Palo Alto Networks ファイアウォール ログを収集する

概要

このドキュメントでは、Palo Alto Networks ファイアウォールのログを収集するように syslog と Chronicle フォワーダーを構成する方法について説明します。このドキュメントでは、Palo Alto Networks のファイアウォールのログフィールドを Chronicle の統合データモデル(UDM)フィールドにマッピングする方法についても説明します。

Chronicle のデータの取り込みの概要については、Chronicle へのデータの取り込みをご覧ください。

取り込みラベルによって、未加工のログデータを構造化 UDM 形式に正規化するパーサーが識別されます。このドキュメントの情報は、PAN_FIREWALL の取り込みラベルを持つパーサーに適用されます。

始める前に

  • Palo Alto Networks ファイアウォールのログを収集するためにデプロイされたコンポーネントを理解するには、デプロイ アーキテクチャを確認します。お客様のデプロイはそれぞれこの表現とは異なる可能性があり、より複雑になることがあります。

    次の図は、Palo Alto Networks ファイアウォールに syslog を構成し、Linux サーバーに Chronicle フォワーダーをインストールして、ログデータを Chronicle に転送する方法を示しています。パーサーは、カンマ区切り(CSV)、共通イベント形式(CEF)、ログイベント拡張形式(LEEF)のデータ形式で書き込まれたログをサポートしています。

    デプロイ アーキテクチャ

  • Chronicle パーサーがサポートするログ形式と PAN-OS バージョンを確認します。次の表に、Chronicle パーサーがサポートするログ形式と対応する PAN-OS バージョンを示します。

    ログ形式 PAN-OS のバージョン
    CSV 10.1.3
    CEF 10.0.0
    LEEF 9.1.0

  • Chronicle パーサーがサポートする Palo Alto Networks ファイアウォール ログタイプを確認します。Chronicle パーサーは、次の Palo Alto Networks ファイアウォール ログタイプをサポートします。

    • トラフィック
    • 脅威
    • WildFire 提出
    • トンネル検査
    • Config
    • システム
    • HIP マッチング
    • IP タグ
    • User-ID
    • 復号
    • Authentication
    • URL のフィルタリング
    • データのフィルタリング
    • GlobalProtect
    • 相関

    Palo Alto Networks ファイアウォールのログタイプの詳細については、PAN-OS ログタイプをご覧ください。

  • デプロイ アーキテクチャ内のすべてのシステムが、UTC タイムゾーンに構成されていることを確認します。

  • Palo Alto Networks ファイアウォールのゴールド パーサーを使用する前に、このドキュメントに記載されているデフォルトのパーサーとゴールド パーサー間のフィールド マッピングの変更を確認してください。移行の一環として、ルール、検索、ダッシュボード、元のフィールドに依存するその他のプロセスで、更新されたフィールドが使用されることを確認します。

    たとえば、デフォルトのパーサーでは、「category」ログフィールドが「security_result.description」UDM フィールドにマッピングされます。PAN ファイアウォールのパーサーでは、「category」ログフィールドが「security_result.category_details」UDM フィールドにマッピングされます。PAN ファイアウォール パーサーに移行し、ルールで「category」を使用する場合は、ゴールド パーサーの「security_result.category_details」UDM フィールドを使用するようにルールを変更する必要があります。

syslog と Chronicle フォワーダーを構成する

syslog と Chronicle フォワーダーを構成するには、次の手順を行います。

  1. CSV ログをモニタリングするには、syslog サーバー プロファイルを構成します。詳細については、syslog サーバー プロファイルを構成するをご覧ください。

    syslog サーバー プロファイルを構成するときは、カスタムログ形式として「デフォルト」を指定します。

  2. CEF ログをモニタリングするには、CEF ログを転送するように Palo Alto Networks ファイアウォールを構成します。詳細については、PAN-OS CEF 統合ガイドの PDF をダウンロードし、「CEF イベントを出力する Palo Alto Networks NGFW の構成」のセクションをご覧ください。

  3. LEEF ログをモニタリングするには、Syslog サーバー プロファイルを構成します。詳しくは、LEEF 形式のカスタムログ転送をご覧ください。

  4. Chronicle フォワーダーを、Chronicle へログを送信するように構成します。詳細については、Linux でのフォワーダーのインストールと構成をご覧ください。Chronicle フォワーダー構成の例を次に示します。

      - syslog:
          common:
            enabled: true
            data_type: PAN_FIREWALL
            batch_n_seconds: 10
            batch_n_bytes: 1048576
          tcp_address: 0.0.0.0:10518
          connection_timeout_sec: 60
    

フィールド マッピング リファレンス: PAN ファイアウォールのログを UDM フィールドに記録する

このセクションでは、パーサーが Palo Alto Networks ファイアウォール ログフィールドを、ログタイプごとに Chronicle UDM イベント フィールドにマッピングする方法について説明します。

Chronicle のラベルキーは、Labels.key UDM フィールドにマッピングされたキーの名前を参照します。 たとえば、「Virtual System」フィールドの場合、フィールド名は CEF 形式の「cs3」と LEEF 形式の「VirtualSystem」です。UDM フィールド「about.labels.key」には値「vsys」が含まれ、UDM フィールド「about.labels.value」にはそのフィールドの値が含まれます。

一部の CEF または LEEF フィールド名には、CSV フィールド名に対応する名前がありません。このようなケースでは、独自の変数名をカスタムログ形式で syslog プロファイルに追加すると、パーサーは UDM フィールドにマッピングされません。

各ログタイプのマッピング リファレンスについては、以下のセクションをご覧ください。

システム

次の表に、システムログタイプのログ フィールドと、対応する UDM フィールドを示します。

CSV フィールド CEF 項目 LEEF フィールド Chronicle のラベルキー UDM フィールド
受信時刻(Received_time または cef-format-Received_time) rt devTime metadata.collected_timestamp,

metadata.event_timestamp(「生成時間」がない場合)

シリアル番号(serial) deviceExternalId SerialNumber intermediary.asset.hardware.serial_number
タイプ(タイプ) タイプ(ヘッダー) cat metadata.product_event_type は "%{type} - %{subtype}" に設定されている。
脅威/コンテンツ タイプ(サブタイプ) サブタイプ(ヘッダー) サブタイプ metadata.product_event_type は "%{type} - %{subtype}" に設定されている。
Generated Time(time_generated または cef-format-time_generated) metadata.event_timestamp
仮想システム(vsys) cs3 VirtualSystem vsys

about.labels.key と about.labels.value

additional.fields.key と additional.fields.value.string_value

イベント ID(eventid) cat eventid

about.labels.key と about.labels.value

additional.fields.key と additional.fields.value.string_value

オブジェクト(object) fname ファイル名 オブジェクト

about.labels.key と about.labels.value

additional.fields.key と additional.fields.value.string_value

モジュール(モジュール) flexString2 モジュール モジュール

about.labels.key と about.labels.value

additional.fields.key と additional.fields.value.string_value

重大度(severity) $number-of-severity(ヘッダー) 重大度 security_result.severity と security_result.severity_details
説明(不透明) msg msg metadata.description
principal_user_userid(このフィールドは msg フィールドから抽出されます) principal.user.userid
principal_ip3(このフィールドは msg フィールドから抽出されます) principal.ip
Reason(このフィールドは msg フィールドから抽出されます) security_result.description
server_address(このフィールドは、msg フィールドから抽出されます) target.ip
server_profile(このフィールドは msg フィールドから抽出されます) additional.fields.key と additional.fields.value.string_value
シーケンス番号(seqno) externalId シーケンス metadata.product_log_id
アクション フラグ(アクションフラグ) PanOSActionFlags ActionFlags actionflags

about.labels.key と about.labels.value

additional.fields.key と additional.fields.value.string_value

デバイス グループ階層(dg_hier_level_1 から dg_hier_level_4) PanOSDGl1 DeviceGroupHierarchyL1 dg_hier_level_1

about.labels.key と about.labels.value

additional.fields.key と additional.fields.value.string_value

デバイス グループ階層(dg_hier_level_2) PanOSDGl2 DeviceGroupHierarchyL2 dg_hier_level_2

about.labels.key と about.labels.value

additional.fields.key と additional.fields.value.string_value

デバイス グループ階層(dg_hier_level_3) PanOSDGl3 DeviceGroupHierarchyL3 dg_hier_level_3

about.labels.key と about.labels.value

additional.fields.key と additional.fields.value.string_value

デバイス グループ階層(dg_hier_level_4) PanOSDGl4 DeviceGroupHierarchyL4 dg_hier_level_4

about.labels.key と about.labels.value

additional.fields.key と additional.fields.value.string_value

仮想システム名(vsys_name) PanOSVsysName vSrcName principal.resource.name

principal.resource.resource_type=VIRTUAL_MACHINE

デバイス名(device_name) dvchost DeviceName intermediary.hostname
高解像度のタイムスタンプ (high_res_timestamp) anOSTimeGeneratedHighResolution metadata.collected_timestamp,

metadata.event_timestamp(「生成時間」がない場合)

Config

次の表に、設定ログタイプのログ フィールドと、対応する UDM フィールドを示します。

CSV フィールド CEF 項目 LEEF フィールド Chronicle のラベルキー UDM フィールド
受信時刻(Received_time または cef-format-Received_time) rt devTime metadata.collected_timestamp,

metadata.event_timestamp(「生成時間」がない場合)

シリアル番号(serial) deviceExternalId SerialNumber intermediary.asset.hardware.serial_number
タイプ(タイプ) タイプ(ヘッダー) cat metadata.product_event_type
脅威/コンテンツ タイプ(サブタイプ) サブタイプ(ヘッダー) metadata.product_event_type
Generated Time(time_generated または cef-format-time_generated) metadata.event_timestamp
ホスト(host) shost src principal.ip/hostname
仮想システム(vsys) cs3 VirtualSystem vsys

about.labels.key と about.labels.value

additional.fields.key と additional.fields.value.string_value

コマンド(cmd) 対処 msg cmd metadata.description
管理者 (admin) duser usrName principal.user.userid
クライアント(client) destinationServiceName クライアント principal.application
結果 (result) シグネチャ ID(ヘッダー)(理由) 結果 security_result.summary
構成パス(path) msg ConfigurationPath principal.process.command_line
変更前(before_change_detail) cs1 BeforeChangeDetail before_change_detail target.resource.attribute.labels.key/value
変更後の詳細(after_change_detail) cs2 AfterChangeDetail after_change_detail target.resource.attribute.labels.key/value
シーケンス番号(seqno) externalId シーケンス metadata.product_log_id
アクション フラグ(アクションフラグ) PanOSActionFlags ActionFlags actionflags

about.labels.key と about.labels.value

additional.fields.key と additional.fields.value.string_value

デバイス グループ階層(dg_hier_level_1 から dg_hier_level_4) PanOSDGl1 DeviceGroupHierarchyL1 dg_hier_level_1

about.labels.key と about.labels.value

additional.fields.key と additional.fields.value.string_value

デバイス グループ階層(dg_hier_level_2) PanOSDGl2 DeviceGroupHierarchyL2 dg_hier_level_2

about.labels.key と about.labels.value

additional.fields.key と additional.fields.value.string_value

デバイス グループ階層(dg_hier_level_3) PanOSDGl3 DeviceGroupHierarchyL3 dg_hier_level_3

about.labels.key と about.labels.value

additional.fields.key と additional.fields.value.string_value

デバイス グループ階層(dg_hier_level_4) PanOSDGl4 DeviceGroupHierarchyL4 dg_hier_level_4

about.labels.key と about.labels.value

additional.fields.key と additional.fields.value.string_value

仮想システム名(vsys_name) PanOSVsysName vSrcName principal.resource.name

principal.resource.resource_type=VIRTUAL_MACHINE

デバイス名(device_name) dvchost DeviceName intermediary.hostname
デバイス グループ(dg_id) PanOSFWDeviceGroup dg_id principal.asset.attribute.labels.key/value
監査コメント(comment) PanOSPolicyAuditComment コメント

about.labels.key と about.labels.value

additional.fields.key と additional.fields.value.string_value

脅威/wildfire

次の表に、ログタイプのログフィールドと、対応する UDM フィールドを示します。

CSV フィールド CEF 項目 LEEF フィールド Chronicle のラベルキー UDM フィールド
受信時刻(Received_time または cef-format-Received_time) rt devTime metadata.collected_timestamp,

metadata.event_timestamp(「生成時間」がない場合)

シリアル番号(serial #) deviceExternalId SerialNumber intermediary.asset.hardware.serial_number
タイプ(タイプ) タイプ(ヘッダー) cat metadata.product_event_type
脅威/コンテンツ タイプ(サブタイプ) cat/subtype(ヘッダー) サブタイプ metadata.product_event_type
時間の生成(time_generated または cef-format-time_generated) metadata.event_timestamp
送信元アドレス(src) src src principal.ip
宛先アドレス(dst) dst dst target.ip
NAT ソース IP(natsrc) sourceTranslatedAddress srcPostNAT principal.nat_ip
NAT 宛先 IP(natdst) destinationTranslatedAddress dstPostNAT target.nat_ip
ルール名(rule) cs1 RuleName security_result.rule_name
送信元ユーザー(srcuser) suser SourceUser / usrName principal.user.userid
宛先ユーザー(dstuser) duser DestinationUser target.user.userid
アプリケーション (app) app Application(アプリケーション) target.application
仮想システム(vsys) cs3 VirtualSystem vsys

about.labels.key と about.labels.value

additional.fields.key と additional.fields.value.string_value

送信元のゾーン(from) cs4 SourceZone 送信元

principal.labels.key と principal.labels.value

additional.fields.key と additional.fields.value.string_value

宛先のゾーン(送信先) cs5 DestinationZone

target.labels.key と target.labels.value

additional.fields.key と additional.fields.value.string_value

インバウンドインターフェース(inbound_if) deviceInboundInterface IngressInterface inbound_if

principal.labels.key と principal.labels.value

additional.fields.key と additional.fields.value.string_value

アウトバウンドインターフェース(outbound_if) deviceOutboundInterface EgressInterface outbound_if

target.labels.key と target.labels.value

additional.fields.key と additional.fields.value.string_value

ログ アクション(logset) cs6 LogForwardingProfile logset

about.labels.key と about.labels.value

additional.fields.key と additional.fields.value.string_value

セッション ID(sessionid) cn1 SessionID network.session_id
繰り返し回数(repeatcnt) cnt RepeatCount repeatcnt

about.labels.key と about.labels.value

additional.fields.key と additional.fields.value.string_value

送信元ポート(sport) spt srcPort principal.port
宛先ポート(dport) dpt dstPort target.port
NAT 送信元ポート(natsport) sourceTranslatedPort srcPostNATPort principal.nat_port
NAT 宛先ポート(natdport) destinationTranslatedPort dstPostNATPort target.nat_port
フラグ(flags) flexString1 フラグ flags

about.labels.key と about.labels.value

additional.fields.key と additional.fields.value.string_value

IP プロトコル(proto) proto proto network.ip_protocol
アクション (action) 対処 action security_result.action_details

security_result.action

URL/ファイル名(misc) request その他

target.file.full_path(サブタイプが「ファイル」、「ウィルス」、「Wildfire ウイルス」、「Wildfire」の場合、「misc」フィールドは target.file.full_path にマッピングされます)

target.url(サブタイプが「url」の場合、「misc」フィールドは target.url と target.hostname にマッピングされます)

target.hostname(サブタイプが「spyware」または「vulnerability」の場合、「misc」フィールドは target.file.full_path と target.url にマッピングされます)

