Questa pagina è stata tradotta dall'API Cloud Translation.

Raccogliere i log del firewall Palo Alto Networks

Supportato in:

Google SecOps SIEM

Panoramica

Questo documento descrive come configurare syslog e un forwarder di Google Security Operations per raccogliere i log del firewall Palo Alto Networks. Questo documento spiega anche come i campi di log del firewall di Palo Alto Networks vengono mappati ai campi UDM (Google Security Operations Unified Data Model).

Per una panoramica dell'importazione dei dati in Google Security Operations, consulta Importazione dei dati in Google Security Operations.

Un'etichetta di importazione identifica il parser che normalizza i dati di log non elaborati in formato UDM strutturato. Le informazioni contenute in questo documento si applicano al parser con l'etichetta di importazione PAN_FIREWALL.

Prima di iniziare

a comprendere i componenti di cui è stato eseguito il deployment per raccogliere il firewall di Palo Alto Networks di Google Cloud, esaminare l'architettura di deployment. Ogni deployment del cliente può essere diverso da questa rappresentazione e potrebbe essere più complesso.

Il seguente diagramma mostra come configurare syslog su un firewall Palo Alto Networks e installare un forwarder di Google Security Operations su un server Linux per inoltrare i dati dei log a Google Security Operations. L'analizzatore supporta i log scritti nei seguenti formati di dati: valori separati da virgole (CSV), formato evento comune (CEF) e formato esteso evento log (LEEF).
Verifica i formati dei log e le versioni di PAN-OS supportati dal parser di Google Security Operations. Nella tabella seguente sono elencati i formati dei log e le versioni PAN-OS corrispondenti supportate dal parser di Google Security Operations:

Formato dei log Versione PAN-OS

CSV 10.1.3

CEF 10.0.0

LEEF 9.1.0
Verifica i tipi di log del firewall Palo Alto Networks supportati dall'analizzatore sintattico di Google Security Operations. L'analizzatore sintattico di Google Security Operations supporta i seguenti tipi di log del firewall Palo Alto Networks:
- Traffico
- Minaccia
- Invii di WildFire
- Ispezione di tunnel
- Configurazione
- Sistema
- Corrispondenza HIP
- Tag IP
- User-ID
- Decriptazione
- Autenticazione
- Filtro degli URL
- Filtro dei dati
- GlobalProtect
- Correlazione
Per ulteriori informazioni sui tipi di log del firewall Palo Alto Networks, consulta Tipi di log PAN-OS.
Assicurati che tutti i sistemi nell'architettura di deployment siano configurati nel fuso orario UTC.
Prima di utilizzare il parser del firewall Palo Alto Networks, esamina le modifiche alle mappature dei campi tra il parser precedente e l'attuale parser del firewall Palo Alto Networks. Nell'ambito della migrazione, assicuratevi che le regole, le ricerche le dashboard o altri processi che dipendono dai campi originali utilizzano i campi aggiornati.

Ad esempio, nella versione precedente del parser, il campo del log category è mappato alla security_result.description campo UDM. Nell'attuale parser del firewall di Palo Alto Networks, Il campo del log category è mappato al campo UDM security_result.category_details. Se esegui la migrazione all'attuale parser del firewall Palo Alto Networks e utilizzi il campo category nelle regole, devi modificare le regole per utilizzare il campo UDM security_result.category_details dell'attuale parser.

Configura syslog e il forwarder di Google Security Operations

Per configurare syslog e il forwarder di Google Security Operations:

Per monitorare i log CSV, configura il profilo del server syslog. Per ulteriori informazioni, vedi Configura il profilo del server syslog.

Quando configuri il profilo del server syslog, specifica "Default" come personalizzato formato di log.
Per monitorare i log CEF, configura il firewall Palo Alto Networks in modo che inoltri i log CEF. Per ulteriori informazioni, scarica il PDF della guida all'integrazione di PAN-OS CEF e consulta la sezione "Configurazione del NGFW Palo Alto Networks per l'output di eventi CEF".
Per monitorare i log LEEF, configura il profilo del server syslog. Per ulteriori informazioni, vedi Inoltro dei log personalizzato in formato LEEF.
Configura l'inoltro di Google Security Operations per l'invio dei log a Google Security Operations. Per ulteriori informazioni, consulta Installazione e configurazione del forwarding su Linux. Di seguito è riportato un esempio di configurazione di Google Security Operations per l'inoltro:
```
  - syslog:
      common:
        enabled: true
        data_type: PAN_FIREWALL
        batch_n_seconds: 10
        batch_n_bytes: 1048576
      tcp_address: 0.0.0.0:10518
      connection_timeout_sec: 60
```

Riferimento alla mappatura dei campi: campi dei log del firewall PAN ai campi UDM

Questa sezione spiega come il parser mappa Palo Alto Networks campi di log del firewall ai campi evento UDM di Google Security Operations per ciascun tipo di log.

La chiave dell'etichetta di Google Security Operations fa riferimento al nome della chiave mappata al campo UDM Labels.key. Ad esempio, nel caso del "sistema virtuale" il nome del campo è "cs3" nel in formato CEF ed è "VirtualSystem" in formato LEEF. Il campo UDM "about.labels.key" contiene il valore "vsys" e il campo UDM "about.labels.value" contiene il valore di quel campo.

Alcuni nomi di campi CEF o LEEF non hanno un nome corrispondente ai nomi di campi CSV. In questi casi, se aggiungi un nome di variabile in un formato di log personalizzato nel profilo syslog, l'analizzatore sintattico non lo mappa al campo UDM.

Per il riferimento alla mappatura di ciascun tipo di log, consulta le seguenti sezioni:

Sistema
Configurazione
Minaccia/incendio boschivo
Traffico
ID utente
Corrispondenza HIP
Tag IP
Decriptazione
Tunnel
Autenticazione
URL
Dati
GlobalProtect
Correlazione

Sistema

Nella tabella seguente sono elencati i campi dei log del tipo di log di sistema e i relativi campi UDM.

Campo CSV	Campo CEF	Campo LEEF	Chiave dell'etichetta di Google Security Operations	Campo UDM
Ora di ricezione (receive_time o cef-formatted-receive_time)	rt	devTime		metadata.collected_timestamp, metadata.event_timestamp (se il valore "Generare il tempo" è assente)
Numero di serie (serie)	deviceExternalId	SerialNumber		intermediary.asset.hardware.serial_number
Tipo (type)	type (Header)	gatto		metadata.product_event_type è impostato su "%{type} - %{subtype}".
Tipo di minaccia/contenuti (sottotipo)	sottotipo (intestazione)	Sottotipo		metadata.product_event_type è impostato su "%{type} - %{subtype}".
Ora generata (time_generated o cef-formatted-time_generated)				metadata.event_timestamp
Sistema virtuale (vsys)	cs3	VirtualSystem	vsys	about.labels.key e about.labels.value additional.fields.key e additional.fields.value.string_value
ID evento (eventid)	gatto		eventid	about.labels.key e about.labels.value Additional.fields.key eadditional.fields.value.string_value
Oggetto (oggetto)	fname	Nome del file	oggetto	about.labels.key e about.labels.value Additional.fields.key eadditional.fields.value.string_value
Modulo (modulo)	flexString2	Modulo	modulo	about.labels.key e about.labels.value Additional.fields.key eadditional.fields.value.string_value
Gravità (severity)	$number-of-severity(header)	Gravità		security_result.severity e security_result.severity_details
Descrizione (opaca)	msg	msg		metadata.description
	principal_user_userid (questo campo viene estratto dal campo msg)			principal.user.userid
	principal_ip3 (questo campo viene estratto dal campo msg)			principal.ip
	Motivo (questo campo viene estratto dal campo msg)			security_result.description
	server_address (questo campo viene estratto dal campo msg).			target.ip
	server_profile (questo campo viene estratto dal campo msg).			Additional.fields.key eadditional.fields.value.string_value
Numero di sequenza (seqno)	externalId	sequenza		metadata.product_log_id
Flag di azione (actionflag)	PanOSActionFlags	ActionFlags	actionflags	about.labels.key e about.labels.value additional.fields.key e additional.fields.value.string_value
Gerarchia dei gruppi di dispositivi (da dg_hier_level_1 a dg_hier_level_4)	PanOSDGl1	DeviceGroupHierarchyL1	dg_hier_level_1	about.labels.key e about.labels.value Additional.fields.key eadditional.fields.value.string_value
Gerarchia dei gruppi di dispositivi (dg_hier_level_2)	PanOSDGl2	DeviceGroupHierarchyL2	dg_hier_level_2	about.labels.key e about.labels.value additional.fields.key e additional.fields.value.string_value
Gerarchia del gruppo di dispositivi (dg_hier_level_3)	PanOSDGl3	DeviceGroupHierarchyL3	dg_hier_level_3	about.labels.key e about.labels.value Additional.fields.key eadditional.fields.value.string_value
Gerarchia dei gruppi di dispositivi (dg_hier_level_4)	PanOSDGl4	DeviceGroupHierarchyL4	dg_hier_level_4	about.labels.key e about.labels.value additional.fields.key e additional.fields.value.string_value
Nome sistema virtuale (vsys_name)	PanOSVsysName	vSrcName		principal.resource.name principal.resource.resource_type=VIRTUAL_MACHINE
Nome dispositivo (device_name)	dvchost	DeviceName		intermediary.hostname
Timestamp ad alta risoluzione (high_res_timestamp)	anOSTimeGeneratedHighResolution			metadata.collected_timestamp, metadata.event_timestamp (se il valore "Generare il tempo" è assente)

Configurazione

La tabella seguente elenca i campi del log del tipo di log di configurazione e i campi UDM corrispondenti.

Campo CSV	Campo CEF	Campo LEEF	Chiave dell'etichetta di Google Security Operations	Campo UDM
Ora di ricezione (receive_time o cef-formatted-receive_time)	rt	devTime		metadata.collected_timestamp, metadata.event_timestamp (se il valore "Generare il tempo" è assente)
Numero di serie (serie)	deviceExternalId	SerialNumber		intermediary.asset.hardware.serial_number
Tipo (type)	type (Header)	gatto		metadata.product_event_type
Tipo di minaccia/contenuti (sottotipo)	sottotipo (intestazione)			metadata.product_event_type
Ora generata (time_generated o cef-formatted-time_generated)				metadata.event_timestamp
Host (host)	shost	src		principal.ip/hostname
Sistema virtuale (vsys)	cs3	VirtualSystem	vsys	about.labels.key e about.labels.value Additional.fields.key eadditional.fields.value.string_value
Comando (cmd)	azione	msg	cmd	metadata.description
Amministratore (admin)	duser	usrName		principal.user.userid
Client (client)	destinationServiceName	client		principal.application
Risultato (risultato)	ID firma (intestazione)(motivo)	Risultato		security_result.summary
Percorso di configurazione (path)	msg	ConfigurationPath		principal.process.command_line
Dettaglio prima della modifica (before_change_detail)	cs1	BeforeChangeDetail	before_change_detail	target.resource.attribute.labels.key/value
Dettaglio dopo la modifica (after_change_detail)	cs2	AfterChangeDetail	after_change_detail	target.resource.attribute.labels.key/value
Numero di sequenza (seqno)	externalId	sequenza		metadata.product_log_id
Flag di azione (actionflag)	PanOSActionFlags	ActionFlags	actionflags	about.labels.key e about.labels.value additional.fields.key e additional.fields.value.string_value
Gerarchia dei gruppi di dispositivi (da dg_hier_level_1 a dg_hier_level_4)	PanOSDGl1	DeviceGroupHierarchyL1	dg_hier_level_1	about.labels.key e about.labels.value Additional.fields.key eadditional.fields.value.string_value
Gerarchia dei gruppi di dispositivi (dg_hier_level_2)	PanOSDGl2	DeviceGroupHierarchyL2	dg_hier_level_2	about.labels.key e about.labels.value additional.fields.key e additional.fields.value.string_value
Gerarchia del gruppo di dispositivi (dg_hier_level_3)	PanOSDGl3	DeviceGroupHierarchyL3	dg_hier_level_3	about.labels.key e about.labels.value Additional.fields.key eadditional.fields.value.string_value
Gerarchia dei gruppi di dispositivi (dg_hier_level_4)	PanOSDGl4	DeviceGroupHierarchyL4	dg_hier_level_4	about.labels.key e about.labels.value additional.fields.key e additional.fields.value.string_value
Nome sistema virtuale (vsys_name)	PanOSVsysName	vSrcName		principal.resource.name principal.resource.resource_type=VIRTUAL_MACHINE
Nome dispositivo (device_name)	dvchost	DeviceName		intermediary.hostname
Gruppo di dispositivi (dg_id)	PanOSFWDeviceGroup		dg_id	principal.asset.attribute.labels.key/value
Commento audit (commento)	PanOSPolicyAuditComment		commento	about.labels.key e about.labels.value Additional.fields.key eadditional.fields.value.string_value

Minaccia/Fuoco selvaggio

La tabella seguente elenca i campi dei log del tipo di log Threat/WildFire e i relativi campi UDM.

