Palo Alto Networks ファイアウォールログを収集する

概要

このドキュメントでは、Palo Alto Networks ファイアウォールのログを収集するように syslog と Chronicle フォワーダーを構成する方法について説明します。このドキュメントでは、Palo Alto Networks のファイアウォールのログフィールドを Chronicle の統合データモデル（UDM）フィールドにマッピングする方法についても説明します。

Chronicle のデータの取り込みの概要については、Chronicle へのデータの取り込みをご覧ください。

取り込みラベルによって、未加工のログデータを構造化 UDM 形式に正規化するパーサーが識別されます。このドキュメントの情報は、PAN_FIREWALL の取り込みラベルを持つパーサーに適用されます。

始める前に

Palo Alto Networks ファイアウォールのログを収集するためにデプロイされたコンポーネントを理解するには、デプロイアーキテクチャを確認します。お客様のデプロイはそれぞれこの表現とは異なる可能性があり、より複雑になることがあります。

次の図は、Palo Alto Networks ファイアウォールに syslog を構成し、Linux サーバーに Chronicle フォワーダーをインストールして、ログデータを Chronicle に転送する方法を示しています。パーサーは、カンマ区切り（CSV）、共通イベント形式（CEF）、ログイベント拡張形式（LEEF）のデータ形式で書き込まれたログをサポートしています。
Chronicle パーサーがサポートするログ形式と PAN-OS バージョンを確認します。次の表に、Chronicle パーサーがサポートするログ形式と対応する PAN-OS バージョンを示します。

ログ形式 PAN-OS のバージョン

CSV 10.1.3

CEF 10.0.0

LEEF 9.1.0
Chronicle パーサーがサポートする Palo Alto Networks ファイアウォールログタイプを確認します。Chronicle パーサーは、次の Palo Alto Networks ファイアウォールログタイプをサポートします。
- トラフィック
- 脅威
- WildFire 提出
- トンネル検査
- Config
- システム
- HIP マッチング
- IP タグ
- User-ID
- 復号
- Authentication
- URL のフィルタリング
- データのフィルタリング
- GlobalProtect
- 相関
Palo Alto Networks ファイアウォールのログタイプの詳細については、PAN-OS ログタイプをご覧ください。
デプロイアーキテクチャ内のすべてのシステムが、UTC タイムゾーンに構成されていることを確認します。
Palo Alto Networks ファイアウォールのゴールドパーサーを使用する前に、このドキュメントに記載されているデフォルトのパーサーとゴールドパーサー間のフィールドマッピングの変更を確認してください。移行の一環として、ルール、検索、ダッシュボード、元のフィールドに依存するその他のプロセスで、更新されたフィールドが使用されることを確認します。

たとえば、デフォルトのパーサーでは、「category」ログフィールドが「security_result.description」UDM フィールドにマッピングされます。PAN ファイアウォールのパーサーでは、「category」ログフィールドが「security_result.category_details」UDM フィールドにマッピングされます。PAN ファイアウォールパーサーに移行し、ルールで「category」を使用する場合は、ゴールドパーサーの「security_result.category_details」UDM フィールドを使用するようにルールを変更する必要があります。

syslog と Chronicle フォワーダーを構成する

syslog と Chronicle フォワーダーを構成するには、次の手順を行います。

CSV ログをモニタリングするには、syslog サーバープロファイルを構成します。詳細については、syslog サーバープロファイルを構成するをご覧ください。

syslog サーバープロファイルを構成するときは、カスタムログ形式として「デフォルト」を指定します。
CEF ログをモニタリングするには、CEF ログを転送するように Palo Alto Networks ファイアウォールを構成します。詳細については、PAN-OS CEF 統合ガイドの PDF をダウンロードし、「CEF イベントを出力する Palo Alto Networks NGFW の構成」のセクションをご覧ください。
LEEF ログをモニタリングするには、Syslog サーバープロファイルを構成します。詳しくは、LEEF 形式のカスタムログ転送をご覧ください。
Chronicle フォワーダーを、Chronicle へログを送信するように構成します。詳細については、Linux でのフォワーダーのインストールと構成をご覧ください。Chronicle フォワーダー構成の例を次に示します。
```
  - syslog:
      common:
        enabled: true
        data_type: PAN_FIREWALL
        batch_n_seconds: 10
        batch_n_bytes: 1048576
      tcp_address: 0.0.0.0:10518
      connection_timeout_sec: 60
```

フィールドマッピングリファレンス: PAN ファイアウォールのログを UDM フィールドに記録する

このセクションでは、パーサーが Palo Alto Networks ファイアウォールログフィールドを、ログタイプごとに Chronicle UDM イベントフィールドにマッピングする方法について説明します。

Chronicle のラベルキーは、Labels.key UDM フィールドにマッピングされたキーの名前を参照します。たとえば、「Virtual System」フィールドの場合、フィールド名は CEF 形式の「cs3」と LEEF 形式の「VirtualSystem」です。UDM フィールド「about.labels.key」には値「vsys」が含まれ、UDM フィールド「about.labels.value」にはそのフィールドの値が含まれます。

一部の CEF または LEEF フィールド名には、CSV フィールド名に対応する名前がありません。このようなケースでは、独自の変数名をカスタムログ形式で syslog プロファイルに追加すると、パーサーは UDM フィールドにマッピングされません。

各ログタイプのマッピングリファレンスについては、以下のセクションをご覧ください。

システム
構成
脅威/wildfire
トラフィック
ユーザー ID
HIP マッチング
IP タグ
復号
トンネル
Authentication
URL
データ
GlobalProtect
相関

システム

次の表に、システムログタイプのログフィールドと、対応する UDM フィールドを示します。

CSV フィールド	CEF 項目	LEEF フィールド	Chronicle のラベルキー	UDM フィールド
受信時刻（Received_time または cef-format-Received_time）	rt	devTime		metadata.collected_timestamp, metadata.event_timestamp（「生成時間」がない場合）
シリアル番号（serial）	deviceExternalId	SerialNumber		intermediary.asset.hardware.serial_number
タイプ（タイプ）	タイプ（ヘッダー）	cat		metadata.product_event_type は "%{type} - %{subtype}" に設定されている。
脅威/コンテンツタイプ（サブタイプ）	サブタイプ（ヘッダー）	サブタイプ		metadata.product_event_type は "%{type} - %{subtype}" に設定されている。
Generated Time（time_generated または cef-format-time_generated）				metadata.event_timestamp
仮想システム（vsys）	cs3	VirtualSystem	vsys	about.labels.key と about.labels.value additional.fields.key と additional.fields.value.string_value
イベント ID（eventid）	cat		eventid	about.labels.key と about.labels.value additional.fields.key と additional.fields.value.string_value
オブジェクト（object）	fname	ファイル名	オブジェクト	about.labels.key と about.labels.value additional.fields.key と additional.fields.value.string_value
モジュール（モジュール）	flexString2	モジュール	モジュール	about.labels.key と about.labels.value additional.fields.key と additional.fields.value.string_value
重大度（severity）	$number-of-severity（ヘッダー）	重大度		security_result.severity と security_result.severity_details
説明（不透明）	msg	msg		metadata.description
	principal_user_userid（このフィールドは msg フィールドから抽出されます）			principal.user.userid
	principal_ip3（このフィールドは msg フィールドから抽出されます）			principal.ip
	Reason（このフィールドは msg フィールドから抽出されます）			security_result.description
	server_address（このフィールドは、msg フィールドから抽出されます）			target.ip
	server_profile（このフィールドは msg フィールドから抽出されます）			additional.fields.key と additional.fields.value.string_value
シーケンス番号（seqno）	externalId	シーケンス		metadata.product_log_id
アクションフラグ（アクションフラグ）	PanOSActionFlags	ActionFlags	actionflags	about.labels.key と about.labels.value additional.fields.key と additional.fields.value.string_value
デバイスグループ階層（dg_hier_level_1 から dg_hier_level_4）	PanOSDGl1	DeviceGroupHierarchyL1	dg_hier_level_1	about.labels.key と about.labels.value additional.fields.key と additional.fields.value.string_value
デバイスグループ階層（dg_hier_level_2）	PanOSDGl2	DeviceGroupHierarchyL2	dg_hier_level_2	about.labels.key と about.labels.value additional.fields.key と additional.fields.value.string_value
デバイスグループ階層（dg_hier_level_3）	PanOSDGl3	DeviceGroupHierarchyL3	dg_hier_level_3	about.labels.key と about.labels.value additional.fields.key と additional.fields.value.string_value
デバイスグループ階層（dg_hier_level_4）	PanOSDGl4	DeviceGroupHierarchyL4	dg_hier_level_4	about.labels.key と about.labels.value additional.fields.key と additional.fields.value.string_value
仮想システム名（vsys_name）	PanOSVsysName	vSrcName		principal.resource.name principal.resource.resource_type=VIRTUAL_MACHINE
デバイス名（device_name）	dvchost	DeviceName		intermediary.hostname
高解像度のタイムスタンプ (high_res_timestamp)	anOSTimeGeneratedHighResolution			metadata.collected_timestamp, metadata.event_timestamp（「生成時間」がない場合）

Config

次の表に、設定ログタイプのログフィールドと、対応する UDM フィールドを示します。

CSV フィールド	CEF 項目	LEEF フィールド	Chronicle のラベルキー	UDM フィールド
受信時刻（Received_time または cef-format-Received_time）	rt	devTime		metadata.collected_timestamp, metadata.event_timestamp（「生成時間」がない場合）
シリアル番号（serial）	deviceExternalId	SerialNumber		intermediary.asset.hardware.serial_number
タイプ（タイプ）	タイプ（ヘッダー）	cat		metadata.product_event_type
脅威/コンテンツタイプ（サブタイプ）	サブタイプ（ヘッダー）			metadata.product_event_type
Generated Time（time_generated または cef-format-time_generated）				metadata.event_timestamp
ホスト（host）	shost	src		principal.ip/hostname
仮想システム（vsys）	cs3	VirtualSystem	vsys	about.labels.key と about.labels.value additional.fields.key と additional.fields.value.string_value
コマンド（cmd）	対処	msg	cmd	metadata.description
管理者 (admin)	duser	usrName		principal.user.userid
クライアント（client）	destinationServiceName	クライアント		principal.application
結果 (result)	シグネチャ ID（ヘッダー）（理由）	結果		security_result.summary
構成パス（path）	msg	ConfigurationPath		principal.process.command_line
変更前（before_change_detail）	cs1	BeforeChangeDetail	before_change_detail	target.resource.attribute.labels.key/value
変更後の詳細（after_change_detail）	cs2	AfterChangeDetail	after_change_detail	target.resource.attribute.labels.key/value
シーケンス番号（seqno）	externalId	シーケンス		metadata.product_log_id
アクションフラグ（アクションフラグ）	PanOSActionFlags	ActionFlags	actionflags	about.labels.key と about.labels.value additional.fields.key と additional.fields.value.string_value
デバイスグループ階層（dg_hier_level_1 から dg_hier_level_4）	PanOSDGl1	DeviceGroupHierarchyL1	dg_hier_level_1	about.labels.key と about.labels.value additional.fields.key と additional.fields.value.string_value
デバイスグループ階層（dg_hier_level_2）	PanOSDGl2	DeviceGroupHierarchyL2	dg_hier_level_2	about.labels.key と about.labels.value additional.fields.key と additional.fields.value.string_value
デバイスグループ階層（dg_hier_level_3）	PanOSDGl3	DeviceGroupHierarchyL3	dg_hier_level_3	about.labels.key と about.labels.value additional.fields.key と additional.fields.value.string_value
デバイスグループ階層（dg_hier_level_4）	PanOSDGl4	DeviceGroupHierarchyL4	dg_hier_level_4	about.labels.key と about.labels.value additional.fields.key と additional.fields.value.string_value
仮想システム名（vsys_name）	PanOSVsysName	vSrcName		principal.resource.name principal.resource.resource_type=VIRTUAL_MACHINE
デバイス名（device_name）	dvchost	DeviceName		intermediary.hostname
デバイスグループ（dg_id）	PanOSFWDeviceGroup		dg_id	principal.asset.attribute.labels.key/value
監査コメント（comment）	PanOSPolicyAuditComment		コメント	about.labels.key と about.labels.value additional.fields.key と additional.fields.value.string_value