脅威/コンテンツ名(threatid) cat ThreatID security_result.threat_name
カテゴリ(category) cs2 URL のカテゴリ security_result.category_details
重大度(severity) number-of-severity(ヘッダ) 重大度 security_result.severity と security_result.severity_details
目的地 (direction) flexString2 方向 network.direction
シーケンス番号(seqno) externalId シーケンス metadata.product_log_id
アクション フラグ(アクションフラグ) PanOSActionFlags ActionFlags actionflags

about.labels.key と about.labels.value

additional.fields.key と additional.fields.value.string_value

送信元の国(srcloc) SourceLocation principal.location.country_or_region
宛先の国(dstloc) DestinationLocation target.location.country_or_region
コンテンツ タイプ (contentType) ContentType contenttype

about.labels.key と about.labels.value

additional.fields.key と additional.fields.value.string_value

PCAP ID(pcap_id) fileId PCAP_ID pcap_id

about.labels.key と about.labels.value

additional.fields.key と additional.fields.value.string_value

ファイル ダイジェスト(filedigest) fileHash FileDigest about.file.sha1/md5/sha256
クラウド(cloud) filePath クラウド cloud

about.labels.key と about.labels.value

additional.fields.key と additional.fields.value.string_value

URL インデックス(url_idx) URLIndex url_idx

about.labels.key と about.labels.value

additional.fields.key と additional.fields.value.string_value

ユーザー エージェント(user_agent) network.http.user_agent
File Type(filetype) File Type FileType about.file.mime_type
X-Forwarded-For(XFF) principal.ip
リファラー(referer) network.http.referral_url
送信者(sender) suid 送信者 network.email.from
件名 (件名) msg 件名 network.email.subject
受信者(rcipient) duid 受信者 network.email.to
レポート ID (reportid) oldFileId ReportID reportid

about.labels.key と about.labels.value

additional.fields.key と additional.fields.value.string_value

デバイス グループ階層(dg_hier_level_1 から dg_hier_level_4) PanOSDGl1 DeviceGroupHierarchyL1 dg_hier_level_1

about.labels.key と about.labels.value

additional.fields.key と additional.fields.value.string_value

デバイス グループ階層(dg_hier_level_2) PanOSDGl2 DeviceGroupHierarchyL2 dg_hier_level_2

about.labels.key と about.labels.value

additional.fields.key と additional.fields.value.string_value

デバイス グループ階層(dg_hier_level_3) PanOSDGl3 DeviceGroupHierarchyL3 dg_hier_level_3

about.labels.key と about.labels.value

additional.fields.key と additional.fields.value.string_value

デバイス グループ階層(dg_hier_level_4) PanOSDGl4 DeviceGroupHierarchyL4 dg_hier_level_4

about.labels.key と about.labels.value

additional.fields.key と additional.fields.value.string_value

仮想システム名(vsys_name) PanOSVsysName vSrcName principal.resource.name

principal.resource.resource_type=VIRTUAL_MACHINE

デバイス名(device_name) dvchost DeviceName intermediary.hostname
ソース VM UUID(src_uuid) PanOSSrcUUID SrcUUID principal.user.product_object_id
宛先 VM UUID(dst_uuid) PanOSDstUUID DstUUID target.user.product_object_id
HTTP Method (http_method) RequestMethod network.http.method
トンネル ID/IMSI(tunnel_id/imsi) PanOSTunnelID TunnelID tunnel_id/imsi

about.labels.key と about.labels.value

additional.fields.key と additional.fields.value.string_value

タグ/IMEI のモニタリング(monitortag/imei) PanOSMonitorTag MonitorTag monitortag/imei

about.labels.key と about.labels.value

additional.fields.key と additional.fields.value.string_value

親セッション ID(parent_session_id) PanOSParentSessionID ParentSessionID parent_session_id network.parent_session_id
親セッション開始時間(parent_start_time) PanOSParentStartTime ParentStartTime parent_start_time

about.labels.key と about.labels.value

additional.fields.key と additional.fields.value.string_value

トンネルタイプ(tunnel) PanOSTunnelType TunnelType トンネル

about.labels.key と about.labels.value

additional.fields.key と additional.fields.value.string_value

脅威のカテゴリ(thr_category) PanOSThreatCategory ThreatCategory thr_category security_result.detection_fields.key/value
コンテンツ バージョン(contentver) PanOSContentVer ContentVer contentver

about.labels.key と about.labels.value

additional.fields.key と additional.fields.value.string_value

SCTP 関連付け ID(assoc_id) PanOSAssocID assoc_id

about.labels.key と about.labels.value

additional.fields.key と additional.fields.value.string_value

ペイロード プロトコル ID(ppid) PanOSPPID ppid

about.labels.key と about.labels.value

additional.fields.key と additional.fields.value.string_value

HTTP ヘッダー(http_headers) PanOSHTTPHeader http_headers

about.labels.key と about.labels.value

additional.fields.key と additional.fields.value.string_value

URL カテゴリリスト(url_category_list) PanOSURLCatList url_category_list

about.labels.key と about.labels.value

additional.fields.key と additional.fields.value.string_value

ルール UUID(rule_uuid) PanOSRuleUUID security_result.rule_id
HTTP/2 接続(http2_connection) PanOSHTTP2Con http2_connection

about.labels.key と about.labels.value

additional.fields.key と additional.fields.value.string_value

動的ユーザー グループ名(dynusergroup_name) PanDynamicUsrgrp dynusergroup_name

principal.labels.key と principal.labels.value

additional.fields.key と additional.fields.value.string_value

XFF アドレス(xff_ip) PanXFFIP principal.ip
ソースのデバイス カテゴリ(src_category) PanSrcDeviceCat src_category

principal.labels.key と principal.labels.value

additional.fields.key と additional.fields.value.string_value

ソースデバイス プロファイル(src_profile) PanSrcDeviceProf src_profile

principal.labels.key と principal.labels.value

additional.fields.key と additional.fields.value.string_value

ソースデバイス モデル(src_model) PanSrcDeviceModel src_model

principal.labels.key と principal.labels.value

additional.fields.key と additional.fields.value.string_value

ソースデバイス ベンダー(src_vendor) PanSrcDeviceVendor src_vendor

principal.labels.key と principal.labels.value

additional.fields.key と additional.fields.value.string_value

ソースデバイス OS ファミリー(src_osfamily) PanSrcDeviceOS src_osfamily

principal.asset.platform_software.platform

principal.labels.key と principal.labels.value

additional.fields.key と additional.fields.value.string_value

ソース デバイスの OS バージョン(src_osversion) PanSrcDeviceOSv principal.asset.software.version
ソースホスト名(src_host) PanSrcHostname principal.hostname
送信元 MAC アドレス(src_mac) PanSrcMac principal.mac
宛先デバイス カテゴリ(dst_category) PanDstDeviceCat dst_category

target.labels.key と target.labels.value

additional.fields.key と additional.fields.value.string_value

宛先デバイス プロファイル(dst_profile) PanDstDeviceProf dst_profile

target.labels.key と target.labels.value

additional.fields.key と additional.fields.value.string_value

移行先のデバイスモデル(dst_model) PanDstDeviceModel dst_model

target.labels.key と target.labels.value

additional.fields.key と additional.fields.value.string_value

宛先デバイス ベンダー(dst_Vendor) PanDstDeviceVendor dst_vendor

target.labels.key と target.labels.value

additional.fields.key と additional.fields.value.string_value

宛先デバイス OS ファミリー(dst_osfamily) PanDstDeviceOS dst_osfamily

target.labels.key と target.labels.value

additional.fields.key と additional.fields.value.string_value

移行先デバイスの OS バージョン(dst_osversion) PanDstDeviceOSv target.asset.software.version
宛先ホスト名(dst_host) PanDstHostname target.hostname
宛先 MAC アドレス(dst_mac) PanDstMac target.mac
コンテナ ID (container_id) PanContainerName コンテナ ID

about.labels.key と about.labels.value

additional.fields.key と additional.fields.value.string_value

POD 名前空間(pod_namespace) PanPODNamespace pod_namespace

about.labels.key と about.labels.value

additional.fields.key と additional.fields.value.string_value

POD 名(pod_name) PanPODName pod_name

about.labels.key と about.labels.value

additional.fields.key と additional.fields.value.string_value

送信元外部動的リスト(src_edl) PanSrcEDL src_edl

about.labels.key と about.labels.value

additional.fields.key と additional.fields.value.string_value

宛先外部動的リスト(dst_edl) PanDstEDL dst_edl

about.labels.key と about.labels.value

additional.fields.key と additional.fields.value.string_value

ホスト ID(hostid) PanGPHostID hostid

about.labels.key と about.labels.value

additional.fields.key と additional.fields.value.string_value

ユーザー デバイスのシリアル番号(serialnumber) PanEPSerial principal.asset.hardware.serial_number
ドメイン EDL(domain_edl) PanDomainEDL domain_edl

about.labels.key と about.labels.value

additional.fields.key と additional.fields.value.string_value

送信元動的アドレス グループ(src_dag) PanSrcDAG principal.group.group_display_name
宛先動的アドレス グループ(dst_dag) PanDstDAG target.group.group_display_name
部分ハッシュ (partial_hash) PanPartialHash partial_hash

about.labels.key と about.labels.value

additional.fields.key と additional.fields.value.string_value

高解像度のタイムスタンプ (high_res timestamp) PanTimeHighRes high_res タイムスタンプ metadata.collected_timestamp,

metadata.event_timestamp(「生成時間」がない場合)

理由 (reason) PanReasonFilteringAction reason

about.labels.key と about.labels.value

additional.fields.key と additional.fields.value.string_value

正当な理由 (justification) PanJustification 理由

about.labels.key と about.labels.value

additional.fields.key と additional.fields.value.string_value

スライス サービスタイプ(nssai_sst) PanASServiceType nssai_sst

about.labels.key と about.labels.value

additional.fields.key と additional.fields.value.string_value

アプリケーション サブカテゴリ(subcategory_of_app) subcategory_of_app

about.labels.key と about.labels.value

additional.fields.key と additional.fields.value.string_value

アプリケーション カテゴリ(category_of_app) category_of_app

about.labels.key と about.labels.value

additional.fields.key と additional.fields.value.string_value

アプリケーション テクノロジー(technology_of_app) technology_of_app

about.labels.key と about.labels.value

additional.fields.key と additional.fields.value.string_value

アプリケーション リスク(risk_of_app) risk_of_app

about.labels.key と about.labels.value

additional.fields.key と additional.fields.value.string_value

アプリケーションの特徴 (characteristic_of_app) characteristic_of_app

about.labels.key と about.labels.value

additional.fields.key と additional.fields.value.string_value

アプリケーション コンテナ(container_of_app) container_of_app

about.labels.key と about.labels.value

additional.fields.key と additional.fields.value.string_value

アプリケーション SaaS(is_saas_of_app) is_saas_of_app

about.labels.key と about.labels.value

additional.fields.key と additional.fields.value.string_value

アプリケーション Sanctioned State(sanctioned_state_of_app) sanctioned_state_of_app

about.labels.key と about.labels.value

additional.fields.key と additional.fields.value.string_value

トラフィック

次の表に、ログタイプのログ フィールドと、対応する UDM フィールドを示します。

CSV フィールド CEF 項目 LEEF フィールド Chronicle のラベルキー UDM フィールド
受信時刻(Received_time または cef-format-Received_time) rt devTime metadata.collected_timestamp,

metadata.event_timestamp(「生成時間」がない場合)

シリアル番号(serial) deviceExternalId SerialNumber intermediary.asset.hardware.serial_number
タイプ(タイプ) タイプ(ヘッダー) cat/Type metadata.product_event_type
脅威/コンテンツ タイプ(サブタイプ) サブタイプ(ヘッダー) サブタイプ metadata.product_event_type
Generated Time(time_generated または cef-format-time_generated) スタート metadata.event_timestamp
送信元アドレス(src) src src principal.ip
宛先アドレス(dst) dst dst target.ip
NAT ソース IP(natsrc) sourceTranslatedAddress srcPostNAT principal.nat_ip
NAT 宛先 IP(natdst) destinationTranslatedAddress dstPostNAT target.nat_ip
ルール名(rule) cs1 RuleName security_result.rule_name
送信元ユーザー(srcuser) suser SourceUser principal.user.userid
宛先ユーザー(dstuser) duser DestinationUser target.user.userid
アプリケーション (app) app Application(アプリケーション) target.application
仮想システム(vsys) cs3 VirtualSystem vsys

about.labels.key と about.labels.value

additional.fields.key と additional.fields.value.string_value

送信元のゾーン(from) cs4 SourceZone 送信元

principal.labels.key と principal.labels.value

additional.fields.key と additional.fields.value.string_value

宛先のゾーン(送信先) cs5 DestinationZone

target.labels.key と target.labels.value

additional.fields.key と additional.fields.value.string_value

インバウンドインターフェース(inbound_if) deviceInboundInterface IngressInterface inbound_if

principal.labels.key と principal.labels.value

additional.fields.key と additional.fields.value.string_value

アウトバウンドインターフェース(outbound_if) deviceOutboundInterface EgressInterface outbound_if

target.labels.key と target.labels.value

additional.fields.key と additional.fields.value.string_value

ログ アクション(logset) cs6 LogForwardingProfile logset

about.labels.key と about.labels.value

additional.fields.key と additional.fields.value.string_value

セッション ID(sessionid) cn1 SessionID network.session_id
繰り返し回数(repeatcnt) cnt RepeatCount repeatcnt

about.labels.key と about.labels.value

additional.fields.key と additional.fields.value.string_value

送信元ポート(sport) spt srcPort principal.port
宛先ポート(dport) dpt dstPort target.port
NAT 送信元ポート(natsport) sourceTranslatedPort srcPostNATPort principal.nat_port
NAT 宛先ポート(natdport) destinationTranslatedPort dstPostNATPort target.nat_port
フラグ(flags) flexString1 フラグ flags

about.labels.key と about.labels.value

additional.fields.key と additional.fields.value.string_value

IP プロトコル(proto) proto proto network.ip_protocol
アクション (action) 対処 action security_result.action_details

security_result.action

バイト(bytes) flexNumber1 totalBytes バイト

about.labels.key と about.labels.value

additional.fields.key と additional.fields.value.string_value

送信バイト数(bytes_sent) in srcBytes network.sent_bytes
受信バイト数(bytes_Receivedd) out dstBytes network.received_bytes
パケット数(packets) cn2 totalPackets パケット

