Restez organisé à l'aide des collections Enregistrez et classez les contenus selon vos préférences.

Collecter les journaux de pare-feu Palo Alto Networks

Présentation

Ce document explique comment configurer syslog et un redirecteur Chronicle afin de collecter les journaux de pare-feu Palo Alto Networks. Ce document explique également comment les champs de journaux de pare-feu de Palo Alto Networks correspondent aux champs Chronicle Unified Data Model (UDM).

Pour en savoir plus sur l'ingestion de données Chronicle, consultez Ingestion de données vers Chronicle.

Une étiquette d'ingestion identifie l'analyseur qui normalise les données de journaux brutes au format UDM structuré. Les informations contenues dans ce document s'appliquent à l'analyseur associé au libellé d'ingestion PAN_FIREWALL.

Avant de commencer

  • Pour comprendre les composants déployés pour collecter les journaux de pare-feu Palo Alto Networks, examinez l'architecture de déploiement. Chaque déploiement client peut être différent de cette représentation et peut être plus complexe.

    Le schéma suivant montre comment configurer syslog sur un pare-feu Palo Alto Networks et installer un redirecteur Chronicle sur un serveur Linux pour transférer des données de journalisation vers Chronicle. L'analyseur prend en charge les journaux écrits dans les formats de données suivants: valeurs séparées par une virgule (CSV), format d'événement commun (CEF) et format d'événement étendu d'événement de journal (LEEF).

    Architecture de déploiement

  • Vérifiez les formats de journaux et les versions de PAN-OS compatibles avec l'analyseur Chronicle. Le tableau suivant répertorie les formats de journaux et les versions PAN-OS correspondantes compatibles avec l'analyseur Chronicle:

    Format de journal Version PAN-OS
    CSV 10.1.3
    EFC 10.0.0
    EFFET 9.1.0.

  • Vérifiez les types de journaux de pare-feu Palo Alto Networks compatibles avec l'analyseur Chronicle. L'analyseur Chronicle est compatible avec les types de journaux de pare-feu Palo Alto Networks suivants:

    • Trafic
    • Menace
    • Envois WildFire
    • Inspection du tunnel
    • Configuration
    • Système
    • Correspondance HIP
    • Balise IP
    • User-ID
    • Déchiffrement
    • Authentification
    • Filtrage des URL
    • Filtrage des données
    • GlobalProtect
    • Corrélation

    Pour en savoir plus sur les types de journaux de pare-feu Palo Alto Networks, consultez Types de journaux PAN-OS.

  • Assurez-vous que tous les systèmes de l'architecture de déploiement sont configurés dans le fuseau horaire UTC.

  • Avant d'utiliser l'analyseur Gold du pare-feu Palo Alto Networks, passez en revue les modifications apportées aux mappages de champs entre l'analyseur par défaut et l'analyseur Gold répertoriés dans ce document. Dans le cadre de la migration, assurez-vous que les règles, les recherches, les tableaux de bord ou d'autres processus qui dépendent des champs d'origine utilisent les champs mis à jour.

    Par exemple, dans l'analyseur par défaut, le champ de journal "category" est mappé au champ "security_result.description" UDM. Dans l'analyseur Gold du pare-feu PAN, le champ de journal "category" est mappé au champ "security_result.category_details& UDM". Si vous migrez vers l'analyseur PAN du pare-feu et utilisez l'option &category "category" dans vos règles, vous devez modifier les règles afin qu'elles utilisent le champ "security_result.category_details" UDM de l'analyseur Gold.

Configurer syslog et le redirecteur Chronicle

Pour configurer syslog et le redirecteur Chronicle, procédez comme suit:

  1. Pour surveiller les journaux CSV, configurez le profil du serveur syslog. Pour en savoir plus, consultez Configurer le profil de serveur syslog.

    Lorsque vous configurez le profil de serveur syslog, spécifiez "Par défaut" comme format de journal personnalisé.

  2. Pour surveiller les journaux CEF, configurez le pare-feu Palo Alto Networks de façon à transférer les journaux CEF. Pour en savoir plus, téléchargez le guide d'intégration PAN-OS du framework CEF et consultez la section "Configuration de NGFW Palo Alto Networks pour générer des événements CEF".

  3. Pour surveiller les journaux LEEF, configurez le profil du serveur syslog. Pour en savoir plus, consultez la section Transfert de journaux personnalisé au format LEEF.

  4. Configurez le redirecteur Chronicle pour envoyer des journaux à Chronicle. Pour en savoir plus, consultez Installer et configurer le redirecteur sous Linux. Voici un exemple de configuration de redirecteur Chronicle:

      - syslog:
          common:
            enabled: true
            data_type: PAN_FIREWALL
            batch_n_seconds: 10
            batch_n_bytes: 1048576
          tcp_address: 0.0.0.0:10518
          connection_timeout_sec: 60
    

Documentation de référence sur le mappage de champs: champs de journaux de pare-feu PAN et champs UDM

Cette section explique comment l'analyseur mappe les champs de journal de pare-feu Palo Alto Networks sur les champs d'événement Chronicle UDM pour chaque type de journal.

La clé du libellé Chronicle fait référence au nom de la clé mappée dans le champ UDM Labels.key. Par exemple, dans le cas du champ "Système virtuel", le nom du champ est "cs3" au format CEC et le nom "VirtualSystem" au format LEEF. Le champ UDM "about.labels.key" contient la valeur "vsys" et le champ UDM "about.labels.value" contient la valeur de ce champ.

Certains noms de champs CEF ou LEEF n'ont pas de nom correspondant aux noms des champs CSV. Dans ce cas, si vous ajoutez votre propre nom de variable au format de journal personnalisé dans le profil syslog, l'analyseur ne le mappe pas au champ UDM.

Pour plus d'informations sur le mappage de chaque type de journal, reportez-vous aux sections suivantes:

Système

Le tableau suivant répertorie les champs de journal du type de journal système et les champs UDM correspondants.

Champ CSV Champ CEF Champ LEEF Clé d'étiquette Chronicle Champ UDM
Heure de réception (receve_time ou cef-formatted-Receive_time) RT heure du développement metadata.collected_timestamp,

metadata.event_timestamp (si "Generate Time" est absent)

Numéro de série (numéro de série) id_appareilexterne Numéro de série intermediary.asset.hardware.Serial_number
Type (type) type (Header) cat metadata.product_event_type est défini sur "%{type} - %subtype}".
Menace/Type de contenu (sous-type) sous-type (Header) Sous-type metadata.product_event_type est défini sur "%{type} - %subtype}".
Heure générée (time_generated ou cef-formatted-time_generated) metadata.event_timestamp,
Système virtuel (vsys) CS3 Système virtuel Vsys about.labels.key/valeur
ID de l'événement (eventid) cat ID de l'événement about.labels.key/valeur
Objet (objet) fname Nom de fichier objet about.labels.key/valeur
Module (module) Flexibilité 2 Module module about.labels.key/valeur
Gravité (gravité) $number-of-severity(en-tête) Gravité security_result.severity et security_result.severity_details
Description (opaque) Message Message métadonnées.description
Numéro de séquence (seqno) externalId séquence metadata.product_log_id
Indicateurs d'action (actionflags) Indicateurs PanOSAction Indicateurs d'action indicateurs d'action about.labels.key/valeur
Hiérarchie des groupes d'appareils (dg_hier_level_1 à dg_hier_level_4) PanOSDGl1 Hiérarchie du groupe d'appareilsL1 g_hier_level_1 about.labels.key/valeur
Hiérarchie des groupes d'appareils (dg_hier_level_2) PanOSDGl2 Hiérarchie du groupe d'appareilsL2 g_hier_level_2 about.labels.key/valeur
Hiérarchie des groupes d'appareils (dg_hier_level_3) PanOSDGl3 Hiérarchie du groupe d'appareilsL3 g_hier_level_3 about.labels.key/valeur
Hiérarchie des groupes d'appareils (dg_hier_level_4) PanOSDGl4 Hiérarchie du groupe d'appareilsL4 g_hier_level_4 about.labels.key/valeur
Nom du système virtuel (vsys_name) Nom du système PanOSVsys Nom du serveur principal.resource.name

principal.resource.resource_type=VIRTUAL_MACHINE

Nom de l'appareil (device_name) dvchost DeviceName intermediary.hostname
Horodatage haute résolution (high_res_timestamp) anOSTimeGeneratedHighResolution metadata.collected_timestamp,

metadata.event_timestamp (si "Generate Time" est absent)

Configuration

Le tableau suivant répertorie les champs de journal du type de journal de configuration et les champs UDM correspondants.

Champ CSV Champ CEF Champ LEEF Clé d'étiquette Chronicle Champ UDM
Heure de réception (receve_time ou cef-formatted-Receive_time) RT heure du développement metadata.collected_timestamp,

metadata.event_timestamp (si "Generate Time" est absent)

Numéro de série (numéro de série) id_appareilexterne Numéro de série intermediary.asset.hardware.Serial_number
Type (type) type (Header) cat métadonnées.product_event_type
Menace/Type de contenu (sous-type) sous-type (Header) métadonnées.product_event_type
Heure générée (time_generated ou cef-formatted-time_generated) metadata.event_timestamp,
Hôte (organisateur) fantôme src principal.ip/nomdhôte
Système virtuel (vsys) CS3 Système virtuel Vsys about.labels.key/valeur
Commande (cmd) agir Message cmd about.labels.key/valeur
Administrateur (admin) utilisateur Nom de l'utilisateur compte.user.userid
Client (client) Nom du service de destination client application.principale
Résultat (résultat) ID de signature (en-tête)(motif) Résultat security_result.summary
Chemin d'accès à la configuration (chemin d'accès) Message Chemin d'accès à la configuration principal.process.command_line
Détail avant la modification (before_change_detail) CS1 DétailAvantChange détail_modification target.resource.attribute.labels.key/value
Détails de la modification effectuée (after_change_detail) CS2 AfterChangeDetails détails_après_modification target.resource.attribute.labels.key/value
Numéro de séquence (seqno) externalId séquence metadata.product_log_id
Indicateurs d'action (actionflags) Indicateurs PanOSAction Indicateurs d'action indicateurs d'action about.labels.key/valeur
Hiérarchie des groupes d'appareils (dg_hier_level_1 à dg_hier_level_4) PanOSDGl1 Hiérarchie du groupe d'appareilsL1 g_hier_level_1 about.labels.key/valeur
Hiérarchie des groupes d'appareils (dg_hier_level_2) PanOSDGl2 Hiérarchie du groupe d'appareilsL2 g_hier_level_2 about.labels.key/valeur
Hiérarchie des groupes d'appareils (dg_hier_level_3) PanOSDGl3 Hiérarchie du groupe d'appareilsL3 g_hier_level_3 about.labels.key/valeur
Hiérarchie des groupes d'appareils (dg_hier_level_4) PanOSDGl4 Hiérarchie du groupe d'appareilsL4 g_hier_level_4 about.labels.key/valeur
Nom du système virtuel (vsys_name) Nom du système PanOSVsys Nom du serveur principal.resource.name

principal.resource.resource_type=VIRTUAL_MACHINE

Nom de l'appareil (device_name) dvchost DeviceName intermediary.hostname
Groupe d'appareils (dg_id) Groupe d'appareils PanOSFW idg_g principal.asset.attribute.labels.key/value
Commentaire d'audit (commentaire) Commentaire d'audit PanOSPolicy comment about.labels.key/valeur

Menace/Feu sauvage

Le tableau suivant répertorie les champs de journal du type de journal Threat/WildFire et les champs UDM correspondants.