Campo CSV	Campo CEF	Campo LEEF	Chiave dell'etichetta di Google Security Operations	Campo UDM
Ora di ricezione (receive_time o cef-formatted-receive_time)	rt	devTime		metadata.collected_timestamp, metadata.event_timestamp (se "Data di generazione" non è presente)
Numero di serie (numero di serie)	deviceExternalId	SerialNumber		intermediary.asset.hardware.serial_number
Tipo (type)	type (Header)	gatto		metadata.product_event_type
Tipo di minaccia/contenuto (sottotipo)	cat/subtype (intestazione)	Sottotipo		metadata.product_event_type
Ora di generazione (time_generate o cef-formatted-time_generate)				metadata.event_timestamp
Indirizzo di origine (src)	src	src		principal.ip
Indirizzo di destinazione (dst)	DST	DST		target.ip
IP di origine NAT (natsrc)	sourceTranslatedAddress	srcPostNAT		principal.nat_ip
IP di destinazione NAT (natdst)	destinationTranslatedAddress	dstPostNAT		target.nat_ip
Nome regola (regola)	cs1	RuleName		security_result.rule_name
Utente di origine (srcuser)	suser	SourceUser/usrName		principal.user.userid
Utente di destinazione (dstuser)	duser	DestinationUser		target.user.userid
Applicazione (app)	app	Applicazione		target.application
Sistema virtuale (vsys)	cs3	VirtualSystem	vsys	about.labels.key e about.labels.value Additional.fields.key eadditional.fields.value.string_value
Zona di origine (da)	cs4	SourceZone	da	principal.labels.key e principal.labels.value Additional.fields.key eadditional.fields.value.string_value
Zona di destinazione (a)	cs5	DestinationZone	a	target.labels.key e target.labels.value additional.fields.key e additional.fields.value.string_value
Interfaccia in entrata (inbound_if)	deviceInboundInterface	IngressInterface	inbound_if	principal.labels.key e principal.labels.value additional.fields.key e additional.fields.value.string_value
Interfaccia in uscita (outbound_if)	deviceOutboundInterface	EgressInterface	outbound_if	target.labels.key e target.labels.value Additional.fields.key eadditional.fields.value.string_value
Azione log (set di log)	cs6	LogForwardingProfile	logset	about.labels.key e about.labels.value additional.fields.key e additional.fields.value.string_value
ID sessione (CID)	cn1	SessionID		network.session_id
Conteggio ripetizioni (ripetizione)	cnt	RepeatCount	ripeti	about.labels.key e about.labels.value Additional.fields.key eadditional.fields.value.string_value
Porta di origine (sport)	spt	srcPort		principal.port
Porta di destinazione (dport)	dpt	dstPort		target.port
Porta di origine NAT (natsport)	sourceTranslatedPort	srcPostNATPort		principal.nat_port
Porta di destinazione NAT (natdport)	destinationTranslatedPort	dstPostNATPort		target.nat_port
Indicatori (flag)	flexString1	Bandiere	flags	about.labels.key e about.labels.value additional.fields.key e additional.fields.value.string_value
Protocollo IP (proto)	proto	proto		network.ip_protocol
Azione (azione)	agire	azione		security_result.action_details security_result.action
URL/nome file (vari)	richiesta	Vari		target.file.full_path (se il sottotipo è "file", "virus", "wildfire-virus" o "wildfire", il campo "misc" viene mappato a target.file.full_path) target.url (se il sottotipo è "url", il campo "misc" viene mappato a target.url e target.hostname) target.hostname (se il sottotipo è "spyware" o "vulnerabilità", il campo "misc" viene mappato a target.file.full_path e target.url)
Nome minaccia/contenuti (minaccia)	gatto	ThreatID		security_result.threat_name
Categoria (category)	cs2	URLCategory		security_result.category_details
Gravità (severity)	number-of-severity(header)	Gravità		security_result.severity e security_result.severity_details
Direzione	flexString2	Direzione		network.direction
Numero di sequenza (seqno)	externalId	sequenza		metadata.product_log_id
Flag di azione (actionflag)	PanOSActionFlags	ActionFlags	actionflags	about.labels.key e about.labels.value Additional.fields.key eadditional.fields.value.string_value
Paese di origine (srcloc)		SourceLocation		principal.location.country_or_region
Paese di destinazione (dstloc)		DestinationLocation		target.location.country_or_region
Tipo di contenuti (contenttype)		ContentType	tipo di contenuto	about.labels.key e about.labels.value Additional.fields.key eadditional.fields.value.string_value
ID PCAP (pcap_id)	fileId	PCAP_ID	pcap_id	about.labels.key e about.labels.value Additional.fields.key eadditional.fields.value.string_value
Digest file (filedigest)	fileHash	FileDigest		about.file.sha1/md5/sha256
Cloud (nuvola)	filePath	Cloud	cloud	about.labels.key e about.labels.value additional.fields.key e additional.fields.value.string_value
Indice URL (url_idx)		URLIndex	url_idx	about.labels.key e about.labels.value Additional.fields.key eadditional.fields.value.string_value
User agent (user_agent)				network.http.user_agent
Tipo di file (filetype)	fileType	FileType		about.file.mime_type
Inoltro X per (xff)				principal.ip
Referer (referer)				network.http.referral_url
Mittente (mittente)	Suid	Mittente		network.email.from
Soggetto (oggetto)	msg	Oggetto		network.email.subject
Destinatario (destinatario)	duid	Destinatario		network.email.to
ID segnalazione (reportid)	oldFileId	ReportID	reportid	about.labels.key e about.labels.value additional.fields.key e additional.fields.value.string_value
Gerarchia dei gruppi di dispositivi (da dg_hier_level_1 a dg_hier_level_4)	PanOSDGl1	DeviceGroupHierarchyL1	dg_hier_level_1	about.labels.key e about.labels.value Additional.fields.key eadditional.fields.value.string_value
Gerarchia dei gruppi di dispositivi (dg_hier_level_2)	PanOSDGl2	DeviceGroupHierarchyL2	dg_hier_level_2	about.labels.key e about.labels.value additional.fields.key e additional.fields.value.string_value
Gerarchia del gruppo di dispositivi (dg_hier_level_3)	PanOSDGl3	DeviceGroupHierarchyL3	dg_hier_level_3	about.labels.key e about.labels.value Additional.fields.key eadditional.fields.value.string_value
Gerarchia dei gruppi di dispositivi (dg_hier_level_4)	PanOSDGl4	DeviceGroupHierarchyL4	dg_hier_level_4	about.labels.key e about.labels.value additional.fields.key e additional.fields.value.string_value
Nome sistema virtuale (vsys_name)	PanOSVsysName	vSrcName		principal.resource.name principal.resource.resource_type=VIRTUAL_MACHINE
Nome dispositivo (device_name)	dvchost	DeviceName		intermediary.hostname
UUID VM di origine (src_uuid)	PanOSSrcUUID	SrcUUID		principal.user.product_object_id
UUID VM di destinazione (dst_uuid)	PanOSDstUUID	DstUUID		target.user.product_object_id
Metodo HTTP (http_method)		RequestMethod		network.http.method
ID tunnel/IMSI (tunnel_id/imsi)	PanOSTunnelID	TunnelID	tunnel_id/imsi	about.labels.key e about.labels.value Additional.fields.key eadditional.fields.value.string_value
Tag monitoraggio/IMEI (monitortag/imei)	PanOSMonitorTag	MonitorTag	monitortag/imei	about.labels.key e about.labels.value Additional.fields.key eadditional.fields.value.string_value
ID sessione principale (parent_session_id)	PanOSParentSessionID	ParentSessionID	parent_session_id	network.parent_session_id
Ora di inizio della sessione principale (parent_start_time)	PanOSParentStartTime	ParentStartTime	parent_start_time	about.labels.key e about.labels.value Additional.fields.key eadditional.fields.value.string_value
Tipo di tunnel (tunnel)	PanOSTunnelType	TunnelType	tunnel	about.labels.key e about.labels.value additional.fields.key e additional.fields.value.string_value
Categoria di minaccia (thr_category)	PanOSThreatCategory	ThreatCategory	thr_category	security_result.detection_fields.key/value
Versione dei contenuti (contentver)	PanOSContentVer	ContentVer	contentver	about.labels.key e about.labels.value additional.fields.key e additional.fields.value.string_value
ID associazione SCTP (assoc_id)	PanOSAssocID		assoc_id	about.labels.key e about.labels.value Additional.fields.key eadditional.fields.value.string_value
Payload Protocol ID (ppid)	PanOSPPID		ppid	about.labels.key e about.labels.value additional.fields.key e additional.fields.value.string_value
Intestazioni HTTP (http_headers)	PanOSHTTPHeader		http_headers	about.labels.key e about.labels.value additional.fields.key e additional.fields.value.string_value
Elenco di categorie di URL (url_category_list)	PanOSURLCatList		url_category_list	about.labels.key e about.labels.value Additional.fields.key eadditional.fields.value.string_value
UUID regola (rule_uuid)	PanOSRuleUUID			security_result.rule_id
Connessione HTTP/2 (http2_connection)	PanOSHTTP2Con		http2_connection	about.labels.key e about.labels.value Additional.fields.key eadditional.fields.value.string_value
Nome gruppo utenti dinamico (dynusergroup_name)	PanDynamicUsrgrp		dynusergroup_name	principal.labels.key e principal.labels.value additional.fields.key e additional.fields.value.string_value
Indirizzo XFF (xff_ip)	PanXFFIP			principal.ip
Categoria del dispositivo di origine (src_category)	PanSrcDeviceCat		src_category	principal.labels.key e principal.labels.value additional.fields.key e additional.fields.value.string_value
Profilo del dispositivo di origine (src_profile)	PanSrcDeviceProf		src_profile	principal.labels.key e principal.labels.value Additional.fields.key eadditional.fields.value.string_value
Modello del dispositivo di origine (src_model)	PanSrcDeviceModel		src_model	principal.labels.key e principal.labels.value Additional.fields.key eadditional.fields.value.string_value
Fornitore del dispositivo di origine (src_vendor)	PanSrcDeviceVendor		src_vendor	principal.labels.key e principal.labels.value Additional.fields.key eadditional.fields.value.string_value
Famiglia sistema operativo del dispositivo di origine (src_osfamily)	PanSrcDeviceOS		src_osfamily	principal.asset.platform_software.platform principal.labels.key e principal.labels.value additional.fields.key e additional.fields.value.string_value
Versione sistema operativo del dispositivo di origine (src_osversion)	PanSrcDeviceOSv			principal.asset.software.version
Nome host origine (src_host)	PanSrcHostname			principal.hostname
Indirizzo MAC di origine (src_mac)	PanSrcMac			principal.mac
Categoria dispositivo di destinazione (dst_category)	PanDstDeviceCat		dst_category	target.labels.key e target.labels.value Additional.fields.key eadditional.fields.value.string_value
Profilo dispositivo di destinazione (dst_profile)	PanDstDeviceProf		dst_profile	target.labels.key e target.labels.value Additional.fields.key eadditional.fields.value.string_value
Modello del dispositivo di destinazione (dst_model)	PanDstDeviceModel		dst_model	target.labels.key e target.labels.value Additional.fields.key eadditional.fields.value.string_value
Fornitore del dispositivo di destinazione (dst_vendor)	PanDstDeviceVendor		dst_vendor	target.labels.key e target.labels.value additional.fields.key e additional.fields.value.string_value
Famiglia del sistema operativo del dispositivo di destinazione (dst_osfamily)	PanDstDeviceOS		dst_osfamily	target.labels.key e target.labels.value Additional.fields.key eadditional.fields.value.string_value
Versione sistema operativo del dispositivo di destinazione (dst_osversion)	PanDstDeviceOSv			target.asset.software.version
Nome host di destinazione (dst_host)	PanDstHostname			target.hostname
Indirizzo MAC di destinazione (dst_mac)	PanDstMac			target.mac
ID contenitore (container_id)	PanContainerName		container_id	about.labels.key e about.labels.value Additional.fields.key eadditional.fields.value.string_value
Spazio dei nomi del pod (pod_namespace)	PanPODNamespace		pod_namespace	about.labels.key e about.labels.value Additional.fields.key eadditional.fields.value.string_value
Nome del pod (pod_name)	PanPODName		pod_name	about.labels.key e about.labels.value Additional.fields.key eadditional.fields.value.string_value
Elenco dinamico esterno di origine (src_edl)	PanSrcEDL		src_edl	about.labels.key e about.labels.value Additional.fields.key eadditional.fields.value.string_value
Elenco dinamico esterno di destinazione (dst_edl)	PanDstEDL		dst_edl	about.labels.key e about.labels.value additional.fields.key e additional.fields.value.string_value
ID host (hostid)	PanGPHostID		hostid	about.labels.key e about.labels.value additional.fields.key e additional.fields.value.string_value
Numero di serie del dispositivo dell'utente (serialnumber)	PanEPSerial			principal.asset.hardware.serial_number
EDL del dominio (domain_edl)	PanDomainEDL		domain_edl	about.labels.key e about.labels.value Additional.fields.key eadditional.fields.value.string_value
Gruppo di indirizzi dinamici di origine (src_dag)	PanSrcDAG			principal.group.group_display_name
Gruppo di indirizzi dinamici di destinazione (dst_dag)	PanDstDAG			target.group.group_display_name
Hash parziale (partial_hash)	PanPartialHash		partial_hash	about.labels.key e about.labels.value additional.fields.key e additional.fields.value.string_value
Timestamp ad alta risoluzione (timestamp ad alta risoluzione)	PanTimeHighRes		Timestamp ad alta risoluzione	metadata.collected_timestamp, metadata.event_timestamp (se il valore "Generare il tempo" è assente)
Motivo (reason)	PanReasonFilteringAction		motivo	about.labels.key e about.labels.value Additional.fields.key eadditional.fields.value.string_value
Motivazione	PanJustification		giustificazione	about.labels.key e about.labels.value additional.fields.key e additional.fields.value.string_value
Un tipo di servizio Slice (nssai_sst)	PanASServiceType		nssai_sst	about.labels.key e about.labels.value Additional.fields.key eadditional.fields.value.string_value
Sottocategoria dell'applicazione (subcategory_of_app)			subcategory_of_app	about.labels.key e about.labels.value Additional.fields.key eadditional.fields.value.string_value
Categoria dell'applicazione (category_of_app)			category_of_app	about.labels.key e about.labels.value Additional.fields.key eadditional.fields.value.string_value
Tecnologia dell'applicazione (technology_of_app)			technology_of_app	about.labels.key e about.labels.value Additional.fields.key eadditional.fields.value.string_value
Rischio delle applicazioni (risk_of_app)			risk_of_app	about.labels.key e about.labels.value Additional.fields.key eadditional.fields.value.string_value
Caratteristica dell'applicazione (characteristic_of_app)			characteristic_of_app	about.labels.key e about.labels.value Additional.fields.key eadditional.fields.value.string_value
Container dell'applicazione (container_of_app)			container_of_app	about.labels.key e about.labels.value Additional.fields.key eadditional.fields.value.string_value
SaaS dell'applicazione (is_saas_of_app)			is_saas_of_app	about.labels.key e about.labels.value additional.fields.key e additional.fields.value.string_value
Stato soggetto a sanzioni per l'applicazione (sanctioned_state_of_app)			sanctioned_state_of_app	about.labels.key e about.labels.value Additional.fields.key eadditional.fields.value.string_value

Traffico

La tabella seguente elenca i campi del log del tipo di log del traffico e i relativi campi UDM.