about.labels.key と about.labels.value

additional.fields.key と additional.fields.value.string_value

開始時刻 (start) StartTime スタート

about.labels.key と about.labels.value

additional.fields.key と additional.fields.value.string_value

経過時間(elapsed) cn3 ElapsedTime 経過時間 network.session_duration.seconds
カテゴリ(category) cs2 URL のカテゴリ security_result.category / security_result.category_details
シーケンス番号(seqno) externalId シーケンス metadata.product_log_id
アクション フラグ(アクションフラグ) PanOSActionFlags ActionFlags actionflags

about.labels.key と about.labels.value

additional.fields.key と additional.fields.value.string_value

送信元の国(srcloc) SourceLocation principal.location.country_or_region
宛先の国(dstloc) DestinationLocation target.location.country_or_region
送信パケット(pkts_sent) PanOSPacketsSent srcPackets pkts_sent

about.labels.key と about.labels.value

additional.fields.key と additional.fields.value.string_value

受信パケット数(pkts_Receivedd) PanOSPacketsReceived dstPackets pkts_received

about.labels.key と about.labels.value

additional.fields.key と additional.fields.value.string_value

セッション終了の理由(session_end_reason) reason SessionEndReason security_result.summary
デバイス グループ階層 1(dg_hier_level_1 から dg_hier_level_4) PanOSDGl1 DeviceGroupHierarchyL1 dg_hier_level_1

about.labels.key と about.labels.value

additional.fields.key と additional.fields.value.string_value

デバイス グループ階層 2(dg_hier_level_2) PanOSDGl2 DeviceGroupHierarchyL2 dg_hier_level_2

about.labels.key と about.labels.value

additional.fields.key と additional.fields.value.string_value

デバイス グループ階層 3(dg_hier_level_3) PanOSDGl3 DeviceGroupHierarchyL3 dg_hier_level_3

about.labels.key と about.labels.value

additional.fields.key と additional.fields.value.string_value

デバイス グループ階層(dg_hier_level_4) PanOSDGl4 DeviceGroupHierarchyL4 dg_hier_level_4

about.labels.key と about.labels.value

additional.fields.key と additional.fields.value.string_value

仮想システム名(vsys_name) PanOSVsysName vSrcName principal.resource.name

principal.resource.resource_type=VIRTUAL_MACHINE

デバイス名(device_name) dvchost DeviceName intermediary.hostname
アクション宛先(action_source) cat ActionSource action_source

about.labels.key と about.labels.value

additional.fields.key と additional.fields.value.string_value

ソース VM UUID(src_uuid) PanOSSrcUUID SrcUUID principal.asset.product_object_id
宛先 VM UUID(dst_uuid) PanOSDstUUID DstUUID target.asset.product_object_id
トンネル ID/IMSI(tunnelid/imsi) PanOSTunnelID TunnelID tunnelid/imsi

about.labels.key と about.labels.value

additional.fields.key と additional.fields.value.string_value

タグ/IMEI のモニタリング(monitortag/imei) PanOSMonitorTag MonitorTag monitortag/imei

about.labels.key と about.labels.value

additional.fields.key と additional.fields.value.string_value

親セッション ID(parent_session_id) PanOSParentSessionID ParentSessionID parent_session_id network.parent_session_id
親開始時間(parent_start_time) PanOSParentStartTime ParentStartTime parent_start_time

about.labels.key と about.labels.value

additional.fields.key と additional.fields.value.string_value

トンネルタイプ(tunnel) PanOSTunnelType TunnelType トンネル

about.labels.key と about.labels.value

additional.fields.key と additional.fields.value.string_value

SCTP 関連付け ID(assoc_id) PanOSSCTPAssocID assoc_id

about.labels.key と about.labels.value

additional.fields.key と additional.fields.value.string_value

SCTP チャンク(chunks) PanOSSCTPChunks chunks

about.labels.key と about.labels.value

additional.fields.key と additional.fields.value.string_value

SCTP チャンク送信(chunks_sent) PanOSSCTPChunkSent chunks_sent

about.labels.key と about.labels.value

additional.fields.key と additional.fields.value.string_value

SCTP チャンク受信(chunks_received) PanOSSCTPChunksRcv chunks_received

about.labels.key と about.labels.value

additional.fields.key と additional.fields.value.string_value

ルール UUID(rule_uuid) PanOSRuleUUID security_result.rule_id
HTTP/2 接続(http2_connection) PanOSHTTP2Con http2_connection

about.labels.key と about.labels.value

additional.fields.key と additional.fields.value.string_value

アプリのフラップ数(link_change_count) PanLinkChange link_change_count

about.labels.key と about.labels.value

additional.fields.key と additional.fields.value.string_value

ポリシー ID(policy_id) PanPolicyID policy_id

about.labels.key と about.labels.value

additional.fields.key と additional.fields.value.string_value

リンクスイッチ(link_switches) PanLinkDetail link_switches

about.labels.key と about.labels.value

additional.fields.key と additional.fields.value.string_value

SD-WAN クラスタ(sdwan_cluster) PanSDWANCluster sdwan_cluster

about.labels.key と about.labels.value

additional.fields.key と additional.fields.value.string_value

SD-WAN デバイスタイプ(sdwan_device_type) PanSDWANDevice sdwan_device_type

about.labels.key と about.labels.value

additional.fields.key と additional.fields.value.string_value

SD-WAN クラスタタイプ(sdwan_cluster_type) PanSDWANClustype sdwan_cluster_type

about.labels.key と about.labels.value

additional.fields.key と additional.fields.value.string_value

SD-WAN サイト(sdwan_site) PanSDWANSite sdwan_site

about.labels.key と about.labels.value

additional.fields.key と additional.fields.value.string_value

動的ユーザー グループ名(dynusergroup_name) PanDynamicUsrgrp dynusergroup_name

about.labels.key と about.labels.value

additional.fields.key と additional.fields.value.string_value

XFF アドレス(xff_ip) PanXFFIP principal.ip
ソースのデバイス カテゴリ(src_category) PanSrcDeviceCat src_category

principal.labels.key と principal.labels.value

additional.fields.key と additional.fields.value.string_value

ソースデバイス プロファイル(src_profile) PanSrcDeviceProf src_profile

principal.labels.key と principal.labels.value

additional.fields.key と additional.fields.value.string_value

ソースデバイス モデル(src_model) PanSrcDeviceModel src_model

principal.labels.key と principal.labels.value

additional.fields.key と additional.fields.value.string_value

ソースデバイス ベンダー(src_vendor) PanSrcDeviceVendor src_vendor

principal.labels.key と principal.labels.value

additional.fields.key と additional.fields.value.string_value

ソースデバイス OS ファミリー(src_osfamily) PanSrcDeviceOS

principal.asset.platform_software.platform

principal.labels.key と principal.labels.value

additional.fields.key と additional.fields.value.string_value

ソース デバイスの OS バージョン(src_osversion) PanSrcDeviceOSv principal.asset.software.version
ソースホスト名(src_host) PanSrcHostname principal.hostname
送信元 MAC アドレス(src_mac) PanSrcMac principal.mac
宛先デバイス カテゴリ(dst_category) PanDstDeviceCat dst_category

target.labels.key と target.labels.value

additional.fields.key と additional.fields.value.string_value

宛先デバイス プロファイル(dst_profile) PanDstDeviceProf dst_profile

target.labels.key と target.labels.value

additional.fields.key と additional.fields.value.string_value

移行先のデバイスモデル(dst_model) PanDstDeviceModel dst_model

target.labels.key と target.labels.value

additional.fields.key と additional.fields.value.string_value

宛先デバイス ベンダー(dst_Vendor) PanDstDeviceVendor dst_vendor

target.labels.key と target.labels.value

additional.fields.key と additional.fields.value.string_value

宛先デバイス OS ファミリー(dst_osfamily) PanDstDeviceOS dst_osfamily

target.labels.key と target.labels.value

additional.fields.key と additional.fields.value.string_value

移行先デバイスの OS バージョン(dst_osversion) PanDstDeviceOSv target.asset.software.version
宛先ホスト名(dst_host) PanDstHostname target.hostname
宛先 MAC アドレス(dst_mac) PanDstMac target.mac
コンテナ ID (container_id) PanContainerName コンテナ ID

about.labels.key と about.labels.value

additional.fields.key と additional.fields.value.string_value

POD 名前空間(pod_namespace) PanPODNamespace pod_namespace

about.labels.key と about.labels.value

additional.fields.key と additional.fields.value.string_value

POD 名(pod_name) PanPODName pod_name

about.labels.key と about.labels.value

additional.fields.key と additional.fields.value.string_value

送信元外部動的リスト(src_edl) PanSrcEDL src_edl

principal.labels.key と principal.labels.value

additional.fields.key と additional.fields.value.string_value

宛先外部動的リスト(dst_edl) PanDstEDL dst_edl

target.labels.key と target.labels.value

additional.fields.key と additional.fields.value.string_value

ホスト ID(hostid) PanGPHostID hostid

about.labels.key と about.labels.value

additional.fields.key と additional.fields.value.string_value

ユーザー デバイスのシリアル番号(serialnumber) PanEPSerial principal.asset.hardware.serial_number
送信元動的アドレス グループ(src_dag) PanSrcDAG principal.group.group_display_name
宛先動的アドレス グループ(dst_dag) PanDstDAG target.group.group_display_name
セッション オーナー(session_owner) PanHASessionOwner session_owner

about.labels.key と about.labels.value

additional.fields.key と additional.fields.value.string_value

高解像度のタイムスタンプ (high_res_timestamp) PanTimeHighRes metadata.collected_timestamp,

metadata.event_timestamp(「生成時間」がない場合)

スライス サービスタイプ(nsdsai_sst) PanASServiceType nsdsai_sst

about.labels.key と about.labels.value

additional.fields.key と additional.fields.value.string_value

スライス差分(nsdsai_sd) PanASServiceDiff nsdsai_sd

about.labels.key と about.labels.value

additional.fields.key と additional.fields.value.string_value

アプリケーション サブカテゴリ(subcategory_of_app) subcategory_of_app

about.labels.key と about.labels.value

additional.fields.key と additional.fields.value.string_value

アプリケーション カテゴリ(category_of_app) category_of_app

about.labels.key と about.labels.value

additional.fields.key と additional.fields.value.string_value

アプリケーション テクノロジー(technology_of_app) technology_of_app

about.labels.key と about.labels.value

additional.fields.key と additional.fields.value.string_value

アプリケーション リスク(risk_of_app) security_result.severity
アプリケーションの特徴 (characteristic_of_app) characteristic_of_app

about.labels.key と about.labels.value

additional.fields.key と additional.fields.value.string_value

アプリケーション コンテナ(container_of_app) container_of_app

about.labels.key と about.labels.value

additional.fields.key と additional.fields.value.string_value

アプリケーション SaaS(is_saas_of_app) is_saas_of_app

about.labels.key と about.labels.value

additional.fields.key と additional.fields.value.string_value

アプリケーション Sanctioned State(sanctioned_state_of_app) sanctioned_state_of_app

about.labels.key と about.labels.value

additional.fields.key と additional.fields.value.string_value

アプリケーション サブカテゴリ(subcategory_of_app) subcategory_of_app1

about.labels.key と about.labels.value

additional.fields.key と additional.fields.value.string_value

User-ID

次の表に、ユーザー ID ログタイプのログフィールドと対応する UDM フィールドを示します。

CSV フィールド CEF 項目 LEEF フィールド Chronicle のラベルキー UDM フィールド
受信時刻(Received_time または cef-format-Received_time) rt devTime metadata.collected_timestamp,

metadata.event_timestamp(「生成時間」がない場合)

シリアル番号(serial) deviceExternalId SerialNumber intermediary.asset.hardware.serial_number
タイプ(タイプ) タイプ(ヘッダー) cat metadata.product_event_type
脅威/コンテンツ タイプ(サブタイプ) サブタイプ(ヘッダー) サブタイプ metadata.product_event_type
Generated Time(time_generated または cef-format-time_generated) metadata.event_timestamp
仮想システム(vsys) cs3 VirtualSystem vsys

about.labels.key と about.labels.value

additional.fields.key と additional.fields.value.string_value

送信元 IP(ip) src src principal.ip
User (user) duser usrName target.user.userid

target.administrative_domain

target.user.email_addresses

データソース名(datasourcename) cs4 DataSourceName データソース名

principal.labels.key と principal.labels.value

additional.fields.key と additional.fields.value.string_value

イベント ID(eventid) EventID eventid

about.labels.key と about.labels.value

additional.fields.key と additional.fields.value.string_value

繰り返し回数(repeatcnt) cnt RepeatCount repeatcnt

about.labels.key と about.labels.value

additional.fields.key と additional.fields.value.string_value

タイムアウトしきい値(timeout) cn3 TimeoutThreshold timeout

about.labels.key と about.labels.value

additional.fields.key と additional.fields.value.string_value

送信元ポート(beginport) spt srcPort principal.port
宛先ポート(endport) dpt dstPort target.port
データソース(datasource) cs5 DataSource データソース

principal.labels.key と principal.labels.value

additional.fields.key と additional.fields.value.string_value

データソース タイプ(datasourcetype) cs6 DataSourceType データソースのタイプ

principal.labels.key と principal.labels.value

additional.fields.key と additional.fields.value.string_value

シーケンス番号(seqno) externalId シーケンス metadata.product_log_id
アクション フラグ(アクションフラグ) PanOSActionFlags ActionFlags actionflags

about.labels.key と about.labels.value

additional.fields.key と additional.fields.value.string_value

デバイス グループ階層(dg_hier_level_1) PanOSDGl1 DeviceGroupHierarchyL1 dg_hier_level_1

about.labels.key と about.labels.value

additional.fields.key と additional.fields.value.string_value

デバイス グループ階層(dg_hier_level_2) PanOSDGl2 DeviceGroupHierarchyL2 dg_hier_level_2

about.labels.key と about.labels.value

additional.fields.key と additional.fields.value.string_value

デバイス グループ階層(dg_hier_level_3) PanOSDGl3 DeviceGroupHierarchyL3 dg_hier_level_3

about.labels.key と about.labels.value

additional.fields.key と additional.fields.value.string_value

デバイス グループ階層(dg_hier_level_4) PanOSDGl4 DeviceGroupHierarchyL4 dg_hier_level_4

about.labels.key と about.labels.value

additional.fields.key と additional.fields.value.string_value

仮想システム名(vsys_name) PanOSVsysName vSrcName principal.resource.name

principal.resource.resource_type=VIRTUAL_MACHINE

デバイス名(device_name) dvchost DeviceName intermediary.hostname
仮想システム ID(vsys_id) cn2 VirtualSystemID principal.resource.resource_type=VIRTUAL_MACHINE と principal.resource.product_object_id
要素タイプ(factortype) cs1 FactorType factortype

about.labels.key と about.labels.value

additional.fields.key と additional.fields.value.string_value

要素完了時間(factorcompletetime) end FactorCompletionTime factorcompletetime

about.labels.key と about.labels.value

additional.fields.key と additional.fields.value.string_value

要素番号(factorno) cn1 FactorNumber factorno

about.labels.key と about.labels.value

additional.fields.key と additional.fields.value.string_value

ユーザー グループ フラグ(ugflags) PanOSUGFlags ugflags

about.labels.key と about.labels.value

additional.fields.key と additional.fields.value.string_value

ソース別のユーザー(userbysource) PanOSUserBySource principal.user.userid

principal.administrative_domain

principal.user.email_addresses

高解像度のタイムスタンプ (high_res timestamp) PanOSTimeGeneratedHighResolution metadata.collected_timestamp,

metadata.event_timestamp(「生成時間」がない場合)

