2)			dg_hier_level_2	about.labels.key et about.labels.value additional.fields.key et additional.fields.value.string_value
Hiérarchie des groupes d'appareils (dg_hier_level_3)			dg_hier_level_3	about.labels.key et about.labels.value additional.fields.key et additional.fields.value.string_value
Hiérarchie des groupes d'appareils (dg_hier_level_4)			dg_hier_level_4	about.labels.key et about.labels.value additional.fields.key et additional.fields.value.string_value
Nom du système virtuel (vsys_name)				principal.resource.name principal.resource.resource_type=VIRTUAL_MACHINE
Nom de l'appareil (device_name)				target.hostname
ID du système virtuel (vsys_id)				principal.resource.resource_type=VIRTUAL_MACHINE et principal.resource.product_object_id

Corrélation

Le tableau suivant répertorie les champs de journal de type "corrélation" et les champs UDM correspondants.

Champ CSV	Champ LEEF	Clé d'étiquette Chronicle	Champ UDM
Heure de génération (time_generated ou cef-formatted-time_generated)	startTime	generated_timestamp	metadata.event_timestamp
Adresse source (src)	src		principal.ip
Utilisateur source (srcuser)	SourceUser / usrName		principal.user.userid
Système virtuel (vsys)	VirtualSystem	Vsys	about.labels.key et about.labels.value additional.fields.key et additional.fields.value.string_value
Catégorie			security_result.category_details
Gravité	Niveau de gravité		security_result.depth et security_result.depth_details
Hiérarchie des groupes d'appareils niveau 1	DeviceGroupHierarchyL1		about.labels.key et about.labels.value additional.fields.key et additional.fields.value.string_value
Hiérarchie des groupes d'appareils niveau 2	DeviceGroupHierarchyL2		about.labels.key et about.labels.value additional.fields.key et additional.fields.value.string_value
Hiérarchie des groupes d'appareils niveau 3	DeviceGroupHierarchyL3		about.labels.key et about.labels.value additional.fields.key et additional.fields.value.string_value
Hiérarchie des groupes d'appareils niveau 4	DeviceGroupHierarchyL4		about.labels.key et about.labels.value additional.fields.key et additional.fields.value.string_value
Nom du système virtuel (vsys_name)	vSrcName		principal.resource.name principal.resource.resource_type=VIRTUAL_MACHINE
Nom de l'appareil (device_name)	DeviceName		intermediary.hostname
ID du système virtuel (vsys_id)	VirtualSystemID		principal.resource.resource_type=VIRTUAL_MACHINE et principal.resource.product_object_id
Nom de l'objet (objectname)	ObjectName		target.resource.name
ID de l'objet (object_id)	ObjectID		target.resource.product_object_id

Documentation de référence sur le mappage de champs: types de journaux et types d'événement UDM

Le tableau suivant répertorie les types de journaux de pare-feu Palo Alto Networks et les types d'événements UDM correspondants.

Type de journal	Type d'événement UDM
Le trafic	NETWORK_CONNECTION
Menace	NETWORK_CONNECTION
Filtrage des URL	NETWORK_CONNECTION
WildFire	NETWORK_CONNECTION Les journaux d'envois WildFire sont un sous-type du type de journal Threat et utilisent le même format syslog.
Filtrage des données	NETWORK_CONNECTION
Option de routage	NETWORK_CONNECTION
Configuration	SETTING_MODIFICATION/SETTING_CREATION/SETTING_DELETION/SETTING_UNCATEGORIZED La valeur du champ "Commande (cmd)" détermine le mappage des types d'événements UDM. Si la valeur du champ cmd est "add" ou "clone", le paramètre SETTING_CREATION est défini. Si la valeur du champ cmd est "delete", le paramètre SETTING_DELETION est défini. Si la valeur du champ cmd est "edit", "déplacer", "renommer", "définir" ou "valider", le paramètre SETTING_MODIFICATION est défini. Si la valeur du champ cmd ne contient aucune valeur, SETTING_UNCATEGORIZED est défini.
Système	Si la valeur de sous-type est "dhcp", alors NETWORK_DHCP est défini. Si la valeur de sous-type est "auth", alors USER_CONNECT est défini. Pour les autres valeurs du sous-type, GENERIC_EVENT est défini.
HIP Match	NETWORK_CONNECTION
Tag IP	GENERIC_EVENT
User-ID	USER_LOGIN/USER_LOGOUT/USER_UNCATEGORIZED Si la valeur du sous-type est "login", alors USER_CONNECT est défini. Si la valeur de sous-type est "logout", USER_LOGOUT est défini. Si le sous-type ne contient aucune valeur, USER_UNCATEGORIZED est défini.
Déchiffrement	NETWORK_CONNECTION
Ratio d'économie d'énergie (EER)	GENERIC_EVENT

Étapes suivantes

Ingestion de données dans Chronicle

Format des journaux	Version PAN-OS
CSV	10.1.3
CEF	10.0.0
LEEF	9.1.0