脅威/wildfire

次の表に、ログタイプのログフィールドと、対応する UDM フィールドを示します。

CSV フィールド	CEF 項目	LEEF フィールド	Chronicle のラベルキー	UDM フィールド
受信時刻（Received_time または cef-format-Received_time）	rt	devTime		metadata.collected_timestamp, metadata.event_timestamp（「生成時間」がない場合）
シリアル番号（serial #）	deviceExternalId	SerialNumber		intermediary.asset.hardware.serial_number
タイプ（タイプ）	タイプ（ヘッダー）	cat		metadata.product_event_type
脅威/コンテンツタイプ（サブタイプ）	cat/subtype（ヘッダー）	サブタイプ		metadata.product_event_type
時間の生成（time_generated または cef-format-time_generated）				metadata.event_timestamp
送信元アドレス（src）	src	src		principal.ip
宛先アドレス（dst）	dst	dst		target.ip
NAT ソース IP（natsrc）	sourceTranslatedAddress	srcPostNAT		principal.nat_ip
NAT 宛先 IP（natdst）	destinationTranslatedAddress	dstPostNAT		target.nat_ip
ルール名（rule）	cs1	RuleName		security_result.rule_name
送信元ユーザー（srcuser）	suser	SourceUser / usrName		principal.user.userid
宛先ユーザー（dstuser）	duser	DestinationUser		target.user.userid
アプリケーション (app)	app	Application（アプリケーション）		target.application
仮想システム（vsys）	cs3	VirtualSystem	vsys	about.labels.key と about.labels.value additional.fields.key と additional.fields.value.string_value
送信元のゾーン（from）	cs4	SourceZone	送信元	principal.labels.key と principal.labels.value additional.fields.key と additional.fields.value.string_value
宛先のゾーン（送信先）	cs5	DestinationZone	～	target.labels.key と target.labels.value additional.fields.key と additional.fields.value.string_value
インバウンドインターフェース（inbound_if）	deviceInboundInterface	IngressInterface	inbound_if	principal.labels.key と principal.labels.value additional.fields.key と additional.fields.value.string_value
アウトバウンドインターフェース（outbound_if）	deviceOutboundInterface	EgressInterface	outbound_if	target.labels.key と target.labels.value additional.fields.key と additional.fields.value.string_value
ログアクション（logset）	cs6	LogForwardingProfile	logset	about.labels.key と about.labels.value additional.fields.key と additional.fields.value.string_value
セッション ID（sessionid）	cn1	SessionID		network.session_id
繰り返し回数（repeatcnt）	cnt	RepeatCount	repeatcnt	about.labels.key と about.labels.value additional.fields.key と additional.fields.value.string_value
送信元ポート（sport）	spt	srcPort		principal.port
宛先ポート（dport）	dpt	dstPort		target.port
NAT 送信元ポート（natsport）	sourceTranslatedPort	srcPostNATPort		principal.nat_port
NAT 宛先ポート（natdport）	destinationTranslatedPort	dstPostNATPort		target.nat_port
フラグ（flags）	flexString1	フラグ	flags	about.labels.key と about.labels.value additional.fields.key と additional.fields.value.string_value
IP プロトコル（proto）	proto	proto		network.ip_protocol
アクション (action)	対処	action		security_result.action_details security_result.action
URL/ファイル名（misc）	request	その他		target.file.full_path（サブタイプが「ファイル」、「ウィルス」、「Wildfire ウイルス」、「Wildfire」の場合、「misc」フィールドは target.file.full_path にマッピングされます） target.url（サブタイプが「url」の場合、「misc」フィールドは target.url と target.hostname にマッピングされます） target.hostname（サブタイプが「spyware」または「vulnerability」の場合、「misc」フィールドは target.file.full_path と target.url にマッピングされます）
脅威/コンテンツ名（threatid）	cat	ThreatID		security_result.threat_name
カテゴリ（category）	cs2	URL のカテゴリ		security_result.category_details
重大度（severity）	number-of-severity（ヘッダ）	重大度		security_result.severity と security_result.severity_details
目的地 (direction)	flexString2	方向		network.direction
シーケンス番号（seqno）	externalId	シーケンス		metadata.product_log_id
アクションフラグ（アクションフラグ）	PanOSActionFlags	ActionFlags	actionflags	about.labels.key と about.labels.value additional.fields.key と additional.fields.value.string_value
送信元の国（srcloc）		SourceLocation		principal.location.country_or_region
宛先の国（dstloc）		DestinationLocation		target.location.country_or_region
コンテンツタイプ (contentType)		ContentType	contenttype	about.labels.key と about.labels.value additional.fields.key と additional.fields.value.string_value
PCAP ID（pcap_id）	fileId	PCAP_ID	pcap_id	about.labels.key と about.labels.value additional.fields.key と additional.fields.value.string_value
ファイルダイジェスト（filedigest）	fileHash	FileDigest		about.file.sha1/md5/sha256
クラウド（cloud）	filePath	クラウド	cloud	about.labels.key と about.labels.value additional.fields.key と additional.fields.value.string_value
URL インデックス（url_idx）		URLIndex	url_idx	about.labels.key と about.labels.value additional.fields.key と additional.fields.value.string_value
ユーザーエージェント（user_agent）				network.http.user_agent
File Type（filetype）	File Type	FileType		about.file.mime_type
X-Forwarded-For（XFF）				principal.ip
リファラー（referer）				network.http.referral_url
送信者（sender）	suid	送信者		network.email.from
件名 (件名)	msg	件名		network.email.subject
受信者（rcipient）	duid	受信者		network.email.to
レポート ID (reportid)	oldFileId	ReportID	reportid	about.labels.key と about.labels.value additional.fields.key と additional.fields.value.string_value
デバイスグループ階層（dg_hier_level_1 から dg_hier_level_4）	PanOSDGl1	DeviceGroupHierarchyL1	dg_hier_level_1	about.labels.key と about.labels.value additional.fields.key と additional.fields.value.string_value
デバイスグループ階層（dg_hier_level_2）	PanOSDGl2	DeviceGroupHierarchyL2	dg_hier_level_2	about.labels.key と about.labels.value additional.fields.key と additional.fields.value.string_value
デバイスグループ階層（dg_hier_level_3）	PanOSDGl3	DeviceGroupHierarchyL3	dg_hier_level_3	about.labels.key と about.labels.value additional.fields.key と additional.fields.value.string_value
デバイスグループ階層（dg_hier_level_4）	PanOSDGl4	DeviceGroupHierarchyL4	dg_hier_level_4	about.labels.key と about.labels.value additional.fields.key と additional.fields.value.string_value
仮想システム名（vsys_name）	PanOSVsysName	vSrcName		principal.resource.name principal.resource.resource_type=VIRTUAL_MACHINE
デバイス名（device_name）	dvchost	DeviceName		intermediary.hostname
ソース VM UUID（src_uuid）	PanOSSrcUUID	SrcUUID		principal.user.product_object_id
宛先 VM UUID（dst_uuid）	PanOSDstUUID	DstUUID		target.user.product_object_id
HTTP Method (http_method)		RequestMethod		network.http.method
トンネル ID/IMSI（tunnel_id/imsi）	PanOSTunnelID	TunnelID	tunnel_id/imsi	about.labels.key と about.labels.value additional.fields.key と additional.fields.value.string_value
タグ/IMEI のモニタリング（monitortag/imei）	PanOSMonitorTag	MonitorTag	monitortag/imei	about.labels.key と about.labels.value additional.fields.key と additional.fields.value.string_value
親セッション ID（parent_session_id）	PanOSParentSessionID	ParentSessionID	parent_session_id	network.parent_session_id
親セッション開始時間（parent_start_time）	PanOSParentStartTime	ParentStartTime	parent_start_time	about.labels.key と about.labels.value additional.fields.key と additional.fields.value.string_value
トンネルタイプ（tunnel）	PanOSTunnelType	TunnelType	トンネル	about.labels.key と about.labels.value additional.fields.key と additional.fields.value.string_value
脅威のカテゴリ（thr_category）	PanOSThreatCategory	ThreatCategory	thr_category	security_result.detection_fields.key/value
コンテンツバージョン（contentver）	PanOSContentVer	ContentVer	contentver	about.labels.key と about.labels.value additional.fields.key と additional.fields.value.string_value
SCTP 関連付け ID（assoc_id）	PanOSAssocID		assoc_id	about.labels.key と about.labels.value additional.fields.key と additional.fields.value.string_value
ペイロードプロトコル ID（ppid）	PanOSPPID		ppid	about.labels.key と about.labels.value additional.fields.key と additional.fields.value.string_value
HTTP ヘッダー（http_headers）	PanOSHTTPHeader		http_headers	about.labels.key と about.labels.value additional.fields.key と additional.fields.value.string_value
URL カテゴリリスト（url_category_list）	PanOSURLCatList		url_category_list	about.labels.key と about.labels.value additional.fields.key と additional.fields.value.string_value
ルール UUID（rule_uuid）	PanOSRuleUUID			security_result.rule_id
HTTP/2 接続（http2_connection）	PanOSHTTP2Con		http2_connection	about.labels.key と about.labels.value additional.fields.key と additional.fields.value.string_value
動的ユーザーグループ名（dynusergroup_name）	PanDynamicUsrgrp		dynusergroup_name	principal.labels.key と principal.labels.value additional.fields.key と additional.fields.value.string_value
XFF アドレス（xff_ip）	PanXFFIP			principal.ip
ソースのデバイスカテゴリ（src_category）	PanSrcDeviceCat		src_category	principal.labels.key と principal.labels.value additional.fields.key と additional.fields.value.string_value
ソースデバイスプロファイル（src_profile）	PanSrcDeviceProf		src_profile	principal.labels.key と principal.labels.value additional.fields.key と additional.fields.value.string_value
ソースデバイスモデル（src_model）	PanSrcDeviceModel		src_model	principal.labels.key と principal.labels.value additional.fields.key と additional.fields.value.string_value
ソースデバイスベンダー（src_vendor）	PanSrcDeviceVendor		src_vendor	principal.labels.key と principal.labels.value additional.fields.key と additional.fields.value.string_value
ソースデバイス OS ファミリー（src_osfamily）	PanSrcDeviceOS		src_osfamily	principal.asset.platform_software.platform principal.labels.key と principal.labels.value additional.fields.key と additional.fields.value.string_value
ソースデバイスの OS バージョン（src_osversion）	PanSrcDeviceOSv			principal.asset.software.version
ソースホスト名（src_host）	PanSrcHostname			principal.hostname
送信元 MAC アドレス（src_mac）	PanSrcMac			principal.mac
宛先デバイスカテゴリ（dst_category）	PanDstDeviceCat		dst_category	target.labels.key と target.labels.value additional.fields.key と additional.fields.value.string_value
宛先デバイスプロファイル（dst_profile）	PanDstDeviceProf		dst_profile	target.labels.key と target.labels.value additional.fields.key と additional.fields.value.string_value
移行先のデバイスモデル（dst_model）	PanDstDeviceModel		dst_model	target.labels.key と target.labels.value additional.fields.key と additional.fields.value.string_value
宛先デバイスベンダー（dst_Vendor）	PanDstDeviceVendor		dst_vendor	target.labels.key と target.labels.value additional.fields.key と additional.fields.value.string_value
宛先デバイス OS ファミリー（dst_osfamily）	PanDstDeviceOS		dst_osfamily	target.labels.key と target.labels.value additional.fields.key と additional.fields.value.string_value
移行先デバイスの OS バージョン（dst_osversion）	PanDstDeviceOSv			target.asset.software.version
宛先ホスト名（dst_host）	PanDstHostname			target.hostname
宛先 MAC アドレス（dst_mac）	PanDstMac			target.mac
コンテナ ID (container_id)	PanContainerName		コンテナ ID	about.labels.key と about.labels.value additional.fields.key と additional.fields.value.string_value
POD 名前空間（pod_namespace）	PanPODNamespace		pod_namespace	about.labels.key と about.labels.value additional.fields.key と additional.fields.value.string_value
POD 名（pod_name）	PanPODName		pod_name	about.labels.key と about.labels.value additional.fields.key と additional.fields.value.string_value
送信元外部動的リスト（src_edl）	PanSrcEDL		src_edl	about.labels.key と about.labels.value additional.fields.key と additional.fields.value.string_value
宛先外部動的リスト（dst_edl）	PanDstEDL		dst_edl	about.labels.key と about.labels.value additional.fields.key と additional.fields.value.string_value
ホスト ID（hostid）	PanGPHostID		hostid	about.labels.key と about.labels.value additional.fields.key と additional.fields.value.string_value
ユーザーデバイスのシリアル番号（serialnumber）	PanEPSerial			principal.asset.hardware.serial_number
ドメイン EDL（domain_edl）	PanDomainEDL		domain_edl	about.labels.key と about.labels.value additional.fields.key と additional.fields.value.string_value
送信元動的アドレスグループ（src_dag）	PanSrcDAG			principal.group.group_display_name
宛先動的アドレスグループ（dst_dag）	PanDstDAG			target.group.group_display_name
部分ハッシュ (partial_hash)	PanPartialHash		partial_hash	about.labels.key と about.labels.value additional.fields.key と additional.fields.value.string_value
高解像度のタイムスタンプ (high_res timestamp)	PanTimeHighRes		high_res タイムスタンプ	metadata.collected_timestamp, metadata.event_timestamp（「生成時間」がない場合）
理由 (reason)	PanReasonFilteringAction		reason	about.labels.key と about.labels.value additional.fields.key と additional.fields.value.string_value
正当な理由 (justification)	PanJustification		理由	about.labels.key と about.labels.value additional.fields.key と additional.fields.value.string_value
スライスサービスタイプ（nssai_sst）	PanASServiceType		nssai_sst	about.labels.key と about.labels.value additional.fields.key と additional.fields.value.string_value
アプリケーションサブカテゴリ（subcategory_of_app）			subcategory_of_app	about.labels.key と about.labels.value additional.fields.key と additional.fields.value.string_value
アプリケーションカテゴリ（category_of_app）			category_of_app	about.labels.key と about.labels.value additional.fields.key と additional.fields.value.string_value
アプリケーションテクノロジー（technology_of_app）			technology_of_app	about.labels.key と about.labels.value additional.fields.key と additional.fields.value.string_value
アプリケーションリスク（risk_of_app）			risk_of_app	about.labels.key と about.labels.value additional.fields.key と additional.fields.value.string_value
アプリケーションの特徴 (characteristic_of_app)			characteristic_of_app	about.labels.key と about.labels.value additional.fields.key と additional.fields.value.string_value
アプリケーションコンテナ（container_of_app）			container_of_app	about.labels.key と about.labels.value additional.fields.key と additional.fields.value.string_value
アプリケーション SaaS（is_saas_of_app）			is_saas_of_app	about.labels.key と about.labels.value additional.fields.key と additional.fields.value.string_value
アプリケーション Sanctioned State（sanctioned_state_of_app）			sanctioned_state_of_app	about.labels.key と about.labels.value additional.fields.key と additional.fields.value.string_value