HIP マッチング

次の表に、HIP マッチログタイプのログフィールドと対応する UDM フィールドを示します。

CSV フィールド CEF 項目 LEEF フィールド Chronicle のラベルキー UDM フィールド
受信時刻(Received_time または cef-format-Received_time) rt devTime metadata.collected_timestamp,

metadata.event_timestamp(「生成時間」がない場合)

シリアル番号(serial) deviceExternalId SerialNumber intermediary.asset.hardware.serial_number
タイプ(タイプ) タイプ(ヘッダー) cat metadata.product_event_type
脅威/コンテンツ タイプ(サブタイプ) サブタイプ(ヘッダー) サブタイプ
Generated Time(time_generated または cef-format-time_generated) スタート startTime metadata.event_timestamp
送信元ユーザー(srcuser) suser usrName principal.user.userid
仮想システム(vsys) cs3 VirtualSystem vsys

about.labels.key と about.labels.value

additional.fields.key と additional.fields.value.string_value

マシン名(machinename) shost identHostName principal.hostname
オペレーティング システム(OS) cs2 OS principal.asset.platform_software.platform
送信元アドレス(src) src identsrc principal.ip
HIP(matchname) cat HIP matchname

about.labels.key と about.labels.value

additional.fields.key と additional.fields.value.string_value

繰り返し回数(repeatcnt) cnt RepeatCount repeatcnt

about.labels.key と about.labels.value

additional.fields.key と additional.fields.value.string_value

HIP タイプ(matchtype) デバイス イベント クラス ID(Header) HIPType 一致タイプ

about.labels.key と about.labels.value

additional.fields.key と additional.fields.value.string_value

シーケンス番号(seqno) externalId シーケンス metadata.product_log_id
アクション フラグ(アクションフラグ) PanOSActionFlags ActionFlags actionflags

about.labels.key と about.labels.value

additional.fields.key と additional.fields.value.string_value

デバイス グループ階層(dg_hier_level_1) PanOSDGl1 DeviceGroupHierarchyL1 dg_hier_level_1

about.labels.key と about.labels.value

additional.fields.key と additional.fields.value.string_value

デバイス グループ階層(dg_hier_level_2) PanOSDGl2 DeviceGroupHierarchyL2 dg_hier_level_2

about.labels.key と about.labels.value

additional.fields.key と additional.fields.value.string_value

デバイス グループ階層(dg_hier_level_3) PanOSDGl3 DeviceGroupHierarchyL3 dg_hier_level_3

about.labels.key と about.labels.value

additional.fields.key と additional.fields.value.string_value

デバイス グループ階層(dg_hier_level_4) PanOSDGl4 DeviceGroupHierarchyL4 dg_hier_level_4

about.labels.key と about.labels.value

additional.fields.key と additional.fields.value.string_value

仮想システム名(vsys_name) PanOSVsysName vSrcName principal.resource.name

principal.resource.resource_type=VIRTUAL_MACHINE

デバイス名(device_name) dvchost DeviceName intermediary.hostname
仮想システム ID(vsys_id) cn2 VirtualSystemID principal.resource.resource_type=VIRTUAL_MACHINE と principal.resource.product_object_id
IPv6 システム アドレス(srcipv6) c6a2 srcipv6 principal.asset.ip
ホスト ID(hostid) PanOSHostID principal.asset.product_object_id
ユーザー デバイスのシリアル番号(serialnumber) PanOSEndpointSerialNumber principal.asset.hardware.serial_number
デバイスの MAC アドレス(mac) PanOSEndpointMac principal.asset.mac
高解像度のタイムスタンプ (high_res_timestamp) PanOSTimeGeneratedHighResolution metadata.collected_timestamp,

metadata.event_timestamp(「生成時間」がない場合)

IP タグ

次の表に、IP タグのログタイプのログ フィールドと対応する UDM フィールドを示します。

CSV フィールド CEF 項目 LEEF フィールド Chronicle のラベルキー UDM フィールド
受信時刻(Received_time または cef-format-Received_time) rt devTime metadata.collected_timestamp,

metadata.event_timestamp(「生成時間」がない場合)

シリアル番号(serial) deviceExternalId SerialNumber intermediary.asset.hardware.serial_number
タイプ(タイプ) タイプ(ヘッダー) cat metadata.product_event_type
脅威/コンテンツ タイプ(サブタイプ) サブタイプ(ヘッダー) サブタイプ metadata.product_event_type
Generated Time(time_generated または cef-format-time_generated) GenerateTime metadata.event_timestamp
仮想システム(vsys) cs3 VirtualSystem vsys

about.labels.key と about.labels.value

additional.fields.key と additional.fields.value.string_value

送信元 IP(ip) src src principal.ip
タグ名(tag_name) PanOSTagName TagName tag_name

principal.labels.key と principal.labels.value

additional.fields.key と additional.fields.value.string_value

イベント ID(event_id) PanOSEventID EventID event_id

about.labels.key と about.labels.value

additional.fields.key と additional.fields.value.string_value

繰り返し回数(repeatcnt) cnt RepeatCount repeatcnt

about.labels.key と about.labels.value

additional.fields.key と additional.fields.value.string_value

タイムアウト (timeout) PanOSTimeout TimeoutThreshold timeout

about.labels.key と about.labels.value

additional.fields.key と additional.fields.value.string_value

データソース名(datasourcename) PanOSDataSourceName DataSourceName データソース名

principal.labels.key と principal.labels.value

additional.fields.key と additional.fields.value.string_value

データソース タイプ(datasource_type) PanOSDataSourceType DataSource datasource_type

principal.labels.key と principal.labels.value

additional.fields.key と additional.fields.value.string_value

データソース サブタイプ(datasource_subtype) PanOSDataSourceSubType DataSourceType datasource_subtype

principal.labels.key と principal.labels.value

additional.fields.key と additional.fields.value.string_value

シーケンス番号(seqno) externalId シーケンス metadata.product_log_id
アクション フラグ(アクションフラグ) PanOSActionFlags ActionFlags actionflags

about.labels.key と about.labels.value

additional.fields.key と additional.fields.value.string_value

デバイス グループ階層(dg_hier_level_1) PanOSDGl1 DeviceGroupHierarchyL1 dg_hier_level_1

about.labels.key と about.labels.value

additional.fields.key と additional.fields.value.string_value

デバイス グループ階層(dg_hier_level_2) PanOSDGl2 DeviceGroupHierarchyL2 dg_hier_level_2

about.labels.key と about.labels.value

additional.fields.key と additional.fields.value.string_value

デバイス グループ階層(dg_hier_level_3) PanOSDGl3 DeviceGroupHierarchyL3 dg_hier_level_3

about.labels.key と about.labels.value

additional.fields.key と additional.fields.value.string_value

デバイス グループ階層(dg_hier_level_4) PanOSDGl4 DeviceGroupHierarchyL4 dg_hier_level_4

about.labels.key と about.labels.value

additional.fields.key と additional.fields.value.string_value

仮想システム名(vsys_name) PanOsVsysName vSrcName principal.resource.name

principal.resource.resource_type=VIRTUAL_MACHINE

デバイス名(device_name) dvchost DeviceName intermediary.hostname
仮想システム ID(vsys_id) cn2 VirtualSystemID principal.resource.resource_type=VIRTUAL_MACHINE と principal.resource.product_object_id
高解像度のタイムスタンプ (high_res timestamp) PanOSTimeGeneratedHighResolution metadata.collected_timestamp,

metadata.event_timestamp(「生成時間」がない場合)

復号

次の表に、復号ログタイプのログ フィールドと、対応する UDM フィールドを示します。

CSV フィールド CEF 項目 LEEF フィールド Chronicle のラベルキー UDM フィールド
受信時刻(Received_time または cef-format-Received_time) rt metadata.collected_timestamp,

metadata.event_timestamp(「生成時間」がない場合)

シリアル番号(serial) PanOSDeviceSN intermediary.asset.hardware.serial_number
タイプ(タイプ) タイプ(ヘッダー) metadata.product_event_type
脅威/コンテンツ タイプ(サブタイプ) サブタイプ(ヘッダー) metadata.product_event_type
設定バージョン(config_ver) PanOSConfigVersion config_ver

about.labels.key と about.labels.value

additional.fields.key と additional.fields.value.string_value

生成時間(time_generated) PanOSLogTimeStamp metadata.event_timestamp
送信元アドレス(src) src principal.ip
宛先アドレス(dst) dst target.ip
NAT ソース IP(natsrc) sourceTranslatedAddress principa.nat_ip
NAT 宛先 IP(natdst) destinationTranslatedAddress target.nat_ip
ルール(rule) cs1 security_result.rule_name
送信元ユーザー(srcuser) suser principal.user.userid
宛先ユーザー(dstuser) duser target.user.userid
アプリケーション (app) app target.application
仮想システム(vsys) cs3 vsys

about.labels.key と about.labels.value

additional.fields.key と additional.fields.value.string_value

送信元のゾーン(from) cs4 送信元

principal.labels.key と principal.labels.value

additional.fields.key と additional.fields.value.string_value

宛先のゾーン(送信先) cs5

target.labels.key と target.labels.value

additional.fields.key と additional.fields.value.string_value

インバウンドインターフェース(inbound_if) deviceInboundInterface inbound_if

principal.labels.key と principal.labels.value

additional.fields.key と additional.fields.value.string_value

アウトバウンドインターフェース(outbound_if) deviceOutboundInterface outbound_if

target.labels.key と target.labels.value

additional.fields.key と additional.fields.value.string_value

ログ アクション(logset) cs6 logset

about.labels.key と about.labels.value

additional.fields.key と additional.fields.value.string_value

ログに記録される時刻(time_received) PanOSTimeReceivedManagementPlane -
セッション ID(sessionid) cn1 network.session_id
繰り返し回数(repeatcnt) PanOSCountOfRepeats/RepeatCount repeatcnt

about.labels.key と about.labels.value

additional.fields.key と additional.fields.value.string_value

送信元ポート(sport) spt principal.port
宛先ポート(dport) dpt target.port
NAT 送信元ポート(natsport) sourceTranslatedPort principal.nat_port
NAT 宛先ポート(natdport) destinationTranslatedPort target.nat_port
フラグ(flags) flexString1 flags

about.labels.key と about.labels.value

additional.fields.key と additional.fields.value.string_value

IP プロトコル(proto) proto network.ip_protocol
アクション (action) 対処 security_result.action_details

security_result.action

トンネル(tunnel) PanOSTunnel トンネル

about.labels.key と about.labels.value

additional.fields.key と additional.fields.value.string_value

ソース VM UUID(src_uuid) PanOSSourceUUID principal.asset.asset_id
宛先 VM UUID(dst_uuid) PanOSDestinationUUID target.asset.asset_id
ルールの UUID(rule_uuid) PanOSRuleUUID security_result.rule_id
クライアントからファイアウォールへのステージ(hs_stage_c2f) PanOSClientToFirewall hs_stage_c2f

about.labels.key と about.labels.value

additional.fields.key と additional.fields.value.string_value

ファイアウォールからサーバーまでのステージ(hs_stage_f2s) PanOSFirewallToServer hs_stage_f2s

about.labels.key と about.labels.value

additional.fields.key と additional.fields.value.string_value

TLS バージョン(tls_version) PanOSTLSVersion network.tls.version
Key Exchange アルゴリズム(tls_keyxchg) PanOSTLSKeyExchange tls_keyxchg

about.labels.key と about.labels.value

additional.fields.key と additional.fields.value.string_value

暗号化アルゴリズム(tls_enc) PanOSTLSEncryptionAlgorithm tls_enc

about.labels.key と about.labels.value

additional.fields.key と additional.fields.value.string_value

ハッシュ アルゴリズム(tls_auth) PanOSTLSAuth tls_auth

about.labels.key と about.labels.value

additional.fields.key と additional.fields.value.string_value

ポリシー名(policy_name) PanOSPolicyName policy_name

about.labels.key と about.labels.value

additional.fields.key と additional.fields.value.string_value

楕円曲線(ec_curve) PanOSEllipticCurve network.tls.curve
エラー インデックス(err_index) PanOSErrorIndex err_index

about.labels.key と about.labels.value

additional.fields.key と additional.fields.value.string_value

ルートのステータス(root_status) PanOSRootStatus root_status

about.labels.key と about.labels.value

additional.fields.key と additional.fields.value.string_value

チェーンステータス(chain_status) PanOSChainStatus chain_status

about.labels.key と about.labels.value

additional.fields.key と additional.fields.value.string_value

プロキシの種類(proxy_type) PanOSProxyType proxy_type

about.labels.key と about.labels.value

additional.fields.key と additional.fields.value.string_value

証明書のシリアル番号(cert_serial) PanOSCertificateSerial network.tls.server.certificate.serial
証明書フィンガープリント(fingerprint) PanOSFingerprint network.tls.server.certificate.md5/sha1/sha256
証明書の開始日(以前) PanOSTimeNotBefore network.tls.server.certificate.not_before
証明書の終了日(notafter) PanOSTimeNotAfter network.tls.server.certificate.not_after
証明書のバージョン(cert_ver) PanOSCertificateVersion network.tls.server.certificate.version
証明書のサイズ(cert_size) PanOSCertificateSize cert_size

about.labels.key と about.labels.value

additional.fields.key と additional.fields.value.string_value

共通名の長さ(cn_len) PanOSCommonNameLength cn_len

about.labels.key と about.labels.value

additional.fields.key と additional.fields.value.string_value

カード発行会社の共通名の長さ(issuer_len) PanOSIssuerNameLength issuer_len

about.labels.key と about.labels.value

additional.fields.key と additional.fields.value.string_value

ルート共通名の長さ(rootcn_len) PanOSRootCNLength rootcn_len

about.labels.key と about.labels.value

additional.fields.key と additional.fields.value.string_value

SNI の長さ(sni_len) PanOSSNILength sni_len

about.labels.key と about.labels.value

additional.fields.key と additional.fields.value.string_value

証明書フラグ(cert_flags) PanOSCertificateFlags cert_flags

about.labels.key と about.labels.value

additional.fields.key と additional.fields.value.string_value

サブジェクトの共通名(cn) PanOSCommonName cn

about.labels.key と about.labels.value

additional.fields.key と additional.fields.value.string_value

カード発行会社の共通名(issuer_cn) PanOSIssuerCommonName network.tls.server.certificate.issuer
ルート共通名(root_cn) PanOSRootCommonName root_cn

about.labels.key と about.labels.value

additional.fields.key と additional.fields.value.string_value

Server Name Indication

(sni)

network.tls.client.server_name
エラー(error) PanOSErrorMessage エラー

about.labels.key と about.labels.value

additional.fields.key と additional.fields.value.string_value

コンテナ ID (container_id) PanOSContainerID コンテナ ID

about.labels.key と about.labels.value

additional.fields.key と additional.fields.value.string_value

POD 名前空間(pod_namespace) PanOSContainerNameSpace pod_namespace

about.labels.key と about.labels.value

additional.fields.key と additional.fields.value.string_value

POD 名(pod_name) PanOSContainerName pod_name

about.labels.key と about.labels.value

additional.fields.key と additional.fields.value.string_value

送信元外部動的リスト(src_edl) PanOSSourceEDL src_edl

principal.labels.key と principal.labels.value

additional.fields.key と additional.fields.value.string_value

宛先外部動的リスト(dst_edl) PanOSDestinationEDL dst_edl

target.labels.key と target.labels.value

additional.fields.key と additional.fields.value.string_value

送信元動的アドレス グループ(src_dag) PanOSSourceDynamicAddressGroup principal.group.group_display_name
宛先動的アドレス グループ(dst_dag) PanOSDestinationDynamicAddressGroup target.group.group_display_name
高解像度のタイムスタンプ (high_res_timestamp) PanOSTimeGeneratedHighResolution metadata.collected_timestamp,

metadata.event_timestamp(「生成時間」がない場合)