Champ CSV Champ CEF Champ LEEF Clé d'étiquette Chronicle Champ UDM
Heure de réception (receve_time ou cef-formatted-Receive_time) RT heure du développement metadata.collected_timestamp,

metadata.event_timestamp (si "Generate Time" est absent)

Numéro de série (numéro de série) id_appareilexterne Numéro de série intermediary.asset.hardware.Serial_number
Type (type) type (Header) cat métadonnées.product_event_type
Menace/Type de contenu (sous-type) cat/subtype (Header) Sous-type métadonnées.product_event_type
Heure de génération (time_generated ou cef-formatted-time_generated) metadata.event_timestamp,
Adresse source (src) src src principal.ip
Adresse de destination (dst) dst dst target.ip
Adresse IP source NAT (natsrc) Adresse traduite srcPostNAT adresse.principal
Adresse IP de destination NAT (natdst) Adresse traduite dstPostNAT ip_cible
Nom de la règle (règle) CS1 Nom de la règle security_result.rule_name (nom de la règle de sécurité)
Utilisateur source (srcuser) utilisateur Utilisateur de la source / Nom de l'utilisateur compte.user.userid
Utilisateur de destination (dstuser) utilisateur Utilisateur cible target.user.userid
Application (application) app Application application.cible
Système virtuel (vsys) CS3 Système virtuel Vsys about.labels.key/valeur
Zone source (from) cs4 Zone source de principal.labels.key/value
Zone de destination (vers) CS5 Zone de destination à target.labels.key/value
Interface entrante (entrant_if) appareilEntrantInterface Interface Ingress entrant_if principal.labels.key/value
Interface sortante (outbound_if) appareilSortInterface Interface de sortie sortant target.labels.key/value
Action du journal (logset) CS6 Profil de transfert de journaux ensemble de journaux about.labels.key/valeur
ID de session (SAML) ID de session id_session.network
Nombre de répétitions (répétition) cnt Nombre de répétitions répéter about.labels.key/valeur
Port source (sport) SMS srcPort principal.port
Port de destination (port) dpt dstPort target.port
Port source NAT (natsport) sourceTraductionPort srcPostNATPort port.principal
Port de destination NAT (natdport) destination traduitPort dstPostNATPort port.nat_cible
Indicateurs (indicateurs) Flexibilité1 Options flags about.labels.key/valeur
Protocole IP (proto) proto proto network.ip_protocole
Action (action) agir action security_result.action_details (informations sur la sécurité

sécurité_résultat.action

URL/Nom de fichier (misc) requête Autres target.file.full_path

target.url

Menace/Nom du contenu (menace) cat ID de la menace security_result.threat_name (nom de la sécurité
Catégorie (category) CS2 Catégorie d'URL security_result.category_details [informations_concernant_la_sécurité]
Gravité (gravité) number-of-severity(en-tête) Gravité security_result.severity et security_result.severity_details
Direction (direction) Flexibilité 2 Direction réseau.direction
Numéro de séquence (seqno) externalId séquence metadata.product_log_id
Indicateurs d'action (actionflags) Indicateurs PanOSAction Indicateurs d'action indicateurs d'action about.labels.key/valeur
Pays source (srcloc) Emplacement source lieu principal.pays_ou_région
Pays de destination (dstloc) DestinationLocation (Emplacement de destination) target.location.country_or_region
Type de contenu (contenttype) ContentType typede contenu about.labels.key/valeur
ID PCAP (pcap_id) ID du fichier PCAP_ID [ID_PCAP] ID_cap about.labels.key/valeur
Condensé (fichier) hachage de fichier Fichier Digest about.file.sha1/md5/sha256
Cloud (cloud) chemin d'accès du fichier Google Cloud cloud about.labels.key/valeur
Index d'URL (url_idx) IndexURL URL_IDX about.labels.key/valeur
User-agent (user_agent) network.http.user_agent (agent utilisateur)
Type de fichier (type de fichier) fileType (Type de fichier) Type de fichier about.file.mime_type
X-Forwarded-For (XFF) principal.ip
URL de provenance (URL de provenance) network.http.referral_url,
Expéditeur (expéditeur) Suid Expéditeur Adresse e-mail du réseau
Objet Message Subject E-mail.réseau.
Destinataire (destinataire) Identifiant Destinataire network.email.to
ID du rapport (reportid) ancienIDdefichier ID du rapport ID du rapport about.labels.key/valeur
Hiérarchie des groupes d'appareils (dg_hier_level_1 à dg_hier_level_4) PanOSDGl1 Hiérarchie du groupe d'appareilsL1 g_hier_level_1 about.labels.key/valeur
Hiérarchie des groupes d'appareils (dg_hier_level_2) PanOSDGl2 Hiérarchie du groupe d'appareilsL2 g_hier_level_2 about.labels.key/valeur
Hiérarchie des groupes d'appareils (dg_hier_level_3) PanOSDGl3 Hiérarchie du groupe d'appareilsL3 g_hier_level_3 about.labels.key/valeur
Hiérarchie des groupes d'appareils (dg_hier_level_4) PanOSDGl4 Hiérarchie du groupe d'appareilsL4 g_hier_level_4 about.labels.key/valeur
Nom du système virtuel (vsys_name) Nom du système PanOSVsys Nom du serveur principal.resource.name

principal.resource.resource_type=VIRTUAL_MACHINE

Nom de l'appareil (device_name) dvchost DeviceName intermediary.hostname
UUID de la VM source (src_uuid) UUID de requête PanOSSrcUUID UUID Src principal.utilisateur.identifiant_produit_produit
UUID de la VM de destination (dst_uuid) PanOSDstUUID UUID dst target.user.product_object_id
Méthode HTTP (http_method) Méthode Méthode réseau.http.method
ID du tunnel/IMSI (tunnel_id/imsi) ID de tunnel PanOS ID du tunnel tunnel_id/imsi about.labels.key/valeur
Balise de suivi/Code IMEI (monitortag/imei) Balise PanOSMonitor Surveillance des balises surveiller/tag about.labels.key/valeur
ID de la session parente (parent_session_id) ID de la session PanOSParent ID de session parent id_session_parent about.labels.key/valeur
Heure de début de la session parente (parent_start_time) Heure de début parent du système d'exploitation Heure de début du parent heure_début_parent about.labels.key/valeur
Type de tunnel (tunnel) Type de tunnel PanOS Type de tunnel tunnel about.labels.key/valeur
Catégorie de menaces (thr_category) Catégorie de menaces PanOS Catégorie de menace thr_category security_result.detection_fields.key/valeur
Version du contenu (contentver) PanOSContentVer Contenu Contentver about.labels.key/valeur
ID de l'association SCTP (assoc_id) ID du système d'exploitation panoramique assoc_id [identifiant_association] about.labels.key/valeur
ID du protocole de charge utile (ppid) PPID PanOS ppid about.labels.key/valeur
En-têtes HTTP (http_headers) En-tête HTTP PanOS En-têtes http about.labels.key/valeur
Liste de catégories d'URL (url_category_list) ListedecatsURL url_category_list about.labels.key/valeur
UUID de la règle (rule_uuid) UUID de règle de système d'exploitation security_result.rule_id (ID de la règle de sécurité)
Connexion HTTP/2 (http2_connection) PanOSHTTP2Con Connexion http2 about.labels.key/valeur
Nom du groupe d'utilisateurs dynamiques (dynusergroup_name) PanDynamicUsrgrp nom_groupe_utilisateurs principal.labels.key/value
Adresse XFF (xff_ip) Panx FFIP principal.ip
Catégorie d'appareil source (src_category) CatSrcDeviceCat src_catégorie principal.labels.key/value
Profil de l'appareil source (src_profile) PanSrcDeviceProf src_profil principal.labels.key/value
Modèle de l'appareil source (src_model) Modèle de l'appareil PanSrc src_modèle principal.labels.key/value
Fournisseur de l'appareil source (src_vendor) Fournisseur d'appareils PanSrc src_fournisseur principal.labels.key/value
Famille d'OS des appareils sources (src_osfamily) PanSrcDeviceOS src_osfamille principal.asset.platform_software.platform

principal.labels.key/value

Version de l'OS de l'appareil source (src_osversion) PanSrcDeviceOSv principal.asset.software.version
Nom d'hôte source (src_host) Nom d'hôte PanSrc compte principal
Adresse MAC source (src_mac) PanSrcMac principal.mac
Catégorie d'appareil de destination (dst_category) CatDstDeviceCat Catégorie_DST target.labels.key/value
Profil de l'appareil de destination (dst_profile) PanDstDeviceProf Profil_Dst target.labels.key/value
Modèle de l'appareil de destination (dst_model) Modèle PanDstDevice st_model target.labels.key/value
Fournisseur des appareils de destination (dst_vendor) Fournisseur d'appareils PanDst dst_vendor target.labels.key/value
Famille d'OS de l'appareil de destination (dst_osfamily) PanDstDeviceOS st_osfamily target.labels.key/value
Version de l'OS de l'appareil de destination (dst_osversion) PanDstDeviceOSv target.asset.software.version
Nom d'hôte de destination (dst_host) Nom d'hôte PanDst target.hostname
Adresse MAC de destination (dst_mac) PanDstMac target.mac
ID du conteneur (container_id) Nom du conteneur id_conteneur about.labels.key/valeur
Espace de noms du POD (pod_namespace) Espace de noms PanPOD pod_namespace about.labels.key/valeur
Nom du POD (pod_name) Nom du PanPOD pod_name about.labels.key/valeur
Liste dynamique externe source (src_edl) PanSrcEDL src_éd about.labels.key/valeur
Liste dynamique externe de destination (dst_edl) PanDstedL dst_edl about.labels.key/valeur
ID d'hôte (hostid) ID du GPGPHost id_hôte about.labels.key/valeur
Numéro de série de l'appareil de l'utilisateur (numéro de série) PanEPSerial principal.asset.hardware.numéro_de_série
EDL de domaine (domain_edl) PanDomaineEDL domaine_éd. about.labels.key/valeur
Groupe d'adresses dynamiques source (src_dag) PanSrcDAG principal.group.group_display_name [nom_du_groupe_principal]
Groupe d'adresses dynamiques de destination (dst_dag) PanDstDAG. target.group.group_display_name (nom à afficher du groupe)
Hachage partiel (partial_hash) Hachage partiel hachage partiel about.labels.key/valeur
Horodatage haute résolution (horodatage haute résolution) Haute résolution Horodatage haute résolution metadata.collected_timestamp,

metadata.event_timestamp (si "Generate Time" est absent)

Motif Action PanReasonFiltering reason about.labels.key/valeur
Justification Justification justification about.labels.key/valeur
Type de service Slice (nssai_sst) Type de service PanAS nssai_sst about.labels.key/valeur
Sous-catégorie de l'application (subcategory_of_app) sous-catégorie about.labels.key/valeur
Catégorie d'application (category_of_app) catégorie_d'application about.labels.key/valeur
Technologie de l'application (technology_of_app) technologie_de_l'application about.labels.key/valeur
Risque pour l'application (risk_of_app) risque_de_l'application about.labels.key/valeur
Caractéristique de l'application (characteristic_of_app) caractéristique_de_l'application about.labels.key/valeur
Conteneur d'application (container_of_app) conteneur_d'application about.labels.key/valeur
Application SaaS (is_saas_of_app) application_saas_of_app about.labels.key/valeur
État approuvé de l'application (sanctioned_state_of_app) état_santé_de_l'application about.labels.key/valeur

Trafic

Le tableau suivant répertorie les champs de journal du type de journal de trafic et les champs UDM correspondants.