トラフィック

次の表に、ログタイプのログフィールドと、対応する UDM フィールドを示します。

CSV フィールド	CEF 項目	LEEF フィールド	Chronicle のラベルキー	UDM フィールド
受信時刻（Received_time または cef-format-Received_time）	rt	devTime		metadata.collected_timestamp, metadata.event_timestamp（「生成時間」がない場合）
シリアル番号（serial）	deviceExternalId	SerialNumber		intermediary.asset.hardware.serial_number
タイプ（タイプ）	タイプ（ヘッダー）	cat/Type		metadata.product_event_type
脅威/コンテンツタイプ（サブタイプ）	サブタイプ（ヘッダー）	サブタイプ		metadata.product_event_type
Generated Time（time_generated または cef-format-time_generated）	スタート			metadata.event_timestamp
送信元アドレス（src）	src	src		principal.ip
宛先アドレス（dst）	dst	dst		target.ip
NAT ソース IP（natsrc）	sourceTranslatedAddress	srcPostNAT		principal.nat_ip
NAT 宛先 IP（natdst）	destinationTranslatedAddress	dstPostNAT		target.nat_ip
ルール名（rule）	cs1	RuleName		security_result.rule_name
送信元ユーザー（srcuser）	suser	SourceUser		principal.user.userid
宛先ユーザー（dstuser）	duser	DestinationUser		target.user.userid
アプリケーション (app)	app	Application（アプリケーション）		target.application
仮想システム（vsys）	cs3	VirtualSystem	vsys	about.labels.key と about.labels.value additional.fields.key と additional.fields.value.string_value
送信元のゾーン（from）	cs4	SourceZone	送信元	principal.labels.key と principal.labels.value additional.fields.key と additional.fields.value.string_value
宛先のゾーン（送信先）	cs5	DestinationZone	～	target.labels.key と target.labels.value additional.fields.key と additional.fields.value.string_value
インバウンドインターフェース（inbound_if）	deviceInboundInterface	IngressInterface	inbound_if	principal.labels.key と principal.labels.value additional.fields.key と additional.fields.value.string_value
アウトバウンドインターフェース（outbound_if）	deviceOutboundInterface	EgressInterface	outbound_if	target.labels.key と target.labels.value additional.fields.key と additional.fields.value.string_value
ログアクション（logset）	cs6	LogForwardingProfile	logset	about.labels.key と about.labels.value additional.fields.key と additional.fields.value.string_value
セッション ID（sessionid）	cn1	SessionID		network.session_id
繰り返し回数（repeatcnt）	cnt	RepeatCount	repeatcnt	about.labels.key と about.labels.value additional.fields.key と additional.fields.value.string_value
送信元ポート（sport）	spt	srcPort		principal.port
宛先ポート（dport）	dpt	dstPort		target.port
NAT 送信元ポート（natsport）	sourceTranslatedPort	srcPostNATPort		principal.nat_port
NAT 宛先ポート（natdport）	destinationTranslatedPort	dstPostNATPort		target.nat_port
フラグ（flags）	flexString1	フラグ	flags	about.labels.key と about.labels.value additional.fields.key と additional.fields.value.string_value
IP プロトコル（proto）	proto	proto		network.ip_protocol
アクション (action)	対処	action		security_result.action_details security_result.action
バイト（bytes）	flexNumber1	totalBytes	バイト	about.labels.key と about.labels.value additional.fields.key と additional.fields.value.string_value
送信バイト数（bytes_sent）	in	srcBytes		network.sent_bytes
受信バイト数（bytes_Receivedd）	out	dstBytes		network.received_bytes
パケット数（packets）	cn2	totalPackets	パケット	about.labels.key と about.labels.value additional.fields.key と additional.fields.value.string_value
開始時刻 (start)		StartTime	スタート	about.labels.key と about.labels.value additional.fields.key と additional.fields.value.string_value
経過時間（elapsed）	cn3	ElapsedTime	経過時間	network.session_duration.seconds
カテゴリ（category）	cs2	URL のカテゴリ		security_result.category / security_result.category_details
シーケンス番号（seqno）	externalId	シーケンス		metadata.product_log_id
アクションフラグ（アクションフラグ）	PanOSActionFlags	ActionFlags	actionflags	about.labels.key と about.labels.value additional.fields.key と additional.fields.value.string_value
送信元の国（srcloc）		SourceLocation		principal.location.country_or_region
宛先の国（dstloc）		DestinationLocation		target.location.country_or_region
送信パケット（pkts_sent）	PanOSPacketsSent	srcPackets	pkts_sent	about.labels.key と about.labels.value additional.fields.key と additional.fields.value.string_value
受信パケット数（pkts_Receivedd）	PanOSPacketsReceived	dstPackets	pkts_received	about.labels.key と about.labels.value additional.fields.key と additional.fields.value.string_value
セッション終了の理由（session_end_reason）	reason	SessionEndReason		security_result.summary
デバイスグループ階層 1（dg_hier_level_1 から dg_hier_level_4）	PanOSDGl1	DeviceGroupHierarchyL1	dg_hier_level_1	about.labels.key と about.labels.value additional.fields.key と additional.fields.value.string_value
デバイスグループ階層 2（dg_hier_level_2）	PanOSDGl2	DeviceGroupHierarchyL2	dg_hier_level_2	about.labels.key と about.labels.value additional.fields.key と additional.fields.value.string_value
デバイスグループ階層 3（dg_hier_level_3）	PanOSDGl3	DeviceGroupHierarchyL3	dg_hier_level_3	about.labels.key と about.labels.value additional.fields.key と additional.fields.value.string_value
デバイスグループ階層（dg_hier_level_4）	PanOSDGl4	DeviceGroupHierarchyL4	dg_hier_level_4	about.labels.key と about.labels.value additional.fields.key と additional.fields.value.string_value
仮想システム名（vsys_name）	PanOSVsysName	vSrcName		principal.resource.name principal.resource.resource_type=VIRTUAL_MACHINE
デバイス名（device_name）	dvchost	DeviceName		intermediary.hostname
アクション宛先（action_source）	cat	ActionSource	action_source	about.labels.key と about.labels.value additional.fields.key と additional.fields.value.string_value
ソース VM UUID（src_uuid）	PanOSSrcUUID	SrcUUID		principal.asset.product_object_id
宛先 VM UUID（dst_uuid）	PanOSDstUUID	DstUUID		target.asset.product_object_id
トンネル ID/IMSI（tunnelid/imsi）	PanOSTunnelID	TunnelID	tunnelid/imsi	about.labels.key と about.labels.value additional.fields.key と additional.fields.value.string_value
タグ/IMEI のモニタリング（monitortag/imei）	PanOSMonitorTag	MonitorTag	monitortag/imei	about.labels.key と about.labels.value additional.fields.key と additional.fields.value.string_value
親セッション ID（parent_session_id）	PanOSParentSessionID	ParentSessionID	parent_session_id	network.parent_session_id
親開始時間（parent_start_time）	PanOSParentStartTime	ParentStartTime	parent_start_time	about.labels.key と about.labels.value additional.fields.key と additional.fields.value.string_value
トンネルタイプ（tunnel）	PanOSTunnelType	TunnelType	トンネル	about.labels.key と about.labels.value additional.fields.key と additional.fields.value.string_value
SCTP 関連付け ID（assoc_id）	PanOSSCTPAssocID		assoc_id	about.labels.key と about.labels.value additional.fields.key と additional.fields.value.string_value
SCTP チャンク（chunks）	PanOSSCTPChunks		chunks	about.labels.key と about.labels.value additional.fields.key と additional.fields.value.string_value
SCTP チャンク送信（chunks_sent）	PanOSSCTPChunkSent		chunks_sent	about.labels.key と about.labels.value additional.fields.key と additional.fields.value.string_value
SCTP チャンク受信（chunks_received）	PanOSSCTPChunksRcv		chunks_received	about.labels.key と about.labels.value additional.fields.key と additional.fields.value.string_value
ルール UUID（rule_uuid）	PanOSRuleUUID			security_result.rule_id
HTTP/2 接続（http2_connection）	PanOSHTTP2Con		http2_connection	about.labels.key と about.labels.value additional.fields.key と additional.fields.value.string_value
アプリのフラップ数（link_change_count）	PanLinkChange		link_change_count	about.labels.key と about.labels.value additional.fields.key と additional.fields.value.string_value
ポリシー ID（policy_id）	PanPolicyID		policy_id	about.labels.key と about.labels.value additional.fields.key と additional.fields.value.string_value
リンクスイッチ（link_switches）	PanLinkDetail		link_switches	about.labels.key と about.labels.value additional.fields.key と additional.fields.value.string_value
SD-WAN クラスタ（sdwan_cluster）	PanSDWANCluster		sdwan_cluster	about.labels.key と about.labels.value additional.fields.key と additional.fields.value.string_value
SD-WAN デバイスタイプ（sdwan_device_type）	PanSDWANDevice		sdwan_device_type	about.labels.key と about.labels.value additional.fields.key と additional.fields.value.string_value
SD-WAN クラスタタイプ（sdwan_cluster_type）	PanSDWANClustype		sdwan_cluster_type	about.labels.key と about.labels.value additional.fields.key と additional.fields.value.string_value
SD-WAN サイト（sdwan_site）	PanSDWANSite		sdwan_site	about.labels.key と about.labels.value additional.fields.key と additional.fields.value.string_value
動的ユーザーグループ名（dynusergroup_name）	PanDynamicUsrgrp		dynusergroup_name	about.labels.key と about.labels.value additional.fields.key と additional.fields.value.string_value
XFF アドレス（xff_ip）	PanXFFIP			principal.ip
ソースのデバイスカテゴリ（src_category）	PanSrcDeviceCat		src_category	principal.labels.key と principal.labels.value additional.fields.key と additional.fields.value.string_value
ソースデバイスプロファイル（src_profile）	PanSrcDeviceProf		src_profile	principal.labels.key と principal.labels.value additional.fields.key と additional.fields.value.string_value
ソースデバイスモデル（src_model）	PanSrcDeviceModel		src_model	principal.labels.key と principal.labels.value additional.fields.key と additional.fields.value.string_value
ソースデバイスベンダー（src_vendor）	PanSrcDeviceVendor		src_vendor	principal.labels.key と principal.labels.value additional.fields.key と additional.fields.value.string_value
ソースデバイス OS ファミリー（src_osfamily）	PanSrcDeviceOS			principal.asset.platform_software.platform principal.labels.key と principal.labels.value additional.fields.key と additional.fields.value.string_value
ソースデバイスの OS バージョン（src_osversion）	PanSrcDeviceOSv			principal.asset.software.version
ソースホスト名（src_host）	PanSrcHostname			principal.hostname
送信元 MAC アドレス（src_mac）	PanSrcMac			principal.mac
宛先デバイスカテゴリ（dst_category）	PanDstDeviceCat		dst_category	target.labels.key と target.labels.value additional.fields.key と additional.fields.value.string_value
宛先デバイスプロファイル（dst_profile）	PanDstDeviceProf		dst_profile	target.labels.key と target.labels.value additional.fields.key と additional.fields.value.string_value
移行先のデバイスモデル（dst_model）	PanDstDeviceModel		dst_model	target.labels.key と target.labels.value additional.fields.key と additional.fields.value.string_value
宛先デバイスベンダー（dst_Vendor）	PanDstDeviceVendor		dst_vendor	target.labels.key と target.labels.value additional.fields.key と additional.fields.value.string_value
宛先デバイス OS ファミリー（dst_osfamily）	PanDstDeviceOS		dst_osfamily	target.labels.key と target.labels.value additional.fields.key と additional.fields.value.string_value
移行先デバイスの OS バージョン（dst_osversion）	PanDstDeviceOSv			target.asset.software.version
宛先ホスト名（dst_host）	PanDstHostname			target.hostname
宛先 MAC アドレス（dst_mac）	PanDstMac			target.mac
コンテナ ID (container_id)	PanContainerName		コンテナ ID	about.labels.key と about.labels.value additional.fields.key と additional.fields.value.string_value
POD 名前空間（pod_namespace）	PanPODNamespace		pod_namespace	about.labels.key と about.labels.value additional.fields.key と additional.fields.value.string_value
POD 名（pod_name）	PanPODName		pod_name	about.labels.key と about.labels.value additional.fields.key と additional.fields.value.string_value
送信元外部動的リスト（src_edl）	PanSrcEDL		src_edl	principal.labels.key と principal.labels.value additional.fields.key と additional.fields.value.string_value
宛先外部動的リスト（dst_edl）	PanDstEDL		dst_edl	target.labels.key と target.labels.value additional.fields.key と additional.fields.value.string_value
ホスト ID（hostid）	PanGPHostID		hostid	about.labels.key と about.labels.value additional.fields.key と additional.fields.value.string_value
ユーザーデバイスのシリアル番号（serialnumber）	PanEPSerial			principal.asset.hardware.serial_number
送信元動的アドレスグループ（src_dag）	PanSrcDAG			principal.group.group_display_name
宛先動的アドレスグループ（dst_dag）	PanDstDAG			target.group.group_display_name
セッションオーナー（session_owner）	PanHASessionOwner		session_owner	about.labels.key と about.labels.value additional.fields.key と additional.fields.value.string_value
高解像度のタイムスタンプ (high_res_timestamp)	PanTimeHighRes			metadata.collected_timestamp, metadata.event_timestamp（「生成時間」がない場合）
スライスサービスタイプ（nsdsai_sst）	PanASServiceType		nsdsai_sst	about.labels.key と about.labels.value additional.fields.key と additional.fields.value.string_value
スライス差分（nsdsai_sd）	PanASServiceDiff		nsdsai_sd	about.labels.key と about.labels.value additional.fields.key と additional.fields.value.string_value
アプリケーションサブカテゴリ（subcategory_of_app）			subcategory_of_app	about.labels.key と about.labels.value additional.fields.key と additional.fields.value.string_value
アプリケーションカテゴリ（category_of_app）			category_of_app	about.labels.key と about.labels.value additional.fields.key と additional.fields.value.string_value
アプリケーションテクノロジー（technology_of_app）			technology_of_app	about.labels.key と about.labels.value additional.fields.key と additional.fields.value.string_value
アプリケーションリスク（risk_of_app）				security_result.severity
アプリケーションの特徴 (characteristic_of_app)			characteristic_of_app	about.labels.key と about.labels.value additional.fields.key と additional.fields.value.string_value
アプリケーションコンテナ（container_of_app）			container_of_app	about.labels.key と about.labels.value additional.fields.key と additional.fields.value.string_value
アプリケーション SaaS（is_saas_of_app）			is_saas_of_app	about.labels.key と about.labels.value additional.fields.key と additional.fields.value.string_value
アプリケーション Sanctioned State（sanctioned_state_of_app）			sanctioned_state_of_app	about.labels.key と about.labels.value additional.fields.key と additional.fields.value.string_value
アプリケーションサブカテゴリ（subcategory_of_app）			subcategory_of_app1	about.labels.key と about.labels.value additional.fields.key と additional.fields.value.string_value

User-ID

次の表に、ユーザー ID ログタイプのログフィールドと対応する UDM フィールドを示します。

CSV フィールド	CEF 項目	LEEF フィールド	Chronicle のラベルキー	UDM フィールド
受信時刻（Received_time または cef-format-Received_time）	rt	devTime		metadata.collected_timestamp, metadata.event_timestamp（「生成時間」がない場合）
シリアル番号（serial）	deviceExternalId	SerialNumber		intermediary.asset.hardware.serial_number
タイプ（タイプ）	タイプ（ヘッダー）	cat		metadata.product_event_type
脅威/コンテンツタイプ（サブタイプ）	サブタイプ（ヘッダー）	サブタイプ		metadata.product_event_type
Generated Time（time_generated または cef-format-time_generated）				metadata.event_timestamp
仮想システム（vsys）	cs3	VirtualSystem	vsys	about.labels.key と about.labels.value additional.fields.key と additional.fields.value.string_value
送信元 IP（ip）	src	src		principal.ip
User (user)	duser	usrName		target.user.userid target.administrative_domain target.user.email_addresses
データソース名（datasourcename）	cs4	DataSourceName	データソース名	principal.labels.key と principal.labels.value additional.fields.key と additional.fields.value.string_value
イベント ID（eventid）		EventID	eventid	about.labels.key と about.labels.value additional.fields.key と additional.fields.value.string_value
繰り返し回数（repeatcnt）	cnt	RepeatCount	repeatcnt	about.labels.key と about.labels.value additional.fields.key と additional.fields.value.string_value
タイムアウトしきい値（timeout）	cn3	TimeoutThreshold	timeout	about.labels.key と about.labels.value additional.fields.key と additional.fields.value.string_value
送信元ポート（beginport）	spt	srcPort		principal.port
宛先ポート（endport）	dpt	dstPort		target.port
データソース（datasource）	cs5	DataSource	データソース	principal.labels.key と principal.labels.value additional.fields.key と additional.fields.value.string_value
データソースタイプ（datasourcetype）	cs6	DataSourceType	データソースのタイプ	principal.labels.key と principal.labels.value additional.fields.key と additional.fields.value.string_value
シーケンス番号（seqno）	externalId	シーケンス		metadata.product_log_id
アクションフラグ（アクションフラグ）	PanOSActionFlags	ActionFlags	actionflags	about.labels.key と about.labels.value additional.fields.key と additional.fields.value.string_value
デバイスグループ階層（dg_hier_level_1）	PanOSDGl1	DeviceGroupHierarchyL1	dg_hier_level_1	about.labels.key と about.labels.value additional.fields.key と additional.fields.value.string_value
デバイスグループ階層（dg_hier_level_2）	PanOSDGl2	DeviceGroupHierarchyL2	dg_hier_level_2	about.labels.key と about.labels.value additional.fields.key と additional.fields.value.string_value
デバイスグループ階層（dg_hier_level_3）	PanOSDGl3	DeviceGroupHierarchyL3	dg_hier_level_3	about.labels.key と about.labels.value additional.fields.key と additional.fields.value.string_value
デバイスグループ階層（dg_hier_level_4）	PanOSDGl4	DeviceGroupHierarchyL4	dg_hier_level_4	about.labels.key と about.labels.value additional.fields.key と additional.fields.value.string_value
仮想システム名（vsys_name）	PanOSVsysName	vSrcName		principal.resource.name principal.resource.resource_type=VIRTUAL_MACHINE
デバイス名（device_name）	dvchost	DeviceName		intermediary.hostname
仮想システム ID（vsys_id）	cn2	VirtualSystemID		principal.resource.resource_type=VIRTUAL_MACHINE と principal.resource.product_object_id
要素タイプ（factortype）	cs1	FactorType	factortype	about.labels.key と about.labels.value additional.fields.key と additional.fields.value.string_value
要素完了時間（factorcompletetime）	end	FactorCompletionTime	factorcompletetime	about.labels.key と about.labels.value additional.fields.key と additional.fields.value.string_value
要素番号（factorno）	cn1	FactorNumber	factorno	about.labels.key と about.labels.value additional.fields.key と additional.fields.value.string_value
ユーザーグループフラグ（ugflags）	PanOSUGFlags		ugflags	about.labels.key と about.labels.value additional.fields.key と additional.fields.value.string_value
ソース別のユーザー（userbysource）	PanOSUserBySource			principal.user.userid principal.administrative_domain principal.user.email_addresses
高解像度のタイムスタンプ (high_res timestamp)	PanOSTimeGeneratedHighResolution			metadata.collected_timestamp, metadata.event_timestamp（「生成時間」がない場合）