Campo CSV	Campo CEF	Campo LEEF	Chiave dell'etichetta di Google Security Operations	Campo UDM
Ora di ricezione (receive_time o cef-formatted-receive_time)	rt	devTime		metadata.collected_timestamp, metadata.event_timestamp (se il valore "Generare il tempo" è assente)
Numero di serie (serie)	deviceExternalId	SerialNumber		intermediary.asset.hardware.serial_number
Tipo (type)	type (Header)	gatto/tipo		metadata.product_event_type
Tipo di minaccia/contenuti (sottotipo)	sottotipo (intestazione)	Sottotipo		metadata.product_event_type
Ora generata (time_generated o cef-formatted-time_generated)	start			metadata.event_timestamp
Indirizzo di origine (src)	src	src		principal.ip
Indirizzo di destinazione (dst)	dst	DST		target.ip
IP di origine NAT (natsrc)	sourceTranslatedAddress	srcPostNAT		principal.nat_ip
IP di destinazione NAT (natdst)	destinationTranslatedAddress	dstPostNAT		target.nat_ip
Nome regola (regola)	cs1	RuleName		security_result.rule_name
Utente di origine (srcuser)	Suser	SourceUser		principal.user.userid
Utente di destinazione (dstuser)	duser	DestinationUser		target.user.userid
Applicazione (app)	app	Applicazione		target.application
Sistema virtuale (vsys)	cs3	VirtualSystem	vsys	about.labels.key e about.labels.value Additional.fields.key eadditional.fields.value.string_value
Zona di origine (da)	cs4	SourceZone	da	principal.labels.key e principal.labels.value Additional.fields.key eadditional.fields.value.string_value
Zona di destinazione (a)	cs5	DestinationZone	a	target.labels.key e target.labels.value additional.fields.key e additional.fields.value.string_value
Interfaccia in entrata (inbound_if)	deviceInboundInterface	IngressInterface	inbound_if	principal.labels.key e principal.labels.value additional.fields.key e additional.fields.value.string_value
Interfaccia in uscita (outbound_if)	deviceOutboundInterface	EgressInterface	outbound_if	target.labels.key e target.labels.value Additional.fields.key eadditional.fields.value.string_value
Azione log (set di log)	cs6	LogForwardingProfile	logset	about.labels.key e about.labels.value additional.fields.key e additional.fields.value.string_value
ID sessione (CID)	cn1	SessionID		network.session_id
Conteggio ripetizioni (ripetizione)	cnt	RepeatCount	ripeti	about.labels.key e about.labels.value Additional.fields.key eadditional.fields.value.string_value
Porta di origine (sport)	spt	srcPort		principal.port
Porta di destinazione (dport)	dpt	dstPort		target.port
Porta di origine NAT (natsport)	sourceTranslatedPort	srcPostNATPort		principal.nat_port
Porta di destinazione NAT (natdport)	destinationTranslatedPort	dstPostNATPort		target.nat_port
Indicatori (flag)	flexString1	Bandiere	flags	about.labels.key e about.labels.value additional.fields.key e additional.fields.value.string_value
Protocollo IP (proto)	proto	proto		network.ip_protocol
Azione (azione)	agire	azione		security_result.action_details security_result.action
Byte	flexNumber1	totalBytes	byte	about.labels.key e about.labels.value additional.fields.key e additional.fields.value.string_value
Byte inviati (bytes_sent)	in	srcBytes		network.sent_bytes
Byte ricevuti (bytes_received)	troppo complessi per essere capiti?	dstBytes		network.received_bytes
Pacchetti (packets)	cn2	totalPackets	pacchetti	about.labels.key e about.labels.value additional.fields.key e additional.fields.value.string_value
Ora di inizio (start)		StartTime	start	about.labels.key e about.labels.value additional.fields.key e additional.fields.value.string_value
Tempo trascorso (elapsed)	cn3	ElapsedTime	trascorsi	network.session_duration.seconds
Categoria (category)	cs2	URLCategory		security_result.category / security_result.category_details
Numero di sequenza (seqno)	externalId	sequenza		metadata.product_log_id
Flag di azione (actionflag)	PanOSActionFlags	ActionFlags	actionflags	about.labels.key e about.labels.value Additional.fields.key eadditional.fields.value.string_value
Paese di origine (srcloc)		SourceLocation		principal.location.country_or_region
Paese di destinazione (dstloc)		DestinationLocation		target.location.country_or_region
Pacchetti inviati (pkts_sent)	PanOSPacketsSent	srcPackets	pkts_sent	about.labels.key e about.labels.value Additional.fields.key eadditional.fields.value.string_value
Pacchetti ricevuti (pkts_received)	PanOSPacketsReceived	dstPackets	pkts_received	about.labels.key e about.labels.value additional.fields.key e additional.fields.value.string_value
Motivo fine sessione (session_end_reason)	motivo	SessionEndReason		security_result.summary
Gerarchia dei gruppi di dispositivi 1 (da dg_hier_level_1 a dg_hier_level_4)	PanOSDGl1	DeviceGroupHierarchyL1	dg_hier_level_1	about.labels.key e about.labels.value additional.fields.key e additional.fields.value.string_value
Gerarchia gruppo di dispositivi 2 (dg_hier_level_2)	PanOSDGl2	DeviceGroupHierarchyL2	dg_hier_level_2	about.labels.key e about.labels.value Additional.fields.key eadditional.fields.value.string_value
Gerarchia gruppo di dispositivi 3 (dg_hier_level_3)	PanOSDGl3	DeviceGroupHierarchyL3	dg_hier_level_3	about.labels.key e about.labels.value Additional.fields.key eadditional.fields.value.string_value
Gerarchia dei gruppi di dispositivi (dg_hier_level_4)	PanOSDGl4	DeviceGroupHierarchyL4	dg_hier_level_4	about.labels.key e about.labels.value additional.fields.key e additional.fields.value.string_value
Nome sistema virtuale (vsys_name)	PanOSVsysName	vSrcName		principal.resource.name principal.resource.resource_type=VIRTUAL_MACHINE
Nome dispositivo (device_name)	dvchost	DeviceName		intermediary.hostname
Origine azione (action_source)	gatto	ActionSource	action_source	about.labels.key e about.labels.value additional.fields.key e additional.fields.value.string_value
UUID VM di origine (src_uuid)	PanOSSrcUUID	SrcUUID		principal.asset.product_object_id
UUID VM di destinazione (dst_uuid)	PanOSDstUUID	DstUUID		target.asset.product_object_id
ID tunnel/IMSI (tunnelid/imsi)	PanOSTunnelID	TunnelID	tunnelid/imsi	about.labels.key e about.labels.value Additional.fields.key eadditional.fields.value.string_value
Tag monitoraggio/IMEI (monitortag/imei)	PanOSMonitorTag	MonitorTag	monitortag/imei	about.labels.key e about.labels.value Additional.fields.key eadditional.fields.value.string_value
ID sessione principale (parent_session_id)	PanOSParentSessionID	ParentSessionID	parent_session_id	network.parent_session_id
Ora di inizio padre (parent_start_time)	PanOSParentStartTime	ParentStartTime	parent_start_time	about.labels.key e about.labels.value Additional.fields.key eadditional.fields.value.string_value
Tipo di tunnel (tunnel)	PanOSTunnelType	TunnelType	tunnel	about.labels.key e about.labels.value additional.fields.key e additional.fields.value.string_value
ID associazione SCTP (assoc_id)	PanOSSCTPAssocID		assoc_id	about.labels.key e about.labels.value Additional.fields.key eadditional.fields.value.string_value
Blocchi SCTP (chunk)	PanOSSCTPChunks		blocchi	about.labels.key e about.labels.value additional.fields.key e additional.fields.value.string_value
Chunk SCTP inviati (chunks_sent)	PanOSSCTPChunkSent		chunks_sent	about.labels.key e about.labels.value Additional.fields.key eadditional.fields.value.string_value
Blocchi SCTP ricevuti (chunks_received)	PanOSSCTPChunksRcv		chunks_received	about.labels.key e about.labels.value Additional.fields.key eadditional.fields.value.string_value
UUID regola (rule_uuid)	PanOSRuleUUID			security_result.rule_id
Connessione HTTP/2 (http2_connection)	PanOSHTTP2Con		http2_connection	about.labels.key e about.labels.value Additional.fields.key eadditional.fields.value.string_value
Conteggio app flap (link_change_count)	PanLinkChange		link_change_count	about.labels.key e about.labels.value Additional.fields.key eadditional.fields.value.string_value
ID criterio (policy_id)	PanPolicyID		policy_id	about.labels.key e about.labels.value additional.fields.key e additional.fields.value.string_value
Interruttori link (link_switches)	PanLinkDetail		link_switches	about.labels.key e about.labels.value Additional.fields.key eadditional.fields.value.string_value
Cluster SD-WAN (sdwan_cluster)	PanSDWANCluster		sdwan_cluster	about.labels.key e about.labels.value additional.fields.key e additional.fields.value.string_value
Tipo di dispositivo SD-WAN (sdwan_device_type)	PanSDWANDevice		sdwan_device_type	about.labels.key e about.labels.value Additional.fields.key eadditional.fields.value.string_value
Tipo di cluster SD-WAN (sdwan_cluster_type)	PanSDWANClustype		sdwan_cluster_type	about.labels.key e about.labels.value Additional.fields.key eadditional.fields.value.string_value
Sito SD-WAN (sdwan_site)	PanSDWANSite		sdwan_site	about.labels.key e about.labels.value Additional.fields.key eadditional.fields.value.string_value
Nome gruppo utenti dinamico (dynusergroup_name)	PanDynamicUsrgrp		dynusergroup_name	about.labels.key e about.labels.value additional.fields.key e additional.fields.value.string_value
Indirizzo XFF (xff_ip)	PanXFFIP			principal.ip
Categoria del dispositivo di origine (src_category)	PanSrcDeviceCat		src_category	principal.labels.key e principal.labels.value additional.fields.key e additional.fields.value.string_value
Profilo del dispositivo di origine (src_profile)	PanSrcDeviceProf		src_profile	principal.labels.key e principal.labels.value Additional.fields.key eadditional.fields.value.string_value
Modello del dispositivo di origine (src_model)	PanSrcDeviceModel		src_model	principal.labels.key e principal.labels.value Additional.fields.key eadditional.fields.value.string_value
Fornitore del dispositivo di origine (src_vendor)	PanSrcDeviceVendor		src_vendor	principal.labels.key e principal.labels.value Additional.fields.key eadditional.fields.value.string_value
Famiglia sistema operativo del dispositivo di origine (src_osfamily)	PanSrcDeviceOS			principal.asset.platform_software.platform principal.labels.key e principal.labels.value additional.fields.key e additional.fields.value.string_value
Versione sistema operativo del dispositivo di origine (src_osversion)	PanSrcDeviceOSv			principal.asset.software.version
Nome host origine (src_host)	PanSrcHostname			principal.hostname
Indirizzo MAC di origine (src_mac)	PanSrcMac			principal.mac
Categoria dispositivo di destinazione (dst_category)	PanDstDeviceCat		dst_category	target.labels.key e target.labels.value Additional.fields.key eadditional.fields.value.string_value
Profilo dispositivo di destinazione (dst_profile)	PanDstDeviceProf		dst_profile	target.labels.key e target.labels.value Additional.fields.key eadditional.fields.value.string_value
Modello del dispositivo di destinazione (dst_model)	PanDstDeviceModel		dst_model	target.labels.key e target.labels.value Additional.fields.key eadditional.fields.value.string_value
Fornitore del dispositivo di destinazione (dst_vendor)	PanDstDeviceVendor		dst_vendor	target.labels.key e target.labels.value additional.fields.key e additional.fields.value.string_value
Famiglia del sistema operativo del dispositivo di destinazione (dst_osfamily)	PanDstDeviceOS		dst_osfamily	target.labels.key e target.labels.value Additional.fields.key eadditional.fields.value.string_value
Versione sistema operativo del dispositivo di destinazione (dst_osversion)	PanDstDeviceOSv			target.asset.software.version
Nome host di destinazione (dst_host)	PanDstHostname			target.hostname
Indirizzo MAC di destinazione (dst_mac)	PanDstMac			target.mac
ID contenitore (container_id)	PanContainerName		container_id	about.labels.key e about.labels.value Additional.fields.key eadditional.fields.value.string_value
Spazio dei nomi del pod (pod_namespace)	PanPODNamespace		pod_namespace	about.labels.key e about.labels.value Additional.fields.key eadditional.fields.value.string_value
Nome del pod (pod_name)	PanPODName		pod_name	about.labels.key e about.labels.value Additional.fields.key eadditional.fields.value.string_value
Elenco dinamico esterno di origine (src_edl)	PanSrcEDL		src_edl	principal.labels.key e principal.labels.value additional.fields.key e additional.fields.value.string_value
Elenco dinamico esterno di destinazione (dst_edl)	PanDstEDL		dst_edl	target.labels.key e target.labels.value Additional.fields.key eadditional.fields.value.string_value
ID host (hostid)	PanGPHostID		hostid	about.labels.key e about.labels.value additional.fields.key e additional.fields.value.string_value
Numero di serie del dispositivo dell'utente (serialnumber)	PanEPSerial			principal.asset.hardware.serial_number
Gruppo di indirizzi dinamici di origine (src_dag)	PanSrcDAG			principal.group.group_display_name
Gruppo di indirizzi dinamici di destinazione (dst_dag)	PanDstDAG			target.group.group_display_name
Proprietario della sessione (session_owner)	PanHASessionOwner		session_owner	about.labels.key e about.labels.value additional.fields.key e additional.fields.value.string_value
Timestamp ad alta risoluzione (high_res_timestamp)	PanTimeHighRes			metadata.collected_timestamp, metadata.event_timestamp (se "Data di generazione" non è presente)
Un tipo di servizio sezione (nsdsai_sst)	PanASServiceType		nsdsai_sst	about.labels.key e about.labels.value additional.fields.key e additional.fields.value.string_value
Un differenziatore di segmenti (nsdsai_sd)	PanASServiceDiff		nsdsai_sd	about.labels.key e about.labels.value Additional.fields.key eadditional.fields.value.string_value
Sottocategoria dell'applicazione (subcategory_of_app)			subcategory_of_app	about.labels.key e about.labels.value Additional.fields.key eadditional.fields.value.string_value
Categoria dell'applicazione (category_of_app)			category_of_app	about.labels.key e about.labels.value Additional.fields.key eadditional.fields.value.string_value
Tecnologia dell'applicazione (technology_of_app)			technology_of_app	about.labels.key e about.labels.value Additional.fields.key eadditional.fields.value.string_value
Rischio dell'applicazione (risk_of_app)				security_result.severity
Caratteristica dell'applicazione (characteristic_of_app)			characteristic_of_app	about.labels.key e about.labels.value Additional.fields.key eadditional.fields.value.string_value
Container dell'applicazione (container_of_app)			container_of_app	about.labels.key e about.labels.value Additional.fields.key eadditional.fields.value.string_value
SaaS dell'applicazione (is_saas_of_app)			is_saas_of_app	about.labels.key e about.labels.value additional.fields.key e additional.fields.value.string_value
Stato soggetto a sanzioni per l'applicazione (sanctioned_state_of_app)			sanctioned_state_of_app	about.labels.key e about.labels.value Additional.fields.key eadditional.fields.value.string_value
Sottocategoria dell'applicazione (subcategory_of_app)			subcategory_of_app1	about.labels.key e about.labels.value Additional.fields.key eadditional.fields.value.string_value

User-ID

La seguente tabella elenca i campi del log per il tipo di log User-id e i campi UDM corrispondenti.

Campo CSV	Campo CEF	Campo LEEF	Chiave dell'etichetta di Google Security Operations	Campo UDM
Ora di ricezione (receive_time o cef-formatted-receive_time)	rt	devTime		metadata.collected_timestamp, metadata.event_timestamp (se il valore "Generare il tempo" è assente)
Numero di serie (serie)	deviceExternalId	SerialNumber		intermediary.asset.hardware.serial_number
Tipo (type)	type (Header)	gatto		metadata.product_event_type
Tipo di minaccia/contenuti (sottotipo)	sottotipo (intestazione)	Sottotipo		metadata.product_event_type
Ora generata (time_generated o cef-formatted-time_generated)				metadata.event_timestamp
Sistema virtuale (vsys)	cs3	VirtualSystem	vsys	about.labels.key e about.labels.value Additional.fields.key eadditional.fields.value.string_value
IP di origine (ip)	src	src		principal.ip
Utente (utente)	Duser	usrName		target.user.userid target.administrative_domain target.user.email_addresses
Nome dell'origine dati (datasourcename)	cs4	DataSourceName	datasourcename	principal.labels.key e principal.labels.value additional.fields.key e additional.fields.value.string_value
ID evento (evento)		EventID	eventid	about.labels.key e about.labels.value additional.fields.key e additional.fields.value.string_value
Conteggio ripetizioni (repeatcnt)	cnt	RepeatCount	ripeti	about.labels.key e about.labels.value additional.fields.key e additional.fields.value.string_value
Soglia di timeout (timeout)	cn3	TimeoutThreshold	timeout	about.labels.key e about.labels.value Additional.fields.key eadditional.fields.value.string_value
Porta di origine (beginport)	spt	srcPort		principal.port
Porta di destinazione (endport)	dpt	dstPort		target.port
Origine dati (datasource)	cs5	DataSource	datasource	principal.labels.key e principal.labels.value Additional.fields.key eadditional.fields.value.string_value
Tipo di origine dati (datasourcetype)	cs6	DataSourceType	datasourcetype	principal.labels.key e principal.labels.value Additional.fields.key eadditional.fields.value.string_value
Numero di sequenza (seqno)	externalId	sequenza		metadata.product_log_id
Flag di azione (actionflag)	PanOSActionFlags	ActionFlags	actionflags	about.labels.key e about.labels.value additional.fields.key e additional.fields.value.string_value
Gerarchia del gruppo di dispositivi (dg_hier_level_1)	PanOSDGl1	DeviceGroupHierarchyL1	dg_hier_level_1	about.labels.key e about.labels.value Additional.fields.key eadditional.fields.value.string_value
Gerarchia dei gruppi di dispositivi (dg_hier_level_2)	PanOSDGl2	DeviceGroupHierarchyL2	dg_hier_level_2	about.labels.key e about.labels.value additional.fields.key e additional.fields.value.string_value
Gerarchia del gruppo di dispositivi (dg_hier_level_3)	PanOSDGl3	DeviceGroupHierarchyL3	dg_hier_level_3	about.labels.key e about.labels.value Additional.fields.key eadditional.fields.value.string_value
Gerarchia dei gruppi di dispositivi (dg_hier_level_4)	PanOSDGl4	DeviceGroupHierarchyL4	dg_hier_level_4	about.labels.key e about.labels.value additional.fields.key e additional.fields.value.string_value
Nome sistema virtuale (vsys_name)	PanOSVsysName	vSrcName		principal.resource.name principal.resource.resource_type=VIRTUAL_MACHINE
Nome dispositivo (device_name)	dvchost	DeviceName		intermediary.hostname
ID sistema virtuale (vsys_id)	cn2	VirtualSystemID		principal.resource.resource_type=VIRTUAL_MACHINE e principal.resource.product_object_id
Tipo di fattore (tipo di fattore)	cs1	FactorType	factortype	about.labels.key e about.labels.value additional.fields.key e additional.fields.value.string_value
Ora di completamento del fattore (factorcompletiontime)	end	FactorCompletionTime	factorcompletiontime	about.labels.key e about.labels.value additional.fields.key e additional.fields.value.string_value
Numero di fattori (factorno)	cn1	FactorNumber	factorno	about.labels.key e about.labels.value Additional.fields.key eadditional.fields.value.string_value
Flag dei gruppi di utenti (ugflags)	PanOSUGFlags		ugflag	about.labels.key e about.labels.value Additional.fields.key eadditional.fields.value.string_value
Utente per sorgente (userbysource)	PanOSUserBySource			principal.user.userid principal.administrative_domain principal.user.email_addresses
Timestamp ad alta risoluzione (timestamp high_res)	PanOSTimeGeneratedHighResolution			metadata.collected_timestamp, metadata.event_timestamp (se il valore "Generare il tempo" è assente)

Corrispondenza HIP

La tabella seguente elenca i campi dei log del tipo di log di corrispondenza HIP e i relativi campi UDM.