Champ CSV Champ CEF Champ LEEF Clé d'étiquette Chronicle Champ UDM
Heure de réception (receve_time ou cef-formatted-Receive_time) RT heure du développement metadata.collected_timestamp,

metadata.event_timestamp (si "Generate Time" est absent)

Numéro de série (numéro de série) id_appareilexterne Numéro de série intermediary.asset.hardware.Serial_number
Type (type) type (Header) chat/Type métadonnées.product_event_type
Menace/Type de contenu (sous-type) sous-type (Header) Sous-type métadonnées.product_event_type
Heure générée (time_generated ou cef-formatted-time_generated) Départ metadata.event_timestamp,
Adresse source (src) src src principal.ip
Adresse de destination (dst) dst dst target.ip
Adresse IP source NAT (natsrc) Adresse traduite srcPostNAT adresse.principal
Adresse IP de destination NAT (natdst) Adresse traduite dstPostNAT ip_cible
Nom de la règle (règle) CS1 Nom de la règle security_result.rule_name (nom de la règle de sécurité)
Utilisateur source (srcuser) utilisateur Utilisateur source compte.user.userid
Utilisateur de destination (dstuser) utilisateur Utilisateur cible target.user.userid
Application (application) app Application application.cible
Système virtuel (vsys) CS3 Système virtuel Vsys about.labels.key/valeur
Zone source (from) cs4 Zone source de principal.labels.key/value
Zone de destination (vers) CS5 Zone de destination à target.labels.key/value
Interface entrante (entrant_if) appareilEntrantInterface Interface Ingress entrant_if principal.labels.key/value
Interface sortante (outbound_if) appareilSortInterface Interface de sortie sortant target.labels.key/value
Action du journal (logset) CS6 Profil de transfert de journaux ensemble de journaux about.labels.key/valeur
ID de session (SAML) ID de session id_session.network
Nombre de répétitions (répétition) cnt Nombre de répétitions répéter about.labels.key/valeur
Port source (sport) SMS srcPort principal.port
Port de destination (port) dpt dstPort target.port
Port source NAT (natsport) sourceTraductionPort srcPostNATPort port.principal
Port de destination NAT (natdport) destination traduitPort dstPostNATPort port.nat_cible
Indicateurs (indicateurs) Flexibilité1 Options flags about.labels.key/valeur
Protocole IP (proto) proto proto network.ip_protocole
Action (action) agir action security_result.action_details (informations sur la sécurité

sécurité_résultat.action

Octets (octets) Flex flexible1 nombre total d'octets bytes about.labels.key/valeur
Octets envoyés (bytes_sent) in Octets network.Receivedd_bytes
Octets reçus (bytes_Receivedd) out dstBytes network.sent_bytes
Paquets (paquets) nombre total de paquets paquets about.labels.key/valeur
Heure de début (début) Heure de début Départ about.labels.key/valeur
Temps écoulé Temps écoulé écoulé about.labels.key/valeur
Catégorie (category) CS2 Catégorie d'URL security_result.category / security_result.category_details.
Numéro de séquence (seqno) externalId séquence metadata.product_log_id
Indicateurs d'action (actionflags) Indicateurs PanOSAction Indicateurs d'action indicateurs d'action about.labels.key/valeur
Pays source (srcloc) Emplacement source lieu principal.pays_ou_région
Pays de destination (dstloc) DestinationLocation (Emplacement de destination) target.location.country_or_region
Paquets envoyés (pkts_sent) PaquetsPOSOSEnvoyés srcPackets pkts_sent about.labels.key/valeur
Paquets reçus (pkts_Receivedd) PanOSPackets reçus Packs Reçues about.labels.key/valeur
Motif de fin de session (session_end_reason) reason Motif de fin de session security_result.summary
Hiérarchie du groupe d'appareils 1 (dg_hier_level_1 à dg_hier_level_4) PanOSDGl1 Hiérarchie du groupe d'appareilsL1 g_hier_level_1 about.labels.key/valeur
Hiérarchie des groupes d'appareils 2 (dg_hier_level_2) PanOSDGl2 Hiérarchie du groupe d'appareilsL2 g_hier_level_2 about.labels.key/valeur
Hiérarchie des groupes d'appareils 3 (dg_hier_level_3) PanOSDGl3 Hiérarchie du groupe d'appareilsL3 g_hier_level_3 about.labels.key/valeur
Hiérarchie des groupes d'appareils (dg_hier_level_4) PanOSDGl4 Hiérarchie du groupe d'appareilsL4 g_hier_level_4 about.labels.key/valeur
Nom du système virtuel (vsys_name) Nom du système PanOSVsys Nom du serveur principal.resource.name

principal.resource.resource_type=VIRTUAL_MACHINE

Nom de l'appareil (device_name) dvchost DeviceName intermediary.hostname
Source d'action (action_source) cat Source d'action action_source [source_action] about.labels.key/valeur
UUID de la VM source (src_uuid) UUID de requête PanOSSrcUUID UUID Src compte.asset.product_object_id
UUID de la VM de destination (dst_uuid) PanOSDstUUID UUID dst target.asset.product_object_id
ID du tunnel/IMSI (tunnelid/imsi) ID de tunnel PanOS ID du tunnel tunnelidique/imsi about.labels.key/valeur
Balise de suivi/Code IMEI (monitortag/imei) Balise PanOSMonitor Surveillance des balises surveiller/tag about.labels.key/valeur
ID de la session parente (parent_session_id) ID de la session PanOSParent ID de session parent id_session_parent about.labels.key/valeur
Heure de début du parent (parent_start_time) Heure de début parent du système d'exploitation Heure de début du parent heure_début_parent about.labels.key/valeur
Type de tunnel (tunnel) Type de tunnel PanOS Type de tunnel tunnel about.labels.key/valeur
ID de l'association SCTP (assoc_id) ID de compte PanOSSCTPAssococ assoc_id [identifiant_association] about.labels.key/valeur
Tranches SCTP PanOSSCTPChunks morceaux about.labels.key/valeur
Segments SCTP envoyés (chunks_sent) PanOSSCTPChunkSent fragments_sent about.labels.key/valeur
Segments SCTP reçus (chunks_Receivedd) PanOSSCTPChunksRcv morceaux_reçus about.labels.key/valeur
UUID de la règle (rule_uuid) UUID de règle de système d'exploitation security_result.rule_id (ID de la règle de sécurité)
Connexion HTTP/2 (http2_connection) PanOSHTTP2Con Connexion http2 about.labels.key/valeur
Nombre de rabats d'application (link_change_count) Modification PanLink link_change_count [lien_modification_lien] about.labels.key/valeur
ID de la règle (policy_id) ID de la stratégie id_politique about.labels.key/valeur
Commutateurs de lien (link_switchs) Détails du lien panoramique Commutateurs_lien about.labels.key/valeur
Cluster SD-WAN (sdwan_cluster) Cluster PanSDWAN cluster_sdwan about.labels.key/valeur
Type d'appareil SD-WAN (sdwan_device_type) Appareil PanSDWAN sdwan_device_type (type d'appareil sdwan) about.labels.key/valeur
Type de cluster SD-WAN (sdwan_cluster_type) Type PanSDWANClustype sdwan_cluster_type (type de cluster sdwan) about.labels.key/valeur
Site SD-WAN (sdwan_site) Site PanSDWAN site_sdwan about.labels.key/valeur
Nom du groupe d'utilisateurs dynamiques (dynusergroup_name) PanDynamicUsrgrp nom_groupe_utilisateurs about.labels.key/valeur
Adresse XFF (xff_ip) Panx FFIP principal.ip
Catégorie d'appareil source (src_category) CatSrcDeviceCat src_catégorie principal.labels.key/value
Profil de l'appareil source (src_profile) PanSrcDeviceProf src_profil principal.labels.key/value
Modèle de l'appareil source (src_model) Modèle de l'appareil PanSrc src_modèle principal.labels.key/value
Fournisseur de l'appareil source (src_vendor) Fournisseur d'appareils PanSrc src_fournisseur principal.labels.key/value
Famille d'OS des appareils sources (src_osfamily) PanSrcDeviceOS principal.asset.platform_software.platform

principal.labels.key/value

Version de l'OS de l'appareil source (src_osversion) PanSrcDeviceOSv principal.asset.software.version
Nom d'hôte source (src_host) Nom d'hôte PanSrc compte principal
Adresse MAC source (src_mac) PanSrcMac principal.mac
Catégorie d'appareil de destination (dst_category) CatDstDeviceCat Catégorie_DST target.labels.key/value
Profil de l'appareil de destination (dst_profile) PanDstDeviceProf Profil_Dst target.labels.key/value
Modèle de l'appareil de destination (dst_model) Modèle PanDstDevice st_model target.labels.key/value
Fournisseur des appareils de destination (dst_vendor) Fournisseur d'appareils PanDst dst_vendor target.labels.key/value
Famille d'OS de l'appareil de destination (dst_osfamily) PanDstDeviceOS st_osfamily target.labels.key/value
Version de l'OS de l'appareil de destination (dst_osversion) PanDstDeviceOSv target.asset.software.version
Nom d'hôte de destination (dst_host) Nom d'hôte PanDst target.hostname
Adresse MAC de destination (dst_mac) PanDstMac target.mac
ID du conteneur (container_id) Nom du conteneur id_conteneur about.labels.key/valeur
Espace de noms du POD (pod_namespace) Espace de noms PanPOD pod_namespace about.labels.key/valeur
Nom du POD (pod_name) Nom du PanPOD pod_name about.labels.key/valeur
Liste dynamique externe source (src_edl) PanSrcEDL src_éd principal.labels.key/value
Liste dynamique externe de destination (dst_edl) PanDstedL dst_edl target.labels.key/value
ID d'hôte (hostid) ID du GPGPHost id_hôte about.labels.key/valeur
Numéro de série de l'appareil de l'utilisateur (numéro de série) PanEPSerial principal.asset.hardware.numéro_de_série
Groupe d'adresses dynamiques source (src_dag) PanSrcDAG principal.group.group_display_name [nom_du_groupe_principal]
Groupe d'adresses dynamiques de destination (dst_dag) PanDstDAG. target.group.group_display_name (nom à afficher du groupe)
Propriétaire de session (session_owner) Propriétaire de session HAHA propriétaire_session about.labels.key/valeur
Horodatage haute résolution (high_res_timestamp) Haute résolution metadata.collected_timestamp,

metadata.event_timestamp (si "Generate Time" est absent)

Type de service Slice (nsdsai_sst) Type de service PanAS nsdsai about.labels.key/valeur
Différenciateur de secteurs (nsdsai_sd) Diff. PanASServiceDiff nsdsai about.labels.key/valeur
Sous-catégorie de l'application (subcategory_of_app) sous-catégorie about.labels.key/valeur
Catégorie d'application (category_of_app) catégorie_d'application about.labels.key/valeur
Technologie de l'application (technology_of_app) technologie_de_l'application about.labels.key/valeur
Risque pour l'application (risk_of_app) security_result.severity
Caractéristique de l'application (characteristic_of_app) caractéristique_de_l'application about.labels.key/valeur
Conteneur d'application (container_of_app) conteneur_d'application about.labels.key/valeur
Application SaaS (is_saas_of_app) application_saas_of_app about.labels.key/valeur
État approuvé de l'application (sanctioned_state_of_app) état_santé_de_l'application about.labels.key/valeur
Sous-catégorie de l'application (subcategory_of_app) sous-catégorie_de_l'application1 about.labels.key/valeur

User-ID

Le tableau suivant répertorie les champs de journal du type de journal User-ID et les champs UDM correspondants.

Champ CSV Champ CEF Champ LEEF Clé d'étiquette Chronicle Champ UDM
Heure de réception (receve_time ou cef-formatted-Receive_time) RT heure du développement metadata.collected_timestamp,

metadata.event_timestamp (si "Generate Time" est absent)

Numéro de série (numéro de série) id_appareilexterne Numéro de série intermediary.asset.hardware.Serial_number
Type (type) type (Header) cat métadonnées.product_event_type
Menace/Type de contenu (sous-type) sous-type (Header) Sous-type métadonnées.product_event_type
Heure générée (time_generated ou cef-formatted-time_generated) metadata.event_timestamp,
Système virtuel (vsys) CS3 Système virtuel Vsys about.labels.key/valeur
Adresse IP source (IP) src src principal.ip
Utilisateur (utilisateur) utilisateur Nom de l'utilisateur target.user.userid

target.administrative_domain

target.user.email_addresses

Nom de la source de données (datasourcename) cs4 Nom de la source de données nom de la source de données principal.labels.key/value
ID de l'événement (eventid) ID de l'événement ID de l'événement about.labels.key/valeur
Nombre de répétitions (répétition) cnt Nombre de répétitions répéter about.labels.key/valeur
Seuil de délai Expiration du seuil timeout about.labels.key/valeur
Port source (début) SMS srcPort principal.port
Port de destination (port final) dpt dstPort target.port
Source de données (source de données) CS5 DataSource source de données principal.labels.key/value
Type de source de données (datasourcetype) CS6 Type de source de données typedesourcededonnées principal.labels.key/value
Numéro de séquence (seqno) externalId séquence metadata.product_log_id
Indicateurs d'action (actionflags) Indicateurs PanOSAction Indicateurs d'action indicateurs d'action about.labels.key/valeur
Hiérarchie des groupes d'appareils (dg_hier_level_1) PanOSDGl1 Hiérarchie du groupe d'appareilsL1 g_hier_level_1 about.labels.key/valeur
Hiérarchie des groupes d'appareils (dg_hier_level_2) PanOSDGl2 Hiérarchie du groupe d'appareilsL2 g_hier_level_2 about.labels.key/valeur
Hiérarchie des groupes d'appareils (dg_hier_level_3) PanOSDGl3 Hiérarchie du groupe d'appareilsL3 g_hier_level_3 about.labels.key/valeur
Hiérarchie des groupes d'appareils (dg_hier_level_4) PanOSDGl4 Hiérarchie du groupe d'appareilsL4 g_hier_level_4 about.labels.key/valeur
Nom du système virtuel (vsys_name) Nom du système PanOSVsys Nom du serveur principal.resource.name

principal.resource.resource_type=VIRTUAL_MACHINE

Nom de l'appareil (device_name) dvchost DeviceName intermediary.hostname
ID du système virtuel (vsys_id) ID du système virtuel principal.resource.resource_type=VIRTUAL_MACHINE et principal.resource.product_object_id
Type de facteur (factortype) CS1 Type de facteur facteur about.labels.key/valeur
Temps d'exécution du facteur (factorcompletiontime) end Heure de fin du facteur facteur final about.labels.key/valeur
Numéro de facteur (factor) Numéro de facteur Facteur about.labels.key/valeur
Indicateurs de groupe d'utilisateurs (ugflags) Drapeaux PanOSUG indicateurx about.labels.key/valeur
Utilisateur par source (userbysource) Utilisateur de PanOS par source compte.user.userid

domaine.principal_administratif

compte.utilisateur.adresses_e-mail

Horodatage haute résolution (horodatage haute résolution) PanOSTimeGeneratedHauteRésolution metadata.collected_timestamp,

metadata.event_timestamp (si "Generate Time" est absent)

Correspondance HIP

Le tableau suivant répertorie les champs de journal du type de journal de correspondance HIP et les champs UDM correspondants.