HIP マッチング

次の表に、HIP マッチログタイプのログフィールドと対応する UDM フィールドを示します。

CSV フィールド	CEF 項目	LEEF フィールド	Chronicle のラベルキー	UDM フィールド
受信時刻（Received_time または cef-format-Received_time）	rt	devTime		metadata.collected_timestamp, metadata.event_timestamp（「生成時間」がない場合）
シリアル番号（serial）	deviceExternalId	SerialNumber		intermediary.asset.hardware.serial_number
タイプ（タイプ）	タイプ（ヘッダー）	cat		metadata.product_event_type
脅威/コンテンツタイプ（サブタイプ）	サブタイプ（ヘッダー）	サブタイプ
Generated Time（time_generated または cef-format-time_generated）	スタート	startTime		metadata.event_timestamp
送信元ユーザー（srcuser）	suser	usrName		principal.user.userid
仮想システム（vsys）	cs3	VirtualSystem	vsys	about.labels.key と about.labels.value additional.fields.key と additional.fields.value.string_value
マシン名（machinename）	shost	identHostName		principal.hostname
オペレーティングシステム（OS）	cs2	OS		principal.asset.platform_software.platform
送信元アドレス（src）	src	identsrc		principal.ip
HIP（matchname）	cat	HIP	matchname	about.labels.key と about.labels.value additional.fields.key と additional.fields.value.string_value
繰り返し回数（repeatcnt）	cnt	RepeatCount	repeatcnt	about.labels.key と about.labels.value additional.fields.key と additional.fields.value.string_value
HIP タイプ（matchtype）	デバイスイベントクラス ID（Header）	HIPType	一致タイプ	about.labels.key と about.labels.value additional.fields.key と additional.fields.value.string_value
シーケンス番号（seqno）	externalId	シーケンス		metadata.product_log_id
アクションフラグ（アクションフラグ）	PanOSActionFlags	ActionFlags	actionflags	about.labels.key と about.labels.value additional.fields.key と additional.fields.value.string_value
デバイスグループ階層（dg_hier_level_1）	PanOSDGl1	DeviceGroupHierarchyL1	dg_hier_level_1	about.labels.key と about.labels.value additional.fields.key と additional.fields.value.string_value
デバイスグループ階層（dg_hier_level_2）	PanOSDGl2	DeviceGroupHierarchyL2	dg_hier_level_2	about.labels.key と about.labels.value additional.fields.key と additional.fields.value.string_value
デバイスグループ階層（dg_hier_level_3）	PanOSDGl3	DeviceGroupHierarchyL3	dg_hier_level_3	about.labels.key と about.labels.value additional.fields.key と additional.fields.value.string_value
デバイスグループ階層（dg_hier_level_4）	PanOSDGl4	DeviceGroupHierarchyL4	dg_hier_level_4	about.labels.key と about.labels.value additional.fields.key と additional.fields.value.string_value
仮想システム名（vsys_name）	PanOSVsysName	vSrcName		principal.resource.name principal.resource.resource_type=VIRTUAL_MACHINE
デバイス名（device_name）	dvchost	DeviceName		intermediary.hostname
仮想システム ID（vsys_id）	cn2	VirtualSystemID		principal.resource.resource_type=VIRTUAL_MACHINE と principal.resource.product_object_id
IPv6 システムアドレス（srcipv6）	c6a2	srcipv6		principal.asset.ip
ホスト ID（hostid）	PanOSHostID			principal.asset.product_object_id
ユーザーデバイスのシリアル番号（serialnumber）	PanOSEndpointSerialNumber			principal.asset.hardware.serial_number
デバイスの MAC アドレス（mac）	PanOSEndpointMac			principal.asset.mac
高解像度のタイムスタンプ (high_res_timestamp)	PanOSTimeGeneratedHighResolution			metadata.collected_timestamp, metadata.event_timestamp（「生成時間」がない場合）

IP タグ

次の表に、IP タグのログタイプのログフィールドと対応する UDM フィールドを示します。

CSV フィールド	CEF 項目	LEEF フィールド	Chronicle のラベルキー	UDM フィールド
受信時刻（Received_time または cef-format-Received_time）	rt	devTime		metadata.collected_timestamp, metadata.event_timestamp（「生成時間」がない場合）
シリアル番号（serial）	deviceExternalId	SerialNumber		intermediary.asset.hardware.serial_number
タイプ（タイプ）	タイプ（ヘッダー）	cat		metadata.product_event_type
脅威/コンテンツタイプ（サブタイプ）	サブタイプ（ヘッダー）	サブタイプ		metadata.product_event_type
Generated Time（time_generated または cef-format-time_generated）		GenerateTime		metadata.event_timestamp
仮想システム（vsys）	cs3	VirtualSystem	vsys	about.labels.key と about.labels.value additional.fields.key と additional.fields.value.string_value
送信元 IP（ip）	src	src		principal.ip
タグ名（tag_name）	PanOSTagName	TagName	tag_name	principal.labels.key と principal.labels.value additional.fields.key と additional.fields.value.string_value
イベント ID（event_id）	PanOSEventID	EventID	event_id	about.labels.key と about.labels.value additional.fields.key と additional.fields.value.string_value
繰り返し回数（repeatcnt）	cnt	RepeatCount	repeatcnt	about.labels.key と about.labels.value additional.fields.key と additional.fields.value.string_value
タイムアウト (timeout)	PanOSTimeout	TimeoutThreshold	timeout	about.labels.key と about.labels.value additional.fields.key と additional.fields.value.string_value
データソース名（datasourcename）	PanOSDataSourceName	DataSourceName	データソース名	principal.labels.key と principal.labels.value additional.fields.key と additional.fields.value.string_value
データソースタイプ（datasource_type）	PanOSDataSourceType	DataSource	datasource_type	principal.labels.key と principal.labels.value additional.fields.key と additional.fields.value.string_value
データソースサブタイプ（datasource_subtype）	PanOSDataSourceSubType	DataSourceType	datasource_subtype	principal.labels.key と principal.labels.value additional.fields.key と additional.fields.value.string_value
シーケンス番号（seqno）	externalId	シーケンス		metadata.product_log_id
アクションフラグ（アクションフラグ）	PanOSActionFlags	ActionFlags	actionflags	about.labels.key と about.labels.value additional.fields.key と additional.fields.value.string_value
デバイスグループ階層（dg_hier_level_1）	PanOSDGl1	DeviceGroupHierarchyL1	dg_hier_level_1	about.labels.key と about.labels.value additional.fields.key と additional.fields.value.string_value
デバイスグループ階層（dg_hier_level_2）	PanOSDGl2	DeviceGroupHierarchyL2	dg_hier_level_2	about.labels.key と about.labels.value additional.fields.key と additional.fields.value.string_value
デバイスグループ階層（dg_hier_level_3）	PanOSDGl3	DeviceGroupHierarchyL3	dg_hier_level_3	about.labels.key と about.labels.value additional.fields.key と additional.fields.value.string_value
デバイスグループ階層（dg_hier_level_4）	PanOSDGl4	DeviceGroupHierarchyL4	dg_hier_level_4	about.labels.key と about.labels.value additional.fields.key と additional.fields.value.string_value
仮想システム名（vsys_name）	PanOsVsysName	vSrcName		principal.resource.name principal.resource.resource_type=VIRTUAL_MACHINE
デバイス名（device_name）	dvchost	DeviceName		intermediary.hostname
仮想システム ID（vsys_id）	cn2	VirtualSystemID		principal.resource.resource_type=VIRTUAL_MACHINE と principal.resource.product_object_id
高解像度のタイムスタンプ (high_res timestamp)	PanOSTimeGeneratedHighResolution			metadata.collected_timestamp, metadata.event_timestamp（「生成時間」がない場合）

復号

次の表に、復号ログタイプのログフィールドと、対応する UDM フィールドを示します。

CSV フィールド	CEF 項目	LEEF フィールド	Chronicle のラベルキー	UDM フィールド
受信時刻（Received_time または cef-format-Received_time）	rt			metadata.collected_timestamp, metadata.event_timestamp（「生成時間」がない場合）
シリアル番号（serial）	PanOSDeviceSN			intermediary.asset.hardware.serial_number
タイプ（タイプ）	タイプ（ヘッダー）			metadata.product_event_type
脅威/コンテンツタイプ（サブタイプ）	サブタイプ（ヘッダー）			metadata.product_event_type
設定バージョン（config_ver）	PanOSConfigVersion		config_ver	about.labels.key と about.labels.value additional.fields.key と additional.fields.value.string_value
生成時間（time_generated）	PanOSLogTimeStamp			metadata.event_timestamp
送信元アドレス（src）	src			principal.ip
宛先アドレス（dst）	dst			target.ip
NAT ソース IP（natsrc）	sourceTranslatedAddress			principa.nat_ip
NAT 宛先 IP（natdst）	destinationTranslatedAddress			target.nat_ip
ルール（rule）	cs1			security_result.rule_name
送信元ユーザー（srcuser）	suser			principal.user.userid
宛先ユーザー（dstuser）	duser			target.user.userid
アプリケーション (app)	app			target.application
仮想システム（vsys）	cs3		vsys	about.labels.key と about.labels.value additional.fields.key と additional.fields.value.string_value
送信元のゾーン（from）	cs4		送信元	principal.labels.key と principal.labels.value additional.fields.key と additional.fields.value.string_value
宛先のゾーン（送信先）	cs5		～	target.labels.key と target.labels.value additional.fields.key と additional.fields.value.string_value
インバウンドインターフェース（inbound_if）	deviceInboundInterface		inbound_if	principal.labels.key と principal.labels.value additional.fields.key と additional.fields.value.string_value
アウトバウンドインターフェース（outbound_if）	deviceOutboundInterface		outbound_if	target.labels.key と target.labels.value additional.fields.key と additional.fields.value.string_value
ログアクション（logset）	cs6		logset	about.labels.key と about.labels.value additional.fields.key と additional.fields.value.string_value
ログに記録される時刻（time_received）	PanOSTimeReceivedManagementPlane			-
セッション ID（sessionid）	cn1			network.session_id
繰り返し回数（repeatcnt）	PanOSCountOfRepeats/RepeatCount		repeatcnt	about.labels.key と about.labels.value additional.fields.key と additional.fields.value.string_value
送信元ポート（sport）	spt			principal.port
宛先ポート（dport）	dpt			target.port
NAT 送信元ポート（natsport）	sourceTranslatedPort			principal.nat_port
NAT 宛先ポート（natdport）	destinationTranslatedPort			target.nat_port
フラグ（flags）	flexString1		flags	about.labels.key と about.labels.value additional.fields.key と additional.fields.value.string_value
IP プロトコル（proto）	proto			network.ip_protocol
アクション (action)	対処			security_result.action_details security_result.action
トンネル（tunnel）	PanOSTunnel		トンネル	about.labels.key と about.labels.value additional.fields.key と additional.fields.value.string_value
ソース VM UUID（src_uuid）	PanOSSourceUUID			principal.asset.asset_id
宛先 VM UUID（dst_uuid）	PanOSDestinationUUID			target.asset.asset_id
ルールの UUID（rule_uuid）	PanOSRuleUUID			security_result.rule_id
クライアントからファイアウォールへのステージ（hs_stage_c2f）	PanOSClientToFirewall		hs_stage_c2f	about.labels.key と about.labels.value additional.fields.key と additional.fields.value.string_value
ファイアウォールからサーバーまでのステージ（hs_stage_f2s）	PanOSFirewallToServer		hs_stage_f2s	about.labels.key と about.labels.value additional.fields.key と additional.fields.value.string_value
TLS バージョン（tls_version）	PanOSTLSVersion			network.tls.version
Key Exchange アルゴリズム（tls_keyxchg）	PanOSTLSKeyExchange		tls_keyxchg	about.labels.key と about.labels.value additional.fields.key と additional.fields.value.string_value
暗号化アルゴリズム（tls_enc）	PanOSTLSEncryptionAlgorithm		tls_enc	about.labels.key と about.labels.value additional.fields.key と additional.fields.value.string_value
ハッシュアルゴリズム（tls_auth）	PanOSTLSAuth		tls_auth	about.labels.key と about.labels.value additional.fields.key と additional.fields.value.string_value
ポリシー名（policy_name）	PanOSPolicyName		policy_name	about.labels.key と about.labels.value additional.fields.key と additional.fields.value.string_value
楕円曲線（ec_curve）	PanOSEllipticCurve			network.tls.curve
エラーインデックス（err_index）	PanOSErrorIndex		err_index	about.labels.key と about.labels.value additional.fields.key と additional.fields.value.string_value
ルートのステータス（root_status）	PanOSRootStatus		root_status	about.labels.key と about.labels.value additional.fields.key と additional.fields.value.string_value
チェーンステータス（chain_status）	PanOSChainStatus		chain_status	about.labels.key と about.labels.value additional.fields.key と additional.fields.value.string_value
プロキシの種類（proxy_type）	PanOSProxyType		proxy_type	about.labels.key と about.labels.value additional.fields.key と additional.fields.value.string_value
証明書のシリアル番号（cert_serial）	PanOSCertificateSerial			network.tls.server.certificate.serial
証明書フィンガープリント（fingerprint）	PanOSFingerprint			network.tls.server.certificate.md5/sha1/sha256
証明書の開始日（以前）	PanOSTimeNotBefore			network.tls.server.certificate.not_before
証明書の終了日（notafter）	PanOSTimeNotAfter			network.tls.server.certificate.not_after
証明書のバージョン（cert_ver）	PanOSCertificateVersion			network.tls.server.certificate.version
証明書のサイズ（cert_size）	PanOSCertificateSize		cert_size	about.labels.key と about.labels.value additional.fields.key と additional.fields.value.string_value
共通名の長さ（cn_len）	PanOSCommonNameLength		cn_len	about.labels.key と about.labels.value additional.fields.key と additional.fields.value.string_value
カード発行会社の共通名の長さ（issuer_len）	PanOSIssuerNameLength		issuer_len	about.labels.key と about.labels.value additional.fields.key と additional.fields.value.string_value
ルート共通名の長さ（rootcn_len）	PanOSRootCNLength		rootcn_len	about.labels.key と about.labels.value additional.fields.key と additional.fields.value.string_value
SNI の長さ（sni_len）	PanOSSNILength		sni_len	about.labels.key と about.labels.value additional.fields.key と additional.fields.value.string_value
証明書フラグ（cert_flags）	PanOSCertificateFlags		cert_flags	about.labels.key と about.labels.value additional.fields.key と additional.fields.value.string_value
サブジェクトの共通名（cn）	PanOSCommonName		cn	about.labels.key と about.labels.value additional.fields.key と additional.fields.value.string_value
カード発行会社の共通名（issuer_cn）	PanOSIssuerCommonName			network.tls.server.certificate.issuer
ルート共通名（root_cn）	PanOSRootCommonName		root_cn	about.labels.key と about.labels.value additional.fields.key と additional.fields.value.string_value
Server Name Indication (sni)				network.tls.client.server_name
エラー（error）	PanOSErrorMessage		エラー	about.labels.key と about.labels.value additional.fields.key と additional.fields.value.string_value
コンテナ ID (container_id)	PanOSContainerID		コンテナ ID	about.labels.key と about.labels.value additional.fields.key と additional.fields.value.string_value
POD 名前空間（pod_namespace）	PanOSContainerNameSpace		pod_namespace	about.labels.key と about.labels.value additional.fields.key と additional.fields.value.string_value
POD 名（pod_name）	PanOSContainerName		pod_name	about.labels.key と about.labels.value additional.fields.key と additional.fields.value.string_value
送信元外部動的リスト（src_edl）	PanOSSourceEDL		src_edl	principal.labels.key と principal.labels.value additional.fields.key と additional.fields.value.string_value
宛先外部動的リスト（dst_edl）	PanOSDestinationEDL		dst_edl	target.labels.key と target.labels.value additional.fields.key と additional.fields.value.string_value
送信元動的アドレスグループ（src_dag）	PanOSSourceDynamicAddressGroup			principal.group.group_display_name
宛先動的アドレスグループ（dst_dag）	PanOSDestinationDynamicAddressGroup			target.group.group_display_name
高解像度のタイムスタンプ (high_res_timestamp)	PanOSTimeGeneratedHighResolution			metadata.collected_timestamp, metadata.event_timestamp（「生成時間」がない場合）
ソースのデバイスカテゴリ（src_category）	PanOSSourceDeviceCategory		src_category	principal.labels.key と principal.labels.value additional.fields.key と additional.fields.value.string_value
ソースデバイスプロファイル（src_profile）	PanOSSourceDeviceProfile		src_profile	principal.labels.key と principal.labels.value additional.fields.key と additional.fields.value.string_value
ソースデバイスモデル（src_model）	PanOSSourceDeviceModel		src_model	principal.labels.key と principal.labels.value additional.fields.key と additional.fields.value.string_value
ソースデバイスベンダー（src_vendor）	PanOSSourceDeviceVendor		src_vendor	principal.labels.key と principal.labels.value additional.fields.key と additional.fields.value.string_value
ソースデバイス OS ファミリー（src_osfamily）	PanOSSourceDeviceOSFamily			principal.asset.platform_software.platform principal.labels.key と principal.labels.value
ソースデバイスの OS バージョン（src_osversion）	PanOSSourceDeviceOSVersion			principal.asset.software.version
ソースホスト名（src_host）	PanOSSourceDeviceHost			principal.hostname
送信元 MAC アドレス（src_mac）	PanOSSourceDeviceMac			principal.mac
宛先デバイスカテゴリ（dst_category）	PanOSDestinationDeviceCategory		dst_category	target.labels.key と target.labels.value additional.fields.key と additional.fields.value.string_value
宛先デバイスプロファイル（dst_profile）	PanOSDestinationDeviceProfile		dst_profile	target.labels.key と target.labels.value additional.fields.key と additional.fields.value.string_value
移行先のデバイスモデル（dst_model）	PanOSDestinationDeviceModel		dst_model	target.labels.key と target.labels.value additional.fields.key と additional.fields.value.string_value
宛先デバイスベンダー（dst_Vendor）	PanOSDestinationDeviceVendor		dst_vendor	target.labels.key と target.labels.value additional.fields.key と additional.fields.value.string_value
宛先デバイス OS ファミリー（dst_osfamily）	PanOSDestinationDeviceOSFamily		dst_osfamily	target.labels.key と target.labels.value additional.fields.key と additional.fields.value.string_value
移行先デバイスの OS バージョン（dst_osversion）	PanOSDestinationDeviceOSVersion			target.asset.software.version
宛先ホスト名（dst_host）	PanOSDestinationDeviceHost			target.hostname
宛先 MAC アドレス（dst_mac）	PanOSDestinationDeviceMac			target.mac
シーケンス番号（seqno）	PanOSLogTypeSeqNo			metadata.product_log_id
アクションフラグ（アクションフラグ）	PanOSActionFlags		actionflags	about.labels.key と about.labels.value additional.fields.key と additional.fields.value.string_value
デバイスグループ階層（dg_hier_level_1）		DeviceGroupHierarchyL1	dg_hier_level_1	about.labels.key と about.labels.value additional.fields.key と additional.fields.value.string_value
デバイスグループ階層（dg_hier_level_2）		DeviceGroupHierarchyL2	dg_hier_level_2	about.labels.key と about.labels.value additional.fields.key と additional.fields.value.string_value
デバイスグループ階層（dg_hier_level_3）		DeviceGroupHierarchyL3	dg_hier_level_3	about.labels.key と about.labels.value additional.fields.key と additional.fields.value.string_value
デバイスグループ階層（dg_hier_level_4）		DeviceGroupHierarchyL4	dg_hier_level_4	about.labels.key と about.labels.value additional.fields.key と additional.fields.value.string_value
仮想システム名（vsys_name）				principal.resource.name principal.resource.resource_type=VIRTUAL_MACHINE
デバイス名（device_name）				intermediary.hostname
仮想システム ID（vsys_id）				principal.resource.resource_type=VIRTUAL_MACHINE と principal.resource.product_object_id
アプリケーションサブカテゴリ（subcategory_of_app）			subcategory_of_app	about.labels.key と about.labels.value additional.fields.key と additional.fields.value.string_value
アプリケーションカテゴリ（category_of_app）			category_of_app	about.labels.key と about.labels.value additional.fields.key と additional.fields.value.string_value
アプリケーションテクノロジー（technology_of_app）			technology_of_app	about.labels.key と about.labels.value additional.fields.key と additional.fields.value.string_value
アプリケーションリスク（risk_of_app）				security_result.severity
アプリケーションの特徴 (characteristic_of_app)			characteristic_of_app	about.labels.key と about.labels.value additional.fields.key と additional.fields.value.string_value
アプリケーションコンテナ（container_of_app）			container_of_app	about.labels.key と about.labels.value additional.fields.key と additional.fields.value.string_value
アプリケーション SaaS（is_saas_of_app）			is_saas_of_app	about.labels.key と about.labels.value additional.fields.key と additional.fields.value.string_value
アプリケーション Sanctioned State（sanctioned_state_of_app）			sanctioned_state_of_app	about.labels.key と about.labels.value additional.fields.key と additional.fields.value.string_value