Campo CSV	Campo CEF	Campo LEEF	Chiave dell'etichetta di Google Security Operations	Campo UDM
Ora di ricezione (receive_time o cef-formatted-receive_time)	rt	devTime		metadata.collected_timestamp, metadata.event_timestamp (se il valore "Generare il tempo" è assente)
Numero di serie (serie)	deviceExternalId	SerialNumber		intermediary.asset.hardware.serial_number
Tipo (type)	type (Header)	gatto		metadata.product_event_type
Tipo di minaccia/contenuti (sottotipo)	sottotipo (intestazione)	Sottotipo
Ora di generazione (time_generate o cef-formatted-time_generate)	start	startTime		metadata.event_timestamp
Utente di origine (srcuser)	Suser	usrName		principal.user.userid
Sistema virtuale (vsys)	cs3	VirtualSystem	vsys	about.labels.key e about.labels.value additional.fields.key e additional.fields.value.string_value
Nome macchina (machinename)	shost	identHostName		principal.hostname
Sistema operativo	cs2	Sistema operativo		principal.asset.platform_software.platform
Indirizzo di origine (src)	src	identsrc		principal.ip
HIP (nome corrispondenza)	gatto	HIP	matchname	about.labels.key e about.labels.value additional.fields.key e additional.fields.value.string_value
Conteggio ripetizioni (repeatcnt)	cnt	RepeatCount	ripeti	about.labels.key e about.labels.value additional.fields.key e additional.fields.value.string_value
Tipo HIP (tipo di corrispondenza)	ID classe evento dispositivo (intestazione)	HIPType	matchtype	about.labels.key e about.labels.value Additional.fields.key eadditional.fields.value.string_value
Numero di sequenza (seqno)	externalId	sequenza		metadata.product_log_id
Flag di azione (actionflag)	PanOSActionFlags	ActionFlags	actionflags	about.labels.key e about.labels.value additional.fields.key e additional.fields.value.string_value
Gerarchia del gruppo di dispositivi (dg_hier_level_1)	PanOSDGl1	DeviceGroupHierarchyL1	dg_hier_level_1	about.labels.key e about.labels.value Additional.fields.key eadditional.fields.value.string_value
Gerarchia dei gruppi di dispositivi (dg_hier_level_2)	PanOSDGl2	DeviceGroupHierarchyL2	dg_hier_level_2	about.labels.key e about.labels.value additional.fields.key e additional.fields.value.string_value
Gerarchia del gruppo di dispositivi (dg_hier_level_3)	PanOSDGl3	DeviceGroupHierarchyL3	dg_hier_level_3	about.labels.key e about.labels.value Additional.fields.key eadditional.fields.value.string_value
Gerarchia dei gruppi di dispositivi (dg_hier_level_4)	PanOSDGl4	DeviceGroupHierarchyL4	dg_hier_level_4	about.labels.key e about.labels.value additional.fields.key e additional.fields.value.string_value
Nome sistema virtuale (vsys_name)	PanOSVsysName	vSrcName		principal.resource.name principal.resource.resource_type=VIRTUAL_MACHINE
Nome dispositivo (device_name)	dvchost	DeviceName		intermediary.hostname
ID sistema virtuale (vsys_id)	cn2	VirtualSystemID		principal.resource.resource_type=VIRTUAL_MACHINE e principal.resource.product_object_id
Indirizzo di sistema IPv6 (srcipv6)	C6A2	srcipv6		principal.asset.ip
ID host (hostid)	PanOSHostID			principal.asset.product_object_id
Numero di serie del dispositivo dell'utente (serialnumber)	PanOSEndpointSerialNumber			principal.asset.hardware.serial_number
Indirizzo MAC del dispositivo (Mac)	PanOSEndpointMac			principal.asset.mac
Timestamp ad alta risoluzione (high_res_timestamp)	PanOSTimeGeneratedHighResolution			metadata.collected_timestamp, metadata.event_timestamp (se "Data di generazione" non è presente)

Tag IP

Nella tabella seguente sono elencati i campi del log per il tipo di log Tag IP e i campi UDM corrispondenti.

Campo CSV	Campo CEF	Campo LEEF	Chiave dell'etichetta di Google Security Operations	Campo UDM
Ora di ricezione (receive_time o cef-formatted-receive_time)	rt	devTime		metadata.collected_timestamp, metadata.event_timestamp (se il valore "Generare il tempo" è assente)
Numero di serie (serie)	deviceExternalId	SerialNumber		intermediary.asset.hardware.serial_number
Tipo (type)	type (Header)	gatto		metadata.product_event_type
Tipo di minaccia/contenuti (sottotipo)	sottotipo (intestazione)	Sottotipo		metadata.product_event_type
Ora generata (time_generated o cef-formatted-time_generated)		GenerateTime		metadata.event_timestamp
Sistema virtuale (vsys)	cs3	VirtualSystem	vsys	about.labels.key e about.labels.value Additional.fields.key eadditional.fields.value.string_value
IP di origine (ip)	src	src		principal.ip
Nome tag (tag_name)	PanOSTagName	TagName	tag_name	principal.labels.key e principal.labels.value additional.fields.key e additional.fields.value.string_value
ID evento (event_id)	PanOSEventID	EventID	event_id	about.labels.key e about.labels.value additional.fields.key e additional.fields.value.string_value
Conteggio ripetizioni (repeatcnt)	cnt	RepeatCount	ripeti	about.labels.key e about.labels.value additional.fields.key e additional.fields.value.string_value
Timeout (timeout)	PanOSTimeout	TimeoutThreshold	timeout	about.labels.key e about.labels.value additional.fields.key e additional.fields.value.string_value
Nome origine dati (nomeorigine dati)	PanOSDataSourceName	DataSourceName	datasourcename	principal.labels.key e principal.labels.value Additional.fields.key eadditional.fields.value.string_value
Tipo di origine dati (datasource_type)	PanOSDataSourceType	DataSource	datasource_type	principal.labels.key e principal.labels.value additional.fields.key e additional.fields.value.string_value
Sottotipo origine dati (datasource_subtype)	PanOSDataSourceSubType	DataSourceType	datasource_subtype	principal.labels.key e principal.labels.value Additional.fields.key eadditional.fields.value.string_value
Numero di sequenza (seqno)	externalId	sequenza		metadata.product_log_id
Flag di azione (actionflag)	PanOSActionFlags	ActionFlags	actionflags	about.labels.key e about.labels.value additional.fields.key e additional.fields.value.string_value
Gerarchia del gruppo di dispositivi (dg_hier_level_1)	PanOSDGl1	DeviceGroupHierarchyL1	dg_hier_level_1	about.labels.key e about.labels.value Additional.fields.key eadditional.fields.value.string_value
Gerarchia dei gruppi di dispositivi (dg_hier_level_2)	PanOSDGl2	DeviceGroupHierarchyL2	dg_hier_level_2	about.labels.key e about.labels.value additional.fields.key e additional.fields.value.string_value
Gerarchia del gruppo di dispositivi (dg_hier_level_3)	PanOSDGl3	DeviceGroupHierarchyL3	dg_hier_level_3	about.labels.key e about.labels.value Additional.fields.key eadditional.fields.value.string_value
Gerarchia dei gruppi di dispositivi (dg_hier_level_4)	PanOSDGl4	DeviceGroupHierarchyL4	dg_hier_level_4	about.labels.key e about.labels.value additional.fields.key e additional.fields.value.string_value
Nome sistema virtuale (vsys_name)	PanOsVsysName	vSrcName		principal.resource.name principal.resource.resource_type=VIRTUAL_MACHINE
Nome dispositivo (device_name)	dvchost	DeviceName		intermediary.hostname
ID sistema virtuale (vsys_id)	cn2	VirtualSystemID		principal.resource.resource_type=VIRTUAL_MACHINE e principal.resource.product_object_id
Timestamp ad alta risoluzione (timestamp high_res)	PanOSTimeGeneratedHighResolution			metadata.collected_timestamp, metadata.event_timestamp (se "Data di generazione" non è presente)

Decriptazione

La tabella seguente elenca i campi del log per il tipo di log di decrittografia e i campi UDM corrispondenti.

Campo CSV	Campo CEF	Campo LEEF	Chiave dell'etichetta di Google Security Operations	Campo UDM
Ora di ricezione (receive_time o cef-formatted-receive_time)	rt			metadata.collected_timestamp, metadata.event_timestamp (se il valore "Generare il tempo" è assente)
Numero di serie (serial)	PanOSDeviceSN			intermediary.asset.hardware.serial_number
Tipo (type)	type (Header)			metadata.product_event_type
Tipo di minaccia/contenuti (sottotipo)	sottotipo (intestazione)			metadata.product_event_type
Versione configurazione (config_ver)	PanOSConfigVersion		config_ver	about.labels.key e about.labels.value additional.fields.key e additional.fields.value.string_value
Ora di generazione (time_generate)	PanOSLogTimeStamp			metadata.event_timestamp
Indirizzo di origine (src)	src			principal.ip
Indirizzo di destinazione (dst)	dst			target.ip
IP di origine NAT (natsrc)	sourceTranslatedAddress			principa.nat_ip
IP di destinazione NAT (natdst)	destinationTranslatedAddress			target.nat_ip
Regola (regola)	cs1			security_result.rule_name
Utente di origine (srcuser)	suser			principal.user.userid
Utente di destinazione (dstuser)	Duser			target.user.userid
Applicazione (app)	app			target.application
Sistema virtuale (vsys)	cs3		vsys	about.labels.key e about.labels.value Additional.fields.key eadditional.fields.value.string_value
Zona di origine (da)	cs4		da	principal.labels.key e principal.labels.value Additional.fields.key eadditional.fields.value.string_value
Zona di destinazione (a)	cs5		a	target.labels.key e target.labels.value additional.fields.key e additional.fields.value.string_value
Interfaccia in entrata (inbound_if)	deviceInboundInterface		inbound_if	principal.labels.key e principal.labels.value additional.fields.key e additional.fields.value.string_value
Interfaccia in uscita (outbound_if)	deviceOutboundInterface		outbound_if	target.labels.key e target.labels.value Additional.fields.key eadditional.fields.value.string_value
Azione log (set di log)	cs6		logset	about.labels.key e about.labels.value Additional.fields.key eadditional.fields.value.string_value
Tempo registrato (time_received)	PanOSTimeReceivedManagementPlane			-
ID sessione (CID)	cn1			network.session_id
Conteggio ripetizioni (repeatcnt)	PanOSCountOfRepeats/RepeatCount		repeatcnt	about.labels.key e about.labels.value Additional.fields.key eadditional.fields.value.string_value
Porta di origine (sport)	spt			principal.port
Porta di destinazione (dport)	dpt			target.port
Porta di origine NAT (natsport)	sourceTranslatedPort			principal.nat_port
Porta di destinazione NAT (natdport)	destinationTranslatedPort			target.nat_port
Indicatori (flag)	flexString1		flags	about.labels.key e about.labels.value additional.fields.key e additional.fields.value.string_value
Protocollo IP (proto)	proto			network.ip_protocol
Azione (azione)	agire			security_result.action_details security_result.action
Tunnel (tunnel)	PanOSTunnel		tunnel	about.labels.key e about.labels.value additional.fields.key e additional.fields.value.string_value
UUID VM di origine (src_uuid)	PanOSSourceUUID			principal.asset.asset_id
UUID VM di destinazione (dst_uuid)	PanOSDestinationUUID			target.asset.asset_id
UUID per la regola (rule_uuid)	PanOSRuleUUID			security_result.rule_id
Fase per client a firewall (hs_stage_c2f)	PanOSClientToFirewall		hs_stage_c2f	about.labels.key e about.labels.value additional.fields.key e additional.fields.value.string_value
Fase per il passaggio dal firewall al server (hs_stage_f2s)	PanOSFirewallToServer		hs_stage_f2s	about.labels.key e about.labels.value additional.fields.key e additional.fields.value.string_value
Versione TLS (versione tls)	PanOSTLSVersion			network.tls.version
Algoritmo di scambio di chiavi (tls_keyxchg)	PanOSTLSKeyExchange		tls_keyxchg	about.labels.key e about.labels.value Additional.fields.key eadditional.fields.value.string_value
Algoritmo di crittografia (tls_enc)	PanOSTLSEncryptionAlgorithm		tls_enc	about.labels.key e about.labels.value additional.fields.key e additional.fields.value.string_value
Algoritmo hash (autenticazione tls)	PanOSTLSAuth		tls_auth	about.labels.key e about.labels.value Additional.fields.key eadditional.fields.value.string_value
Nome della norma (policy_name)	PanOSPolicyName		policy_name	about.labels.key e about.labels.value Additional.fields.key eadditional.fields.value.string_value
Curva ellittica (curva ec)	PanOSEllipticCurve			network.tls.curve
Indice di errori (err_index)	PanOSErrorIndex		err_index	about.labels.key e about.labels.value Additional.fields.key eadditional.fields.value.string_value
Stato del client principale (root_status)	PanOSRootStatus		root_status	about.labels.key e about.labels.value Additional.fields.key eadditional.fields.value.string_value
Stato catena (chain_status)	PanOSChainStatus		chain_status	about.labels.key e about.labels.value additional.fields.key e additional.fields.value.string_value
Tipo di proxy (proxy_type)	PanOSProxyType		proxy_type	about.labels.key e about.labels.value Additional.fields.key eadditional.fields.value.string_value
Numero di serie del certificato (cert_serial)	PanOSCertificateSerial			network.tls.server.certificate.serial
Impronta digitale del certificato	PanOSFingerprint			network.tls.server.certificate.md5/sha1/sha256
Data di inizio del certificato (notbefore)	PanOSTimeNotBefore			network.tls.server.certificate.not_before
Data di fine del certificato (non successiva)	PanOSTimeNotAfter			network.tls.server.certificate.not_after
Versione certificato (cert_ver)	PanOSCertificateVersion			network.tls.server.certificate.version
Dimensioni del certificato (cert_size)	PanOSCertificateSize		cert_size	about.labels.key e about.labels.value additional.fields.key e additional.fields.value.string_value
Lunghezza nome comune (cn_len)	PanOSCommonNameLength		cn_len	about.labels.key e about.labels.value additional.fields.key e additional.fields.value.string_value
Lunghezza del nome comune dell'emittente (issuer_len)	PanOSIssuerNameLength		issuer_len	about.labels.key e about.labels.value additional.fields.key e additional.fields.value.string_value
Lunghezza del nome comune principale (rootcn_len)	PanOSRootCNLength		rootcn_len	about.labels.key e about.labels.value additional.fields.key e additional.fields.value.string_value
Lunghezza SNI (sni_len)	PanOSSNILength		sni_len	about.labels.key e about.labels.value additional.fields.key e additional.fields.value.string_value
Flag dei certificati (cert_flags)	PanOSCertificateFlags		cert_flags	about.labels.key e about.labels.value additional.fields.key e additional.fields.value.string_value
Nome comune del soggetto (cn)	PanOSCommonName		cn	about.labels.key e about.labels.value additional.fields.key e additional.fields.value.string_value
Nome comune dell'emittente (issuer_cn)	PanOSIssuerCommonName			network.tls.server.certificate.issuer
Nome comune radice (root_cn)	PanOSRootCommonName		root_cn	about.labels.key e about.labels.value additional.fields.key e additional.fields.value.string_value
Server Name Indication (sni)				network.tls.client.server_name
Errore (error)	PanOSErrorMessage		errore	about.labels.key e about.labels.value additional.fields.key e additional.fields.value.string_value
ID container (container_id)	PanOSContainerID		container_id	about.labels.key e about.labels.value Additional.fields.key eadditional.fields.value.string_value
Spazio dei nomi POD (pod_namespace)	PanOSContainerNameSpace		pod_namespace	about.labels.key e about.labels.value Additional.fields.key eadditional.fields.value.string_value
Nome POD (pod_name)	PanOSContainerName		pod_name	about.labels.key e about.labels.value Additional.fields.key eadditional.fields.value.string_value
Elenco dinamico esterno di origine (src_edl)	PanOSSourceEDL		src_edl	principal.labels.key e principal.labels.value additional.fields.key e additional.fields.value.string_value
Elenco dinamico esterno di destinazione (dst_edl)	PanOSDestinationEDL		dst_edl	target.labels.key e target.labels.value additional.fields.key e additional.fields.value.string_value
Gruppo di indirizzi dinamici di origine (src_dag)	PanOSSourceDynamicAddressGroup			principal.group.group_display_name
Gruppo di indirizzi dinamici di destinazione (dst_dag)	PanOSDestinationDynamicAddressGroup			target.group.group_display_name
Timestamp ad alta risoluzione (high_res_timestamp)	PanOSTimeGeneratedHighResolution			metadata.collected_timestamp, metadata.event_timestamp (se il valore "Generare il tempo" è assente)
Categoria dispositivo di origine (src_category)	PanOSSourceDeviceCategory		src_category	principal.labels.key e principal.labels.value additional.fields.key e additional.fields.value.string_value
Profilo del dispositivo di origine (src_profile)	PanOSSourceDeviceProfile		src_profile	principal.labels.key e principal.labels.value Additional.fields.key eadditional.fields.value.string_value
Modello del dispositivo di origine (src_model)	PanOSSourceDeviceModel		src_model	principal.labels.key e principal.labels.value Additional.fields.key eadditional.fields.value.string_value
Fornitore dispositivo di origine (src_vendor)	PanOSSourceDeviceVendor		src_vendor	principal.labels.key e principal.labels.value Additional.fields.key eadditional.fields.value.string_value
Famiglia sistema operativo del dispositivo di origine (src_osfamily)	PanOSSourceDeviceOSFamily			principal.asset.platform_software.platform principal.labels.key e principal.labels.value
Versione del sistema operativo del dispositivo di origine (src_osversion)	PanOSSourceDeviceOSVersion			principal.asset.software.version
Nome host origine (src_host)	PanOSSourceDeviceHost			principal.hostname
Indirizzo MAC di origine (src_mac)	PanOSSourceDeviceMac			principal.mac
Categoria dispositivo di destinazione (dst_category)	PanOSDestinationDeviceCategory		dst_category	target.labels.key e target.labels.value Additional.fields.key eadditional.fields.value.string_value
Profilo del dispositivo di destinazione (dst_profile)	PanOSDestinationDeviceProfile		dst_profile	target.labels.key e target.labels.value Additional.fields.key eadditional.fields.value.string_value
Modello del dispositivo di destinazione (dst_model)	PanOSDestinationDeviceModel		dst_model	target.labels.key e target.labels.value Additional.fields.key eadditional.fields.value.string_value
Fornitore dispositivo di destinazione (dst_vendor)	PanOSDestinationDeviceVendor		dst_vendor	target.labels.key e target.labels.value additional.fields.key e additional.fields.value.string_value
Famiglia del sistema operativo del dispositivo di destinazione (dst_osfamily)	PanOSDestinationDeviceOSFamily		dst_osfamily	target.labels.key e target.labels.value Additional.fields.key eadditional.fields.value.string_value
Versione del sistema operativo del dispositivo di destinazione (dst_osversion)	PanOSDestinationDeviceOSVersion			target.asset.software.version
Nome host di destinazione (dst_host)	PanOSDestinationDeviceHost			target.hostname
Indirizzo MAC di destinazione (dst_mac)	PanOSDestinationDeviceMac			target.mac
Numero di sequenza (seqno)	PanOSLogTypeSeqNo			metadata.product_log_id
Flag di azione (actionflag)	PanOSActionFlags		flag action	about.labels.key e about.labels.value additional.fields.key e additional.fields.value.string_value
Gerarchia dei gruppi di dispositivi (dg_hier_level_1)		DeviceGroupHierarchyL1	dg_hier_level_1	about.labels.key e about.labels.value Additional.fields.key eadditional.fields.value.string_value
Gerarchia dei gruppi di dispositivi (dg_hier_level_2)		DeviceGroupHierarchyL2	dg_hier_level_2	about.labels.key e about.labels.value additional.fields.key e additional.fields.value.string_value
Gerarchia del gruppo di dispositivi (dg_hier_level_3)		DeviceGroupHierarchyL3	dg_hier_level_3	about.labels.key e about.labels.value Additional.fields.key eadditional.fields.value.string_value
Gerarchia dei gruppi di dispositivi (dg_hier_level_4)		DeviceGroupHierarchyL4	dg_hier_level_4	about.labels.key e about.labels.value additional.fields.key e additional.fields.value.string_value
Nome sistema virtuale (vsys_name)				principal.resource.name principal.resource.resource_type=VIRTUAL_MACHINE
Nome dispositivo (device_name)				intermediary.hostname
ID sistema virtuale (vsys_id)				principal.resource.resource_type=VIRTUAL_MACHINE e principal.resource.product_object_id
Sottocategoria applicazione (subcategory_of_app)			subcategory_of_app	about.labels.key e about.labels.value Additional.fields.key eadditional.fields.value.string_value
Categoria dell'applicazione (category_of_app)			category_of_app	about.labels.key e about.labels.value Additional.fields.key eadditional.fields.value.string_value
Tecnologia dell'applicazione (technology_of_app)			technology_of_app	about.labels.key e about.labels.value Additional.fields.key eadditional.fields.value.string_value
Rischio dell'applicazione (risk_of_app)				security_result.severity
Caratteristica dell'applicazione (characteristic_of_app)			characteristic_of_app	about.labels.key e about.labels.value Additional.fields.key eadditional.fields.value.string_value
Container dell'applicazione (container_of_app)			container_of_app	about.labels.key e about.labels.value Additional.fields.key eadditional.fields.value.string_value
SaaS dell'applicazione (is_saas_of_app)			is_saas_of_app	about.labels.key e about.labels.value additional.fields.key e additional.fields.value.string_value
Stato soggetto a sanzioni per l'applicazione (sanctioned_state_of_app)			sanctioned_state_of_app	about.labels.key e about.labels.value Additional.fields.key eadditional.fields.value.string_value