Champ CSV Champ CEF Champ LEEF Clé d'étiquette Chronicle Champ UDM
Heure de réception (receve_time ou cef-formatted-Receive_time) RT heure du développement metadata.collected_timestamp,

metadata.event_timestamp (si "Generate Time" est absent)

Numéro de série (numéro de série) id_appareilexterne Numéro de série intermediary.asset.hardware.Serial_number
Type (type) type (Header) cat métadonnées.product_event_type
Menace/Type de contenu (sous-type) sous-type (Header) Sous-type
Heure générée (time_generated ou cef-formatted-time_generated) Départ Heure de début metadata.event_timestamp,
Utilisateur source (srcuser) utilisateur Nom de l'utilisateur compte.user.userid
Système virtuel (vsys) CS3 Système virtuel Vsys about.labels.key/valeur
Nom de la machine (nom de la machine) fantôme Nom de l'hôte d'identification compte principal
Système d'exploitation (OS) CS2 OS principal.asset.platform_software.platform
Adresse source (src) src Identifiant principal.ip
HIP (nom de correspondance) cat En cours nom du match about.labels.key/valeur
Nombre de répétitions (répétition) cnt Nombre de répétitions répéter about.labels.key/valeur
Type HIP (type de correspondance) ID de la classe d'événement de l'appareil (en-tête) Type HIP type de correspondance
Numéro de séquence (seqno) externalId séquence metadata.product_log_id
Indicateurs d'action (actionflags) Indicateurs PanOSAction Indicateurs d'action indicateurs d'action about.labels.key/valeur
Hiérarchie des groupes d'appareils (dg_hier_level_1) PanOSDGl1 Hiérarchie du groupe d'appareilsL1 g_hier_level_1 about.labels.key/valeur
Hiérarchie des groupes d'appareils (dg_hier_level_2) PanOSDGl2 Hiérarchie du groupe d'appareilsL2 g_hier_level_2 about.labels.key/valeur
Hiérarchie des groupes d'appareils (dg_hier_level_3) PanOSDGl3 Hiérarchie du groupe d'appareilsL3 g_hier_level_3 about.labels.key/valeur
Hiérarchie des groupes d'appareils (dg_hier_level_4) PanOSDGl4 Hiérarchie du groupe d'appareilsL4 g_hier_level_4 about.labels.key/valeur
Nom du système virtuel (vsys_name) Nom du système PanOSVsys Nom du serveur principal.resource.name

principal.resource.resource_type=VIRTUAL_MACHINE

Nom de l'appareil (device_name) dvchost DeviceName intermediary.hostname
ID du système virtuel (vsys_id) ID du système virtuel principal.resource.resource_type=VIRTUAL_MACHINE et principal.resource.product_object_id
Adresse système IPv6 (srcipv6) C6A2 srcipv6 principal.asset.ip
ID d'hôte (hostid) ID de l'hôte PanOS compte.asset.product_object_id
Numéro de série de l'appareil de l'utilisateur (numéro de série) Numéro de série PanOSEndpointSerial principal.asset.hardware.numéro_de_série
Adresse MAC de l'appareil (Mac) PanOSEndpointMac principal.asset.mac
Horodatage haute résolution (high_res_timestamp) PanOSTimeGeneratedHauteRésolution metadata.collected_timestamp,

metadata.event_timestamp (si "Generate Time" est absent)

Tag IP

Le tableau suivant répertorie les champs de journal du type de journal de tag IP et les champs UDM correspondants.

Champ CSV Champ CEF Champ LEEF Clé d'étiquette Chronicle Champ UDM
Heure de réception (receve_time ou cef-formatted-Receive_time) RT heure du développement metadata.collected_timestamp,

metadata.event_timestamp (si "Generate Time" est absent)

Numéro de série (numéro de série) id_appareilexterne Numéro de série intermediary.asset.hardware.Serial_number
Type (type) type (Header) cat métadonnées.product_event_type
Menace/Type de contenu (sous-type) sous-type (Header) Sous-type métadonnées.product_event_type
Heure générée (time_generated ou cef-formatted-time_generated) Heure de génération metadata.event_timestamp,
Système virtuel (vsys) CS3 Système virtuel Vsys about.labels.key/valeur
Adresse IP source (IP) src src principal.ip
Nom de la balise (tag_name) Nom du tag PanOS Nom du tag nom_tag principal.labels.key/value
ID de l'événement (event_id) ID d'événement PanOS ID de l'événement id_événement about.labels.key/valeur
Nombre de répétitions (répétition) cnt Nombre de répétitions répéter about.labels.key/valeur
Expiration du délai Délai avant expiration du système d'exploitation Expiration du seuil timeout about.labels.key/valeur
Nom de la source de données (datasourcename) Nom de la source de données PanOS Nom de la source de données nom de la source de données principal.labels.key/value
Type de source de données (datasource_type) Type de source de données PanOS DataSource type_source_données principal.labels.key/value
Sous-type de source de données (datasource_subtype) Sous-type PanOSDataSource Type de source de données sous-type de source de données principal.labels.key/value
Numéro de séquence (seqno) externalId séquence metadata.product_log_id
Indicateurs d'action (actionflags) Indicateurs PanOSAction Indicateurs d'action indicateurs d'action about.labels.key/valeur
Hiérarchie des groupes d'appareils (dg_hier_level_1) PanOSDGl1 Hiérarchie du groupe d'appareilsL1 g_hier_level_1 about.labels.key/valeur
Hiérarchie des groupes d'appareils (dg_hier_level_2) PanOSDGl2 Hiérarchie du groupe d'appareilsL2 g_hier_level_2 about.labels.key/valeur
Hiérarchie des groupes d'appareils (dg_hier_level_3) PanOSDGl3 Hiérarchie du groupe d'appareilsL3 g_hier_level_3 about.labels.key/valeur
Hiérarchie des groupes d'appareils (dg_hier_level_4) PanOSDGl4 Hiérarchie du groupe d'appareilsL4 g_hier_level_4 about.labels.key/valeur
Nom du système virtuel (vsys_name) Nom du système PanOsVsys Nom du serveur principal.resource.name

principal.resource.resource_type=VIRTUAL_MACHINE

Nom de l'appareil (device_name) dvchost DeviceName intermediary.hostname
ID du système virtuel (vsys_id) ID du système virtuel principal.resource.resource_type=VIRTUAL_MACHINE et principal.resource.product_object_id
Horodatage haute résolution (horodatage haute résolution) PanOSTimeGeneratedHauteRésolution metadata.collected_timestamp,

metadata.event_timestamp (si "Generate Time" est absent)

Déchiffrement

Le tableau suivant répertorie les champs de journal du type de journal de déchiffrement et les champs UDM correspondants.

Champ CSV Champ CEF Champ LEEF Clé d'étiquette Chronicle Champ UDM
Heure de réception (receve_time ou cef-formatted-Receive_time) RT metadata.collected_timestamp,

metadata.event_timestamp (si "Generate Time" est absent)

Numéro de série (numéro de série) Appareils PanOS intermediary.asset.hardware.Serial_number
Type (type) type (Header) métadonnées.product_event_type
Menace/Type de contenu (sous-type) sous-type (Header) métadonnées.product_event_type
Version de configuration (config_ver) Version de la configuration PanOS config_ver about.labels.key/valeur
Heure de génération (time_generated) Timbre journalier PanOS metadata.event_timestamp,
Adresse source (src) src principal.ip
Adresse de destination (dst) dst target.ip
Adresse IP source NAT (natsrc) Adresse traduite principa.ip
Adresse IP de destination NAT (natdst) Adresse traduite ip_cible
Règle (règle) CS1 security_result.rule_name (nom de la règle de sécurité)
Utilisateur source (srcuser) utilisateur compte.user.userid
Utilisateur de destination (dstuser) utilisateur target.user.userid
Application (application) app application.cible
Système virtuel (vsys) CS3 Vsys about.labels.key/valeur
Zone source (from) cs4 de principal.labels.key/value
Zone de destination (vers) CS5 à target.labels.key/value
Interface entrante (entrant_if) appareilEntrantInterface entrant_if principal.labels.key/value
Interface sortante (outbound_if) appareilSortInterface sortant target.labels.key/value
Action du journal (logset) CS6 ensemble de journaux about.labels.key/valeur
Heure d'enregistrement (time_Receivedd) PlanPOS -
ID de session (SAML) id_session.network
Nombre de répétitions (répétition) Nombre de répétitions de l'ensemble du système d'exploitation répéter about.labels.key/valeur
Port source (sport) SMS principal.port
Port de destination (port) dpt target.port
Port source NAT (natsport) sourceTraductionPort port.principal
Port de destination NAT (natdport) destination traduitPort port.nat_cible
Indicateurs (indicateurs) Flexibilité1 flags about.labels.key/valeur
Protocole IP (proto) proto network.ip_protocole
Action (action) agir security_result.action_details (informations sur la sécurité

sécurité_résultat.action

Tunnel (tunnel) Tunnel PanOS tunnel about.labels.key/valeur
UUID de la VM source (src_uuid) UUID de PanOSSource compte.asset.asset_id
UUID de la VM de destination (dst_uuid) UUID de destination PanOS target.asset.asset_id
UUID pour la règle (rule_uuid) UUID de règle de système d'exploitation security_result.rule_id (ID de la règle de sécurité)
Étape du client vers le pare-feu (hs_stage_c2f) Pare-feu PanOSClientToFirewall h_stage_c2f about.labels.key/valeur
Étape pour le pare-feu au serveur (hs_stage_f2s) Pare-feu PanOS étape_f2 about.labels.key/valeur
Version TLS (tls_version) Version de PanOSTLS réseau.tls.version
Algorithme d'échange de clés (tls_keyxchg) Échange de clés PanOSTLS tls_keyxch about.labels.key/valeur
Algorithme de chiffrement (tls_enc) Algorithme de chiffrement PanOSTLSEncryption tls_enc about.labels.key/valeur
Algorithme de hachage (tls_auth) PanOSTLSAuth tls_auth about.labels.key/valeur
Nom de la règle (policy_name) Nom du règlement PanOS nom_règles about.labels.key/valeur
Courbe elliptique (ec_curve) Courbe PanOSElliptic network.tls.curve
Index d'erreur (err_index) Indice d'erreur PanOS indice_erreur about.labels.key/valeur
État racine (root_status) État du PanOSRoot état_racine about.labels.key/valeur
État de la chaîne (chain_status) État de PanOSChain état_chaîne about.labels.key/valeur
Type de proxy (proxy_type) Type de proxy PanOS type_proxy about.labels.key/valeur
Numéro de série du certificat (cert_Serial) PanOSCertificateSerial network.tls.server.certificate.érial
Empreinte du certificat Empreinte digitale de PanOS network.tls.server.certificate.md5/sha1/sha256
Date de début du certificat (pas avant le) PanOS network.tls.server.certificate.not_before
Date de fin du certificat (pas après) Heure de Pano network.tls.server.certificate.not_after
Version du certificat (cert_ver) Version du certificat PanOS network.tls.server.certificate.version
Taille du certificat (cert_size) Taille du certificat PanOS cert_size [taille_certificat] about.labels.key/valeur
Longueur du nom commun (cn_len) Longueur standard du nom du système d'exploitation objectif about.labels.key/valeur
Longueur du nom commun de l'émetteur (issuer_len) Longueur du nom de l'émetteur PanOS émetteur_len about.labels.key/valeur
Longueur du nom commun de la racine (rootcn_len) Longueur racine du PanOS rootcn_len about.labels.key/valeur
Longueur SNI (sni_len) Longueur du panOSSNI sni_len about.labels.key/valeur
Indicateurs de certificat (cert_flags) Indicateurs de certificat PanOS Indicateurs_certificats about.labels.key/valeur
Nom commun de l'objet (cn) Nom panoramique cn about.labels.key/valeur
Nom commun de l'émetteur (issuer_cn) Nom usuel PanOSIssuer network.tls.server.certificate.issuer
Nom commun racine (root_cn) Nom panoramique courant PanOS racine_cn about.labels.key/valeur
Indication du nom du serveur