ソースのデバイス カテゴリ(src_category) PanOSSourceDeviceCategory src_category

principal.labels.key と principal.labels.value

additional.fields.key と additional.fields.value.string_value

ソースデバイス プロファイル(src_profile) PanOSSourceDeviceProfile src_profile

principal.labels.key と principal.labels.value

additional.fields.key と additional.fields.value.string_value

ソースデバイス モデル(src_model) PanOSSourceDeviceModel src_model

principal.labels.key と principal.labels.value

additional.fields.key と additional.fields.value.string_value

ソースデバイス ベンダー(src_vendor) PanOSSourceDeviceVendor src_vendor

principal.labels.key と principal.labels.value

additional.fields.key と additional.fields.value.string_value

ソースデバイス OS ファミリー(src_osfamily) PanOSSourceDeviceOSFamily

principal.asset.platform_software.platform

principal.labels.key と principal.labels.value

ソース デバイスの OS バージョン(src_osversion) PanOSSourceDeviceOSVersion principal.asset.software.version
ソースホスト名(src_host) PanOSSourceDeviceHost principal.hostname
送信元 MAC アドレス(src_mac) PanOSSourceDeviceMac principal.mac
宛先デバイス カテゴリ(dst_category) PanOSDestinationDeviceCategory dst_category

target.labels.key と target.labels.value

additional.fields.key と additional.fields.value.string_value

宛先デバイス プロファイル(dst_profile) PanOSDestinationDeviceProfile dst_profile

target.labels.key と target.labels.value

additional.fields.key と additional.fields.value.string_value

移行先のデバイスモデル(dst_model) PanOSDestinationDeviceModel dst_model

target.labels.key と target.labels.value

additional.fields.key と additional.fields.value.string_value

宛先デバイス ベンダー(dst_Vendor) PanOSDestinationDeviceVendor dst_vendor

target.labels.key と target.labels.value

additional.fields.key と additional.fields.value.string_value

宛先デバイス OS ファミリー(dst_osfamily) PanOSDestinationDeviceOSFamily dst_osfamily

target.labels.key と target.labels.value

additional.fields.key と additional.fields.value.string_value

移行先デバイスの OS バージョン(dst_osversion) PanOSDestinationDeviceOSVersion target.asset.software.version
宛先ホスト名(dst_host) PanOSDestinationDeviceHost target.hostname
宛先 MAC アドレス(dst_mac) PanOSDestinationDeviceMac target.mac
シーケンス番号(seqno) PanOSLogTypeSeqNo metadata.product_log_id
アクション フラグ(アクションフラグ) PanOSActionFlags actionflags

about.labels.key と about.labels.value

additional.fields.key と additional.fields.value.string_value

デバイス グループ階層(dg_hier_level_1) DeviceGroupHierarchyL1 dg_hier_level_1

about.labels.key と about.labels.value

additional.fields.key と additional.fields.value.string_value

デバイス グループ階層(dg_hier_level_2) DeviceGroupHierarchyL2 dg_hier_level_2

about.labels.key と about.labels.value

additional.fields.key と additional.fields.value.string_value

デバイス グループ階層(dg_hier_level_3) DeviceGroupHierarchyL3 dg_hier_level_3

about.labels.key と about.labels.value

additional.fields.key と additional.fields.value.string_value

デバイス グループ階層(dg_hier_level_4) DeviceGroupHierarchyL4 dg_hier_level_4

about.labels.key と about.labels.value

additional.fields.key と additional.fields.value.string_value

仮想システム名(vsys_name) principal.resource.name

principal.resource.resource_type=VIRTUAL_MACHINE

デバイス名(device_name) intermediary.hostname
仮想システム ID(vsys_id) principal.resource.resource_type=VIRTUAL_MACHINE と principal.resource.product_object_id
アプリケーション サブカテゴリ(subcategory_of_app) subcategory_of_app

about.labels.key と about.labels.value

additional.fields.key と additional.fields.value.string_value

アプリケーション カテゴリ(category_of_app) category_of_app

about.labels.key と about.labels.value

additional.fields.key と additional.fields.value.string_value

アプリケーション テクノロジー(technology_of_app) technology_of_app

about.labels.key と about.labels.value

additional.fields.key と additional.fields.value.string_value

アプリケーション リスク(risk_of_app) security_result.severity
アプリケーションの特徴 (characteristic_of_app) characteristic_of_app

about.labels.key と about.labels.value

additional.fields.key と additional.fields.value.string_value

アプリケーション コンテナ(container_of_app) container_of_app

about.labels.key と about.labels.value

additional.fields.key と additional.fields.value.string_value

アプリケーション SaaS(is_saas_of_app) is_saas_of_app

about.labels.key と about.labels.value

additional.fields.key と additional.fields.value.string_value

アプリケーション Sanctioned State(sanctioned_state_of_app) sanctioned_state_of_app

about.labels.key と about.labels.value

additional.fields.key と additional.fields.value.string_value

トンネル

次の表に、トンネルログタイプのログ フィールドと、対応する UDM フィールドを示します。

CSV フィールド CEF 項目 LEEF フィールド Chronicle のラベルキー UDM フィールド
受信時刻(Received_time または cef-format-Received_time) rt devTime metadata.collected_timestamp,

metadata.event_timestamp(「生成時間」がない場合)

シリアル番号(serial) deviceExternalId SerialNumber intermediary.asset.hardware.serial_number
タイプ(タイプ) タイプ(ヘッダー) cat metadata.product_event_type
脅威/コンテンツ タイプ(サブタイプ) サブタイプ(ヘッダー) サブタイプ metadata.product_event_type
Generated Time(time_generated または cef-format-time_generated) metadata.event_timestamp
送信元アドレス(src) src src principal.ip
宛先アドレス(dst) dst dst target.ip
NAT ソース IP(natsrc) sourceTranslatedAddress srcPostNAT principal.nat_ip
NAT 宛先 IP(natdst) destinationTranslatedAddress dstPostNAT target.nat_ip
ルール名(rule) cs1 RuleName security_result.rule_name
送信元ユーザー(srcuser) suser SourceUser / usrName principal.user.userid
宛先ユーザー(dstuser) duser DestinationUser target.user.userid
アプリケーション (app) app Application(アプリケーション) network.application_protocol
仮想システム(vsys) cs3 VirtualSystem vsys

about.labels.key と about.labels.value

additional.fields.key と additional.fields.value.string_value

送信元のゾーン(from) cs4 SourceZone 送信元

principal.labels.key と principal.labels.value

additional.fields.key と additional.fields.value.string_value

宛先のゾーン(送信先) cs5 DestinationZone

target.labels.key と target.labels.value

additional.fields.key と additional.fields.value.string_value

インバウンドインターフェース(inbound_if) deviceInboundInterface IngressInterface inbound_if

principal.labels.key と principal.labels.value

additional.fields.key と additional.fields.value.string_value

アウトバウンドインターフェース(outbound_if) deviceOutboundInterface EgressInterface outbound_if

target.labels.key と target.labels.value

additional.fields.key と additional.fields.value.string_value

ログ アクション(logset) cs6 LogForwardingProfile logset

about.labels.key と about.labels.value

additional.fields.key と additional.fields.value.string_value

セッション ID(sessionid) cn1 SessionID network.session_id
繰り返し回数(repeatcnt) cnt RepeatCount repeatcnt

about.labels.key と about.labels.value

additional.fields.key と additional.fields.value.string_value

送信元ポート(sport) spt srcPort principal.port
宛先ポート(dport) dpt dstPort target.port
NAT 送信元ポート(natsport) sourceTranslatedPort srcPostNATPort principal.nat_port
NAT 宛先ポート(natdport) destinationTranslatedPort dstPostNATPort target.nat_port
フラグ(flags) flexString1 フラグ flags

about.labels.key と about.labels.value

additional.fields.key と additional.fields.value.string_value

IP プロトコル(proto) proto proto network.ip_protocol
アクション (action) 対処 action security_result.action_details

security_result.action

重大度(severity) security_result.severity と security_result.severity_details
シーケンス番号(seqno) externalId シーケンス metadata.product_log_id
アクション フラグ(アクションフラグ) PanOSActionFlags ActionFlags actionflags

about.labels.key と about.labels.value

additional.fields.key と additional.fields.value.string_value

送信元の場所(srcloc) principal.location.country_or_region
宛先のロケーション(dstloc) target.location.country_or_region
デバイス グループ階層(dg_hier_level_1) PanOSDGl1 DeviceGroupHierarchyL1 dg_hier_level_1

about.labels.key と about.labels.value

additional.fields.key と additional.fields.value.string_value

デバイス グループ階層(dg_hier_level_2) PanOSDGl2 DeviceGroupHierarchyL2 dg_hier_level_2

about.labels.key と about.labels.value

additional.fields.key と additional.fields.value.string_value

デバイス グループ階層(dg_hier_level_3) PanOSDGl3 DeviceGroupHierarchyL3 dg_hier_level_3

about.labels.key と about.labels.value

additional.fields.key と additional.fields.value.string_value

デバイス グループ階層(dg_hier_level_4) PanOSDGl4 DeviceGroupHierarchyL4 dg_hier_level_4

about.labels.key と about.labels.value

additional.fields.key と additional.fields.value.string_value

仮想システム名(vsys_name) PanOSVsysName vSrcName principal.resource.name

principal.resource.resource_type=VIRTUAL_MACHINE

デバイス名(device_name) dvchost DeviceName intermediary.hostname
トンネル ID(tunnelid) PanOSTunnelID TunnelID tunnelid

about.labels.key と about.labels.value

additional.fields.key と additional.fields.value.string_value

タグのモニタリング(monitortag) PanOSMonitorTag MonitorTag monitortag

about.labels.key と about.labels.value

additional.fields.key と additional.fields.value.string_value

親セッション ID(parent_session_id) PanOSParentSessionID ParentSessionID parent_session_id network.parent_session_id
親開始時間(parent_start_time) PanOSParentStartTime ParentStartTime parent_start_time

about.labels.key と about.labels.value

additional.fields.key と additional.fields.value.string_value

トンネルタイプ(tunnel) cs2 TunnelType トンネル

about.labels.key と about.labels.value

additional.fields.key と additional.fields.value.string_value

バイト(bytes) flexNumber1 totalBytes バイト

about.labels.key と about.labels.value

additional.fields.key と additional.fields.value.string_value

送信バイト数(bytes_sent) in srcBytes network.sent_bytes
受信バイト数(bytes_Receivedd) out dstBytes network.received_bytes
パケット数(packets) cn2 totalPackets パケット

about.labels.key と about.labels.value

additional.fields.key と additional.fields.value.string_value

送信パケット数(pkts_sent) PanOSPacketsSent srcPackets pkts_sent

about.labels.key と about.labels.value

additional.fields.key と additional.fields.value.string_value

受信パケット数(pkts_Receivedd) PanOSPacketsReceived dstPackets pkts_received

about.labels.key と about.labels.value

additional.fields.key と additional.fields.value.string_value

最大カプセル化(max_encap) flexNumber2 MaximumEncapsulation max_encap

about.labels.key と about.labels.value

additional.fields.key と additional.fields.value.string_value

不明なプロトコル(unknown_proto) cfp1 UnknownProtocol unknown_proto

about.labels.key と about.labels.value

additional.fields.key と additional.fields.value.string_value

厳密なチェック(strict_check) cfp2 StrictChecking strict_check

about.labels.key と about.labels.value

additional.fields.key と additional.fields.value.string_value

トンネル フラグメント(tunnel_fragment) PanOSTunnelFragment TunnelFragment tunnel_fragment

about.labels.key と about.labels.value

additional.fields.key と additional.fields.value.string_value

作成されたセッション(sessions_created) cfp3 SessionsCreated sessions_created

about.labels.key と about.labels.value

additional.fields.key と additional.fields.value.string_value

閉じたセッション(sessions_closure) cfp4 SessionsClosed sessions_closed

about.labels.key と about.labels.value

additional.fields.key と additional.fields.value.string_value

セッション終了の理由(session_end_reason) reason SessionEndReason security_result.summary
アクション宛先(action_source) cat ActionSource action_source

about.labels.key と about.labels.value

additional.fields.key と additional.fields.value.string_value

開始時刻 (start) startTime スタート

about.labels.key と about.labels.value

additional.fields.key と additional.fields.value.string_value

経過時間(elapsed) cn3 ElapsedTime 経過時間 network.session_duration.seconds
トンネル検査ルール(tunnel_insp_rule) PanOSTunneInspectionRule security_result.rule_name = 「トンネル検査ルール: %{PanOSTunnelInspectionRule}」
リモート ユーザー IP(remote_user_ip) PanOSRmtUserIP target.ip
リモート ユーザー ID(remote_user_id) PanOSRmtUserID remote_user_id

target.labels.key と target.labels.value

additional.fields.key と additional.fields.value.string_value

セキュリティ ルールの UUID(rule_uuid) PanOSRuleUUID security_result.rule_id
PCAP ID(pcap_id) PanOSPcapID pcap_id

about.labels.key と about.labels.value

additional.fields.key と additional.fields.value.string_value

動的ユーザー グループ名(dynusergroup_name) PanDynamicUsrgrp principal.group.group_display_name
送信元外部動的リスト(src_edl) PanOSSourceEDL src_edl

principal.labels.key と principal.labels.value

additional.fields.key と additional.fields.value.string_value

宛先外部動的リスト(dst_edl) PanOSDestinationEDL dst_edl

target.labels.key と target.labels.value

additional.fields.key と additional.fields.value.string_value

高解像度のタイムスタンプ (high_res timestamp) PanOSTimeGeneratedHighResolution metadata.collected_timestamp,

metadata.event_timestamp(「生成時間」がない場合)