トンネル

次の表に、トンネルログタイプのログフィールドと、対応する UDM フィールドを示します。

CSV フィールド	CEF 項目	LEEF フィールド	Chronicle のラベルキー	UDM フィールド
受信時刻（Received_time または cef-format-Received_time）	rt	devTime		metadata.collected_timestamp, metadata.event_timestamp（「生成時間」がない場合）
シリアル番号（serial）	deviceExternalId	SerialNumber		intermediary.asset.hardware.serial_number
タイプ（タイプ）	タイプ（ヘッダー）	cat		metadata.product_event_type
脅威/コンテンツタイプ（サブタイプ）	サブタイプ（ヘッダー）	サブタイプ		metadata.product_event_type
Generated Time（time_generated または cef-format-time_generated）				metadata.event_timestamp
送信元アドレス（src）	src	src		principal.ip
宛先アドレス（dst）	dst	dst		target.ip
NAT ソース IP（natsrc）	sourceTranslatedAddress	srcPostNAT		principal.nat_ip
NAT 宛先 IP（natdst）	destinationTranslatedAddress	dstPostNAT		target.nat_ip
ルール名（rule）	cs1	RuleName		security_result.rule_name
送信元ユーザー（srcuser）	suser	SourceUser / usrName		principal.user.userid
宛先ユーザー（dstuser）	duser	DestinationUser		target.user.userid
アプリケーション (app)	app	Application（アプリケーション）		network.application_protocol
仮想システム（vsys）	cs3	VirtualSystem	vsys	about.labels.key と about.labels.value additional.fields.key と additional.fields.value.string_value
送信元のゾーン（from）	cs4	SourceZone	送信元	principal.labels.key と principal.labels.value additional.fields.key と additional.fields.value.string_value
宛先のゾーン（送信先）	cs5	DestinationZone	～	target.labels.key と target.labels.value additional.fields.key と additional.fields.value.string_value
インバウンドインターフェース（inbound_if）	deviceInboundInterface	IngressInterface	inbound_if	principal.labels.key と principal.labels.value additional.fields.key と additional.fields.value.string_value
アウトバウンドインターフェース（outbound_if）	deviceOutboundInterface	EgressInterface	outbound_if	target.labels.key と target.labels.value additional.fields.key と additional.fields.value.string_value
ログアクション（logset）	cs6	LogForwardingProfile	logset	about.labels.key と about.labels.value additional.fields.key と additional.fields.value.string_value
セッション ID（sessionid）	cn1	SessionID		network.session_id
繰り返し回数（repeatcnt）	cnt	RepeatCount	repeatcnt	about.labels.key と about.labels.value additional.fields.key と additional.fields.value.string_value
送信元ポート（sport）	spt	srcPort		principal.port
宛先ポート（dport）	dpt	dstPort		target.port
NAT 送信元ポート（natsport）	sourceTranslatedPort	srcPostNATPort		principal.nat_port
NAT 宛先ポート（natdport）	destinationTranslatedPort	dstPostNATPort		target.nat_port
フラグ（flags）	flexString1	フラグ	flags	about.labels.key と about.labels.value additional.fields.key と additional.fields.value.string_value
IP プロトコル（proto）	proto	proto		network.ip_protocol
アクション (action)	対処	action		security_result.action_details security_result.action
重大度（severity）				security_result.severity と security_result.severity_details
シーケンス番号（seqno）	externalId	シーケンス		metadata.product_log_id
アクションフラグ（アクションフラグ）	PanOSActionFlags	ActionFlags	actionflags	about.labels.key と about.labels.value additional.fields.key と additional.fields.value.string_value
送信元の場所（srcloc）				principal.location.country_or_region
宛先のロケーション（dstloc）				target.location.country_or_region
デバイスグループ階層（dg_hier_level_1）	PanOSDGl1	DeviceGroupHierarchyL1	dg_hier_level_1	about.labels.key と about.labels.value additional.fields.key と additional.fields.value.string_value
デバイスグループ階層（dg_hier_level_2）	PanOSDGl2	DeviceGroupHierarchyL2	dg_hier_level_2	about.labels.key と about.labels.value additional.fields.key と additional.fields.value.string_value
デバイスグループ階層（dg_hier_level_3）	PanOSDGl3	DeviceGroupHierarchyL3	dg_hier_level_3	about.labels.key と about.labels.value additional.fields.key と additional.fields.value.string_value
デバイスグループ階層（dg_hier_level_4）	PanOSDGl4	DeviceGroupHierarchyL4	dg_hier_level_4	about.labels.key と about.labels.value additional.fields.key と additional.fields.value.string_value
仮想システム名（vsys_name）	PanOSVsysName	vSrcName		principal.resource.name principal.resource.resource_type=VIRTUAL_MACHINE
デバイス名（device_name）	dvchost	DeviceName		intermediary.hostname
トンネル ID（tunnelid）	PanOSTunnelID	TunnelID	tunnelid	about.labels.key と about.labels.value additional.fields.key と additional.fields.value.string_value
タグのモニタリング（monitortag）	PanOSMonitorTag	MonitorTag	monitortag	about.labels.key と about.labels.value additional.fields.key と additional.fields.value.string_value
親セッション ID（parent_session_id）	PanOSParentSessionID	ParentSessionID	parent_session_id	network.parent_session_id
親開始時間（parent_start_time）	PanOSParentStartTime	ParentStartTime	parent_start_time	about.labels.key と about.labels.value additional.fields.key と additional.fields.value.string_value
トンネルタイプ（tunnel）	cs2	TunnelType	トンネル	about.labels.key と about.labels.value additional.fields.key と additional.fields.value.string_value
バイト（bytes）	flexNumber1	totalBytes	バイト	about.labels.key と about.labels.value additional.fields.key と additional.fields.value.string_value
送信バイト数（bytes_sent）	in	srcBytes		network.sent_bytes
受信バイト数（bytes_Receivedd）	out	dstBytes		network.received_bytes
パケット数（packets）	cn2	totalPackets	パケット	about.labels.key と about.labels.value additional.fields.key と additional.fields.value.string_value
送信パケット数（pkts_sent）	PanOSPacketsSent	srcPackets	pkts_sent	about.labels.key と about.labels.value additional.fields.key と additional.fields.value.string_value
受信パケット数（pkts_Receivedd）	PanOSPacketsReceived	dstPackets	pkts_received	about.labels.key と about.labels.value additional.fields.key と additional.fields.value.string_value
最大カプセル化（max_encap）	flexNumber2	MaximumEncapsulation	max_encap	about.labels.key と about.labels.value additional.fields.key と additional.fields.value.string_value
不明なプロトコル（unknown_proto）	cfp1	UnknownProtocol	unknown_proto	about.labels.key と about.labels.value additional.fields.key と additional.fields.value.string_value
厳密なチェック（strict_check）	cfp2	StrictChecking	strict_check	about.labels.key と about.labels.value additional.fields.key と additional.fields.value.string_value
トンネルフラグメント（tunnel_fragment）	PanOSTunnelFragment	TunnelFragment	tunnel_fragment	about.labels.key と about.labels.value additional.fields.key と additional.fields.value.string_value
作成されたセッション（sessions_created）	cfp3	SessionsCreated	sessions_created	about.labels.key と about.labels.value additional.fields.key と additional.fields.value.string_value
閉じたセッション（sessions_closure）	cfp4	SessionsClosed	sessions_closed	about.labels.key と about.labels.value additional.fields.key と additional.fields.value.string_value
セッション終了の理由（session_end_reason）	reason	SessionEndReason		security_result.summary
アクション宛先（action_source）	cat	ActionSource	action_source	about.labels.key と about.labels.value additional.fields.key と additional.fields.value.string_value
開始時刻 (start)		startTime	スタート	about.labels.key と about.labels.value additional.fields.key と additional.fields.value.string_value
経過時間（elapsed）	cn3	ElapsedTime	経過時間	network.session_duration.seconds
トンネル検査ルール（tunnel_insp_rule）	PanOSTunneInspectionRule			security_result.rule_name = 「トンネル検査ルール: %{PanOSTunnelInspectionRule}」
リモートユーザー IP（remote_user_ip）	PanOSRmtUserIP			target.ip
リモートユーザー ID（remote_user_id）	PanOSRmtUserID		remote_user_id	target.labels.key と target.labels.value additional.fields.key と additional.fields.value.string_value
セキュリティルールの UUID（rule_uuid）	PanOSRuleUUID			security_result.rule_id
PCAP ID（pcap_id）	PanOSPcapID		pcap_id	about.labels.key と about.labels.value additional.fields.key と additional.fields.value.string_value
動的ユーザーグループ名（dynusergroup_name）	PanDynamicUsrgrp			principal.group.group_display_name
送信元外部動的リスト（src_edl）	PanOSSourceEDL		src_edl	principal.labels.key と principal.labels.value additional.fields.key と additional.fields.value.string_value
宛先外部動的リスト（dst_edl）	PanOSDestinationEDL		dst_edl	target.labels.key と target.labels.value additional.fields.key と additional.fields.value.string_value
高解像度のタイムスタンプ (high_res timestamp)	PanOSTimeGeneratedHighResolution			metadata.collected_timestamp, metadata.event_timestamp（「生成時間」がない場合）
スライス差分（nssai_sd）			nssai_sd	about.labels.key と about.labels.value additional.fields.key と additional.fields.value.string_value
スライスサービスタイプ（nssai_sd）			nssai_sd1	about.labels.key と about.labels.value additional.fields.key と additional.fields.value.string_value
PDU セッション ID（pdu_session_id）			pdu_session_id	about.labels.key と about.labels.value additional.fields.key と additional.fields.value.string_value
アプリケーションサブカテゴリ（subcategory_of_app）			subcategory_of_app	about.labels.key と about.labels.value additional.fields.key と additional.fields.value.string_value
アプリケーションカテゴリ（category_of_app）			category_of_app	about.labels.key と about.labels.value additional.fields.key と additional.fields.value.string_value
アプリケーションテクノロジー（technology_of_app）			technology_of_app	about.labels.key と about.labels.value additional.fields.key と additional.fields.value.string_value
アプリケーションリスク（risk_of_app）			risk_of_app	about.labels.key と about.labels.value additional.fields.key と additional.fields.value.string_value
アプリケーションの特徴 (characteristic_of_app)			characteristic_of_app	about.labels.key と about.labels.value additional.fields.key と additional.fields.value.string_value
アプリケーションコンテナ（container_of_app）			container_of_app	about.labels.key と about.labels.value additional.fields.key と additional.fields.value.string_value
アプリケーション SaaS（is_saas_of_app）			is_saas_of_app	about.labels.key と about.labels.value additional.fields.key と additional.fields.value.string_value
アプリケーション Sanctioned State（sanctioned_state_of_app）			sanctioned_state_of_app	about.labels.key と about.labels.value additional.fields.key と additional.fields.value.string_value