(sni)

network.tls.client.server_name (réseau.tls.client.server_name)
Erreur (erreur) Message d'erreur PanOS erreur about.labels.key/valeur
ID du conteneur (container_id) ID du conteneur PanOS id_conteneur about.labels.key/valeur
Espace de noms du POD (pod_namespace) PanOSContainerNameSpace pod_namespace about.labels.key/valeur
Nom du POD (pod_name) Nom du conteneur PanOS pod_name about.labels.key/valeur
Liste dynamique externe source (src_edl) PanOSSourceEDL src_éd principal.labels.key/value
Liste dynamique externe de destination (dst_edl) Destination de l'OS panoramique dst_edl target.labels.key/value
Groupe d'adresses dynamiques source (src_dag) PanOSSourceDynamicAddressGroup principal.group.group_display_name [nom_du_groupe_principal]
Groupe d'adresses dynamiques de destination (dst_dag) PanOSDestinationDynamicAddressGroup target.group.group_display_name (nom à afficher du groupe)
Horodatage haute résolution (high_res_timestamp) PanOSTimeGeneratedHauteRésolution metadata.collected_timestamp,

metadata.event_timestamp (si "Generate Time" est absent)

Catégorie d'appareil source (src_category) Catégorie de l'appareil source src_catégorie principal.labels.key/value
Profil de l'appareil source (src_profile) Profil source de l'appareil PanOS src_profil principal.labels.key/value
Modèle de l'appareil source (src_model) Modèle d'appareil PanOSSource src_modèle principal.labels.key/value
Fournisseur de l'appareil source (src_vendor) Fournisseur de l'appareil PanOSSource src_fournisseur principal.labels.key/value
Famille d'OS des appareils sources (src_osfamily) PanOSSourceDeviceOSFamily principal.asset.platform_software.platform

principal.labels.key/value

Version de l'OS de l'appareil source (src_osversion) PanOSSourceDeviceOSVersion principal.asset.software.version
Nom d'hôte source (src_host) Hôte PanOSSourceDeviceHost compte principal
Adresse MAC source (src_mac) PanOSSourceDeviceMac principal.mac
Catégorie d'appareil de destination (dst_category) Catégorie de destination PanOS Catégorie_DST target.labels.key/value
Profil de l'appareil de destination (dst_profile) Profil de l'appareil de destination PanOS Profil_Dst target.labels.key/value
Modèle de l'appareil de destination (dst_model) Modèle de l'appareil de destination PanOS st_model target.labels.key/value
Fournisseur des appareils de destination (dst_vendor) Fournisseur de l'appareil de destination PanOS dst_vendor target.labels.key/value
Famille d'OS de l'appareil de destination (dst_osfamily) Famille PanOS DestinationDestinationOS st_osfamily target.labels.key/value
Version de l'OS de l'appareil de destination (dst_osversion) Version de l'appareil de destination PanOS target.asset.software.version
Nom d'hôte de destination (dst_host) Hôte de destination PanOS target.hostname
Adresse MAC de destination (dst_mac) PanOSDestinationDeviceMac target.mac
Numéro de séquence (seqno) Non metadata.product_log_id
Indicateurs d'action (actionflags) Indicateurs PanOSAction indicateurs d'action about.labels.key/valeur
Hiérarchie des groupes d'appareils (dg_hier_level_1) Hiérarchie du groupe d'appareilsL1 g_hier_level_1 about.labels.key/valeur
Hiérarchie des groupes d'appareils (dg_hier_level_2) Hiérarchie du groupe d'appareilsL2 g_hier_level_2 about.labels.key/valeur
Hiérarchie des groupes d'appareils (dg_hier_level_3) Hiérarchie du groupe d'appareilsL3 g_hier_level_3 about.labels.key/valeur
Hiérarchie des groupes d'appareils (dg_hier_level_4) Hiérarchie du groupe d'appareilsL4 g_hier_level_4 about.labels.key/valeur
Nom du système virtuel (vsys_name) principal.resource.name

principal.resource.resource_type=VIRTUAL_MACHINE

Nom de l'appareil (device_name) intermediary.hostname
ID du système virtuel (vsys_id) principal.resource.resource_type=VIRTUAL_MACHINE et principal.resource.product_object_id
Sous-catégorie de l'application (subcategory_of_app) sous-catégorie about.labels.key/valeur
Catégorie d'application (category_of_app) catégorie_d'application about.labels.key/valeur
Technologie de l'application (technology_of_app) technologie_de_l'application about.labels.key/valeur
Risque pour l'application (risk_of_app) security_result.severity
Caractéristique de l'application (characteristic_of_app) caractéristique_de_l'application about.labels.key/valeur
Conteneur d'application (container_of_app) conteneur_d'application about.labels.key/valeur
Application SaaS (is_saas_of_app) application_saas_of_app about.labels.key/valeur
État approuvé de l'application (sanctioned_state_of_app) état_santé_de_l'application about.labels.key/valeur

Option de routage

Le tableau suivant répertorie les champs de journal du type de journal du tunnel et les champs UDM correspondants.

Champ CSV Champ CEF Champ LEEF Clé d'étiquette Chronicle Champ UDM
Heure de réception (receve_time ou cef-formatted-Receive_time) RT heure du développement metadata.collected_timestamp,

metadata.event_timestamp (si "Generate Time" est absent)

Numéro de série (numéro de série) id_appareilexterne Numéro de série intermediary.asset.hardware.Serial_number
Type (type) type (Header) cat métadonnées.product_event_type
Menace/Type de contenu (sous-type) sous-type (Header) Sous-type métadonnées.product_event_type
Heure générée (time_generated ou cef-formatted-time_generated) metadata.event_timestamp,
Adresse source (src) src src principal.ip
Adresse de destination (dst) dst dst target.ip
Adresse IP source NAT (natsrc) Adresse traduite srcPostNAT adresse.principal
Adresse IP de destination NAT (natdst) Adresse traduite dstPostNAT ip_cible
Nom de la règle (règle) CS1 Nom de la règle security_result.rule_name (nom de la règle de sécurité)
Utilisateur source (srcuser) utilisateur Utilisateur de la source / Nom de l'utilisateur compte.user.userid
Utilisateur de destination (dstuser) utilisateur Utilisateur cible target.user.userid
Application (application) app Application network.application_protocol (protocole d'application)
Système virtuel (vsys) CS3 Système virtuel Vsys about.labels.key/valeur
Zone source (from) cs4 Zone source de principal.labels.key/value
Zone de destination (vers) CS5 Zone de destination à target.labels.key/value
Interface entrante (entrant_if) appareilEntrantInterface Interface Ingress entrant_if principal.labels.key/value
Interface sortante (outbound_if) appareilSortInterface Interface de sortie sortant target.labels.key/value
Action du journal (logset) CS6 Profil de transfert de journaux ensemble de journaux about.labels.key/valeur
ID de session (SAML) ID de session id_session.network
Nombre de répétitions (répétition) cnt Nombre de répétitions répéter about.labels.key/valeur
Port source (sport) SMS srcPort principal.port
Port de destination (port) dpt dstPort target.port
Port source NAT (natsport) sourceTraductionPort srcPostNATPort port.principal
Port de destination NAT (natdport) destination traduitPort dstPostNATPort port.nat_cible
Indicateurs (indicateurs) Flexibilité1 Options flags about.labels.key/valeur
Protocole IP (proto) proto proto network.ip_protocole
Action (action) agir action security_result.action_details (informations sur la sécurité

sécurité_résultat.action

Gravité (gravité) security_result.severity et security_result.severity_details
Numéro de séquence (seqno) externalId séquence metadata.product_log_id
Indicateurs d'action (actionflags) Indicateurs PanOSAction Indicateurs d'action indicateurs d'action about.labels.key/valeur
Emplacement source (srcloc) lieu principal.pays_ou_région
Emplacement de destination (dstloc) target.location.country_or_region
Hiérarchie des groupes d'appareils (dg_hier_level_1) PanOSDGl1 Hiérarchie du groupe d'appareilsL1 g_hier_level_1 about.labels.key/valeur
Hiérarchie des groupes d'appareils (dg_hier_level_2) PanOSDGl2 Hiérarchie du groupe d'appareilsL2 g_hier_level_2 about.labels.key/valeur
Hiérarchie des groupes d'appareils (dg_hier_level_3) PanOSDGl3 Hiérarchie du groupe d'appareilsL3 g_hier_level_3 about.labels.key/valeur
Hiérarchie des groupes d'appareils (dg_hier_level_4) PanOSDGl4 Hiérarchie du groupe d'appareilsL4 g_hier_level_4 about.labels.key/valeur
Nom du système virtuel (vsys_name) Nom du système PanOSVsys Nom du serveur principal.resource.name

principal.resource.resource_type=VIRTUAL_MACHINE

Nom de l'appareil (device_name) dvchost DeviceName intermediary.hostname
ID du tunnel (tunnelid) ID de tunnel PanOS ID du tunnel ID du tunnel about.labels.key/valeur
Balise de surveillance (monitortag) Balise PanOSMonitor Surveillance des balises surveiller about.labels.key/valeur
ID de la session parente (parent_session_id) ID de la session PanOSParent ID de session parent id_session_parent about.labels.key/valeur
Heure de début du parent (parent_start_time) Heure de début parent du système d'exploitation Heure de début du parent heure_début_parent about.labels.key/valeur
Type de tunnel (tunnel) CS2 Type de tunnel tunnel about.labels.key/valeur
Octets (octets) Flex flexible1 nombre total d'octets bytes about.labels.key/valeur
Octets envoyés (bytes_sent) in Octets network.Receivedd_bytes
Octets reçus (bytes_Receivedd) out dstBytes network.sent_bytes
Paquets (paquets) nombre total de paquets paquets about.labels.key/valeur
Paquets envoyés (pkts_sent) PaquetsPOSOSEnvoyés srcPackets pkts_sent about.labels.key/valeur
Paquets reçus (pkts_Receivedd) PanOSPackets reçus Packs Reçues about.labels.key/valeur
Encapsulation maximale (en_max) FlexFlex2 Encapsulation maximale en_max about.labels.key/valeur
Protocole inconnu (unknown_proto) cfp1 ProtocoleInconnu protocole_inconnu about.labels.key/valeur
Vérification stricte (strict_check) cfp2 Vérification stricte vérification stricte about.labels.key/valeur
Fragment de tunnel (tunnel_Fragment) Fragment de tunnel PanOS Fragment de tunnel fragment_tunnel about.labels.key/valeur
Sessions créées (sessions_créées) cfp3 Sessions créées sessions_créées about.labels.key/valeur
Sessions fermées (sessions_closed) cfp4 Sessions fermées sessions_closed about.labels.key/valeur
Motif de fin de session (session_end_reason) reason Motif de fin de session security_result.summary
Source d'action (action_source) cat Source d'action action_source [source_action] about.labels.key/valeur
Heure de début (début) Heure de début Départ about.labels.key/valeur
Temps écoulé Temps écoulé écoulé about.labels.key/valeur
Règle d'inspection du tunnel (tunnel_insp_rule) Règle PanOSTunneInspection security_result.rule_name = "Règle d'inspection de tunnel: %PanOSTunnelInspectionRule}"
Adresse IP de l'utilisateur distant (remote_user_ip) Adresse IP de l'utilisateur PanOSRmt target.ip
ID d'utilisateur distant (remote_user_id) IDUtilisateur PanOSRmt ID utilisateur à distance target.labels.key/value
UUID de la règle de sécurité (rule_uuid) UUID de règle de système d'exploitation security_result.rule_id (ID de la règle de sécurité)
ID PCAP (pcap_id) ID PanOSPcapID ID_cap about.labels.key/valeur
Nom du groupe d'utilisateurs dynamiques (dynusergroup_name) PanDynamicUsrgrp principal.group.group_display_name [nom_du_groupe_principal]
Liste dynamique externe source (src_edl) PanOSSourceEDL src_éd principal.labels.key/value
Liste dynamique externe de destination (dst_edl) Destination de l'OS panoramique dst_edl target.labels.key/value
Horodatage haute résolution (horodatage haute résolution) PanOSTimeGeneratedHauteRésolution metadata.collected_timestamp,

metadata.event_timestamp (si "Generate Time" est absent)