Tunnel

Nella tabella seguente sono elencati i campi del log per il tipo di log del tunnel e i campi UDM corrispondenti.

Campo CSV	Campo CEF	Campo LEEF	Chiave dell'etichetta di Google Security Operations	Campo UDM
Ora di ricezione (receive_time o cef-formatted-receive_time)	rt	devTime		metadata.collected_timestamp, metadata.event_timestamp (se il valore "Generare il tempo" è assente)
Numero di serie (serie)	deviceExternalId	SerialNumber		intermediary.asset.hardware.serial_number
Tipo (type)	type (Header)	gatto		metadata.product_event_type
Tipo di minaccia/contenuti (sottotipo)	sottotipo (intestazione)	Sottotipo		metadata.product_event_type
Ora generata (time_generated o cef-formatted-time_generated)				metadata.event_timestamp
Indirizzo di origine (src)	src	src		principal.ip
Indirizzo di destinazione (dst)	dst	DST		target.ip
IP di origine NAT (natsrc)	sourceTranslatedAddress	srcPostNAT		principal.nat_ip
IP di destinazione NAT (natdst)	destinationTranslatedAddress	dstPostNAT		target.nat_ip
Nome regola (regola)	cs1	RuleName		security_result.rule_name
Utente di origine (srcuser)	suser	SourceUser/usrName		principal.user.userid
Utente di destinazione (dstuser)	duser	DestinationUser		target.user.userid
Applicazione (app)	app	Applicazione		network.application_protocol
Sistema virtuale (vsys)	cs3	VirtualSystem	vsys	about.labels.key e about.labels.value Additional.fields.key eadditional.fields.value.string_value
Zona di origine (da)	cs4	SourceZone	da	principal.labels.key e principal.labels.value Additional.fields.key eadditional.fields.value.string_value
Zona di destinazione (a)	cs5	DestinationZone	a	target.labels.key e target.labels.value additional.fields.key e additional.fields.value.string_value
Interfaccia in entrata (inbound_if)	deviceInboundInterface	IngressInterface	inbound_if	principal.labels.key e principal.labels.value additional.fields.key e additional.fields.value.string_value
Interfaccia in uscita (outbound_if)	deviceOutboundInterface	EgressInterface	outbound_if	target.labels.key e target.labels.value Additional.fields.key eadditional.fields.value.string_value
Azione log (set di log)	cs6	LogForwardingProfile	logset	about.labels.key e about.labels.value additional.fields.key e additional.fields.value.string_value
ID sessione (CID)	cn1	SessionID		network.session_id
Conteggio ripetizioni (ripetizione)	cnt	RepeatCount	ripeti	about.labels.key e about.labels.value Additional.fields.key eadditional.fields.value.string_value
Porta di origine (sport)	spt	srcPort		principal.port
Porta di destinazione (dport)	dpt	dstPort		target.port
Porta di origine NAT (natsport)	sourceTranslatedPort	srcPostNATPort		principal.nat_port
Porta di destinazione NAT (natdport)	destinationTranslatedPort	dstPostNATPort		target.nat_port
Indicatori (flag)	flexString1	Bandiere	flags	about.labels.key e about.labels.value additional.fields.key e additional.fields.value.string_value
Protocollo IP (proto)	proto	proto		network.ip_protocol
Azione (azione)	agire	azione		security_result.action_details security_result.action
Gravità (gravità)				security_result.severity e security_result.severity_details
Numero di sequenza (seqno)	externalId	sequenza		metadata.product_log_id
Flag di azione (actionflag)	PanOSActionFlags	ActionFlags	actionflags	about.labels.key e about.labels.value additional.fields.key e additional.fields.value.string_value
Posizione di origine (srcloc)				principal.location.country_or_region
Località di destinazione (dstloc)				target.location.country_or_region
Gerarchia del gruppo di dispositivi (dg_hier_level_1)	PanOSDGl1	DeviceGroupHierarchyL1	dg_hier_level_1	about.labels.key e about.labels.value Additional.fields.key eadditional.fields.value.string_value
Gerarchia dei gruppi di dispositivi (dg_hier_level_2)	PanOSDGl2	DeviceGroupHierarchyL2	dg_hier_level_2	about.labels.key e about.labels.value additional.fields.key e additional.fields.value.string_value
Gerarchia del gruppo di dispositivi (dg_hier_level_3)	PanOSDGl3	DeviceGroupHierarchyL3	dg_hier_level_3	about.labels.key e about.labels.value Additional.fields.key eadditional.fields.value.string_value
Gerarchia dei gruppi di dispositivi (dg_hier_level_4)	PanOSDGl4	DeviceGroupHierarchyL4	dg_hier_level_4	about.labels.key e about.labels.value additional.fields.key e additional.fields.value.string_value
Nome sistema virtuale (vsys_name)	PanOSVsysName	vSrcName		principal.resource.name principal.resource.resource_type=VIRTUAL_MACHINE
Nome dispositivo (device_name)	dvchost	DeviceName		intermediary.hostname
ID tunnel (tunnelid)	PanOSTunnelID	TunnelID	tunnelid	about.labels.key e about.labels.value Additional.fields.key eadditional.fields.value.string_value
Tag di monitoraggio (monitortag)	PanOSMonitorTag	MonitorTag	monitortag	about.labels.key e about.labels.value Additional.fields.key eadditional.fields.value.string_value
ID sessione principale (parent_session_id)	PanOSParentSessionID	ParentSessionID	parent_session_id	network.parent_session_id
Ora di inizio padre (parent_start_time)	PanOSParentStartTime	ParentStartTime	parent_start_time	about.labels.key e about.labels.value Additional.fields.key eadditional.fields.value.string_value
Tipo di tunnel (tunnel)	cs2	TunnelType	tunnel	about.labels.key e about.labels.value Additional.fields.key eadditional.fields.value.string_value
Byte (byte)	flexNumber1	totalBytes	byte	about.labels.key e about.labels.value additional.fields.key e additional.fields.value.string_value
Byte inviati (bytes_sent)	in	srcBytes		network.sent_bytes
Byte ricevuti (bytes_received)	troppo complessi per essere capiti?	dstBytes		network.received_bytes
Pacchetti (packets)	cn2	totalPackets	pacchetti	about.labels.key e about.labels.value Additional.fields.key eadditional.fields.value.string_value
Pacchetti inviati (pkts_sent)	PanOSPacketsSent	srcPackets	pkts_sent	about.labels.key e about.labels.value Additional.fields.key eadditional.fields.value.string_value
Pacchetti ricevuti (pkts_received)	PanOSPacketsReceived	dstPackets	pkts_received	about.labels.key e about.labels.value additional.fields.key e additional.fields.value.string_value
Incapsulamento massimo (max_encap)	flexNumber2	MaximumEncapsulation	max_encap	about.labels.key e about.labels.value Additional.fields.key eadditional.fields.value.string_value
Protocollo sconosciuto (unknown_proto)	cfp1	UnknownProtocol	unknown_proto	about.labels.key e about.labels.value Additional.fields.key eadditional.fields.value.string_value
Controllo rigoroso (strict_check)	cfp2	StrictChecking	strict_check	about.labels.key e about.labels.value Additional.fields.key eadditional.fields.value.string_value
Frammento di tunnel (tunnel_fragment)	PanOSTunnelFragment	TunnelFragment	tunnel_fragment	about.labels.key e about.labels.value Additional.fields.key eadditional.fields.value.string_value
Sessioni create (sessions_create)	cfp3	SessionsCreated	sessions_created	about.labels.key e about.labels.value additional.fields.key e additional.fields.value.string_value
Sessioni chiuse (sessions_closed)	cfp4	SessionsClosed	sessions_closed	about.labels.key e about.labels.value additional.fields.key e additional.fields.value.string_value
Motivo fine sessione (session_end_reason)	motivo	SessionEndReason		security_result.summary
Origine azione (action_source)	gatto	ActionSource	action_source	about.labels.key e about.labels.value additional.fields.key e additional.fields.value.string_value
Ora di inizio (inizio)		startTime	start	about.labels.key e about.labels.value additional.fields.key e additional.fields.value.string_value
Tempo trascorso (elapsed)	cn3	ElapsedTime	trascorsi	network.session_duration.seconds
Regola di ispezione del tunnel (tunnel_insp_rule)	PanOSTunneInspectionRule			security_result.rule_name = "Regola di ispezione dei tunnel: %{PanOSTunnelInspectionRule}"
IP utente remoto (remote_user_ip)	PanOSRmtUserIP			target.ip
ID utente remoto (remote_user_id)	PanOSRmtUserID		remote_user_id	target.labels.key e target.labels.value Additional.fields.key eadditional.fields.value.string_value
UUID regola di sicurezza (rule_uuid)	PanOSRuleUUID			security_result.rule_id
ID PCAP (pcap_id)	PanOSPcapID		pcap_id	about.labels.key e about.labels.value Additional.fields.key eadditional.fields.value.string_value
Nome gruppo utenti dinamico (dynusergroup_name)	PanDynamicUsrgrp			principal.group.group_display_name
Elenco dinamico esterno di origine (src_edl)	PanOSSourceEDL		src_edl	principal.labels.key e principal.labels.value additional.fields.key e additional.fields.value.string_value
Elenco dinamico esterno di destinazione (dst_edl)	PanOSDestinationEDL		dst_edl	target.labels.key e target.labels.value additional.fields.key e additional.fields.value.string_value
Timestamp ad alta risoluzione (timestamp ad alta risoluzione)	PanOSTimeGeneratedHighResolution			metadata.collected_timestamp, metadata.event_timestamp (se "Data di generazione" non è presente)
Un elemento di differenziazione della sezione (nssai_sd)			nssai_sd	about.labels.key e about.labels.value Additional.fields.key eadditional.fields.value.string_value
Un tipo di servizio sezione (nssai_sd)			nssai_sd1	about.labels.key e about.labels.value Additional.fields.key eadditional.fields.value.string_value
ID sessione PDU (pdu_session_id)			pdu_session_id	about.labels.key e about.labels.value Additional.fields.key eadditional.fields.value.string_value
Sottocategoria dell'applicazione (subcategory_of_app)			subcategory_of_app	about.labels.key e about.labels.value Additional.fields.key eadditional.fields.value.string_value
Categoria dell'applicazione (category_of_app)			category_of_app	about.labels.key e about.labels.value Additional.fields.key eadditional.fields.value.string_value
Tecnologia dell'applicazione (technology_of_app)			technology_of_app	about.labels.key e about.labels.value Additional.fields.key eadditional.fields.value.string_value
Rischio delle applicazioni (risk_of_app)			risk_of_app	about.labels.key e about.labels.value Additional.fields.key eadditional.fields.value.string_value
Caratteristica dell'applicazione (characteristic_of_app)			characteristic_of_app	about.labels.key e about.labels.value Additional.fields.key eadditional.fields.value.string_value
Container dell'applicazione (container_of_app)			container_of_app	about.labels.key e about.labels.value Additional.fields.key eadditional.fields.value.string_value
SaaS dell'applicazione (is_saas_of_app)			is_saas_of_app	about.labels.key e about.labels.value additional.fields.key e additional.fields.value.string_value
Stato soggetto a sanzioni per l'applicazione (sanctioned_state_of_app)			sanctioned_state_of_app	about.labels.key e about.labels.value additional.fields.key e additional.fields.value.string_value

Autenticazione

Nella tabella seguente sono elencati i campi del log per il tipo di log di autenticazione e i campi UDM corrispondenti.