認証

次の表に、認証ログタイプのログフィールドと、対応する UDM フィールドを示します。

CSV フィールド	CEF 項目	LEEF フィールド	Chronicle のラベルキー	UDM フィールド
受信時刻（Received_time または cef-format-Received_time）	rt	devTime		metadata.collected_timestamp, metadata.event_timestamp（「生成時間」がない場合）
シリアル番号（serial）	deviceExternalId	SerialNumber		intermediary.asset.hardware.serial_number
タイプ（タイプ）	タイプ（ヘッダー）	cat		metadata.product_event_type
脅威/コンテンツタイプ（サブタイプ）	サブタイプ（ヘッダー）	サブタイプ		metadata.product_event_type
Generated Time（time_generated または cef-format-time_generated）				metadata.event_timestamp
仮想システム（vsys）	cs3	VirtualSystem	vsys	about.labels.key と about.labels.value additional.fields.key と additional.fields.value.string_value
送信元 IP（ip）	src	src		principal.ip
User (user)	duser	usrName		target.user.userid
正規化ユーザー（normalize_user）	cs2	NormalizeUser		target.user.user_display_name
オブジェクト（object）	fname	ObjectName	オブジェクト	about.labels.key と about.labels.value additional.fields.key と additional.fields.value.string_value
認証ポリシー（authpolicy）	cs4	AuthPolicy	authpolicy	about.labels.key と about.labels.value additional.fields.key と additional.fields.value.string_value
繰り返し回数（repeatcnt）	cnt	RepeatCount	repeatcnt	about.labels.key と about.labels.value additional.fields.key と additional.fields.value.string_value
認証 ID（authid）	cn2	AuthenticationID	authid	about.labels.key と about.labels.value additional.fields.key と additional.fields.value.string_value
ベンダー（vendor）	flexString2	ベンダー	vendor	about.labels.key と about.labels.value additional.fields.key と additional.fields.value.string_value
ログアクション（logset）	cs6	LogForwardingProfile	logset	about.labels.key と about.labels.value additional.fields.key と additional.fields.value.string_value
サーバープロファイル（serverprofile）	cs1	ServerProfile	serverprofile	about.labels.key と about.labels.value additional.fields.key と additional.fields.value.string_value
説明（desc）	PanOSDesc	AdditionalAuthInfo		security_result.description
クライアントタイプ（clienttype）	cs5	ClientType	clienttype	about.labels.key と about.labels.value additional.fields.key と additional.fields.value.string_value
イベントタイプ（event）	msg	msg		extensions.auth.auth_details
要素番号（factorno）	cn1	FactorNumber	factorno	about.labels.key と about.labels.value additional.fields.key と additional.fields.value.string_value
シーケンス番号（seqno）	externalId	シーケンス		metadata.product_log_id
アクションフラグ（アクションフラグ）	PanOSActionFlags	ActionFlags	actionflags	about.labels.key と about.labels.value additional.fields.key と additional.fields.value.string_value
デバイスグループ階層（dg_hier_level_1）	PanOSDGl1	DeviceGroupHierarchyL1	dg_hier_level_1	about.labels.key と about.labels.value additional.fields.key と additional.fields.value.string_value
デバイスグループ階層（dg_hier_level_2）	PanOSDGl2	DeviceGroupHierarchyL2	dg_hier_level_2	about.labels.key と about.labels.value additional.fields.key と additional.fields.value.string_value
デバイスグループ階層（dg_hier_level_3）	PanOSDGl3	DeviceGroupHierarchyL3	dg_hier_level_3	about.labels.key と about.labels.value additional.fields.key と additional.fields.value.string_value
デバイスグループ階層（dg_hier_level_4）	PanOSDGl4	DeviceGroupHierarchyL4	dg_hier_level_4	about.labels.key と about.labels.value additional.fields.key と additional.fields.value.string_value
仮想システム名（vsys_name）	PanOSVsysName	vSrcName		principal.resource.name principal.resource.resource_type=VIRTUAL_MACHINE
デバイス名（device_name）	dvchost	DeviceName		intermediary.hostname
仮想システム ID（vsys_id）				principal.resource.resource_type=VIRTUAL_MACHINE と principal.resource.product_object_id
認証プロトコル（authproto）			authproto	about.labels.key と about.labels.value additional.fields.key と additional.fields.value.string_value
ルールの UUID（rule_uuid）	PanOSRuleUUID/RuleUUID			security_result.rule_id
高解像度のタイムスタンプ (high_res _timestamp)	PanOSTimeGeneratedHighResolution			metadata.collected_timestamp, metadata.event_timestamp（「生成時間」がない場合）
ソースのデバイスカテゴリ（src_category）	PanOSSourceDeviceCategory		src_category	principal.labels.key と principal.labels.value additional.fields.key と additional.fields.value.string_value
ソースデバイスプロファイル（src_profile）	PanOSSourceDeviceProfile		src_profile	principal.labels.key と principal.labels.value additional.fields.key と additional.fields.value.string_value
ソースデバイスモデル（src_model）	PanOSSourceDeviceModel		src_model	principal.labels.key と principal.labels.value additional.fields.key と additional.fields.value.string_value
ソースデバイスベンダー（src_vendor）	PanOSSourceDeviceVendor		src_vendor	principal.labels.key と principal.labels.value additional.fields.key と additional.fields.value.string_value
ソースデバイス OS ファミリー（src_osfamily）	PanOSSourceDeviceOSFamily			principal.asset.platform_software.platform principal.labels.key と principal.labels.value additional.fields.key と additional.fields.value.string_value
ソースデバイスの OS バージョン（src_osversion）	PanOSSourceDeviceOSVersion			principal.asset.software.version
ソースホスト名（src_host）	PanOSSourceHostname			principal.hostname
送信元 MAC アドレス（src_mac）	PanOSSourceMac			principal.asset.mac
リージョン (region)	PanOSTrafficOriginRegion			principal.location.country_or_region
ユーザーエージェント（user_agent）	PanOSHTTPUserAgent			network.http.user_agent
セッション ID（sessionid）	PanOSTrafficSessionID			network.session_id

URL

次の表に、URL ログタイプのログフィールドと、対応する UDM フィールドを示します。

CSV フィールド	CEF 項目	LEEF フィールド	Chronicle のラベルキー	UDM フィールド
受信時間（cef 形式の受信時間）	rt	devTime		metadata.collected_timestamp, metadata.event_timestamp（「生成時間」がない場合）
シリアル番号 (serial)	deviceExternalId	SerialNumber		intermediary.asset.hardware.serial_number
タイプ（タイプ）	タイプ（ヘッダー）	cat		metadata.product_event_type
脅威/コンテンツタイプ（サブタイプ）	サブタイプ（ヘッダー）	サブタイプ		metadata.product_event_type
生成時間				metadata.event_timestamp
送信元アドレス（src）	src	src		principal.ip
宛先アドレス（dst）	dst	dst		target.ip
NAT ソース IP（natsrc）	sourceTranslatedAddress	srcPostNAT		principal.nat_ip
NAT 宛先 IP（natdst）	destinationTranslatedAddress	dstPostNAT		target.nat_ip
ルール（rule）	cs1	RuleName		security_result.rule_name
送信元ユーザー（srcuser）	suser	SourceUser		principal.user.userid
宛先ユーザー（dstuser）	duser	DestinationUser		target.user.userid
アプリケーション (app)	app	Application（アプリケーション）		network.application_protocol
仮想システム（vsys）	cs3	VirtualSystem	vsys	about.labels.key と about.labels.value additional.fields.key と additional.fields.value.string_value
送信元のゾーン（from）	cs4	SourceZone	送信元	principal.labels.key と principal.labels.value additional.fields.key と additional.fields.value.string_value
宛先のゾーン（送信先）	cs5	DestinationZone	～	target.labels.key と target.labels.value additional.fields.key と additional.fields.value.string_value
インバウンドインターフェース（inbound_if）	deviceInboundInterface	IngressInterface	inbound_if	principal.labels.key と principal.labels.value additional.fields.key と additional.fields.value.string_value
アウトバウンドインターフェース（outbound_if）	deviceOutboundInterface	EgressInterface	outbound_if	target.labels.key と target.labels.value additional.fields.key と additional.fields.value.string_value
ログアクション（logset）	cs6	LogForwardingProfile	logset	about.labels.key と about.labels.value additional.fields.key と additional.fields.value.string_value
ログ時間			time_logged	about.labels.key と about.labels.value additional.fields.key と additional.fields.value.string_value
セッション ID（sessionid）	cn1	SessionID		network.session_id
繰り返し回数（repeatcnt）	cnt	RepeatCount	repeatcnt	about.labels.key と about.labels.value additional.fields.key と additional.fields.value.string_value
送信元ポート（sport）	spt	srcPort		principal.port
宛先ポート（dport）	dpt	dstPort		target.port
NAT 送信元ポート（natsport）	sourceTranslatedPort	srcPostNATPort		principal.nat_port
NAT 宛先ポート（natdport）	destinationTranslatedPort	dstPostNATPort		target.nat_port
フラグ（flags）	flexString1	フラグ	flags	about.labels.key と about.labels.value additional.fields.key と additional.fields.value.string_value
IP プロトコル（proto）	proto	proto		network.ip_protocol
アクション (action)	対処	action		security_result.action_details security_result.action
URL/ファイル名（misc）		その他		target.file.full_path target.url
脅威/コンテンツ名（threatid）	cat	ThreatID		security_result.threat_id
カテゴリ（category）	cs2	URL のカテゴリ	category	about.labels.key と about.labels.value additional.fields.key と additional.fields.value.string_value
重大度（severity）	重大度（ヘッダ）	重大度		security_result.severity security_result.severity_details
目的地 (direction)	flexString2	方向		network.direction
シーケンス番号（seqno）	externalId	シーケンス		metadata.product_log_id
アクションフラグ（アクションフラグ）	PanOSActionFlags	ActionFlags	actionflags	about.labels.key と about.labels.value additional.fields.key と additional.fields.value.string_value
送信元の国（srcloc）		SourceLocation		principal.location.country_or_region
宛先の国（dstloc）		DestinationLocation		target.location.country_or_region
コンテンツタイプ (contenttype)	requestContext	ContentType	contenttype	about.labels.key と about.labels.value additional.fields.key と additional.fields.value.string_value
pcap_id（pcap_id）	fileId	PCAP_ID	pcap_id	about.labels.key と about.labels.value additional.fields.key と additional.fields.value.string_value
filedigest（filedigest）		FileDigest		about.file.sha1/md5/sha256
クラウド（cloud）		クラウド	cloud	about.labels.key と about.labels.value additional.fields.key と additional.fields.value.string_value
url_idx（url_idx）		URLIndex	url_idx	about.labels.key と about.labels.value additional.fields.key と additional.fields.value.string_value
user_agent（user_agent）	requestClientApplication	UserAgent		network.http.user_agent
ファイルの種類（filetype）				about.file.mime_type
xff（xff）	PanOSXForwarderfor	identSrc	xff	about.labels.key と about.labels.value additional.fields.key と additional.fields.value.string_value
リファラー（referer）	PanOSReferer	リファラー		network.http.referral_url
送信者（sender）				network.email.from
件名（subject）		件名		network.email.subject
受信者（recipient）				network.email.to
reportid (reportid)			reportid	about.labels.key と about.labels.value additional.fields.key と additional.fields.value.string_value
DG 階層レベル 1（dg_hier_level_1）	PanOSDGl1	DeviceGroupHierarchyL1	dg_hier_level_1	about.labels.key と about.labels.value additional.fields.key と additional.fields.value.string_value
DG 階層レベル 2（dg_hier_level_2）	PanOSDGl2	DeviceGroupHierarchyL2	dg_hier_level_2	about.labels.key と about.labels.value additional.fields.key と additional.fields.value.string_value
DG 階層レベル 3（dg_hier_level_3）	PanOSDGl3	DeviceGroupHierarchyL3	dg_hier_level_3	about.labels.key と about.labels.value additional.fields.key と additional.fields.value.string_value
DG 階層レベル 4（dg_hier_level_4）	PanOSDGl4	DeviceGroupHierarchyL4	dg_hier_level_4	about.labels.key と about.labels.value additional.fields.key と additional.fields.value.string_value
仮想システム名（vsys_name）	PanOSVsysName	vSrcName		principal.resource.name principal.resource.resource_type=VIRTUAL_MACHINE
デバイス名（device_name）	dvchost	DeviceName		intermediary.hostname
file_url（file_url）				about.url
ソース VM UUID（src_uuid）		SrcUUID		principal.asset.asset_id
宛先 VM UUID（dst_uuid）		DstUUID		target.asset.asset_id
http_method (http_method)	requestMethod	RequestMethod		network.http.method
トンネル ID/IMSI (tunnelid)	PanOSTunnelID	TunnelID	tunnelid	about.labels.key と about.labels.value additional.fields.key と additional.fields.value.string_value
タグ/IMEI のモニタリング（monitortag）	PanOSMonitorTag	MonitorTag	monitortag	about.labels.key と about.labels.value additional.fields.key と additional.fields.value.string_value
親セッション ID（parent_session_id）	PanOSParentSessionID	ParentSessionID	parent_session_id	network.parent_session_id
親セッション開始時間（parent_start_time）	PanOSParentStartTime	ParentStartTime	parent_start_time	about.labels.key と about.labels.value additional.fields.key と additional.fields.value.string_value
トンネル（tunnel）	PanOSTunnelType	TunnelType	トンネル	about.labels.key と about.labels.value additional.fields.key と additional.fields.value.string_value
thr_category（thr_category）	PanOSThreatCategory	ThreatCategory	thr_category	security_result.detection_fields.key/value
contentver（contentver）	PanOSContentVer	ContentVer	contentver	about.labels.key と about.labels.value additional.fields.key と additional.fields.value.string_value
sig_flags（sig_flags）			sig_flags	about.labels.key と about.labels.value additional.fields.key と additional.fields.value.string_value
SCTP 関連付け ID（assoc_id）	PanOSAssocID		assoc_id	about.labels.key と about.labels.value additional.fields.key と additional.fields.value.string_value
ペイロードプロトコル ID（ppid）	PanOSPPID		ppid	about.labels.key と about.labels.value additional.fields.key と additional.fields.value.string_value
http_headers（http_headers）	PanOSHTTPHeader		http_headers	about.labels.key と about.labels.value additional.fields.key と additional.fields.value.string_value
URL カテゴリリスト（url_category_list）	PanOSURLCatList		url_category_list	about.labels.key と about.labels.value additional.fields.key と additional.fields.value.string_value
ルールの UUID（rule_uuid）	PanOSRuleUUID		rule_uuid	about.labels.key と about.labels.value additional.fields.key と additional.fields.value.string_value
HTTP/2 接続（http2_connection）	PanOSHTTP2Con		http2_connection	about.labels.key と about.labels.value additional.fields.key と additional.fields.value.string_value
dynusergroup_name（dynusergroup_name）	PanDynamicUsrgrp		dynusergroup_name	about.labels.key と about.labels.value additional.fields.key と additional.fields.value.string_value
XFF アドレス（xff_ip）	PanXFFIP			principal.ip
ソースのデバイスカテゴリ（src_category）	PanSrcDeviceCat		src_category	principal.labels.key と principal.labels.value additional.fields.key と additional.fields.value.string_value
ソースデバイスプロファイル（src_profile）	PanSrcDeviceProf		src_profile	principal.labels.key と principal.labels.value additional.fields.key と additional.fields.value.string_value
ソースデバイスモデル（src_model）	PanSrcDeviceModel		src_model	principal.labels.key と principal.labels.value additional.fields.key と additional.fields.value.string_value
ソースデバイスベンダー（src_vendor）	PanSrcDeviceVendor		src_vendor	principal.labels.key と principal.labels.value additional.fields.key と additional.fields.value.string_value
ソースデバイス OS ファミリー（src_osfamily）	PanSrcDeviceOS			principal.asset.platform_software.platform principal.labels.key と principal.labels.value additional.fields.key と additional.fields.value.string_value
ソースデバイスの OS バージョン（src_osversion）	PanSrcDeviceOSv			principal.asset.software.version
ソースホスト名（src_host）	PanSrcHostname		src_host	principal.labels.key と principal.labels.value additional.fields.key と additional.fields.value.string_value
送信元 Mac アドレス（src_mac）	PanSrcMac			principal.mac
宛先デバイスカテゴリ（dst_category）	PanDstDeviceCat		dst_category	target.labels.key と target.labels.value additional.fields.key と additional.fields.value.string_value
宛先デバイスプロファイル（dst_profile）	PanDstDeviceProf		dst_profile	target.labels.key と target.labels.value additional.fields.key と additional.fields.value.string_value
移行先のデバイスモデル（dst_model）	PanDstDeviceModel		dst_model	target.labels.key と target.labels.value additional.fields.key と additional.fields.value.string_value
宛先デバイスベンダー（dst_Vendor）	PanDstDeviceVendor		dst_vendor	target.labels.key と target.labels.value additional.fields.key と additional.fields.value.string_value
宛先デバイス OS ファミリー（dst_osfamily）	PanDstDeviceOS			target.asset.platform_software.platform target.labels.key と target.labels.value
移行先デバイスの OS バージョン（dst_osversion）	PanDstDeviceOSv			target.asset.software.version
宛先ホスト名（dst_host）	PanPODNamespace			target.hostname
宛先 Mac アドレス（dst_mac）	PanDstMac			target.mac
コンテナ ID (container_id)	PanContainerName		コンテナ ID	about.labels.key と about.labels.value additional.fields.key と additional.fields.value.string_value
POD 名前空間（pod_namespace）	PanPODNamespace		pod_namespace	about.labels.key と about.labels.value additional.fields.key と additional.fields.value.string_value
POD 名（pod_name）	PanPODName		pod_name	about.labels.key と about.labels.value additional.fields.key と additional.fields.value.string_value
送信元外部動的リスト（src_edl）	PanSrcEDL		src_edl	principal.labels.key と principal.labels.value additional.fields.key と additional.fields.value.string_value
宛先外部動的リスト（dst_edl）	PanDstEDL		dst_edl	target.labels.key と target.labels.value additional.fields.key と additional.fields.value.string_value
ホスト ID（hostid）	PanGPHostID		hostid	about.labels.key と about.labels.value additional.fields.key と additional.fields.value.string_value
シリアル番号（serialnumber）	PanEPSerial			principal.asset.hardware.serial_number
domain_edl（domain_edl）	PanDomainEDL		domain_edl	about.labels.key と about.labels.value additional.fields.key と additional.fields.value.string_value
送信元動的アドレスグループ（src_dag）	PanSrcDAG			principal.group.group_display_name
宛先動的アドレスグループ（dst_dag）	PanDstDAG			target.group.group_display_name
partial_hash (partial_hash)	PanPartialHash		partial_hash	about.labels.key と about.labels.value additional.fields.key と additional.fields.value.string_value
高解像度のタイムスタンプ（high_res_timestamp）	PanTimeHighRes			metadata.collected_timestamp, metadata.event_timestamp（「生成時間」がない場合）
理由 (reason)	PanReasonFilteringAction		reason	about.labels.key と about.labels.value additional.fields.key と additional.fields.value.string_value
正当な理由 (justification)	PanJustification		理由	about.labels.key と about.labels.value additional.fields.key と additional.fields.value.string_value
nssai_sst（nssai_sst）	PanASServiceType		nssai_sst	about.labels.key と about.labels.value additional.fields.key と additional.fields.value.string_value
アプリのサブカテゴリ（subcategory_of_app）			subcategory_of_app	about.labels.key と about.labels.value additional.fields.key と additional.fields.value.string_value
アプリのカテゴリ（category_of_app）			category_of_app	about.labels.key と about.labels.value additional.fields.key と additional.fields.value.string_value
アプリのテクノロジー（technology_of_app）			technology_of_app	about.labels.key と about.labels.value additional.fields.key と additional.fields.value.string_value
アプリのリスク（risk_of_app）			risk_of_app	about.labels.key と about.labels.value additional.fields.key と additional.fields.value.string_value
アプリの特性（characteristic_of_app）			characteristic_of_app	about.labels.key と about.labels.value additional.fields.key と additional.fields.value.string_value
アプリのコンテナ（container_of_app）			container_of_app	about.labels.key と about.labels.value additional.fields.key と additional.fields.value.string_value
トンネリングされたアプリ（tunneled_app）			tunneled_app	about.labels.key と about.labels.value additional.fields.key と additional.fields.value.string_value
アプリの SaaS（is_saas_of_app）			is_saas_of_app	about.labels.key と about.labels.value additional.fields.key と additional.fields.value.string_value
承認済みアプリ（sanctioned_state_of_app）			sanctioned_state_of_app	about.labels.key と about.labels.value additional.fields.key と additional.fields.value.string_value