Différenciateur de secteurs (nssai_sd) nssai_sd about.labels.key/valeur
Un type de service Slice (nssai_sd) nssai_sd1 about.labels.key/valeur
ID de session PDU (pdu_session_id) ID_session_pdu about.labels.key/valeur
Sous-catégorie de l'application (subcategory_of_app) sous-catégorie about.labels.key/valeur
Catégorie d'application (category_of_app) catégorie_d'application about.labels.key/valeur
Technologie de l'application (technology_of_app) technologie_de_l'application about.labels.key/valeur
Risque pour l'application (risk_of_app) risque_de_l'application about.labels.key/valeur
Caractéristique de l'application (characteristic_of_app) caractéristique_de_l'application about.labels.key/valeur
Conteneur d'application (container_of_app) conteneur_d'application about.labels.key/valeur
Application SaaS (is_saas_of_app) application_saas_of_app about.labels.key/valeur
État approuvé de l'application (sanctioned_state_of_app) état_santé_de_l'application about.labels.key/valeur

Authentification

Le tableau suivant répertorie les champs de journal du type de journal d'authentification et les champs UDM correspondants.

Champ CSV Champ CEF Champ LEEF Clé d'étiquette Chronicle Champ UDM
Heure de réception (receve_time ou cef-formatted-Receive_time) RT heure du développement metadata.collected_timestamp,

metadata.event_timestamp (si "Generate Time" est absent)

Numéro de série (numéro de série) id_appareilexterne Numéro de série intermediary.asset.hardware.Serial_number
Type (type) type (Header) cat métadonnées.product_event_type
Menace/Type de contenu (sous-type) sous-type (Header) Sous-type métadonnées.product_event_type
Heure générée (time_generated ou cef-formatted-time_generated) metadata.event_timestamp,
Système virtuel (vsys) CS3 Système virtuel Vsys about.labels.key/valeur
Adresse IP source (IP) src src principal.ip
Utilisateur (utilisateur) utilisateur Nom de l'utilisateur target.user.userid
Normalize User (normalize_user) CS2 Utilisateur normal target.user.user_display_name
Objet (objet) fname Nom de l'objet objet about.labels.key/valeur
Règle d'authentification (authpolicy) cs4 AuthAuthPolicy règle d'authentification about.labels.key/valeur
Nombre de répétitions (répétition) cnt Nombre de répétitions répéter about.labels.key/valeur
ID d'authentification (authid) ID d'authentification auth about.labels.key/valeur
Fournisseur (fournisseur) Flexibilité 2 Vendor vendor about.labels.key/valeur
Action du journal (logset) CS6 Profil de transfert de journaux ensemble de journaux about.labels.key/valeur
Profil du serveur (serverprofile) CS1 Profil du serveur profilprofil about.labels.key/valeur
Description (ordre décroissant) PanOSDesc Informations supplémentaires résultat_sécurité.description
Type de client (clienttype) CS5 Type de client type_client about.labels.key/valeur
Type d'événement (événement) Message Message extensions.auth.auth_details.
Numéro de facteur (factor) Numéro de facteur Facteur about.labels.key/valeur
Numéro de séquence (seqno) externalId séquence metadata.product_log_id
Indicateurs d'action (actionflags) Indicateurs PanOSAction Indicateurs d'action indicateurs d'action about.labels.key/valeur
Hiérarchie des groupes d'appareils (dg_hier_level_1) PanOSDGl1 Hiérarchie du groupe d'appareilsL1 g_hier_level_1 about.labels.key/valeur
Hiérarchie des groupes d'appareils (dg_hier_level_2) PanOSDGl2 Hiérarchie du groupe d'appareilsL2 g_hier_level_2 about.labels.key/valeur
Hiérarchie des groupes d'appareils (dg_hier_level_3) PanOSDGl3 Hiérarchie du groupe d'appareilsL3 g_hier_level_3 about.labels.key/valeur
Hiérarchie des groupes d'appareils (dg_hier_level_4) PanOSDGl4 Hiérarchie du groupe d'appareilsL4 g_hier_level_4 about.labels.key/valeur
Nom du système virtuel (vsys_name) Nom du système PanOSVsys Nom du serveur principal.resource.name

principal.resource.resource_type=VIRTUAL_MACHINE

Nom de l'appareil (device_name) dvchost DeviceName intermediary.hostname
ID du système virtuel (vsys_id) principal.resource.resource_type=VIRTUAL_MACHINE et principal.resource.product_object_id
Protocole d'authentification (authproto) Authproto about.labels.key/valeur
UUID pour la règle (rule_uuid) UUID de règle de système d'exploitation security_result.rule_id (ID de la règle de sécurité)
Horodatage haute résolution (high_res _timestamp) PanOSTimeGeneratedHauteRésolution metadata.collected_timestamp,

metadata.event_timestamp (si "Generate Time" est absent)

Catégorie d'appareil source (src_category) Catégorie de l'appareil source src_catégorie principal.labels.key/value
Profil de l'appareil source (src_profile) Profil source de l'appareil PanOS src_profil principal.labels.key/value
Modèle de l'appareil source (src_model) Modèle d'appareil PanOSSource src_modèle principal.labels.key/value
Fournisseur de l'appareil source (src_vendor) Fournisseur de l'appareil PanOSSource src_fournisseur principal.labels.key/value
Famille d'OS des appareils sources (src_osfamily) PanOSSourceDeviceOSFamily principal.asset.platform_software.platform

principal.labels.key/value

Version de l'OS de l'appareil source (src_osversion) PanOSSourceDeviceOSVersion principal.asset.software.version
Nom d'hôte source (src_host) Nom d'hôte PanOSSource compte principal
Adresse MAC source (src_mac) MacOS source principal.asset.mac
Région (région) Région de départ du PanOS lieu principal.pays_ou_région
User-agent (user_agent) Agent utilisateur HTTP de PanOS network.http.user_agent (agent utilisateur)
ID de session(SAML) ID de session PanOSTraffic id_session.network

URL

Le tableau suivant répertorie les champs de journal du type de journal d'URL et les champs UDM correspondants.

Champ CSV Champ CEF Champ LEEF Clé d'étiquette Chronicle Champ UDM
Heure de réception (cef-formatted-Receive_time) RT heure du développement metadata.collected_timestamp,

metadata.event_timestamp (si "Generate Time" est absent)

N° de série (série) id_appareilexterne Numéro de série intermediary.asset.hardware.Serial_number
Type (type) type (Header) cat métadonnées.product_event_type
Menace/Type de contenu (sous-type) sous-type (Header) Sous-type métadonnées.product_event_type
Heure de génération metadata.event_timestamp,
Adresse source (src) src src principal.ip
Adresse de destination (dst) dst dst target.ip
Adresse IP source NAT (natsrc) Adresse traduite srcPostNAT adresse.principal
Adresse IP de destination NAT (natdst) Adresse traduite dstPostNAT ip_cible
Règle (règle) CS1 Nom de la règle security_result.rule_name (nom de la règle de sécurité)
Utilisateur source (srcuser) utilisateur Utilisateur source compte.user.userid
Utilisateur de destination (dstuser) utilisateur Utilisateur cible target.user.userid
Application (application) app Application network.application_protocol (protocole d'application)
Système virtuel (vsys) CS3 Système virtuel Vsys about.labels.key/valeur
Zone source (from) cs4 Zone source de principal.labels.key/value
Zone de destination (vers) CS5 Zone de destination à target.labels.key/value
Interface entrante (entrant_if) appareilEntrantInterface Interface Ingress entrant_if principal.labels.key/value
Interface sortante (outbound_if) appareilSortInterface Interface de sortie sortant target.labels.key/value
Action du journal (logset) CS6 Profil de transfert de journaux ensemble de journaux about.labels.key/valeur
Durée d'enregistrement journal consigné about.labels.key/valeur
ID de session (SAML) ID de session id_session.network
Nombre de répétitions (répétition) cnt Nombre de répétitions répéter about.labels.key/valeur
Port source (sport) SMS srcPort principal.port
Port de destination (port) dpt dstPort target.port
Port source NAT (natsport) sourceTraductionPort srcPostNATPort port.principal
Port de destination NAT (natdport) destination traduitPort dstPostNATPort port.nat_cible
Indicateurs (indicateurs) Flexibilité1 Options flags about.labels.key/valeur
Protocole IP (proto) proto proto network.ip_protocole
Action (action) agir action security_result.action_details (informations sur la sécurité

sécurité_résultat.action

URL/Nom de fichier (misc) Autres target.file.full_path

target.url

Menace/Nom du contenu (menace) cat ID de la menace security_result.threat_id
Catégorie (category) CS2 Catégorie d'URL catégorie about.labels.key/valeur
Gravité (gravité) Nombre de gravité (en-tête) Gravité security_result.severity

security_result.severity_details

Direction (direction) Flexibilité 2 Direction réseau.direction
Numéro de séquence (seqno) externalId séquence metadata.product_log_id
Indicateurs d'action (actionflags) Indicateurs PanOSAction Indicateurs d'action indicateurs d'action about.labels.key/valeur
Pays source (srcloc) Emplacement source lieu principal.pays_ou_région
Pays de destination (dstloc) DestinationLocation (Emplacement de destination) target.location.country_or_region
contenttype (typedecontenu) contexte de requête ContentType typede contenu about.labels.key/valeur
pcap_id (ID cap.) ID du fichier PCAP_ID [ID_PCAP] ID_cap about.labels.key/valeur
filedigest (fichier digest) Fichier Digest about.file.sha1/md5/sha256
cloud (cloud) Google Cloud cloud about.labels.key/valeur
url_idx (ID_URL) IndexURL URL_IDX about.labels.key/valeur
user_agent (user_agent) DemandeClientApplication UserAgent network.http.user_agent (agent utilisateur)
filetype (type de fichier) about.file.mime_type
xff (xff) PanOSXForwarder identifiant xff about.labels.key/valeur
URL de provenance (URL de provenance) Site référent PanOS Référent network.http.referral_url,
expéditeur (expéditeur) Adresse e-mail du réseau
objet (objet) Subject E-mail.réseau.
destinataire (destinataire) network.email.to
reportid (identifiant_rapport) ID du rapport about.labels.key/valeur
Niveau de hiérarchie 1 de la DG (dg_hier_level_1) PanOSDGl1 Hiérarchie du groupe d'appareilsL1 g_hier_level_1 about.labels.key/valeur
Hiérarchie de niveau 2 de la DG (dg_hier_level_2) PanOSDGl2 Hiérarchie du groupe d'appareilsL2 g_hier_level_2 about.labels.key/valeur
Hiérarchie de niveau 3 de la DG (dg_hier_level_3) PanOSDGl3 Hiérarchie du groupe d'appareilsL3 g_hier_level_3 about.labels.key/valeur
Hiérarchie des niveaux de service 4 de la DG (dg_hier_level_4) PanOSDGl4 Hiérarchie du groupe d'appareilsL4 g_hier_level_4 about.labels.key/valeur
Nom du système virtuel (vsys_name) Nom du système PanOSVsys Nom du serveur principal.resource.name