Campo CSV	Campo CEF	Campo LEEF	Chiave dell'etichetta di Google Security Operations	Campo UDM
Ora di ricezione (receive_time o cef-formatted-receive_time)	rt	devTime		metadata.collected_timestamp, metadata.event_timestamp (se il valore "Generare il tempo" è assente)
Numero di serie (serie)	deviceExternalId	SerialNumber		intermediary.asset.hardware.serial_number
Tipo (type)	type (Header)	gatto		metadata.product_event_type
Tipo di minaccia/contenuti (sottotipo)	sottotipo (intestazione)	Sottotipo		metadata.product_event_type
Ora generata (time_generated o cef-formatted-time_generated)				metadata.event_timestamp
Sistema virtuale (vsys)	cs3	VirtualSystem	vsys	about.labels.key e about.labels.value Additional.fields.key eadditional.fields.value.string_value
IP di origine (ip)	src	src		principal.ip
Utente (utente)	Duser	usrName		target.user.userid
Normalizza utente (normalizza_utente)	cs2	NormalizeUser		target.user.user_display_name
Oggetto (oggetto)	fname	ObjectName	oggetto	about.labels.key e about.labels.value Additional.fields.key eadditional.fields.value.string_value
Criterio di autenticazione (authpolicy)	cs4	AuthPolicy	authpolicy	about.labels.key e about.labels.value additional.fields.key e additional.fields.value.string_value
Conteggio ripetizioni (repeatcnt)	cnt	RepeatCount	ripeti	about.labels.key e about.labels.value Additional.fields.key eadditional.fields.value.string_value
ID autenticazione (authid)	cn2	AuthenticationID	authid	about.labels.key e about.labels.value additional.fields.key e additional.fields.value.string_value
Fornitore (fornitore)	flexString2	Fornitore	vendor	about.labels.key e about.labels.value Additional.fields.key eadditional.fields.value.string_value
Azione log (set di log)	cs6	LogForwardingProfile	logset	about.labels.key e about.labels.value Additional.fields.key eadditional.fields.value.string_value
Profilo server (serverprofile)	cs1	ServerProfile	serverprofile	about.labels.key e about.labels.value Additional.fields.key eadditional.fields.value.string_value
Descrizione (ordine decrescente)	PanOSDesc	AdditionalAuthInfo		security_result.description
Tipo di client (clienttype)	cs5	ClientType	clienttype	about.labels.key e about.labels.value additional.fields.key e additional.fields.value.string_value
Tipo di evento (event)	msg	msg		extensions.auth.auth_details
Numero di fattori (factorno)	cn1	FactorNumber	factorno	about.labels.key e about.labels.value Additional.fields.key eadditional.fields.value.string_value
Numero di sequenza (seqno)	externalId	sequenza		metadata.product_log_id
Flag di azione (actionflag)	PanOSActionFlags	ActionFlags	actionflags	about.labels.key e about.labels.value additional.fields.key e additional.fields.value.string_value
Gerarchia del gruppo di dispositivi (dg_hier_level_1)	PanOSDGl1	DeviceGroupHierarchyL1	dg_hier_level_1	about.labels.key e about.labels.value Additional.fields.key eadditional.fields.value.string_value
Gerarchia dei gruppi di dispositivi (dg_hier_level_2)	PanOSDGl2	DeviceGroupHierarchyL2	dg_hier_level_2	about.labels.key e about.labels.value additional.fields.key e additional.fields.value.string_value
Gerarchia del gruppo di dispositivi (dg_hier_level_3)	PanOSDGl3	DeviceGroupHierarchyL3	dg_hier_level_3	about.labels.key e about.labels.value Additional.fields.key eadditional.fields.value.string_value
Gerarchia dei gruppi di dispositivi (dg_hier_level_4)	PanOSDGl4	DeviceGroupHierarchyL4	dg_hier_level_4	about.labels.key e about.labels.value additional.fields.key e additional.fields.value.string_value
Nome sistema virtuale (vsys_name)	PanOSVsysName	vSrcName		principal.resource.name principal.resource.resource_type=VIRTUAL_MACHINE
Nome dispositivo (device_name)	dvchost	DeviceName		intermediary.hostname
ID sistema virtuale (vsys_id)				principal.resource.resource_type=VIRTUAL_MACHINE e principal.resource.product_object_id
Protocollo di autenticazione (authproto)			authproto	about.labels.key e about.labels.value Additional.fields.key eadditional.fields.value.string_value
UUID per la regola (rule_uuid)	PanOSRuleUUID/RuleUUID			security_result.rule_id
Timestamp ad alta risoluzione (high_res_timestamp)	PanOSTimeGeneratedHighResolution			metadata.collected_timestamp, metadata.event_timestamp (se il valore "Generare il tempo" è assente)
Categoria dispositivo di origine (src_category)	PanOSSourceDeviceCategory		src_category	principal.labels.key e principal.labels.value additional.fields.key e additional.fields.value.string_value
Profilo del dispositivo di origine (src_profile)	PanOSSourceDeviceProfile		src_profile	principal.labels.key e principal.labels.value Additional.fields.key eadditional.fields.value.string_value
Modello del dispositivo di origine (src_model)	PanOSSourceDeviceModel		src_model	principal.labels.key e principal.labels.value Additional.fields.key eadditional.fields.value.string_value
Fornitore dispositivo di origine (src_vendor)	PanOSSourceDeviceVendor		src_vendor	principal.labels.key e principal.labels.value Additional.fields.key eadditional.fields.value.string_value
Famiglia sistema operativo del dispositivo di origine (src_osfamily)	PanOSSourceDeviceOSFamily			principal.asset.platform_software.platform principal.labels.key e principal.labels.value additional.fields.key e additional.fields.value.string_value
Versione sistema operativo del dispositivo di origine (src_osversion)	PanOSSourceDeviceOSVersion			principal.asset.software.version
Nome host di origine (src_host)	PanOSSourceHostname			principal.hostname
Indirizzo MAC di origine (src_mac)	PanOSSourceMac			principal.asset.mac
Regione (regione)	PanOSTrafficOriginRegion			principal.location.country_or_region
User agent (user_agent)	PanOSHTTPUserAgent			network.http.user_agent
ID sessione(CID)	PanOSTrafficSessionID			network.session_id

URL

Nella tabella seguente sono elencati i campi del log per il tipo di log URL e i campi UDM corrispondenti.

Campo CSV	Campo CEF	Campo LEEF	Chiave dell'etichetta di Google Security Operations	Campo UDM
Ora di ricezione (cef-formatted-receive_time)	rt	devTime		metadata.collected_timestamp, metadata.event_timestamp (se "Data di generazione" non è presente)
N. di serie (serial)	deviceExternalId	SerialNumber		intermediary.asset.hardware.serial_number
Tipo (type)	type (Header)	gatto		metadata.product_event_type
Tipo di minaccia/contenuti (sottotipo)	sottotipo (intestazione)	Sottotipo		metadata.product_event_type
Ora generazione				metadata.event_timestamp
Indirizzo di origine (src)	src	src		principal.ip
Indirizzo di destinazione (dst)	DST	DST		target.ip
IP di origine NAT (natsrc)	sourceTranslatedAddress	srcPostNAT		principal.nat_ip
IP di destinazione NAT (natdst)	destinationTranslatedAddress	dstPostNAT		target.nat_ip
Regola (regola)	cs1	RuleName		security_result.rule_name
Utente di origine (srcuser)	Suser	SourceUser		principal.user.userid
Utente di destinazione (dstuser)	duser	DestinationUser		target.user.userid
Applicazione (app)	app	Applicazione		network.application_protocol
Sistema virtuale (vsys)	cs3	VirtualSystem	vsys	about.labels.key e about.labels.value Additional.fields.key eadditional.fields.value.string_value
Zona di origine (da)	cs4	SourceZone	da	principal.labels.key e principal.labels.value Additional.fields.key eadditional.fields.value.string_value
Zona di destinazione (a)	cs5	DestinationZone	a	target.labels.key e target.labels.value additional.fields.key e additional.fields.value.string_value
Interfaccia in entrata (inbound_if)	deviceInboundInterface	IngressInterface	inbound_if	principal.labels.key e principal.labels.value additional.fields.key e additional.fields.value.string_value
Interfaccia in uscita (outbound_if)	deviceOutboundInterface	EgressInterface	outbound_if	target.labels.key e target.labels.value Additional.fields.key eadditional.fields.value.string_value
Azione log (set di log)	cs6	LogForwardingProfile	logset	about.labels.key e about.labels.value additional.fields.key e additional.fields.value.string_value
Tempo di registrazione			time_logged	about.labels.key e about.labels.value additional.fields.key e additional.fields.value.string_value
ID sessione (CID)	cn1	SessionID		network.session_id
Conteggio ripetizioni (ripetizione)	cnt	RepeatCount	ripeti	about.labels.key e about.labels.value Additional.fields.key eadditional.fields.value.string_value
Porta di origine (sport)	spt	srcPort		principal.port
Porta di destinazione (dport)	dpt	dstPort		target.port
Porta di origine NAT (natsport)	sourceTranslatedPort	srcPostNATPort		principal.nat_port
Porta di destinazione NAT (natdport)	destinationTranslatedPort	dstPostNATPort		target.nat_port
Indicatori (flag)	flexString1	Bandiere	flags	about.labels.key e about.labels.value additional.fields.key e additional.fields.value.string_value
Protocollo IP (proto)	proto	proto		network.ip_protocol
Azione (azione)	agire	azione		security_result.action_details security_result.action
URL/nome file (vari)		Vari		target.file.full_path target.url
Nome minaccia/contenuti (minaccia)	gatto	ThreatID		security_result.threat_id
Categoria (category)	cs2	URLCategory	categoria	about.labels.key e about.labels.value Additional.fields.key eadditional.fields.value.string_value
Gravità (gravità)	number-of-severity (intestazione)	Gravità		security_result.severity security_result.severity_details
Direzione (direzione)	flexString2	Direzione		network.direction
Numero di sequenza (seqno)	externalId	sequenza		metadata.product_log_id
Flag di azione (actionflag)	PanOSActionFlags	ActionFlags	actionflags	about.labels.key e about.labels.value Additional.fields.key eadditional.fields.value.string_value
Paese di origine (srcloc)		SourceLocation		principal.location.country_or_region
Paese di destinazione (dstloc)		DestinationLocation		target.location.country_or_region
contenttype (contenttype)	requestContext	ContentType	tipo di contenuto	about.labels.key e about.labels.value Additional.fields.key eadditional.fields.value.string_value
pcap_id (pcap_id)	fileId	PCAP_ID	pcap_id	about.labels.key e about.labels.value Additional.fields.key eadditional.fields.value.string_value
filedigest (filedigest)		FileDigest		informazioni.file.sha1/md5/sha256
cloud (cloud)		Cloud	cloud	about.labels.key e about.labels.value additional.fields.key e additional.fields.value.string_value
url_idx (url_idx)		URLIndex	url_idx	about.labels.key e about.labels.value Additional.fields.key eadditional.fields.value.string_value
user_agent (user_agent)	requestClientApplication	UserAgent		network.http.user_agent
filetype (filetype)				about.file.mime_type
xff (xff)	PanOSXForwarderfor	identSrc	xff	about.labels.key e about.labels.value additional.fields.key e additional.fields.value.string_value
referer (referer)	PanOSReferer	Referer		network.http.referral_url
mittente (sender)				network.email.from
soggetto (oggetto)		Oggetto		network.email.subject
destinatario (destinatario)				network.email.to
reportid (reportid)			reportid	about.labels.key e about.labels.value additional.fields.key e additional.fields.value.string_value
Livello 1 della gerarchia DG (dg_hier_level_1)	PanOSDGl1	DeviceGroupHierarchyL1	dg_hier_level_1	about.labels.key e about.labels.value additional.fields.key e additional.fields.value.string_value
Livello 2 della gerarchia DG (dg_hier_level_2)	PanOSDGl2	DeviceGroupHierarchyL2	dg_hier_level_2	about.labels.key e about.labels.value additional.fields.key e additional.fields.value.string_value
Livello 3 della gerarchia DG (dg_hier_level_3)	PanOSDGl3	DeviceGroupHierarchyL3	dg_hier_level_3	about.labels.key e about.labels.value Additional.fields.key eadditional.fields.value.string_value
Livello 4 gerarchia DG (dg_hier_level_4)	PanOSDGl4	DeviceGroupHierarchyL4	dg_hier_level_4	about.labels.key e about.labels.value additional.fields.key e additional.fields.value.string_value
Nome sistema virtuale (vsys_name)	PanOSVsysName	vSrcName		principal.resource.name principal.resource.resource_type=VIRTUAL_MACHINE
Nome dispositivo (device_name)	dvchost	DeviceName		intermediary.hostname
file_url (file_url)				about.url
UUID VM di origine (src_uuid)		SrcUUID		principal.asset.asset_id
UUID VM di destinazione (dst_uuid)		DstUUID		target.asset.asset_id
http_method (http_method)	requestMethod	RequestMethod		network.http.method
ID tunnel/IMSI (tunnelid)	PanOSTunnelID	TunnelID	tunnelid	about.labels.key e about.labels.value additional.fields.key e additional.fields.value.string_value
Tag di monitoraggio/IMEI (tag di monitoraggio)	PanOSMonitorTag	MonitorTag	monitortag	about.labels.key e about.labels.value Additional.fields.key eadditional.fields.value.string_value
ID sessione principale (parent_session_id)	PanOSParentSessionID	ParentSessionID	parent_session_id	network.parent_session_id
Ora di inizio della sessione principale (parent_start_time)	PanOSParentStartTime	ParentStartTime	parent_start_time	about.labels.key e about.labels.value Additional.fields.key eadditional.fields.value.string_value
Tunnel (tunnel)	PanOSTunnelType	TunnelType	tunnel	about.labels.key e about.labels.value additional.fields.key e additional.fields.value.string_value
thr_category (thr_category)	PanOSThreatCategory	ThreatCategory	thr_category	security_result.detection_fields.key/value
contentver (contentver)	PanOSContentVer	ContentVer	contentver	about.labels.key e about.labels.value additional.fields.key e additional.fields.value.string_value
sig_flags (sig_flags)			sig_flags	about.labels.key e about.labels.value additional.fields.key e additional.fields.value.string_value
ID associazione SCTP (assoc_id)	PanOSAssocID		assoc_id	about.labels.key e about.labels.value Additional.fields.key eadditional.fields.value.string_value
Payload Protocol ID (ppid)	PanOSPPID		ppid	about.labels.key e about.labels.value Additional.fields.key eadditional.fields.value.string_value
http_headers (http_headers)	PanOSHTTPHeader		http_headers	about.labels.key e about.labels.value additional.fields.key e additional.fields.value.string_value
Elenco di categorie di URL (url_category_list)	PanOSURLCatList		url_category_list	about.labels.key e about.labels.value Additional.fields.key eadditional.fields.value.string_value
UUID per la regola (rule_uuid)	PanOSRuleUUID		rule_uuid	about.labels.key e about.labels.value additional.fields.key e additional.fields.value.string_value
Connessione HTTP/2 (http2_connection)	PanOSHTTP2Con		http2_connection	about.labels.key e about.labels.value Additional.fields.key eadditional.fields.value.string_value
dynusergroup_name (dynusergroup_name)	PanDynamicUsrgrp		dynusergroup_name	about.labels.key e about.labels.value Additional.fields.key eadditional.fields.value.string_value
Indirizzo XFF (xff_ip)	PanXFFIP			principal.ip
Categoria del dispositivo di origine (src_category)	PanSrcDeviceCat		src_category	principal.labels.key e principal.labels.value additional.fields.key e additional.fields.value.string_value
Profilo del dispositivo di origine (src_profile)	PanSrcDeviceProf		src_profile	principal.labels.key e principal.labels.value Additional.fields.key eadditional.fields.value.string_value
Modello del dispositivo di origine (src_model)	PanSrcDeviceModel		src_model	principal.labels.key e principal.labels.value Additional.fields.key eadditional.fields.value.string_value
Fornitore del dispositivo di origine (src_vendor)	PanSrcDeviceVendor		src_vendor	principal.labels.key e principal.labels.value Additional.fields.key eadditional.fields.value.string_value
Famiglia sistema operativo del dispositivo di origine (src_osfamily)	PanSrcDeviceOS			principal.asset.platform_software.platform principal.labels.key e principal.labels.value additional.fields.key e additional.fields.value.string_value
Versione sistema operativo del dispositivo di origine (src_osversion)	PanSrcDeviceOSv			principal.asset.software.version
Nome host origine (src_host)	PanSrcHostname		src_host	principal.labels.key e principal.labels.value additional.fields.key e additional.fields.value.string_value
Indirizzo MAC di origine (src_mac)	PanSrcMac			principal.mac
Categoria dispositivo di destinazione (dst_category)	PanDstDeviceCat		dst_category	target.labels.key e target.labels.value Additional.fields.key eadditional.fields.value.string_value
Profilo dispositivo di destinazione (dst_profile)	PanDstDeviceProf		dst_profile	target.labels.key e target.labels.value Additional.fields.key eadditional.fields.value.string_value
Modello del dispositivo di destinazione (dst_model)	PanDstDeviceModel		dst_model	target.labels.key e target.labels.value Additional.fields.key eadditional.fields.value.string_value
Fornitore del dispositivo di destinazione (dst_vendor)	PanDstDeviceVendor		dst_vendor	target.labels.key e target.labels.value additional.fields.key e additional.fields.value.string_value
Famiglia del sistema operativo del dispositivo di destinazione (dst_osfamily)	PanDstDeviceOS			target.asset.platform_software.platform target.labels.key e target.labels.value
Versione sistema operativo del dispositivo di destinazione (dst_osversion)	PanDstDeviceOSv			target.asset.software.version
Nome host di destinazione (dst_host)	PanPODNamespace			target.hostname
Indirizzo MAC di destinazione (dst_mac)	PanDstMac			target.mac
ID contenitore (container_id)	PanContainerName		container_id	about.labels.key e about.labels.value Additional.fields.key eadditional.fields.value.string_value
Spazio dei nomi del pod (pod_namespace)	PanPODNamespace		pod_namespace	about.labels.key e about.labels.value Additional.fields.key eadditional.fields.value.string_value
Nome del pod (pod_name)	PanPODName		pod_name	about.labels.key e about.labels.value Additional.fields.key eadditional.fields.value.string_value
Elenco dinamico esterno di origine (src_edl)	PanSrcEDL		src_edl	principal.labels.key e principal.labels.value additional.fields.key e additional.fields.value.string_value
Elenco dinamico esterno di destinazione (dst_edl)	PanDstEDL		dst_edl	target.labels.key e target.labels.value Additional.fields.key eadditional.fields.value.string_value
ID host (hostid)	PanGPHostID		hostid	about.labels.key e about.labels.value Additional.fields.key eadditional.fields.value.string_value
Numero di serie (serialnumber)	PanEPSerial			principal.asset.hardware.serial_number
dominio_edl (dominio_edl)	PanDomainEDL		domain_edl	about.labels.key e about.labels.value Additional.fields.key eadditional.fields.value.string_value
Gruppo di indirizzi dinamici di origine (src_dag)	PanSrcDAG			principal.group.group_display_name
Gruppo di indirizzi dinamici di destinazione (dst_dag)	PanDstDAG			target.group.group_display_name
parziale_hash (parziale_hash)	PanPartialHash		partial_hash	about.labels.key e about.labels.value additional.fields.key e additional.fields.value.string_value
Timestamp ad alta risoluzione (high_res_timestamp)	PanTimeHighRes			metadata.collected_timestamp, metadata.event_timestamp (se il valore "Generare il tempo" è assente)
Motivo (reason)	PanReasonFilteringAction		motivo	about.labels.key e about.labels.value additional.fields.key e additional.fields.value.string_value
giustificazione (giustificazione)	PanJustification		giustificazione	about.labels.key e about.labels.value additional.fields.key e additional.fields.value.string_value
nssai_sst (nssai_sst)	PanASServiceType		nssai_sst	about.labels.key e about.labels.value Additional.fields.key eadditional.fields.value.string_value
Sottocategoria dell'app (subcategory_of_app)			subcategory_of_app	about.labels.key e about.labels.value additional.fields.key e additional.fields.value.string_value
Categoria dell'app (category_of_app)			category_of_app	about.labels.key e about.labels.value additional.fields.key e additional.fields.value.string_value
Tecnologia dell'app (technology_of_app)			technology_of_app	about.labels.key e about.labels.value Additional.fields.key eadditional.fields.value.string_value
Rischio di app (risk_of_app)			risk_of_app	about.labels.key e about.labels.value additional.fields.key e additional.fields.value.string_value
Caratteristica dell'app (characteristic_of_app)			characteristic_of_app	about.labels.key e about.labels.value Additional.fields.key eadditional.fields.value.string_value
Container dell'app (container_of_app)			container_of_app	about.labels.key e about.labels.value additional.fields.key e additional.fields.value.string_value
App sottoposta a tunnel (tunneled_app)			tunneled_app	about.labels.key e about.labels.value additional.fields.key e additional.fields.value.string_value
SaaS dell'app (is_saas_of_app)			is_saas_of_app	about.labels.key e about.labels.value Additional.fields.key eadditional.fields.value.string_value
Stato dell'app soggetto a sanzioni (sanctioned_state_of_app)			sanctioned_state_of_app	about.labels.key e about.labels.value Additional.fields.key eadditional.fields.value.string_value