データ

次の表に、データログタイプのログフィールドと、対応する UDM フィールドを示します。

CSV フィールド	CEF 項目	LEEF フィールド	Chronicle のラベルキー	UDM フィールド
受信時間（cef 形式の受信時間）	rt	devTime		metadata.collected_timestamp, metadata.event_timestamp（「生成時間」がない場合）
シリアル番号 (serial)	deviceExternalId	SerialNumber		intermediary.asset.hardware.serial_number
タイプ（タイプ）	タイプ（ヘッダー）	cat		metadata.product_event_type
脅威/コンテンツタイプ（サブタイプ）	サブタイプ（ヘッダー）	サブタイプ		metadata.product_event_type
生成時間				metadata.event_timestamp
送信元アドレス（src）	src	src		principal.ip
宛先アドレス（dst）	dst	dst		target.ip
NAT ソース IP（natsrc）	sourceTranslatedAddress	srcPostNAT		principal.nat_ip
NAT 宛先 IP（natdst）	destinationTranslatedAddress	dstPostNAT		target.nat_ip
ルール（rule）	cs1	RuleName		security_result.rule_name
送信元ユーザー（srcuser）	suser	SourceUser		principal.user.userid
宛先ユーザー（dstuser）	duser	DestinationUser		target.user.userid
アプリケーション (app)	app	Application（アプリケーション）		network.application_protocol
仮想システム（vsys）	cs3	VirtualSystem	vsys	about.labels.key と about.labels.value additional.fields.key と additional.fields.value.string_value
送信元のゾーン（from）	cs4	SourceZone	送信元	principal.labels.key と principal.labels.value additional.fields.key と additional.fields.value.string_value
宛先のゾーン（送信先）	cs5	DestinationZone	～	target.labels.key と target.labels.value additional.fields.key と additional.fields.value.string_value
インバウンドインターフェース（inbound_if）	deviceInboundInterface	IngressInterface	inbound_if	principal.labels.key と principal.labels.value additional.fields.key と additional.fields.value.string_value
アウトバウンドインターフェース（outbound_if）	deviceOutboundInterface	EgressInterface	outbound_if	target.labels.key と target.labels.value additional.fields.key と additional.fields.value.string_value
ログアクション（logset）	cs6	LogForwardingProfile	logset	about.labels.key と about.labels.value additional.fields.key と additional.fields.value.string_value
ログ時間			time_logged	about.labels.key と about.labels.value additional.fields.key と additional.fields.value.string_value
セッション ID（sessionid）	cn1	SessionID		network.session_id
繰り返し回数（repeatcnt）	cnt	RepeatCount	repeatcnt	about.labels.key と about.labels.value additional.fields.key と additional.fields.value.string_value
送信元ポート（sport）	spt	srcPort		principal.port
宛先ポート（dport）	dpt	dstPort		target.port
NAT 送信元ポート（natsport）	sourceTranslatedPort	srcPostNATPort		principal.nat_port
NAT 宛先ポート（natdport）	destinationTranslatedPort	dstPostNATPort		target.nat_port
フラグ（flags）	flexString1	フラグ	flags	about.labels.key と about.labels.value additional.fields.key と additional.fields.value.string_value
IP プロトコル（proto）	proto	proto		network.ip_protocol
アクション (action)	対処	action		security_result.action_details security_result.action
URL/ファイル名（misc）		その他		target.file.full_path target.url
脅威/コンテンツ名（threatid）	cat	ThreatID		security_result.threat_id
カテゴリ（category）	cs2	URL のカテゴリ	category	about.labels.key と about.labels.value additional.fields.key と additional.fields.value.string_value
重大度（severity）	重大度（ヘッダ）	重大度		security_result.severity security_result.severity_details
目的地 (direction)	flexString2	方向		network.direction
シーケンス番号（seqno）	externalId	シーケンス		metadata.product_log_id
アクションフラグ（アクションフラグ）	PanOSActionFlags	ActionFlags	actionflags	about.labels.key と about.labels.value additional.fields.key と additional.fields.value.string_value
送信元の国（srcloc）		SourceLocation		principal.location.country_or_region
宛先の国（dstloc）		DestinationLocation		target.location.country_or_region
コンテンツタイプ (contenttype)		ContentType	contenttype	about.labels.key と about.labels.value additional.fields.key と additional.fields.value.string_value
pcap_id（pcap_id）	fileId	PCAP_ID	pcap_id	about.labels.key と about.labels.value additional.fields.key と additional.fields.value.string_value
filedigest（filedigest）		FileDigest		about.file.sha1/md5/sha256
クラウド（cloud）		クラウド	cloud	about.labels.key と about.labels.value additional.fields.key と additional.fields.value.string_value
url_idx（url_idx）		URLIndex	url_idx	about.labels.key と about.labels.value additional.fields.key と additional.fields.value.string_value
user_agent（user_agent）				network.http.user_agent
ファイルの種類（filetype）				about.file.mime_type
xff（xff）			xff	about.labels.key と about.labels.value additional.fields.key と additional.fields.value.string_value
リファラー（referer）				network.http.referral_url
送信者（sender）				network.email.from
件名（subject）		件名		network.email.subject
受信者（recipient）				network.email.to
reportid (reportid)			reportid	about.labels.key と about.labels.value additional.fields.key と additional.fields.value.string_value
DG 階層レベル 1（dg_hier_level_1）	PanOSDGl1	DeviceGroupHierarchyL1	dg_hier_level_1	about.labels.key と about.labels.value additional.fields.key と additional.fields.value.string_value
DG 階層レベル 2（dg_hier_level_2）	PanOSDGl2	DeviceGroupHierarchyL2	dg_hier_level_2	about.labels.key と about.labels.value additional.fields.key と additional.fields.value.string_value
DG 階層レベル 3（dg_hier_level_3）	PanOSDGl3	DeviceGroupHierarchyL3	dg_hier_level_3	about.labels.key と about.labels.value additional.fields.key と additional.fields.value.string_value
DG 階層レベル 4（dg_hier_level_4）	PanOSDGl4	DeviceGroupHierarchyL4	dg_hier_level_4	about.labels.key と about.labels.value additional.fields.key と additional.fields.value.string_value
仮想システム名（vsys_name）	PanOSVsysName	vSrcName		principal.resource.name principal.resource.resource_type=VIRTUAL_MACHINE
デバイス名（device_name）	dvchost	DeviceName		intermediary.hostname
file_url（file_url）				about.url
ソース VM UUID（src_uuid）		SrcUUID		principal.asset.asset_id
宛先 VM UUID（dst_uuid）		DstUUID		target.asset.asset_id
http_method (http_method)		RequestMethod		network.http.method
トンネル ID/IMSI (tunnelid)	PanOSTunnelID	TunnelID	tunnelid	about.labels.key と about.labels.value additional.fields.key と additional.fields.value.string_value
タグ/IMEI のモニタリング（monitortag）	PanOSMonitorTag	MonitorTag	monitortag	about.labels.key と about.labels.value additional.fields.key と additional.fields.value.string_value
親セッション ID（parent_session_id）	PanOSParentSessionID	ParentSessionID	parent_session_id	network.parent_session_id
親セッション開始時間（parent_start_time）	PanOSParentStartTime	ParentStartTime	parent_start_time	about.labels.key と about.labels.value additional.fields.key と additional.fields.value.string_value
トンネル（tunnel）	PanOSTunnelType	TunnelType	トンネル	about.labels.key と about.labels.value additional.fields.key と additional.fields.value.string_value
thr_category（thr_category）	PanOSThreatCategory	ThreatCategory	thr_category	security_result.detection_fields.key/value
contentver（contentver）	PanOSContentVer	ContentVer	contentver	about.labels.key と about.labels.value additional.fields.key と additional.fields.value.string_value
sig_flags（sig_flags）			sig_flags	about.labels.key と about.labels.value additional.fields.key と additional.fields.value.string_value
SCTP 関連付け ID（assoc_id）	PanOSAssocID		assoc_id	about.labels.key と about.labels.value additional.fields.key と additional.fields.value.string_value
ペイロードプロトコル ID（ppid）	PanOSPPID		ppid	about.labels.key と about.labels.value additional.fields.key と additional.fields.value.string_value
http_headers（http_headers）	PanOSHTTPHeader		http_headers	about.labels.key と about.labels.value additional.fields.key と additional.fields.value.string_value
URL カテゴリリスト（url_category_list）			url_category_list	about.labels.key と about.labels.value additional.fields.key と additional.fields.value.string_value
ルールの UUID（rule_uuid）	PanOSRuleUUID		rule_uuid	about.labels.key と about.labels.value additional.fields.key と additional.fields.value.string_value
HTTP/2 接続（http2_connection）			http2_connection	about.labels.key と about.labels.value additional.fields.key と additional.fields.value.string_value
dynusergroup_name（dynusergroup_name）			dynusergroup_name	principal.labels.key と principal.labels.value additional.fields.key と additional.fields.value.string_value
XFF アドレス（xff_ip）				principal.ip
ソースのデバイスカテゴリ（src_category）			src_category	principal.labels.key と principal.labels.value additional.fields.key と additional.fields.value.string_value
ソースデバイスプロファイル（src_profile）			src_profile	principal.labels.key と principal.labels.value additional.fields.key と additional.fields.value.string_value
ソースデバイスモデル（src_model）			src_model	principal.labels.key と principal.labels.value additional.fields.key と additional.fields.value.string_value
ソースデバイスベンダー（src_vendor）			src_vendor	principal.labels.key と principal.labels.value additional.fields.key と additional.fields.value.string_value
ソースデバイス OS ファミリー（src_osfamily）				principal.asset.platform_software.platform principal.labels.key と principal.labels.value additional.fields.key と additional.fields.value.string_value
ソースデバイスの OS バージョン（src_osversion）				principal.asset.software.version
ソースホスト名（src_host）			src_host	principal.labels.key と principal.labels.value additional.fields.key と additional.fields.value.string_value
送信元 Mac アドレス（src_mac）				principal.mac
宛先デバイスカテゴリ（dst_category）			dst_category	target.labels.key と target.labels.value additional.fields.key と additional.fields.value.string_value
宛先デバイスプロファイル（dst_profile）			dst_profile	target.labels.key と target.labels.value additional.fields.key と additional.fields.value.string_value
移行先のデバイスモデル（dst_model）			dst_model	target.labels.key と target.labels.value additional.fields.key と additional.fields.value.string_value
宛先デバイスベンダー（dst_Vendor）			dst_vendor	target.labels.key と target.labels.value additional.fields.key と additional.fields.value.string_value
宛先デバイス OS ファミリー（dst_osfamily）				target.asset.platform_software.platform target.labels.key と target.labels.value
移行先デバイスの OS バージョン（dst_osversion）				target.asset.software.version
宛先ホスト名（dst_host）				target.hostname
宛先 Mac アドレス（dst_mac）				target.mac
コンテナ ID (container_id)			コンテナ ID	about.labels.key と about.labels.value additional.fields.key と additional.fields.value.string_value
POD 名前空間（pod_namespace）			pod_namespace	about.labels.key と about.labels.value additional.fields.key と additional.fields.value.string_value
POD 名（pod_name）			pod_name	about.labels.key と about.labels.value additional.fields.key と additional.fields.value.string_value
送信元外部動的リスト（src_edl）			src_edl	principal.labels.key と principal.labels.value additional.fields.key と additional.fields.value.string_value
宛先外部動的リスト（dst_edl）			dst_edl	target.labels.key と target.labels.value additional.fields.key と additional.fields.value.string_value
ホスト ID（hostid）			hostid	about.labels.key と about.labels.value additional.fields.key と additional.fields.value.string_value
シリアル番号（serialnumber）				principal.asset.hardware.serial_number
domain_edl（domain_edl）			domain_edl	about.labels.key と about.labels.value additional.fields.key と additional.fields.value.string_value
送信元動的アドレスグループ（src_dag）				principal.group.group_display_name
宛先動的アドレスグループ（dst_dag）				target.group.group_display_name
partial_hash (partial_hash)			partial_hash	about.labels.key と about.labels.value additional.fields.key と additional.fields.value.string_value
高解像度のタイムスタンプ（high_res_timestamp）				metadata.collected_timestamp, metadata.event_timestamp（「生成時間」がない場合）
理由 (reason)			reason	about.labels.key と about.labels.value additional.fields.key と additional.fields.value.string_value
正当な理由 (justification)			理由	about.labels.key と about.labels.value additional.fields.key と additional.fields.value.string_value
nssai_sst（nssai_sst）			nssai_sst	about.labels.key と about.labels.value additional.fields.key と additional.fields.value.string_value
アプリのサブカテゴリ（subcategory_of_app）			subcategory_of_app	about.labels.key と about.labels.value additional.fields.key と additional.fields.value.string_value
アプリのカテゴリ（category_of_app）			category_of_app	about.labels.key と about.labels.value additional.fields.key と additional.fields.value.string_value
アプリのテクノロジー（technology_of_app）			technology_of_app	about.labels.key と about.labels.value additional.fields.key と additional.fields.value.string_value
アプリのリスク（risk_of_app）			risk_of_app	about.labels.key と about.labels.value additional.fields.key と additional.fields.value.string_value
アプリの特性（characteristic_of_app）			characteristic_of_app	about.labels.key と about.labels.value additional.fields.key と additional.fields.value.string_value
アプリのコンテナ（container_of_app）			container_of_app	about.labels.key と about.labels.value additional.fields.key と additional.fields.value.string_value
トンネリングされたアプリ（tunneled_app）			tunneled_app	about.labels.key と about.labels.value additional.fields.key と additional.fields.value.string_value
アプリの SaaS（is_saas_of_app）			is_saas_of_app	about.labels.key と about.labels.value additional.fields.key と additional.fields.value.string_value
承認済みアプリ（sanctioned_state_of_app）			sanctioned_state_of_app	about.labels.key と about.labels.value additional.fields.key と additional.fields.value.string_value