principal.resource.resource_type=VIRTUAL_MACHINE

Nom de l'appareil (device_name) dvchost DeviceName intermediary.hostname
file_url (URL_fichier) about.url
UUID de la VM source (src_uuid) UUID Src compte.asset.asset_id
UUID de la VM de destination (dst_uuid) UUID dst target.asset.asset_id
http_method (http_method) Méthode Méthode Méthode Méthode réseau.http.method
ID du tunnel/IMSI (ID de tunnel) ID de tunnel PanOS ID du tunnel ID du tunnel about.labels.key/valeur
Surveiller le tag/Code IMEI (monitortag) Balise PanOSMonitor Surveillance des balises surveiller about.labels.key/valeur
ID de la session parente (parent_session_id) ID de la session PanOSParent ID de session parent id_session_parent about.labels.key/valeur
Heure de début de la session parente (parent_start_time) Heure de début parent du système d'exploitation Heure de début du parent heure_début_parent about.labels.key/valeur
Tunnel (tunnel) Type de tunnel PanOS Type de tunnel tunnel about.labels.key/valeur
thr_category (thr_category) Catégorie de menaces PanOS Catégorie de menace thr_category security_result.detection_fields.key/valeur
contentver (contentver) PanOSContentVer Contenu Contentver about.labels.key/valeur
sig_flags (indicateurs sig) sig_flags about.labels.key/valeur
ID de l'association SCTP (assoc_id) ID du système d'exploitation panoramique assoc_id [identifiant_association] about.labels.key/valeur
ID du protocole de charge utile (ppid) PPID PanOS ppid about.labels.key/valeur
http_headers (http_headers) En-tête HTTP PanOS En-têtes http about.labels.key/valeur
Liste de catégories d'URL (url_category_list) ListedecatsURL url_category_list about.labels.key/valeur
UUID pour la règle (rule_uuid) UUID de règle de système d'exploitation règle_uuid about.labels.key/valeur
Connexion HTTP/2 (http2_connection) PanOSHTTP2Con Connexion http2 about.labels.key/valeur
dynusergroup_name (dynusergroup_name) PanDynamicUsrgrp nom_groupe_utilisateurs about.labels.key/valeur
Adresse XFF (xff_ip) Panx FFIP principal.ip
Catégorie d'appareil source (src_category) CatSrcDeviceCat src_catégorie principal.labels.key/value
Profil de l'appareil source (src_profile) PanSrcDeviceProf src_profil principal.labels.key/value
Modèle de l'appareil source (src_model) Modèle de l'appareil PanSrc src_modèle principal.labels.key/value
Fournisseur de l'appareil source (src_vendor) Fournisseur d'appareils PanSrc src_fournisseur principal.labels.key/value
Famille d'OS des appareils sources (src_osfamily) PanSrcDeviceOS principal.asset.platform_software.platform

principal.labels.key/value

Version de l'OS de l'appareil source (src_osversion) PanSrcDeviceOSv principal.asset.software.version
Nom d'hôte source (src_host) Nom d'hôte PanSrc src_hôte principal.labels.key/value
Adresse Mac source (src_mac) PanSrcMac principal.mac
Catégorie d'appareil de destination (dst_category) CatDstDeviceCat Catégorie_DST target.labels.key/value
Profil de l'appareil de destination (dst_profile) PanDstDeviceProf Profil_Dst target.labels.key/value
Modèle de l'appareil de destination (dst_model) Modèle PanDstDevice st_model target.labels.key/value
Fournisseur des appareils de destination (dst_vendor) Fournisseur d'appareils PanDst dst_vendor target.labels.key/value
Famille d'OS de l'appareil de destination (dst_osfamily) PanDstDeviceOS target.asset.platform_software.platform

target.labels.key/value

Version de l'OS de l'appareil de destination (dst_osversion) PanDstDeviceOSv target.asset.software.version
Nom d'hôte de destination (dst_host) Espace de noms PanPOD target.hostname
Adresse Mac de destination (dst_mac) PanDstMac target.mac
ID du conteneur (container_id) Nom du conteneur id_conteneur about.labels.key/valeur
Espace de noms du POD (pod_namespace) Espace de noms PanPOD pod_namespace about.labels.key/valeur
Nom du POD (pod_name) Nom du PanPOD pod_name about.labels.key/valeur
Liste dynamique externe source (src_edl) PanSrcEDL src_éd principal.labels.key/value
Liste dynamique externe de destination (dst_edl) PanDstedL dst_edl target.labels.key/value
ID d'hôte (hostid) ID du GPGPHost id_hôte about.labels.key/valeur
Numéro de série (numéro de série) PanEPSerial principal.asset.hardware.numéro_de_série
domain_edl (domaine_edl) PanDomaineEDL domaine_éd. about.labels.key/valeur
Groupe d'adresses dynamiques source (src_dag) PanSrcDAG principal.group.group_display_name [nom_du_groupe_principal]
Groupe d'adresses dynamiques de destination (dst_dag) PanDstDAG. target.group.group_display_name (nom à afficher du groupe)
hachage partiel (partial_hash) Hachage partiel hachage partiel about.labels.key/valeur
Horodatage haute résolution (high_res_timestamp) Haute résolution metadata.collected_timestamp,

metadata.event_timestamp (si "Generate Time" est absent)

Motif Action PanReasonFiltering reason about.labels.key/valeur
justification (justification) Justification justification about.labels.key/valeur
nssai_sst (nssai_sst) Type de service PanAS nssai_sst about.labels.key/valeur
Sous-catégorie de l'application (subcategory_of_app) sous-catégorie about.labels.key/valeur
Catégorie de l'application (category_of_app) catégorie_d'application about.labels.key/valeur
Technologie de l'application (technology_of_app) technologie_de_l'application about.labels.key/valeur
Risque de l'application (risk_of_app) risque_de_l'application about.labels.key/valeur
Caractéristique de l'application (characteristic_of_app) caractéristique_de_l'application about.labels.key/valeur
Conteneur de l'application (container_of_app) conteneur_d'application about.labels.key/valeur
Application en tunnel (tunneled_app) application_tunnelisée about.labels.key/valeur
SaaS de l'application (is_saas_of_app) application_saas_of_app about.labels.key/valeur
État de l'application sanctionnée (sanctioned_state_of_app) état_santé_de_l'application about.labels.key/valeur

Données

Le tableau suivant répertorie les champs de journal du type de journal de données et les champs UDM correspondants.

Champ CSV Champ CEF Champ LEEF Clé d'étiquette Chronicle Champ UDM
Heure de réception (cef-formatted-Receive_time) RT heure du développement metadata.collected_timestamp,

metadata.event_timestamp (si "Generate Time" est absent)

N° de série (série) id_appareilexterne Numéro de série intermediary.asset.hardware.Serial_number
Type (type) type (Header) cat métadonnées.product_event_type
Menace/Type de contenu (sous-type) sous-type (Header) Sous-type métadonnées.product_event_type
Heure de génération metadata.event_timestamp,
Adresse source (src) src src principal.ip
Adresse de destination (dst) dst dst target.ip
Adresse IP source NAT (natsrc) Adresse traduite srcPostNAT adresse.principal
Adresse IP de destination NAT (natdst) Adresse traduite dstPostNAT ip_cible
Règle (règle) CS1 Nom de la règle security_result.rule_name (nom de la règle de sécurité)
Utilisateur source (srcuser) utilisateur Utilisateur source compte.user.userid
Utilisateur de destination (dstuser) utilisateur Utilisateur cible target.user.userid
Application (application) app Application network.application_protocol (protocole d'application)
Système virtuel (vsys) CS3 Système virtuel Vsys about.labels.key/valeur
Zone source (from) cs4 Zone source de principal.labels.key/value
Zone de destination (vers) CS5 Zone de destination à target.labels.key/value
Interface entrante (entrant_if) appareilEntrantInterface Interface Ingress entrant_if principal.labels.key/value
Interface sortante (outbound_if) appareilSortInterface Interface de sortie sortant target.labels.key/value
Action du journal (logset) CS6 Profil de transfert de journaux ensemble de journaux about.labels.key/valeur
Durée d'enregistrement journal consigné about.labels.key/valeur
ID de session (SAML) ID de session id_session.network
Nombre de répétitions (répétition) cnt Nombre de répétitions répéter about.labels.key/valeur
Port source (sport) SMS srcPort principal.port
Port de destination (port) dpt dstPort target.port
Port source NAT (natsport) sourceTraductionPort srcPostNATPort port.principal
Port de destination NAT (natdport) destination traduitPort dstPostNATPort port.nat_cible
Indicateurs (indicateurs) Flexibilité1 Options flags about.labels.key/valeur
Protocole IP (proto) proto proto network.ip_protocole
Action (action) agir action security_result.action_details (informations sur la sécurité

sécurité_résultat.action

URL/Nom de fichier (misc) Autres target.file.full_path

target.url

Menace/Nom du contenu (menace) cat ID de la menace security_result.threat_id
Catégorie (category) CS2 Catégorie d'URL catégorie about.labels.key/valeur
Gravité (gravité) Nombre de gravité (en-tête) Gravité security_result.severity

security_result.severity_details

Direction (direction) Flexibilité 2 Direction réseau.direction
Numéro de séquence (seqno) externalId séquence metadata.product_log_id
Indicateurs d'action (actionflags) Indicateurs PanOSAction Indicateurs d'action indicateurs d'action about.labels.key/valeur
Pays source (srcloc) Emplacement source lieu principal.pays_ou_région
Pays de destination (dstloc) DestinationLocation (Emplacement de destination) target.location.country_or_region
contenttype (typedecontenu) ContentType typede contenu about.labels.key/valeur
pcap_id (ID cap.) ID du fichier PCAP_ID [ID_PCAP] ID_cap about.labels.key/valeur
filedigest (fichier digest) Fichier Digest about.file.sha1/md5/sha256
cloud (cloud) Google Cloud cloud about.labels.key/valeur
url_idx (ID_URL) IndexURL URL_IDX about.labels.key/valeur
user_agent (user_agent) network.http.user_agent (agent utilisateur)
filetype (type de fichier) about.file.mime_type
xff (xff) xff about.labels.key/valeur
URL de provenance (URL de provenance) network.http.referral_url,
expéditeur (expéditeur) Adresse e-mail du réseau
objet (objet) Subject E-mail.réseau.
destinataire (destinataire) network.email.to
reportid (identifiant_rapport) ID du rapport about.labels.key/valeur
Niveau de hiérarchie 1 de la DG (dg_hier_level_1) PanOSDGl1 Hiérarchie du groupe d'appareilsL1 g_hier_level_1 about.labels.key/valeur
Hiérarchie de niveau 2 de la DG (dg_hier_level_2) PanOSDGl2 Hiérarchie du groupe d'appareilsL2 g_hier_level_2 about.labels.key/valeur
Hiérarchie de niveau 3 de la DG (dg_hier_level_3) PanOSDGl3 Hiérarchie du groupe d'appareilsL3 g_hier_level_3 about.labels.key/valeur
Hiérarchie des niveaux de service 4 de la DG (dg_hier_level_4) PanOSDGl4 Hiérarchie du groupe d'appareilsL4 g_hier_level_4 about.labels.key/valeur
Nom du système virtuel (vsys_name) Nom du système PanOSVsys Nom du serveur principal.resource.name

principal.resource.resource_type=VIRTUAL_MACHINE

Nom de l'appareil (device_name) dvchost DeviceName intermediary.hostname
file_url (URL_fichier) about.url
UUID de la VM source (src_uuid) UUID Src compte.asset.asset_id
UUID de la VM de destination (dst_uuid) UUID dst target.asset.asset_id
http_method (http_method) Méthode Méthode réseau.http.method
ID du tunnel/IMSI (ID de tunnel) ID de tunnel PanOS ID du tunnel ID du tunnel about.labels.key/valeur
Surveiller le tag/Code IMEI (monitortag) Balise PanOSMonitor Surveillance des balises surveiller about.labels.key/valeur
ID de la session parente (parent_session_id) ID de la session PanOSParent ID de session parent id_session_parent about.labels.key/valeur
Heure de début de la session parente (parent_start_time) Heure de début parent du système d'exploitation Heure de début du parent heure_début_parent about.labels.key/valeur
Tunnel (tunnel) Type de tunnel PanOS Type de tunnel tunnel about.labels.key/valeur
thr_category (thr_category) Catégorie de menaces PanOS Catégorie de menace thr_category security_result.detection_fields.key/valeur
contentver (contentver) PanOSContentVer Contenu Contentver about.labels.key/valeur
sig_flags (indicateurs sig) sig_flags about.labels.key/valeur
ID de l'association SCTP (assoc_id) ID du système d'exploitation panoramique assoc_id [identifiant_association] about.labels.key/valeur
ID du protocole de charge utile (ppid) PPID PanOS ppid about.labels.key/valeur
http_headers (http_headers) En-tête HTTP PanOS En-têtes http about.labels.key/valeur
Liste de catégories d'URL (url_category_list) url_category_list about.labels.key/valeur
UUID pour la règle (rule_uuid) UUID de règle de système d'exploitation règle_uuid about.labels.key/valeur
Connexion HTTP/2 (http2_connection) Connexion http2 about.labels.key/valeur
dynusergroup_name (dynusergroup_name) nom_groupe_utilisateurs principal.labels.key/value
Adresse XFF (xff_ip) principal.ip
Catégorie d'appareil source (src_category) src_catégorie principal.labels.key/value
Profil de l'appareil source (src_profile) src_profil principal.labels.key/value
Modèle de l'appareil source (src_model) src_modèle principal.labels.key/value
Fournisseur de l'appareil source (src_vendor) src_fournisseur principal.labels.key/value
Famille d'OS des appareils sources (src_osfamily) principal.asset.platform_software.platform