Dati

La tabella seguente elenca i campi del log del tipo di log dei dati e i relativi campi UDM.

Campo CSV	Campo CEF	Campo LEEF	Chiave dell'etichetta di Google Security Operations	Campo UDM
Ora di ricezione (cef-formatted-receive_time)	rt	devTime		metadata.collected_timestamp, metadata.event_timestamp (se "Data di generazione" non è presente)
N. di serie (serial)	deviceExternalId	SerialNumber		intermediary.asset.hardware.serial_number
Tipo (type)	type (Header)	gatto		metadata.product_event_type
Tipo di minaccia/contenuti (sottotipo)	sottotipo (intestazione)	Sottotipo		metadata.product_event_type
Ora generazione				metadata.event_timestamp
Indirizzo di origine (src)	src	src		principal.ip
Indirizzo di destinazione (dst)	DST	DST		target.ip
IP di origine NAT (natsrc)	sourceTranslatedAddress	srcPostNAT		principal.nat_ip
IP di destinazione NAT (natdst)	destinationTranslatedAddress	dstPostNAT		target.nat_ip
Regola (regola)	cs1	RuleName		security_result.rule_name
Utente di origine (srcuser)	Suser	SourceUser		principal.user.userid
Utente di destinazione (dstuser)	duser	DestinationUser		target.user.userid
Applicazione (app)	app	Applicazione		network.application_protocol
Sistema virtuale (vsys)	cs3	VirtualSystem	vsys	about.labels.key e about.labels.value Additional.fields.key eadditional.fields.value.string_value
Zona di origine (da)	cs4	SourceZone	da	principal.labels.key e principal.labels.value Additional.fields.key eadditional.fields.value.string_value
Zona di destinazione (a)	cs5	DestinationZone	a	target.labels.key e target.labels.value additional.fields.key e additional.fields.value.string_value
Interfaccia in entrata (inbound_if)	deviceInboundInterface	IngressInterface	inbound_if	principal.labels.key e principal.labels.value additional.fields.key e additional.fields.value.string_value
Interfaccia in uscita (outbound_if)	deviceOutboundInterface	EgressInterface	outbound_if	target.labels.key e target.labels.value Additional.fields.key eadditional.fields.value.string_value
Azione log (set di log)	cs6	LogForwardingProfile	logset	about.labels.key e about.labels.value additional.fields.key e additional.fields.value.string_value
Tempo di registrazione			time_logged	about.labels.key e about.labels.value additional.fields.key e additional.fields.value.string_value
ID sessione (CID)	cn1	SessionID		network.session_id
Conteggio ripetizioni (ripetizione)	cnt	RepeatCount	ripeti	about.labels.key e about.labels.value Additional.fields.key eadditional.fields.value.string_value
Porta di origine (sport)	spt	srcPort		principal.port
Porta di destinazione (dport)	dpt	dstPort		target.port
Porta di origine NAT (natsport)	sourceTranslatedPort	srcPostNATPort		principal.nat_port
Porta di destinazione NAT (natdport)	destinationTranslatedPort	dstPostNATPort		target.nat_port
Indicatori (flag)	flexString1	Bandiere	flags	about.labels.key e about.labels.value additional.fields.key e additional.fields.value.string_value
Protocollo IP (proto)	proto	proto		network.ip_protocol
Azione (azione)	agire	azione		security_result.action_details security_result.action
URL/nome file (vari)		Vari		target.file.full_path target.url
Nome minaccia/contenuti (minaccia)	gatto	ThreatID		security_result.threat_id
Categoria (category)	cs2	URLCategory	categoria	about.labels.key e about.labels.value Additional.fields.key eadditional.fields.value.string_value
Gravità (gravità)	number-of-severity (intestazione)	Gravità		security_result.severity security_result.severity_details
Direzione (direzione)	flexString2	Direzione		network.direction
Numero di sequenza (seqno)	externalId	sequenza		metadata.product_log_id
Flag di azione (actionflag)	PanOSActionFlags	ActionFlags	actionflags	about.labels.key e about.labels.value Additional.fields.key eadditional.fields.value.string_value
Paese di origine (srcloc)		SourceLocation		principal.location.country_or_region
Paese di destinazione (dstloc)		DestinationLocation		target.location.country_or_region
contenttype (contenttype)		ContentType	tipo di contenuto	about.labels.key e about.labels.value Additional.fields.key eadditional.fields.value.string_value
pcap_id (pcap_id)	fileId	PCAP_ID	pcap_id	about.labels.key e about.labels.value Additional.fields.key eadditional.fields.value.string_value
filedigest (filedigest)		FileDigest		informazioni.file.sha1/md5/sha256
cloud (cloud)		Cloud	cloud	about.labels.key e about.labels.value additional.fields.key e additional.fields.value.string_value
url_idx (url_idx)		URLIndex	url_idx	about.labels.key e about.labels.value Additional.fields.key eadditional.fields.value.string_value
user_agent (user_agent)				network.http.user_agent
filetype (filetype)				about.file.mime_type
xff (xff)			xff	about.labels.key e about.labels.value additional.fields.key e additional.fields.value.string_value
referer (referer)				network.http.referral_url
mittente (sender)				network.email.from
soggetto (oggetto)		Oggetto		network.email.subject
destinatario (destinatario)				network.email.to
reportid (reportid)			reportid	about.labels.key e about.labels.value additional.fields.key e additional.fields.value.string_value
Livello 1 della gerarchia DG (dg_hier_level_1)	PanOSDGl1	DeviceGroupHierarchyL1	dg_hier_level_1	about.labels.key e about.labels.value additional.fields.key e additional.fields.value.string_value
Livello 2 della gerarchia DG (dg_hier_level_2)	PanOSDGl2	DeviceGroupHierarchyL2	dg_hier_level_2	about.labels.key e about.labels.value additional.fields.key e additional.fields.value.string_value
Livello 3 della gerarchia DG (dg_hier_level_3)	PanOSDGl3	DeviceGroupHierarchyL3	dg_hier_level_3	about.labels.key e about.labels.value Additional.fields.key eadditional.fields.value.string_value
Livello 4 gerarchia DG (dg_hier_level_4)	PanOSDGl4	DeviceGroupHierarchyL4	dg_hier_level_4	about.labels.key e about.labels.value additional.fields.key e additional.fields.value.string_value
Nome sistema virtuale (vsys_name)	PanOSVsysName	vSrcName		principal.resource.name principal.resource.resource_type=VIRTUAL_MACHINE
Nome dispositivo (device_name)	dvchost	DeviceName		intermediary.hostname
file_url (file_url)				about.url
UUID VM di origine (src_uuid)		SrcUUID		principal.asset.asset_id
UUID VM di destinazione (dst_uuid)		DstUUID		target.asset.asset_id
http_method (http_method)		RequestMethod		network.http.method
ID tunnel/IMSI (tunnelid)	PanOSTunnelID	TunnelID	tunnelid	about.labels.key e about.labels.value additional.fields.key e additional.fields.value.string_value
Tag di monitoraggio/IMEI (tag di monitoraggio)	PanOSMonitorTag	MonitorTag	monitortag	about.labels.key e about.labels.value Additional.fields.key eadditional.fields.value.string_value
ID sessione principale (parent_session_id)	PanOSParentSessionID	ParentSessionID	parent_session_id	network.parent_session_id
Ora di inizio della sessione principale (parent_start_time)	PanOSParentStartTime	ParentStartTime	parent_start_time	about.labels.key e about.labels.value Additional.fields.key eadditional.fields.value.string_value
Tunnel (tunnel)	PanOSTunnelType	TunnelType	tunnel	about.labels.key e about.labels.value additional.fields.key e additional.fields.value.string_value
thr_category (thr_category)	PanOSThreatCategory	ThreatCategory	thr_category	security_result.detection_fields.key/value
contentver (contentver)	PanOSContentVer	ContentVer	contentver	about.labels.key e about.labels.value additional.fields.key e additional.fields.value.string_value
sig_flags (sig_flags)			sig_flags	about.labels.key e about.labels.value additional.fields.key e additional.fields.value.string_value
ID associazione SCTP (assoc_id)	PanOSAssocID		assoc_id	about.labels.key e about.labels.value Additional.fields.key eadditional.fields.value.string_value
Payload Protocol ID (ppid)	PanOSPPID		ppid	about.labels.key e about.labels.value Additional.fields.key eadditional.fields.value.string_value
http_headers (http_headers)	PanOSHTTPHeader		http_headers	about.labels.key e about.labels.value additional.fields.key e additional.fields.value.string_value
Elenco di categorie di URL (url_category_list)			url_category_list	about.labels.key e about.labels.value Additional.fields.key eadditional.fields.value.string_value
UUID per la regola (rule_uuid)	PanOSRuleUUID		rule_uuid	about.labels.key e about.labels.value additional.fields.key e additional.fields.value.string_value
Connessione HTTP/2 (http2_connection)			http2_connection	about.labels.key e about.labels.value Additional.fields.key eadditional.fields.value.string_value
dynusergroup_name (dynusergroup_name)			dynusergroup_name	principal.labels.key e principal.labels.value Additional.fields.key eadditional.fields.value.string_value
Indirizzo XFF (xff_ip)				principal.ip
Categoria dispositivo di origine (src_category)			src_category	principal.labels.key e principal.labels.value additional.fields.key e additional.fields.value.string_value
Profilo del dispositivo di origine (src_profile)			src_profile	principal.labels.key e principal.labels.value Additional.fields.key eadditional.fields.value.string_value
Modello del dispositivo di origine (src_model)			src_model	principal.labels.key e principal.labels.value Additional.fields.key eadditional.fields.value.string_value
Fornitore dispositivo di origine (src_vendor)			src_vendor	principal.labels.key e principal.labels.value Additional.fields.key eadditional.fields.value.string_value
Famiglia del sistema operativo del dispositivo di origine (src_osfamily)				principal.asset.platform_software.platform principal.labels.key e principal.labels.value additional.fields.key e additional.fields.value.string_value
Versione sistema operativo del dispositivo di origine (src_osversion)				principal.asset.software.version
Nome host di origine (src_host)			src_host	principal.labels.key e principal.labels.value additional.fields.key e additional.fields.value.string_value
Indirizzo MAC di origine (src_mac)				principal.mac
Categoria dispositivo di destinazione (dst_category)			dst_category	target.labels.key e target.labels.value Additional.fields.key eadditional.fields.value.string_value
Profilo dispositivo di destinazione (dst_profile)			dst_profile	target.labels.key e target.labels.value Additional.fields.key eadditional.fields.value.string_value
Modello del dispositivo di destinazione (dst_model)			dst_model	target.labels.key e target.labels.value Additional.fields.key eadditional.fields.value.string_value
Fornitore dispositivo di destinazione (dst_vendor)			dst_vendor	target.labels.key e target.labels.value additional.fields.key e additional.fields.value.string_value
Famiglia sistema operativo del dispositivo di destinazione (dst_osfamily)				target.asset.platform_software.platform target.labels.key e target.labels.value
Versione sistema operativo del dispositivo di destinazione (dst_osversion)				target.asset.software.version
Nome host di destinazione (dst_host)				target.hostname
Indirizzo MAC di destinazione (dst_mac)				target.mac
ID contenitore (container_id)			container_id	about.labels.key e about.labels.value Additional.fields.key eadditional.fields.value.string_value
Spazio dei nomi del pod (pod_namespace)			pod_namespace	about.labels.key e about.labels.value Additional.fields.key eadditional.fields.value.string_value
Nome POD (pod_name)			pod_name	about.labels.key e about.labels.value Additional.fields.key eadditional.fields.value.string_value
Elenco dinamico esterno di origine (src_edl)			src_edl	principal.labels.key e principal.labels.value additional.fields.key e additional.fields.value.string_value
Elenco dinamico esterno di destinazione (dst_edl)			dst_edl	target.labels.key e target.labels.value Additional.fields.key eadditional.fields.value.string_value
ID host (hostid)			hostid	about.labels.key e about.labels.value Additional.fields.key eadditional.fields.value.string_value
Numero di serie (numero di serie)				principal.asset.hardware.serial_number
domain_edl (domain_edl)			domain_edl	about.labels.key e about.labels.value Additional.fields.key eadditional.fields.value.string_value
Gruppo di indirizzi dinamici di origine (src_dag)				principal.group.group_display_name
Gruppo di indirizzi dinamici di destinazione (dst_dag)				target.group.group_display_name
parziale_hash (parziale_hash)			partial_hash	about.labels.key e about.labels.value additional.fields.key e additional.fields.value.string_value
Timestamp ad alta risoluzione (high_res_timestamp)				metadata.collected_timestamp, metadata.event_timestamp (se il valore "Generare il tempo" è assente)
Motivo (reason)			motivo	about.labels.key e about.labels.value additional.fields.key e additional.fields.value.string_value
giustificazione (giustificazione)			giustificazione	about.labels.key e about.labels.value additional.fields.key e additional.fields.value.string_value
nssai_sst (nssai_sst)			nssai_sst	about.labels.key e about.labels.value Additional.fields.key eadditional.fields.value.string_value
Sottocategoria dell'app (subcategory_of_app)			subcategory_of_app	about.labels.key e about.labels.value additional.fields.key e additional.fields.value.string_value
Categoria dell'app (category_of_app)			category_of_app	about.labels.key e about.labels.value additional.fields.key e additional.fields.value.string_value
Tecnologia dell'app (technology_of_app)			technology_of_app	about.labels.key e about.labels.value Additional.fields.key eadditional.fields.value.string_value
Rischio di app (risk_of_app)			risk_of_app	about.labels.key e about.labels.value additional.fields.key e additional.fields.value.string_value
Caratteristica dell'app (characteristic_of_app)			characteristic_of_app	about.labels.key e about.labels.value Additional.fields.key eadditional.fields.value.string_value
Container dell'app (container_of_app)			container_of_app	about.labels.key e about.labels.value additional.fields.key e additional.fields.value.string_value
App sottoposta a tunnel (tunneled_app)			tunneled_app	about.labels.key e about.labels.value additional.fields.key e additional.fields.value.string_value
SaaS dell'app (is_saas_of_app)			is_saas_of_app	about.labels.key e about.labels.value Additional.fields.key eadditional.fields.value.string_value
Stato dell'app soggetto a sanzioni (sanctioned_state_of_app)			sanctioned_state_of_app	about.labels.key e about.labels.value additional.fields.key e additional.fields.value.string_value