スライス差分(nssai_sd) nssai_sd

about.labels.key と about.labels.value

additional.fields.key と additional.fields.value.string_value

スライス サービスタイプ(nssai_sd) nssai_sd1

about.labels.key と about.labels.value

additional.fields.key と additional.fields.value.string_value

PDU セッション ID(pdu_session_id) pdu_session_id

about.labels.key と about.labels.value

additional.fields.key と additional.fields.value.string_value

アプリケーション サブカテゴリ(subcategory_of_app) subcategory_of_app

about.labels.key と about.labels.value

additional.fields.key と additional.fields.value.string_value

アプリケーション カテゴリ(category_of_app) category_of_app

about.labels.key と about.labels.value

additional.fields.key と additional.fields.value.string_value

アプリケーション テクノロジー(technology_of_app) technology_of_app

about.labels.key と about.labels.value

additional.fields.key と additional.fields.value.string_value

アプリケーション リスク(risk_of_app) risk_of_app

about.labels.key と about.labels.value

additional.fields.key と additional.fields.value.string_value

アプリケーションの特徴 (characteristic_of_app) characteristic_of_app

about.labels.key と about.labels.value

additional.fields.key と additional.fields.value.string_value

アプリケーション コンテナ(container_of_app) container_of_app

about.labels.key と about.labels.value

additional.fields.key と additional.fields.value.string_value

アプリケーション SaaS(is_saas_of_app) is_saas_of_app

about.labels.key と about.labels.value

additional.fields.key と additional.fields.value.string_value

アプリケーション Sanctioned State(sanctioned_state_of_app) sanctioned_state_of_app

about.labels.key と about.labels.value

additional.fields.key と additional.fields.value.string_value

認証

次の表に、認証ログタイプのログ フィールドと、対応する UDM フィールドを示します。

CSV フィールド CEF 項目 LEEF フィールド Chronicle のラベルキー UDM フィールド
受信時刻(Received_time または cef-format-Received_time) rt devTime metadata.collected_timestamp,

metadata.event_timestamp(「生成時間」がない場合)

シリアル番号(serial) deviceExternalId SerialNumber intermediary.asset.hardware.serial_number
タイプ(タイプ) タイプ(ヘッダー) cat metadata.product_event_type
脅威/コンテンツ タイプ(サブタイプ) サブタイプ(ヘッダー) サブタイプ metadata.product_event_type
Generated Time(time_generated または cef-format-time_generated) metadata.event_timestamp
仮想システム(vsys) cs3 VirtualSystem vsys

about.labels.key と about.labels.value

additional.fields.key と additional.fields.value.string_value

送信元 IP(ip) src src principal.ip
User (user) duser usrName target.user.userid
正規化ユーザー(normalize_user) cs2 NormalizeUser target.user.user_display_name
オブジェクト(object) fname ObjectName オブジェクト

about.labels.key と about.labels.value

additional.fields.key と additional.fields.value.string_value

認証ポリシー(authpolicy) cs4 AuthPolicy authpolicy

about.labels.key と about.labels.value

additional.fields.key と additional.fields.value.string_value

繰り返し回数(repeatcnt) cnt RepeatCount repeatcnt

about.labels.key と about.labels.value

additional.fields.key と additional.fields.value.string_value

認証 ID(authid) cn2 AuthenticationID authid

about.labels.key と about.labels.value

additional.fields.key と additional.fields.value.string_value

ベンダー(vendor) flexString2 ベンダー vendor

about.labels.key と about.labels.value

additional.fields.key と additional.fields.value.string_value

ログ アクション(logset) cs6 LogForwardingProfile logset

about.labels.key と about.labels.value

additional.fields.key と additional.fields.value.string_value

サーバー プロファイル(serverprofile) cs1 ServerProfile serverprofile

about.labels.key と about.labels.value

additional.fields.key と additional.fields.value.string_value

説明(desc) PanOSDesc AdditionalAuthInfo security_result.description
クライアント タイプ(clienttype) cs5 ClientType clienttype

about.labels.key と about.labels.value

additional.fields.key と additional.fields.value.string_value

イベントタイプ(event) msg msg extensions.auth.auth_details
要素番号(factorno) cn1 FactorNumber factorno

about.labels.key と about.labels.value

additional.fields.key と additional.fields.value.string_value

シーケンス番号(seqno) externalId シーケンス metadata.product_log_id
アクション フラグ(アクションフラグ) PanOSActionFlags ActionFlags actionflags

about.labels.key と about.labels.value

additional.fields.key と additional.fields.value.string_value

デバイス グループ階層(dg_hier_level_1) PanOSDGl1 DeviceGroupHierarchyL1 dg_hier_level_1

about.labels.key と about.labels.value

additional.fields.key と additional.fields.value.string_value

デバイス グループ階層(dg_hier_level_2) PanOSDGl2 DeviceGroupHierarchyL2 dg_hier_level_2

about.labels.key と about.labels.value

additional.fields.key と additional.fields.value.string_value

デバイス グループ階層(dg_hier_level_3) PanOSDGl3 DeviceGroupHierarchyL3 dg_hier_level_3

about.labels.key と about.labels.value

additional.fields.key と additional.fields.value.string_value

デバイス グループ階層(dg_hier_level_4) PanOSDGl4 DeviceGroupHierarchyL4 dg_hier_level_4

about.labels.key と about.labels.value

additional.fields.key と additional.fields.value.string_value

仮想システム名(vsys_name) PanOSVsysName vSrcName principal.resource.name

principal.resource.resource_type=VIRTUAL_MACHINE

デバイス名(device_name) dvchost DeviceName intermediary.hostname
仮想システム ID(vsys_id) principal.resource.resource_type=VIRTUAL_MACHINE と principal.resource.product_object_id
認証プロトコル(authproto) authproto

about.labels.key と about.labels.value

additional.fields.key と additional.fields.value.string_value

ルールの UUID(rule_uuid) PanOSRuleUUID/RuleUUID security_result.rule_id
高解像度のタイムスタンプ (high_res _timestamp) PanOSTimeGeneratedHighResolution metadata.collected_timestamp,

metadata.event_timestamp(「生成時間」がない場合)

ソースのデバイス カテゴリ(src_category) PanOSSourceDeviceCategory src_category

principal.labels.key と principal.labels.value

additional.fields.key と additional.fields.value.string_value

ソースデバイス プロファイル(src_profile) PanOSSourceDeviceProfile src_profile

principal.labels.key と principal.labels.value

additional.fields.key と additional.fields.value.string_value

ソースデバイス モデル(src_model) PanOSSourceDeviceModel src_model

principal.labels.key と principal.labels.value

additional.fields.key と additional.fields.value.string_value

ソースデバイス ベンダー(src_vendor) PanOSSourceDeviceVendor src_vendor

principal.labels.key と principal.labels.value

additional.fields.key と additional.fields.value.string_value

ソースデバイス OS ファミリー(src_osfamily) PanOSSourceDeviceOSFamily

principal.asset.platform_software.platform

principal.labels.key と principal.labels.value

additional.fields.key と additional.fields.value.string_value

ソース デバイスの OS バージョン(src_osversion) PanOSSourceDeviceOSVersion principal.asset.software.version
ソースホスト名(src_host) PanOSSourceHostname principal.hostname
送信元 MAC アドレス(src_mac) PanOSSourceMac principal.asset.mac
リージョン (region) PanOSTrafficOriginRegion principal.location.country_or_region
ユーザー エージェント(user_agent) PanOSHTTPUserAgent network.http.user_agent
セッション ID(sessionid) PanOSTrafficSessionID network.session_id

URL

次の表に、URL ログタイプのログ フィールドと、対応する UDM フィールドを示します。

CSV フィールド CEF 項目 LEEF フィールド Chronicle のラベルキー UDM フィールド
受信時間(cef 形式の受信時間) rt devTime metadata.collected_timestamp,

metadata.event_timestamp(「生成時間」がない場合)

シリアル番号 (serial) deviceExternalId SerialNumber intermediary.asset.hardware.serial_number
タイプ(タイプ) タイプ(ヘッダー) cat metadata.product_event_type
脅威/コンテンツ タイプ(サブタイプ) サブタイプ(ヘッダー) サブタイプ metadata.product_event_type
生成時間 metadata.event_timestamp
送信元アドレス(src) src src principal.ip
宛先アドレス(dst) dst dst target.ip
NAT ソース IP(natsrc) sourceTranslatedAddress srcPostNAT principal.nat_ip
NAT 宛先 IP(natdst) destinationTranslatedAddress dstPostNAT target.nat_ip
ルール(rule) cs1 RuleName security_result.rule_name
送信元ユーザー(srcuser) suser SourceUser principal.user.userid
宛先ユーザー(dstuser) duser DestinationUser target.user.userid
アプリケーション (app) app Application(アプリケーション) network.application_protocol
仮想システム(vsys) cs3 VirtualSystem vsys

about.labels.key と about.labels.value

additional.fields.key と additional.fields.value.string_value

送信元のゾーン(from) cs4 SourceZone 送信元

principal.labels.key と principal.labels.value

additional.fields.key と additional.fields.value.string_value

宛先のゾーン(送信先) cs5 DestinationZone

target.labels.key と target.labels.value

additional.fields.key と additional.fields.value.string_value

インバウンドインターフェース(inbound_if) deviceInboundInterface IngressInterface inbound_if

principal.labels.key と principal.labels.value

additional.fields.key と additional.fields.value.string_value

アウトバウンドインターフェース(outbound_if) deviceOutboundInterface EgressInterface outbound_if

target.labels.key と target.labels.value

additional.fields.key と additional.fields.value.string_value

ログ アクション(logset) cs6 LogForwardingProfile logset

about.labels.key と about.labels.value

additional.fields.key と additional.fields.value.string_value

ログ時間 time_logged

about.labels.key と about.labels.value

additional.fields.key と additional.fields.value.string_value

セッション ID(sessionid) cn1 SessionID network.session_id
繰り返し回数(repeatcnt) cnt RepeatCount repeatcnt

about.labels.key と about.labels.value

additional.fields.key と additional.fields.value.string_value

送信元ポート(sport) spt srcPort principal.port
宛先ポート(dport) dpt dstPort target.port
NAT 送信元ポート(natsport) sourceTranslatedPort srcPostNATPort principal.nat_port
NAT 宛先ポート(natdport) destinationTranslatedPort dstPostNATPort target.nat_port
フラグ(flags) flexString1 フラグ flags

about.labels.key と about.labels.value

additional.fields.key と additional.fields.value.string_value

IP プロトコル(proto) proto proto network.ip_protocol
アクション (action) 対処 action security_result.action_details

security_result.action

URL/ファイル名(misc) その他 target.file.full_path

target.url

脅威/コンテンツ名(threatid) cat ThreatID security_result.threat_id
カテゴリ(category) cs2 URL のカテゴリ category

about.labels.key と about.labels.value

additional.fields.key と additional.fields.value.string_value

重大度(severity) 重大度(ヘッダ) 重大度 security_result.severity

security_result.severity_details

目的地 (direction) flexString2 方向 network.direction
シーケンス番号(seqno) externalId シーケンス metadata.product_log_id
アクション フラグ(アクションフラグ) PanOSActionFlags ActionFlags actionflags

about.labels.key と about.labels.value

additional.fields.key と additional.fields.value.string_value

送信元の国(srcloc) SourceLocation principal.location.country_or_region
宛先の国(dstloc) DestinationLocation target.location.country_or_region
コンテンツ タイプ (contenttype) requestContext ContentType contenttype

about.labels.key と about.labels.value

additional.fields.key と additional.fields.value.string_value

pcap_id(pcap_id) fileId PCAP_ID pcap_id

about.labels.key と about.labels.value

additional.fields.key と additional.fields.value.string_value

filedigest(filedigest) FileDigest about.file.sha1/md5/sha256
クラウド(cloud) クラウド cloud

about.labels.key と about.labels.value

additional.fields.key と additional.fields.value.string_value

url_idx(url_idx) URLIndex url_idx

about.labels.key と about.labels.value

additional.fields.key と additional.fields.value.string_value

user_agent(user_agent) requestClientApplication UserAgent network.http.user_agent
ファイルの種類(filetype) about.file.mime_type
xff(xff) PanOSXForwarderfor identSrc xff

about.labels.key と about.labels.value

additional.fields.key と additional.fields.value.string_value

リファラー(referer) PanOSReferer リファラー network.http.referral_url
送信者(sender) network.email.from
件名(subject) 件名 network.email.subject
受信者(recipient) network.email.to
reportid (reportid) reportid

about.labels.key と about.labels.value

additional.fields.key と additional.fields.value.string_value

DG 階層レベル 1(dg_hier_level_1) PanOSDGl1 DeviceGroupHierarchyL1 dg_hier_level_1

about.labels.key と about.labels.value

additional.fields.key と additional.fields.value.string_value

DG 階層レベル 2(dg_hier_level_2) PanOSDGl2 DeviceGroupHierarchyL2 dg_hier_level_2

about.labels.key と about.labels.value

additional.fields.key と additional.fields.value.string_value

DG 階層レベル 3(dg_hier_level_3) PanOSDGl3 DeviceGroupHierarchyL3 dg_hier_level_3

about.labels.key と about.labels.value

additional.fields.key と additional.fields.value.string_value

DG 階層レベル 4(dg_hier_level_4) PanOSDGl4 DeviceGroupHierarchyL4 dg_hier_level_4

about.labels.key と about.labels.value

additional.fields.key と additional.fields.value.string_value

仮想システム名(vsys_name) PanOSVsysName vSrcName principal.resource.name

principal.resource.resource_type=VIRTUAL_MACHINE

デバイス名(device_name) dvchost DeviceName intermediary.hostname
file_url(file_url) about.url
ソース VM UUID(src_uuid) SrcUUID principal.asset.asset_id
宛先 VM UUID(dst_uuid) DstUUID target.asset.asset_id
http_method (http_method) requestMethod RequestMethod network.http.method
トンネル ID/IMSI (tunnelid) PanOSTunnelID TunnelID tunnelid

about.labels.key と about.labels.value

additional.fields.key と additional.fields.value.string_value

タグ/IMEI のモニタリング(monitortag) PanOSMonitorTag MonitorTag monitortag

about.labels.key と about.labels.value

additional.fields.key と additional.fields.value.string_value

親セッション ID(parent_session_id) PanOSParentSessionID ParentSessionID parent_session_id network.parent_session_id
親セッション開始時間(parent_start_time) PanOSParentStartTime ParentStartTime parent_start_time

about.labels.key と about.labels.value

additional.fields.key と additional.fields.value.string_value

トンネル(tunnel) PanOSTunnelType TunnelType トンネル

about.labels.key と about.labels.value

additional.fields.key と additional.fields.value.string_value

thr_category(thr_category) PanOSThreatCategory ThreatCategory thr_category security_result.detection_fields.key/value
contentver(contentver) PanOSContentVer ContentVer contentver