principal.labels.key/value

Version de l'OS de l'appareil source (src_osversion) principal.asset.software.version
Nom d'hôte source (src_host) src_hôte principal.labels.key/value
Adresse Mac source (src_mac) principal.mac
Catégorie d'appareil de destination (dst_category) Catégorie_DST target.labels.key/value
Profil de l'appareil de destination (dst_profile) Profil_Dst target.labels.key/value
Modèle de l'appareil de destination (dst_model) st_model target.labels.key/value
Fournisseur des appareils de destination (dst_vendor) dst_vendor target.labels.key/value
Famille d'OS de l'appareil de destination (dst_osfamily) target.asset.platform_software.platform

target.labels.key/value

Version de l'OS de l'appareil de destination (dst_osversion) target.asset.software.version
Nom d'hôte de destination (dst_host) target.hostname
Adresse Mac de destination (dst_mac) target.mac
ID du conteneur (container_id) id_conteneur about.labels.key/valeur
Espace de noms du POD (pod_namespace) pod_namespace about.labels.key/valeur
Nom du POD (pod_name) pod_name about.labels.key/valeur
Liste dynamique externe source (src_edl) src_éd principal.labels.key/value
Liste dynamique externe de destination (dst_edl) dst_edl target.labels.key/value
ID d'hôte (hostid) id_hôte about.labels.key/valeur
Numéro de série (numéro de série) principal.asset.hardware.numéro_de_série
domain_edl (domaine_edl) domaine_éd. about.labels.key/valeur
Groupe d'adresses dynamiques source (src_dag) principal.group.group_display_name [nom_du_groupe_principal]
Groupe d'adresses dynamiques de destination (dst_dag) target.group.group_display_name (nom à afficher du groupe)
hachage partiel (partial_hash) hachage partiel about.labels.key/valeur
Horodatage haute résolution (high_res_timestamp) metadata.collected_timestamp,

metadata.event_timestamp (si "Generate Time" est absent)

Motif reason about.labels.key/valeur
justification (justification) justification about.labels.key/valeur
nssai_sst (nssai_sst) nssai_sst about.labels.key/valeur
Sous-catégorie de l'application (subcategory_of_app) sous-catégorie about.labels.key/valeur
Catégorie de l'application (category_of_app) catégorie_d'application about.labels.key/valeur
Technologie de l'application (technology_of_app) technologie_de_l'application about.labels.key/valeur
Risque de l'application (risk_of_app) risque_de_l'application about.labels.key/valeur
Caractéristique de l'application (characteristic_of_app) caractéristique_de_l'application about.labels.key/valeur
Conteneur de l'application (container_of_app) conteneur_d'application about.labels.key/valeur
Application en tunnel (tunneled_app) application_tunnelisée about.labels.key/valeur
SaaS de l'application (is_saas_of_app) application_saas_of_app about.labels.key/valeur
État de l'application sanctionnée (sanctioned_state_of_app) état_santé_de_l'application about.labels.key/valeur

GlobalProtect

Le tableau suivant répertorie les champs de journal du type de journal GlobalProtect et les champs UDM correspondants.

Champ CSV Champ CEF Champ LEEF Clé d'étiquette Chronicle Champ UDM
Heure de réception (receve_time) RT heure_reçue metadata.event_timestamp,
N° de série (série) Appareils PanOS intermediary_asset_hardware_Serial_number intermediary.asset.hardware.Serial_number
Type (type) type (Header) métadonnées.product_event_type
Menace/Type de contenu (sous-type) sous-type (Header) Sous-type métadonnées.product_event_type
Heure de génération (time_generated) Timbre journalier PanOS généré_horodatage metadata.event_timestamp,
Système virtuel (vsys) PanOSVirtualSystem Vsys about.labels.key/valeur
ID de l'événement (eventid) ID d'événement PanOS id_événement about.labels.key/valeur
Étape (stage) PanOSStage étape about.labels.key/valeur
Méthode d'authentification (auth_method) Méthode PanOSAuthMethod extension_auth_auth_details [extension_auth_auth_details] extensions.auth.auth_details.
Type de tunnel (tunnel_type) Type de tunnel PanOS tunnel about.labels.key/valeur
Utilisateur source (srcuser) NomUtilisateurUtilisateur PanOS src_utilisateur compte.utilisateur.adresse_e-mail

compte.user.userid

domaine.principal_administratif

Région source (srcregion) Région source PanOS src_région lieu principal.pays_ou_région
Nom de la machine (nom de la machine) Nom de l'appareil PanOSEndpoint machine_name compte principal
Adresse IP publique (public_ip) PanOSPublicIPv4 adresse.principal
Adresse IPv6 publique (public_ipv6) PanOSPublicIPv6 adresse.principal
Adresse IP privée (private_ip) PanOSPrivateIPv4 principal.ip
Adresse IPv6 privée (private_ipv6) PanOSPrivateIPv6 principal.ip
ID d'hôte (hostid) ID de l'hôte PanOS id_hôte compte.asset.asset_id
Numéro de série (numéro de série) Appareils PanOS principal.asset.hardware.numéro_de_série
Version du client (client_ver) PanOSGlobalProtectClientVersion client_ver about.labels.key/valeur
OS client (client_os) Type PanOSEndpointOS principal.asset.platform_software.platform(énumération)
Version de l'OS client (client_os_ver) Version du système d'exploitation du système d'exploitation principal.asset.platform_software.platform_version
Nombre de répétitions (répétition) Nombre de répétitions de l'ensemble du système d'exploitation répéter about.labels.key/valeur
Motif Reason security_result.summary
Erreur (erreur) Erreur de connexion au système d'exploitation erreur résultat_sécurité.description
Description (opaque) Description de PanOS résultat_sécurité.description
État (état) État de l'événement PanOS état about.labels.key/valeur
Zone géographique Emplacement de la passerelle PanOSGPGateway target.location.country_or_region
Durée de connexion (login_duration) Durée de la connexion PanOS network.session_duration (durée de session du réseau)
Méthode de connexion (connect_method) Méthode de connexion PanOS Méthode de connexion about.labels.key/valeur
Code d'erreur (error_code) ID PanOSConnectionError code_erreur about.labels.key/valeur
Portail (portail) Portail PanOS portail about.labels.key/valeur
Numéro de séquence (seqno) Non metadata.product_log_id
Indicateurs d'action (actionflags) Indicateurs PanOSAction indicateurs d'action about.labels.key/valeur
Horodatage haute résolution (high_res_timestamp) anOSTimeGeneratedHighResolution metadata.collected_timestamp,

metadata.event_timestamp (si "Generate Time" est absent)

Méthode de sélection de passerelle (selection_type) Type de passerelle PanOSGateway type_sélection about.labels.key/valeur
Temps de réponse SSL (response_time) Temps de réponse PanOSSSL temps_de_réponse about.labels.key/valeur
Priorité de la passerelle (priorité) Priorité PanOSGateway priority about.labels.key/valeur
Tentatives de passerelle (attempted_gateways) Passerelles PanOSTentativeed tentatives_passerelles about.labels.key/valeur
Nom de la passerelle (passerelle) Passerelles PanOSTentativeed passerelle about.labels.key/valeur
Hiérarchie des groupes d'appareils (dg_hier_level_1) g_hier_level_1 about.labels.key/valeur
Hiérarchie des groupes d'appareils (dg_hier_level_2) g_hier_level_2 about.labels.key/valeur
Hiérarchie des groupes d'appareils (dg_hier_level_3) g_hier_level_3 about.labels.key/valeur
Hiérarchie des groupes d'appareils (dg_hier_level_4) g_hier_level_4 about.labels.key/valeur
Nom du système virtuel (vsys_name) principal.resource.name

principal.resource.resource_type=VIRTUAL_MACHINE

Nom de l'appareil (device_name) target.hostname
ID du système virtuel (vsys_id) principal.resource.resource_type=VIRTUAL_MACHINE et principal.resource.product_object_id

Corrélation

Le tableau suivant répertorie les champs de journal du type de journal de corrélation et les champs UDM correspondants.

Champ CSV Champ CEF Champ LEEF Clé d'étiquette Chronicle Champ UDM
Heure générée (time_generated ou cef-formatted-time_generated) Heure de début généré_horodatage metadata.event_timestamp,
Adresse source (src) src principal.ip
Utilisateur source (srcuser) Utilisateur de la source / Nom de l'utilisateur compte.user.userid
Système virtuel (vsys) Système virtuel Vsys about.labels.key/valeur
Catégorie (category) security_result.category_details [informations_concernant_la_sécurité]
Gravité (gravité) Gravité security_result.severity et security_result.severity_details
Hiérarchie du groupe d'appareils de niveau 1 Hiérarchie du groupe d'appareilsL1 about.labels.key/valeur
Hiérarchie du groupe d'appareils de niveau 2 Hiérarchie du groupe d'appareilsL2 about.labels.key/valeur
Hiérarchie du groupe d'appareils de niveau 3 Hiérarchie du groupe d'appareilsL3 about.labels.key/valeur
Hiérarchie du groupe d'appareils de niveau 4 Hiérarchie du groupe d'appareilsL4 about.labels.key/valeur
Nom du système virtuel (vsys_name) Nom du serveur principal.resource.name

principal.resource.resource_type=VIRTUAL_MACHINE

Nom de l'appareil (device_name) DeviceName intermediary.hostname
ID du système virtuel (vsys_id) ID du système virtuel principal.resource.resource_type=VIRTUAL_MACHINE et principal.resource.product_object_id
Nom de l'objet (nom de l'objet) Nom de l'objet target.resource.name
ID de l'objet (object_id) ID de l'objet target.resource.product_object_id

Documentation de référence sur le mappage de champs: types de journaux associés au type d'événement UDM

Le tableau suivant répertorie les types de journaux de pare-feu Palo Alto Networks et les types d'événements UDM correspondants.

Type de journal Type d'événement UDM
Trafic CONNEXION RÉSEAU
Menace CONNEXION RÉSEAU
Filtrage des URL CONNEXION RÉSEAU
Savane CONNEXION RÉSEAU

Les journaux d'envoi Wildfire sont un sous-type de journal des menaces et utilisent le même format syslog.

Filtrage des données CONNEXION RÉSEAU
Option de routage CONNEXION RÉSEAU
Configuration SETTINGS_MODIFICATION/SETTINGS_CREATION/SETTINGS_DELETION/SETTINGS_UNCATEGORIZED

La valeur du champ "Command (cmd)" détermine le mappage du type d'événement UDM. Si la valeur du champ "cmd" est ajoutée ou clonée, le paramètre SETTINGS_CREATION est défini.

Si la valeur du champ "cmd" est supprimée, le paramètre SETTINGS_DELETION est défini.

Si la valeur du champ "cmd" est "modifier", "déplacer", "renommer", "définir" ou "valider", le paramètre "SETTINGS_MODIFICATION" est défini.

Si la valeur du champ "cmd" ne contient aucune valeur, cela correspond à SETTINGS_UNCATEGORIZED.

Système

Si la valeur du sous-type est dhcp, NETWORK_DHCP est défini. Pour les autres valeurs, GENERIC_EVENT est défini.

Correspondance HIP CONNEXION RÉSEAU
Tag IP GENERIC_EVENT
User-ID USER_LOGIN/USER_LOGOUT/USER_UNCATEGORIZED

Si la valeur du sous-type est "login", USER_LOGIN est définie.

Si la valeur du sous-type est >logout", alors USER_LOGOUT est défini.

Si le sous-type ne contient aucune valeur, alors USER_UNCATEGORIZED est défini.

Déchiffrement CONNEXION RÉSEAU
Authentification GENERIC_EVENT

Étapes suivantes