GlobalProtect

次の表に、GlobalProtect ログタイプのログフィールドと、対応する UDM フィールドを示します。

CSV フィールド	CEF 項目	LEEF フィールド	Chronicle のラベルキー	UDM フィールド
受信時刻（Received_time）	rt		received_time	metadata.event_timestamp
シリアル番号 (serial)	PanOSDeviceSN		intermediary_asset_hardware_serial_number	intermediary.asset.hardware.serial_number
タイプ（タイプ）	タイプ（ヘッダー）			metadata.product_event_type
脅威/コンテンツタイプ（サブタイプ）	サブタイプ（ヘッダー）	サブタイプ		metadata.product_event_type
生成時間（time_generated）	PanOSLogTimeStamp		generated_timestamp	metadata.event_timestamp
仮想システム（vsys）	PanOSVirtualSystem		vsys	about.labels.key と about.labels.value additional.fields.key と additional.fields.value.string_value
イベント ID（eventid）	PanOSEventID		event_id	about.labels.key と about.labels.value additional.fields.key と additional.fields.value.string_value
ステージ (stage)	PanOSStage		ステージ	about.labels.key と about.labels.value additional.fields.key と additional.fields.value.string_value
認証方法（auth_method）	PanOSAuthMethod		extension_auth_auth_details	extensions.auth.auth_details
トンネルタイプ（tunnel_type）	PanOSTunnelType		トンネル	about.labels.key と about.labels.value additional.fields.key と additional.fields.value.string_value
送信元ユーザー（srcuser）	PanOSSourceUserName		src_user	principal.user.email_address principal.user.userid principal.administrative_domain
送信元リージョン（srcregion）	PanOSSourceRegion		src_region	principal.location.country_or_region
マシン名（machinename）	PanOSEndpointDeviceName		machine_name	principal.hostname
パブリック IP（public_ip）	PanOSPublicIPv4			principal.nat_ip
パブリック IPv6（public_ipv6）	PanOSPublicIPv6			principal.nat_ip
プライベート IP（private_ip）	PanOSPrivateIPv4			principal.ip
プライベート IPv6（private_ipv6）	PanOSPrivateIPv6			principal.ip
ホスト ID（hostid）	PanOSHostID		hostid	principal.asset.asset_id
シリアル番号（serialnumber）	PanOSDeviceSN			principal.asset.hardware.serial_number
クライアントバージョン（client_ver）	PanOSGlobalProtectClientVersion		client_ver	about.labels.key と about.labels.value additional.fields.key と additional.fields.value.string_value
クライアント OS（client_os）	PanOSEndpointOSType			principal.asset.platform_software.platform(enum)
クライアント OS バージョン（client_os_ver）	PanOSEndpointOSVersion			principal.asset.platform_software.platform_version
繰り返し回数（repeatcnt）	PanOSCountOfRepeats		repeatcnt	about.labels.key と about.labels.value additional.fields.key と additional.fields.value.string_value
理由 (reason)	PanOSQuarantineReason			security_result.summary
エラー（error）	PanOSConnectionError		エラー	security_result.description
説明（不透明）	PanOSDescription			security_result.description
ステータス（status）	PanOSEventStatus		status	about.labels.key と about.labels.value additional.fields.key と additional.fields.value.string_value
ロケーション（LOCATION）	PanOSGPGatewayLocation			target.location.country_or_region
ログイン期間（login_duration）	PanOSLoginDuration			network.session_duration
コネクトのメソッド（connect_method）	PanOSConnectionMethod		connect_method	about.labels.key と about.labels.value additional.fields.key と additional.fields.value.string_value
エラーコード (error_code)	PanOSConnectionErrorID		error_code	about.labels.key と about.labels.value additional.fields.key と additional.fields.value.string_value
ポータル（portal）	PanOSPortal		portal	about.labels.key と about.labels.value additional.fields.key と additional.fields.value.string_value
シーケンス番号（seqno）	PanOSSequenceNo			metadata.product_log_id
アクションフラグ（アクションフラグ）	PanOSActionFlags		actionflags	about.labels.key と about.labels.value additional.fields.key と additional.fields.value.string_value
高解像度のタイムスタンプ (high_res_timestamp)	anOSTimeGeneratedHighResolution			metadata.collected_timestamp, metadata.event_timestamp（「生成時間」がない場合）
ゲートウェイの選択方法（selection_type）	PanOSGatewaySelectionType		選択の種類	about.labels.key と about.labels.value additional.fields.key と additional.fields.value.string_value
SSL レスポンス時間（response_time）	PanOSSSLResponseTime		response_time	about.labels.key と about.labels.value additional.fields.key と additional.fields.value.string_value
ゲートウェイの優先度（proproity）	PanOSGatewayPriority		priority	about.labels.key と about.labels.value additional.fields.key と additional.fields.value.string_value
試行されたゲートウェイ（attempted_gateways）	PanOSAttemptedGateways		attempted_gateways	about.labels.key と about.labels.value additional.fields.key と additional.fields.value.string_value
ゲートウェイの名前（gateway）	PanOSAttemptedGateways		ゲートウェイ	about.labels.key と about.labels.value additional.fields.key と additional.fields.value.string_value
デバイスグループ階層（dg_hier_level_1）			dg_hier_level_1	about.labels.key と about.labels.value additional.fields.key と additional.fields.value.string_value
デバイスグループ階層（dg_hier_level_2）			dg_hier_level_2	about.labels.key と about.labels.value additional.fields.key と additional.fields.value.string_value
デバイスグループ階層（dg_hier_level_3）			dg_hier_level_3	about.labels.key と about.labels.value additional.fields.key と additional.fields.value.string_value
デバイスグループ階層（dg_hier_level_4）			dg_hier_level_4	about.labels.key と about.labels.value additional.fields.key と additional.fields.value.string_value
仮想システム名（vsys_name）				principal.resource.name principal.resource.resource_type=VIRTUAL_MACHINE
デバイス名（device_name）				target.hostname
仮想システム ID（vsys_id）				principal.resource.resource_type=VIRTUAL_MACHINE と principal.resource.product_object_id

相関

次の表に、修正ログタイプのログフィールドと、対応する UDM フィールドを示します。

CSV フィールド	LEEF フィールド	Chronicle のラベルキー	UDM フィールド
Generated Time（time_generated または cef-format-time_generated）	startTime	generated_timestamp	metadata.event_timestamp
送信元アドレス（src）	src		principal.ip
送信元ユーザー（srcuser）	SourceUser / usrName		principal.user.userid
仮想システム（vsys）	VirtualSystem	vsys	about.labels.key と about.labels.value additional.fields.key と additional.fields.value.string_value
カテゴリ（category）			security_result.category_details
重大度（severity）	重大度		security_result.severity と security_result.severity_details
デバイスグループ階層レベル 1	DeviceGroupHierarchyL1		about.labels.key と about.labels.value additional.fields.key と additional.fields.value.string_value
デバイスグループ階層レベル 2	DeviceGroupHierarchyL2		about.labels.key と about.labels.value additional.fields.key と additional.fields.value.string_value
デバイスグループ階層レベル 3	DeviceGroupHierarchyL3		about.labels.key と about.labels.value additional.fields.key と additional.fields.value.string_value
デバイスグループ階層レベル 4	DeviceGroupHierarchyL4		about.labels.key と about.labels.value additional.fields.key と additional.fields.value.string_value
仮想システム名（vsys_name）	vSrcName		principal.resource.name principal.resource.resource_type=VIRTUAL_MACHINE
デバイス名（device_name）	DeviceName		intermediary.hostname
仮想システム ID（vsys_id）	VirtualSystemID		principal.resource.resource_type=VIRTUAL_MACHINE と principal.resource.product_object_id
オブジェクト名（objectname）	ObjectName		target.resource.name
オブジェクト ID（object_id）	ObjectID		target.resource.product_object_id

フィールドマッピングリファレンス: ログタイプから UDM イベントタイプ

次の表に、Palo Alto Networks ファイアウォールのログタイプと、対応する UDM イベントタイプを示します。

ログタイプ	UDM イベントタイプ
トラフィック	NETWORK_CONNECTION
脅威	NETWORK_CONNECTION
URL のフィルタリング	NETWORK_CONNECTION
Wildfire	NETWORK_CONNECTION WildFire 送信ログは、脅威ログタイプのサブタイプであり、同じ Syslog 形式を使用します。
データのフィルタリング	NETWORK_CONNECTION
トンネル	NETWORK_CONNECTION
Config	SETTING_MODIFICATION/SETTING_CREATION/SETTING_DELETION/SETTING_UNCATEGORIZED UDM イベントタイプマッピングは、「Command（cmd）」フィールドの値で決まります。 cmd フィールドの値が追加またはクローン化されると、SETTING_CREATION が設定されます。 cmd フィールドの値が削除されると、SETTING_DELETION が設定されます。 cmd フィールドの値が編集、移動、名前変更、設定、commit されている場合は、SETTING_MODIFICATION が設定されます。 cmd フィールドの値に値が含まれていない場合、SETTING_UNCATEGORIZED が設定されます。
システム	サブタイプの値が「dhcp」の場合、NETWORK_DHCP が設定されます。サブタイプの値が「auth」の場合、USER_LOGIN が設定されます。説明の値が「ログイン中」の場合、USER_LOGIN が設定されます。説明の値が「ログアウト」されている場合、USER_LOGOUT が設定されます。サブタイプのその他の値には、GENERIC_EVENT が設定されます。
HIP Match	NETWORK_CONNECTION
IP タグ	GENERIC_EVENT
User-ID	USER_LOGIN/USER_LOGOUT/USER_UNCATEGORIZED サブタイプの値が「login」の場合、USER_LOGIN が設定されます。サブタイプの値が「logout」の場合、USER_LOGOUT が設定されます。サブタイプに値が含まれていない場合、USER_UNCATEGORIZED が設定されています。
復号	NETWORK_CONNECTION
Authentication	GENERIC_EVENT

次のステップ

Chronicle へのデータ取り込み

ログ形式	PAN-OS のバージョン
CSV	10.1.3
CEF	10.0.0
LEEF	9.1.0

Palo Alto Networks ファイアウォール ログを収集する

概要