about.labels.key と about.labels.value

additional.fields.key と additional.fields.value.string_value

sig_flags(sig_flags) sig_flags

about.labels.key と about.labels.value

additional.fields.key と additional.fields.value.string_value

SCTP 関連付け ID(assoc_id) PanOSAssocID assoc_id

about.labels.key と about.labels.value

additional.fields.key と additional.fields.value.string_value

ペイロード プロトコル ID(ppid) PanOSPPID ppid

about.labels.key と about.labels.value

additional.fields.key と additional.fields.value.string_value

http_headers(http_headers) PanOSHTTPHeader http_headers

about.labels.key と about.labels.value

additional.fields.key と additional.fields.value.string_value

URL カテゴリリスト(url_category_list) PanOSURLCatList url_category_list

about.labels.key と about.labels.value

additional.fields.key と additional.fields.value.string_value

ルールの UUID(rule_uuid) PanOSRuleUUID rule_uuid

about.labels.key と about.labels.value

additional.fields.key と additional.fields.value.string_value

HTTP/2 接続(http2_connection) PanOSHTTP2Con http2_connection

about.labels.key と about.labels.value

additional.fields.key と additional.fields.value.string_value

dynusergroup_name(dynusergroup_name) PanDynamicUsrgrp dynusergroup_name

about.labels.key と about.labels.value

additional.fields.key と additional.fields.value.string_value

XFF アドレス(xff_ip) PanXFFIP principal.ip
ソースのデバイス カテゴリ(src_category) PanSrcDeviceCat src_category

principal.labels.key と principal.labels.value

additional.fields.key と additional.fields.value.string_value

ソースデバイス プロファイル(src_profile) PanSrcDeviceProf src_profile

principal.labels.key と principal.labels.value

additional.fields.key と additional.fields.value.string_value

ソースデバイス モデル(src_model) PanSrcDeviceModel src_model

principal.labels.key と principal.labels.value

additional.fields.key と additional.fields.value.string_value

ソースデバイス ベンダー(src_vendor) PanSrcDeviceVendor src_vendor

principal.labels.key と principal.labels.value

additional.fields.key と additional.fields.value.string_value

ソースデバイス OS ファミリー(src_osfamily) PanSrcDeviceOS

principal.asset.platform_software.platform

principal.labels.key と principal.labels.value

additional.fields.key と additional.fields.value.string_value

ソース デバイスの OS バージョン(src_osversion) PanSrcDeviceOSv principal.asset.software.version
ソースホスト名(src_host) PanSrcHostname src_host

principal.labels.key と principal.labels.value

additional.fields.key と additional.fields.value.string_value

送信元 Mac アドレス(src_mac) PanSrcMac principal.mac
宛先デバイス カテゴリ(dst_category) PanDstDeviceCat dst_category

target.labels.key と target.labels.value

additional.fields.key と additional.fields.value.string_value

宛先デバイス プロファイル(dst_profile) PanDstDeviceProf dst_profile

target.labels.key と target.labels.value

additional.fields.key と additional.fields.value.string_value

移行先のデバイスモデル(dst_model) PanDstDeviceModel dst_model

target.labels.key と target.labels.value

additional.fields.key と additional.fields.value.string_value

宛先デバイス ベンダー(dst_Vendor) PanDstDeviceVendor dst_vendor

target.labels.key と target.labels.value

additional.fields.key と additional.fields.value.string_value

宛先デバイス OS ファミリー(dst_osfamily) PanDstDeviceOS target.asset.platform_software.platform

target.labels.key と target.labels.value

移行先デバイスの OS バージョン(dst_osversion) PanDstDeviceOSv target.asset.software.version
宛先ホスト名(dst_host) PanPODNamespace target.hostname
宛先 Mac アドレス(dst_mac) PanDstMac target.mac
コンテナ ID (container_id) PanContainerName コンテナ ID

about.labels.key と about.labels.value

additional.fields.key と additional.fields.value.string_value

POD 名前空間(pod_namespace) PanPODNamespace pod_namespace

about.labels.key と about.labels.value

additional.fields.key と additional.fields.value.string_value

POD 名(pod_name) PanPODName pod_name

about.labels.key と about.labels.value

additional.fields.key と additional.fields.value.string_value

送信元外部動的リスト(src_edl) PanSrcEDL src_edl

principal.labels.key と principal.labels.value

additional.fields.key と additional.fields.value.string_value

宛先外部動的リスト(dst_edl) PanDstEDL dst_edl

target.labels.key と target.labels.value

additional.fields.key と additional.fields.value.string_value

ホスト ID(hostid) PanGPHostID hostid

about.labels.key と about.labels.value

additional.fields.key と additional.fields.value.string_value

シリアル番号(serialnumber) PanEPSerial principal.asset.hardware.serial_number
domain_edl(domain_edl) PanDomainEDL domain_edl

about.labels.key と about.labels.value

additional.fields.key と additional.fields.value.string_value

送信元動的アドレス グループ(src_dag) PanSrcDAG principal.group.group_display_name
宛先動的アドレス グループ(dst_dag) PanDstDAG target.group.group_display_name
partial_hash (partial_hash) PanPartialHash partial_hash

about.labels.key と about.labels.value

additional.fields.key と additional.fields.value.string_value

高解像度のタイムスタンプ(high_res_timestamp) PanTimeHighRes metadata.collected_timestamp,

metadata.event_timestamp(「生成時間」がない場合)

理由 (reason) PanReasonFilteringAction reason

about.labels.key と about.labels.value

additional.fields.key と additional.fields.value.string_value

正当な理由 (justification) PanJustification 理由

about.labels.key と about.labels.value

additional.fields.key と additional.fields.value.string_value

nssai_sst(nssai_sst) PanASServiceType nssai_sst

about.labels.key と about.labels.value

additional.fields.key と additional.fields.value.string_value

アプリのサブカテゴリ(subcategory_of_app) subcategory_of_app

about.labels.key と about.labels.value

additional.fields.key と additional.fields.value.string_value

アプリのカテゴリ(category_of_app) category_of_app

about.labels.key と about.labels.value

additional.fields.key と additional.fields.value.string_value

アプリのテクノロジー(technology_of_app) technology_of_app

about.labels.key と about.labels.value

additional.fields.key と additional.fields.value.string_value

アプリのリスク(risk_of_app) risk_of_app

about.labels.key と about.labels.value

additional.fields.key と additional.fields.value.string_value

アプリの特性(characteristic_of_app) characteristic_of_app

about.labels.key と about.labels.value

additional.fields.key と additional.fields.value.string_value

アプリのコンテナ(container_of_app) container_of_app

about.labels.key と about.labels.value

additional.fields.key と additional.fields.value.string_value

トンネリングされたアプリ(tunneled_app) tunneled_app

about.labels.key と about.labels.value

additional.fields.key と additional.fields.value.string_value

アプリの SaaS(is_saas_of_app) is_saas_of_app

about.labels.key と about.labels.value

additional.fields.key と additional.fields.value.string_value

承認済みアプリ(sanctioned_state_of_app) sanctioned_state_of_app

about.labels.key と about.labels.value

additional.fields.key と additional.fields.value.string_value

データ

次の表に、データ ログタイプのログ フィールドと、対応する UDM フィールドを示します。

CSV フィールド CEF 項目 LEEF フィールド Chronicle のラベルキー UDM フィールド
受信時間(cef 形式の受信時間) rt devTime metadata.collected_timestamp,

metadata.event_timestamp(「生成時間」がない場合)

シリアル番号 (serial) deviceExternalId SerialNumber intermediary.asset.hardware.serial_number
タイプ(タイプ) タイプ(ヘッダー) cat metadata.product_event_type
脅威/コンテンツ タイプ(サブタイプ) サブタイプ(ヘッダー) サブタイプ metadata.product_event_type
生成時間 metadata.event_timestamp
送信元アドレス(src) src src principal.ip
宛先アドレス(dst) dst dst target.ip
NAT ソース IP(natsrc) sourceTranslatedAddress srcPostNAT principal.nat_ip
NAT 宛先 IP(natdst) destinationTranslatedAddress dstPostNAT target.nat_ip
ルール(rule) cs1 RuleName security_result.rule_name
送信元ユーザー(srcuser) suser SourceUser principal.user.userid
宛先ユーザー(dstuser) duser DestinationUser target.user.userid
アプリケーション (app) app Application(アプリケーション) network.application_protocol
仮想システム(vsys) cs3 VirtualSystem vsys

about.labels.key と about.labels.value

additional.fields.key と additional.fields.value.string_value

送信元のゾーン(from) cs4 SourceZone 送信元

principal.labels.key と principal.labels.value

additional.fields.key と additional.fields.value.string_value

宛先のゾーン(送信先) cs5 DestinationZone

target.labels.key と target.labels.value

additional.fields.key と additional.fields.value.string_value

インバウンドインターフェース(inbound_if) deviceInboundInterface IngressInterface inbound_if

principal.labels.key と principal.labels.value

additional.fields.key と additional.fields.value.string_value

アウトバウンドインターフェース(outbound_if) deviceOutboundInterface EgressInterface outbound_if

target.labels.key と target.labels.value

additional.fields.key と additional.fields.value.string_value

ログ アクション(logset) cs6 LogForwardingProfile logset

about.labels.key と about.labels.value

additional.fields.key と additional.fields.value.string_value

ログ時間 time_logged

about.labels.key と about.labels.value

additional.fields.key と additional.fields.value.string_value

セッション ID(sessionid) cn1 SessionID network.session_id
繰り返し回数(repeatcnt) cnt RepeatCount repeatcnt

about.labels.key と about.labels.value

additional.fields.key と additional.fields.value.string_value

送信元ポート(sport) spt srcPort principal.port
宛先ポート(dport) dpt dstPort target.port
NAT 送信元ポート(natsport) sourceTranslatedPort srcPostNATPort principal.nat_port
NAT 宛先ポート(natdport) destinationTranslatedPort dstPostNATPort target.nat_port
フラグ(flags) flexString1 フラグ flags

about.labels.key と about.labels.value

additional.fields.key と additional.fields.value.string_value

IP プロトコル(proto) proto proto network.ip_protocol
アクション (action) 対処 action security_result.action_details

security_result.action

URL/ファイル名(misc) その他 target.file.full_path

target.url

脅威/コンテンツ名(threatid) cat ThreatID security_result.threat_id
カテゴリ(category) cs2 URL のカテゴリ category

about.labels.key と about.labels.value

additional.fields.key と additional.fields.value.string_value

重大度(severity) 重大度(ヘッダ) 重大度 security_result.severity

security_result.severity_details

目的地 (direction) flexString2 方向 network.direction
シーケンス番号(seqno) externalId シーケンス metadata.product_log_id
アクション フラグ(アクションフラグ) PanOSActionFlags ActionFlags actionflags

about.labels.key と about.labels.value

additional.fields.key と additional.fields.value.string_value

送信元の国(srcloc) SourceLocation principal.location.country_or_region
宛先の国(dstloc) DestinationLocation target.location.country_or_region
コンテンツ タイプ (contenttype) ContentType contenttype

about.labels.key と about.labels.value

additional.fields.key と additional.fields.value.string_value

pcap_id(pcap_id) fileId PCAP_ID pcap_id

about.labels.key と about.labels.value

additional.fields.key と additional.fields.value.string_value

filedigest(filedigest) FileDigest about.file.sha1/md5/sha256
クラウド(cloud) クラウド cloud

about.labels.key と about.labels.value

additional.fields.key と additional.fields.value.string_value

url_idx(url_idx) URLIndex url_idx

about.labels.key と about.labels.value

additional.fields.key と additional.fields.value.string_value

user_agent(user_agent) network.http.user_agent
ファイルの種類(filetype) about.file.mime_type
xff(xff) xff

about.labels.key と about.labels.value

additional.fields.key と additional.fields.value.string_value

リファラー(referer) network.http.referral_url
送信者(sender) network.email.from
件名(subject) 件名 network.email.subject
受信者(recipient) network.email.to
reportid (reportid) reportid

about.labels.key と about.labels.value

additional.fields.key と additional.fields.value.string_value

DG 階層レベル 1(dg_hier_level_1) PanOSDGl1 DeviceGroupHierarchyL1 dg_hier_level_1

about.labels.key と about.labels.value

additional.fields.key と additional.fields.value.string_value

DG 階層レベル 2(dg_hier_level_2) PanOSDGl2 DeviceGroupHierarchyL2 dg_hier_level_2

about.labels.key と about.labels.value

additional.fields.key と additional.fields.value.string_value

DG 階層レベル 3(dg_hier_level_3) PanOSDGl3 DeviceGroupHierarchyL3 dg_hier_level_3

about.labels.key と about.labels.value

additional.fields.key と additional.fields.value.string_value

DG 階層レベル 4(dg_hier_level_4) PanOSDGl4 DeviceGroupHierarchyL4 dg_hier_level_4

about.labels.key と about.labels.value

additional.fields.key と additional.fields.value.string_value

仮想システム名(vsys_name) PanOSVsysName vSrcName principal.resource.name

principal.resource.resource_type=VIRTUAL_MACHINE

デバイス名(device_name) dvchost DeviceName intermediary.hostname
file_url(file_url) about.url
ソース VM UUID(src_uuid) SrcUUID principal.asset.asset_id
宛先 VM UUID(dst_uuid) DstUUID target.asset.asset_id
http_method (http_method) RequestMethod network.http.method
トンネル ID/IMSI (tunnelid) PanOSTunnelID TunnelID tunnelid

about.labels.key と about.labels.value

additional.fields.key と additional.fields.value.string_value

タグ/IMEI のモニタリング(monitortag) PanOSMonitorTag MonitorTag monitortag

about.labels.key と about.labels.value

additional.fields.key と additional.fields.value.string_value

親セッション ID(parent_session_id) PanOSParentSessionID ParentSessionID parent_session_id network.parent_session_id
親セッション開始時間(parent_start_time) PanOSParentStartTime ParentStartTime parent_start_time

about.labels.key と about.labels.value

additional.fields.key と additional.fields.value.string_value

トンネル(tunnel) PanOSTunnelType TunnelType トンネル

about.labels.key と about.labels.value

additional.fields.key と additional.fields.value.string_value

thr_category(thr_category) PanOSThreatCategory ThreatCategory thr_category security_result.detection_fields.key/value
contentver(contentver) PanOSContentVer ContentVer contentver