GlobalProtect

La tabella seguente elenca i campi dei log del tipo di log GlobalProtect e i relativi campi UDM.

Campo CSV	Campo CEF	Campo LEEF	Chiave dell'etichetta di Google Security Operations	Campo UDM
Ora di ricezione (receive_time)	rt		received_time	metadata.event_timestamp
N. di serie (serial)	PanOSDeviceSN		intermediary_asset_hardware_serial_number	intermediary.asset.hardware.serial_number
Tipo (type)	type (Header)			metadata.product_event_type
Tipo di minaccia/contenuti (sottotipo)	sottotipo (intestazione)	Sottotipo		metadata.product_event_type
Ora di generazione (time_generated)	PanOSLogTimeStamp		generated_timestamp	metadata.event_timestamp
Sistema virtuale (vsys)	PanOSVirtualSystem		vsys	about.labels.key e about.labels.value additional.fields.key e additional.fields.value.string_value
ID evento (eventid)	PanOSEventID		event_id	about.labels.key e about.labels.value Additional.fields.key eadditional.fields.value.string_value
Fase (fase)	PanOSStage		fase	about.labels.key e about.labels.value additional.fields.key e additional.fields.value.string_value
Metodo di autenticazione (auth_method)	PanOSAuthMethod		extension_auth_auth_details	extensions.auth.auth_details
Tipo di tunnel (tunnel_type)	PanOSTunnelType		tunnel	about.labels.key e about.labels.value additional.fields.key e additional.fields.value.string_value
Utente di origine (srcuser)	PanOSSourceUserName		src_user	principal.user.email_address principal.user.userid principal.administrative_domain
Regione di origine (srcregion)	PanOSSourceRegion		src_region	principal.location.country_or_region
Nome macchina (machinename)	PanOSEndpointDeviceName		machine_name	principal.hostname
IP pubblico (public_ip)	PanOSPublicIPv4			principal.nat_ip
IPv6 pubblico (public_ipv6)	PanOSPublicIPv6			principal.nat_ip
IP privato (private_ip)	PanOSPrivateIPv4			principal.ip
IPv6 privato (private_ipv6)	PanOSPrivateIPv6			principal.ip
ID host (hostid)	PanOSHostID		hostid	principal.asset.asset_id
Numero di serie (numero di serie)	PanOSDeviceSN			principal.asset.hardware.serial_number
Versione client (client_ver)	PanOSGlobalProtectClientVersion		client_ver	about.labels.key e about.labels.value additional.fields.key e additional.fields.value.string_value
Sistema operativo client (client_os)	PanOSEndpointOSType			principal.asset.platform_software.platform(enum)
Versione sistema operativo client (client_os_ver)	PanOSEndpointOSVersion			principal.asset.platform_software.platform_version
Conteggio ripetizioni (ripetizione)	PanOSCountOfRepeats		ripeti	about.labels.key e about.labels.value additional.fields.key e additional.fields.value.string_value
Motivo (motivo)	PanOSQuarantineReason			security_result.summary
Errore (errore)	PanOSConnectionError		errore	security_result.description
Descrizione (opaca)	PanOSDescription			security_result.description
Stato (stato)	PanOSEventStatus		stato	about.labels.key e about.labels.value Additional.fields.key eadditional.fields.value.string_value
Posizione (location)	PanOSGPGatewayLocation			target.location.country_or_region
Durata accesso (login_duration)	PanOSLoginDuration			network.session_duration
Metodo di connessione (connect_method)	PanOSConnectionMethod		connect_method	about.labels.key e about.labels.value Additional.fields.key eadditional.fields.value.string_value
Codice di errore (error_code)	PanOSConnectionErrorID		error_code	about.labels.key e about.labels.value Additional.fields.key eadditional.fields.value.string_value
Portale (portal)	PanOSPortal		portale	about.labels.key e about.labels.value Additional.fields.key eadditional.fields.value.string_value
Numero di sequenza (seqno)	PanOSSequenceNo			metadata.product_log_id
Flag di azione (actionflag)	PanOSActionFlags		flag action	about.labels.key e about.labels.value additional.fields.key e additional.fields.value.string_value
Timestamp ad alta risoluzione (high_res_timestamp)	anOSTimeGeneratedHighResolution			metadata.collected_timestamp, metadata.event_timestamp (se il valore "Generare il tempo" è assente)
Metodo di selezione gateway (selection_type)	PanOSGatewaySelectionType		selection_type	about.labels.key e about.labels.value additional.fields.key e additional.fields.value.string_value
Tempo di risposta SSL (response_time)	PanOSSSLResponseTime		response_time	about.labels.key e about.labels.value Additional.fields.key eadditional.fields.value.string_value
Priorità del gateway (priority)	PanOSGatewayPriority		priorità	about.labels.key e about.labels.value Additional.fields.key eadditional.fields.value.string_value
Gateway tentati (attempted_gateways)	PanOSAttemptedGateways		attempted_gateways	about.labels.key e about.labels.value additional.fields.key e additional.fields.value.string_value
Nome gateway (gateway)	PanOSAttemptedGateways		gateway	about.labels.key e about.labels.value additional.fields.key e additional.fields.value.string_value
Gerarchia del gruppo di dispositivi (dg_hier_level_1)			dg_hier_level_1	about.labels.key e about.labels.value Additional.fields.key eadditional.fields.value.string_value
Gerarchia dei gruppi di dispositivi (dg_hier_level_2)			dg_hier_level_2	about.labels.key e about.labels.value additional.fields.key e additional.fields.value.string_value
Gerarchia dei gruppi di dispositivi (dg_hier_level_3)			dg_hier_level_3	about.labels.key e about.labels.value Additional.fields.key eadditional.fields.value.string_value
Gerarchia del gruppo di dispositivi (dg_hier_level_4)			dg_hier_level_4	about.labels.key e about.labels.value additional.fields.key e additional.fields.value.string_value
Nome sistema virtuale (vsys_name)				principal.resource.name principal.resource.resource_type=VIRTUAL_MACHINE
Nome del dispositivo (device_name)				target.hostname
ID sistema virtuale (vsys_id)				principal.resource.resource_type=VIRTUAL_MACHINE e principal.resource.product_object_id

Correlazione

La seguente tabella elenca i campi del log del tipo di log di correlazione e i campi UDM corrispondenti.

Campo CSV	Campo LEEF	Chiave dell'etichetta di Google Security Operations	Campo UDM
Ora di generazione (time_generate o cef-formatted-time_generate)	startTime	generated_timestamp	metadata.event_timestamp
Indirizzo di origine (src)	src		principal.ip
Utente di origine (srcuser)	SourceUser/usrName		principal.user.userid
Sistema virtuale (vsys)	VirtualSystem	vsys	about.labels.key e about.labels.value Additional.fields.key eadditional.fields.value.string_value
Categoria (categoria)			security_result.category_details
Gravità (gravità)	Gravità		security_result.severity e security_result.severity_details
Livello 1 della gerarchia dei gruppi di dispositivi	DeviceGroupHierarchyL1		about.labels.key e about.labels.value Additional.fields.key eadditional.fields.value.string_value
Livello 2 della gerarchia dei gruppi di dispositivi	DeviceGroupHierarchyL2		about.labels.key e about.labels.value additional.fields.key e additional.fields.value.string_value
Livello 3 della gerarchia dei gruppi di dispositivi	DeviceGroupHierarchyL3		about.labels.key e about.labels.value additional.fields.key e additional.fields.value.string_value
Gerarchia dei gruppi di dispositivi livello 4	DeviceGroupHierarchyL4		about.labels.key e about.labels.value additional.fields.key e additional.fields.value.string_value
Nome del sistema virtuale (vsys_name)	vSrcName		principal.resource.name principal.resource.resource_type=VIRTUAL_MACHINE
Nome del dispositivo (device_name)	DeviceName		intermediary.hostname
ID sistema virtuale (vsys_id)	VirtualSystemID		principal.resource.resource_type=VIRTUAL_MACHINE e principal.resource.product_object_id
Nome dell'oggetto (nomeoggetto)	ObjectName		target.resource.name
ID oggetto (object_id)	ObjectID		target.resource.product_object_id

Riferimento per la mappatura dei campi: registra i tipi di evento UDM dai tipi

La tabella seguente elenca i tipi di log del firewall Palo Alto Networks e i relativi tipi di eventi UDM.

Tipo di log	Tipo di evento UDM
Traffico	NETWORK_CONNECTION
Minaccia	NETWORK_CONNECTION
Filtro degli URL	NETWORK_CONNECTION
WildFire	NETWORK_CONNECTION I log di invio di WildFire sono un sottotipo del tipo di log delle minacce e utilizzano lo stesso syslog.
Filtro dei dati	NETWORK_CONNECTION
Tunnel	NETWORK_CONNECTION
Configurazione	SETTING_MODIFICATION/SETTING_CREATION/SETTING_DELETION/SETTING_UNCATEGORIZED Il valore del campo "Comando (cmd)" determina la mappatura del tipo di evento UDM. Se il valore del campo cmd è add o clone, viene impostato SETTING_CREATION. Se il valore del campo cmd è delete, viene impostato SETTING_DELETION. Se il valore del campo cmd è edit, move, rename, set o commit, SETTING_MODIFICATION è impostato. Se il valore del campo cmd non contiene alcun valore, allora SETTING_UNCATEGORIZED è impostata.
Sistema	Se il valore del sottotipo è "dhcp", viene impostato NETWORK_DHCP. Se il valore del sottotipo è "auth", è impostato USER_LOGIN. Se il valore della descrizione è "logged in", USER_LOGIN è impostato. Se il valore della descrizione è "disconnesso", viene impostato USER_LOGOUT. Per gli altri valori del sottotipo, viene impostato GENERIC_EVENT.
Corrispondenza HIP	NETWORK_CONNECTION
Tag IP	GENERIC_EVENT
User-ID	USER_LOGIN/USER_LOGOUT/USER_UNCATEGORIZED Se il valore del sottotipo è "login", viene impostato USER_LOGIN. Se il valore del sottotipo è "logout", viene impostato USER_LOGOUT. Se il sottotipo non contiene alcun valore, viene impostato USER_UNCATEGORIZED.
Decriptazione	NETWORK_CONNECTION
Autenticazione	GENERIC_EVENT

Passaggi successivi

Importazione dei dati in Google Security Operations

Formato dei log	Versione PAN-OS
CSV	10.1.3
CEF	10.0.0
LEEF	9.1.0