about.labels.key と about.labels.value

additional.fields.key と additional.fields.value.string_value

sig_flags(sig_flags) sig_flags

about.labels.key と about.labels.value

additional.fields.key と additional.fields.value.string_value

SCTP 関連付け ID(assoc_id) PanOSAssocID assoc_id

about.labels.key と about.labels.value

additional.fields.key と additional.fields.value.string_value

ペイロード プロトコル ID(ppid) PanOSPPID ppid

about.labels.key と about.labels.value

additional.fields.key と additional.fields.value.string_value

http_headers(http_headers) PanOSHTTPHeader http_headers

about.labels.key と about.labels.value

additional.fields.key と additional.fields.value.string_value

URL カテゴリリスト(url_category_list) url_category_list

about.labels.key と about.labels.value

additional.fields.key と additional.fields.value.string_value

ルールの UUID(rule_uuid) PanOSRuleUUID rule_uuid

about.labels.key と about.labels.value

additional.fields.key と additional.fields.value.string_value

HTTP/2 接続(http2_connection) http2_connection

about.labels.key と about.labels.value

additional.fields.key と additional.fields.value.string_value

dynusergroup_name(dynusergroup_name) dynusergroup_name

principal.labels.key と principal.labels.value

additional.fields.key と additional.fields.value.string_value

XFF アドレス(xff_ip) principal.ip
ソースのデバイス カテゴリ(src_category) src_category

principal.labels.key と principal.labels.value

additional.fields.key と additional.fields.value.string_value

ソースデバイス プロファイル(src_profile) src_profile

principal.labels.key と principal.labels.value

additional.fields.key と additional.fields.value.string_value

ソースデバイス モデル(src_model) src_model

principal.labels.key と principal.labels.value

additional.fields.key と additional.fields.value.string_value

ソースデバイス ベンダー(src_vendor) src_vendor

principal.labels.key と principal.labels.value

additional.fields.key と additional.fields.value.string_value

ソースデバイス OS ファミリー(src_osfamily)

principal.asset.platform_software.platform

principal.labels.key と principal.labels.value

additional.fields.key と additional.fields.value.string_value

ソース デバイスの OS バージョン(src_osversion) principal.asset.software.version
ソースホスト名(src_host) src_host

principal.labels.key と principal.labels.value

additional.fields.key と additional.fields.value.string_value

送信元 Mac アドレス(src_mac) principal.mac
宛先デバイス カテゴリ(dst_category) dst_category

target.labels.key と target.labels.value

additional.fields.key と additional.fields.value.string_value

宛先デバイス プロファイル(dst_profile) dst_profile

target.labels.key と target.labels.value

additional.fields.key と additional.fields.value.string_value

移行先のデバイスモデル(dst_model) dst_model

target.labels.key と target.labels.value

additional.fields.key と additional.fields.value.string_value

宛先デバイス ベンダー(dst_Vendor) dst_vendor

target.labels.key と target.labels.value

additional.fields.key と additional.fields.value.string_value

宛先デバイス OS ファミリー(dst_osfamily) target.asset.platform_software.platform

target.labels.key と target.labels.value

移行先デバイスの OS バージョン(dst_osversion) target.asset.software.version
宛先ホスト名(dst_host) target.hostname
宛先 Mac アドレス(dst_mac) target.mac
コンテナ ID (container_id) コンテナ ID

about.labels.key と about.labels.value

additional.fields.key と additional.fields.value.string_value

POD 名前空間(pod_namespace) pod_namespace

about.labels.key と about.labels.value

additional.fields.key と additional.fields.value.string_value

POD 名(pod_name) pod_name

about.labels.key と about.labels.value

additional.fields.key と additional.fields.value.string_value

送信元外部動的リスト(src_edl) src_edl

principal.labels.key と principal.labels.value

additional.fields.key と additional.fields.value.string_value

宛先外部動的リスト(dst_edl) dst_edl

target.labels.key と target.labels.value

additional.fields.key と additional.fields.value.string_value

ホスト ID(hostid) hostid

about.labels.key と about.labels.value

additional.fields.key と additional.fields.value.string_value

シリアル番号(serialnumber) principal.asset.hardware.serial_number
domain_edl(domain_edl) domain_edl

about.labels.key と about.labels.value

additional.fields.key と additional.fields.value.string_value

送信元動的アドレス グループ(src_dag) principal.group.group_display_name
宛先動的アドレス グループ(dst_dag) target.group.group_display_name
partial_hash (partial_hash) partial_hash

about.labels.key と about.labels.value

additional.fields.key と additional.fields.value.string_value

高解像度のタイムスタンプ(high_res_timestamp) metadata.collected_timestamp,

metadata.event_timestamp(「生成時間」がない場合)

理由 (reason) reason

about.labels.key と about.labels.value

additional.fields.key と additional.fields.value.string_value

正当な理由 (justification) 理由

about.labels.key と about.labels.value

additional.fields.key と additional.fields.value.string_value

nssai_sst(nssai_sst) nssai_sst

about.labels.key と about.labels.value

additional.fields.key と additional.fields.value.string_value

アプリのサブカテゴリ(subcategory_of_app) subcategory_of_app

about.labels.key と about.labels.value

additional.fields.key と additional.fields.value.string_value

アプリのカテゴリ(category_of_app) category_of_app

about.labels.key と about.labels.value

additional.fields.key と additional.fields.value.string_value

アプリのテクノロジー(technology_of_app) technology_of_app

about.labels.key と about.labels.value

additional.fields.key と additional.fields.value.string_value

アプリのリスク(risk_of_app) risk_of_app

about.labels.key と about.labels.value

additional.fields.key と additional.fields.value.string_value

アプリの特性(characteristic_of_app) characteristic_of_app

about.labels.key と about.labels.value

additional.fields.key と additional.fields.value.string_value

アプリのコンテナ(container_of_app) container_of_app

about.labels.key と about.labels.value

additional.fields.key と additional.fields.value.string_value

トンネリングされたアプリ(tunneled_app) tunneled_app

about.labels.key と about.labels.value

additional.fields.key と additional.fields.value.string_value

アプリの SaaS(is_saas_of_app) is_saas_of_app

about.labels.key と about.labels.value

additional.fields.key と additional.fields.value.string_value

承認済みアプリ(sanctioned_state_of_app) sanctioned_state_of_app

about.labels.key と about.labels.value

additional.fields.key と additional.fields.value.string_value

GlobalProtect

次の表に、GlobalProtect ログタイプのログ フィールドと、対応する UDM フィールドを示します。

CSV フィールド CEF 項目 LEEF フィールド Chronicle のラベルキー UDM フィールド
受信時刻(Received_time) rt received_time metadata.event_timestamp
シリアル番号 (serial) PanOSDeviceSN intermediary_asset_hardware_serial_number intermediary.asset.hardware.serial_number
タイプ(タイプ) タイプ(ヘッダー) metadata.product_event_type
脅威/コンテンツ タイプ(サブタイプ) サブタイプ(ヘッダー) サブタイプ metadata.product_event_type
生成時間(time_generated) PanOSLogTimeStamp generated_timestamp metadata.event_timestamp
仮想システム(vsys) PanOSVirtualSystem vsys

about.labels.key と about.labels.value

additional.fields.key と additional.fields.value.string_value

イベント ID(eventid) PanOSEventID event_id

about.labels.key と about.labels.value

additional.fields.key と additional.fields.value.string_value

ステージ (stage) PanOSStage ステージ

about.labels.key と about.labels.value

additional.fields.key と additional.fields.value.string_value

認証方法(auth_method) PanOSAuthMethod extension_auth_auth_details extensions.auth.auth_details
トンネルタイプ(tunnel_type) PanOSTunnelType トンネル

about.labels.key と about.labels.value

additional.fields.key と additional.fields.value.string_value

送信元ユーザー(srcuser) PanOSSourceUserName src_user principal.user.email_address

principal.user.userid

principal.administrative_domain

送信元 リージョン(srcregion) PanOSSourceRegion src_region principal.location.country_or_region
マシン名(machinename) PanOSEndpointDeviceName machine_name principal.hostname
パブリック IP(public_ip) PanOSPublicIPv4 principal.nat_ip
パブリック IPv6(public_ipv6) PanOSPublicIPv6 principal.nat_ip
プライベート IP(private_ip) PanOSPrivateIPv4 principal.ip
プライベート IPv6(private_ipv6) PanOSPrivateIPv6 principal.ip
ホスト ID(hostid) PanOSHostID hostid principal.asset.asset_id
シリアル番号(serialnumber) PanOSDeviceSN principal.asset.hardware.serial_number
クライアント バージョン(client_ver) PanOSGlobalProtectClientVersion client_ver

about.labels.key と about.labels.value

additional.fields.key と additional.fields.value.string_value

クライアント OS(client_os) PanOSEndpointOSType principal.asset.platform_software.platform(enum)
クライアント OS バージョン(client_os_ver) PanOSEndpointOSVersion principal.asset.platform_software.platform_version
繰り返し回数(repeatcnt) PanOSCountOfRepeats repeatcnt

about.labels.key と about.labels.value

additional.fields.key と additional.fields.value.string_value

理由 (reason) PanOSQuarantineReason security_result.summary
エラー(error) PanOSConnectionError エラー security_result.description
説明(不透明) PanOSDescription security_result.description
ステータス(status) PanOSEventStatus status

about.labels.key と about.labels.value

additional.fields.key と additional.fields.value.string_value

ロケーション(LOCATION) PanOSGPGatewayLocation target.location.country_or_region
ログイン期間(login_duration) PanOSLoginDuration network.session_duration
コネクトのメソッド(connect_method) PanOSConnectionMethod connect_method

about.labels.key と about.labels.value

additional.fields.key と additional.fields.value.string_value

エラーコード (error_code) PanOSConnectionErrorID error_code

about.labels.key と about.labels.value

additional.fields.key と additional.fields.value.string_value

ポータル(portal) PanOSPortal portal

about.labels.key と about.labels.value

additional.fields.key と additional.fields.value.string_value

シーケンス番号(seqno) PanOSSequenceNo metadata.product_log_id
アクション フラグ(アクションフラグ) PanOSActionFlags actionflags

about.labels.key と about.labels.value

additional.fields.key と additional.fields.value.string_value

高解像度のタイムスタンプ (high_res_timestamp) anOSTimeGeneratedHighResolution metadata.collected_timestamp,

metadata.event_timestamp(「生成時間」がない場合)

ゲートウェイの選択方法(selection_type) PanOSGatewaySelectionType 選択の種類

about.labels.key と about.labels.value

additional.fields.key と additional.fields.value.string_value

SSL レスポンス時間(response_time) PanOSSSLResponseTime response_time

about.labels.key と about.labels.value

additional.fields.key と additional.fields.value.string_value

ゲートウェイの優先度(proproity) PanOSGatewayPriority priority

about.labels.key と about.labels.value

additional.fields.key と additional.fields.value.string_value

試行されたゲートウェイ(attempted_gateways) PanOSAttemptedGateways attempted_gateways

about.labels.key と about.labels.value

additional.fields.key と additional.fields.value.string_value

ゲートウェイの名前(gateway) PanOSAttemptedGateways ゲートウェイ

about.labels.key と about.labels.value

additional.fields.key と additional.fields.value.string_value

デバイス グループ階層(dg_hier_level_1) dg_hier_level_1

about.labels.key と about.labels.value

additional.fields.key と additional.fields.value.string_value

デバイス グループ階層(dg_hier_level_2) dg_hier_level_2

about.labels.key と about.labels.value

additional.fields.key と additional.fields.value.string_value

デバイス グループ階層(dg_hier_level_3) dg_hier_level_3

about.labels.key と about.labels.value

additional.fields.key と additional.fields.value.string_value

デバイス グループ階層(dg_hier_level_4) dg_hier_level_4

about.labels.key と about.labels.value

additional.fields.key と additional.fields.value.string_value

仮想システム名(vsys_name) principal.resource.name

principal.resource.resource_type=VIRTUAL_MACHINE

デバイス名(device_name) target.hostname
仮想システム ID(vsys_id) principal.resource.resource_type=VIRTUAL_MACHINE と principal.resource.product_object_id

相関

次の表に、修正ログタイプのログ フィールドと、対応する UDM フィールドを示します。

CSV フィールド CEF 項目 LEEF フィールド Chronicle のラベルキー UDM フィールド
Generated Time(time_generated または cef-format-time_generated) startTime generated_timestamp metadata.event_timestamp
送信元アドレス(src) src principal.ip
送信元ユーザー(srcuser) SourceUser / usrName principal.user.userid
仮想システム(vsys) VirtualSystem vsys

about.labels.key と about.labels.value

additional.fields.key と additional.fields.value.string_value

カテゴリ(category) security_result.category_details
重大度(severity) 重大度 security_result.severity と security_result.severity_details
デバイス グループ階層レベル 1 DeviceGroupHierarchyL1

about.labels.key と about.labels.value

additional.fields.key と additional.fields.value.string_value

デバイス グループ階層レベル 2 DeviceGroupHierarchyL2

about.labels.key と about.labels.value

additional.fields.key と additional.fields.value.string_value

デバイス グループ階層レベル 3 DeviceGroupHierarchyL3

about.labels.key と about.labels.value

additional.fields.key と additional.fields.value.string_value

デバイス グループ階層レベル 4 DeviceGroupHierarchyL4

about.labels.key と about.labels.value

additional.fields.key と additional.fields.value.string_value

仮想システム名(vsys_name) vSrcName principal.resource.name

principal.resource.resource_type=VIRTUAL_MACHINE

デバイス名(device_name) DeviceName intermediary.hostname
仮想システム ID(vsys_id) VirtualSystemID principal.resource.resource_type=VIRTUAL_MACHINE と principal.resource.product_object_id
オブジェクト名(objectname) ObjectName target.resource.name
オブジェクト ID(object_id) ObjectID target.resource.product_object_id

フィールド マッピング リファレンス: ログタイプから UDM イベントタイプ

次の表に、Palo Alto Networks ファイアウォールのログタイプと、対応する UDM イベントタイプを示します。

ログタイプ UDM イベントタイプ
トラフィック NETWORK_CONNECTION
脅威 NETWORK_CONNECTION
URL のフィルタリング NETWORK_CONNECTION
Wildfire NETWORK_CONNECTION

WildFire 送信ログは、脅威ログタイプのサブタイプであり、同じ Syslog 形式を使用します。

データのフィルタリング NETWORK_CONNECTION
トンネル NETWORK_CONNECTION
Config SETTING_MODIFICATION/SETTING_CREATION/SETTING_DELETION/SETTING_UNCATEGORIZED

UDM イベントタイプ マッピングは、「Command(cmd)」フィールドの値で決まります。 cmd フィールドの値が追加またはクローン化されると、SETTING_CREATION が設定されます。

cmd フィールドの値が削除されると、SETTING_DELETION が設定されます。

cmd フィールドの値が編集、移動、名前変更、設定、commit されている場合は、SETTING_MODIFICATION が設定されます。

cmd フィールドの値に値が含まれていない場合、SETTING_UNCATEGORIZED が設定されます。

システム

サブタイプの値が「dhcp」の場合、NETWORK_DHCP が設定されます。

サブタイプの値が「auth」の場合、USER_LOGIN が設定されます。

サブタイプのその他の値には、GENERIC_EVENT が設定されます。

HIP Match NETWORK_CONNECTION
IP タグ GENERIC_EVENT
User-ID USER_LOGIN/USER_LOGOUT/USER_UNCATEGORIZED

サブタイプの値が「login」の場合、USER_LOGIN が設定されます。

サブタイプの値が「logout」の場合、USER_LOGOUT が設定されます。

サブタイプに値が含まれていない場合、USER_UNCATEGORIZED が設定されています。

復号 NETWORK_CONNECTION
Authentication GENERIC_EVENT

次のステップ