此页面由 Cloud Translation API 翻译。

收集 Palo Alto Networks 防火墙日志

概览

本文档介绍如何配置 syslog 和 Chronicle 转发器以收集 Palo Alto Networks 防火墙日志。本文档还介绍了 Palo Alto Networks 防火墙日志字段与 Chronicle Unified Data Model (UDM) 字段之间的对应关系。

如需简要了解 Chronicle 数据注入，请参阅 Dataingest to Chronicle。

提取标签用于标识将原始日志数据标准化为结构化 UDM 格式的解析器。本文档中的信息适用于带有 PAN_FIREWALL 提取标签的解析器。

准备工作

如需了解为收集 Palo Alto Networks 防火墙日志而部署的组件，请查看部署架构。每个客户部署可能与此表示不同，并且可能更复杂。

下图展示了如何在 Palo Alto Networks 防火墙上配置 syslog，并在 Linux 服务器上安装 Chronicle 转发器，以将日志数据转发到 Chronicle。解析器支持使用以下数据格式编写的日志：逗号分隔值 (CSV)、通用事件格式 (CEF) 和日志事件扩展格式 (LEEF)。
验证 Chronicle 解析器支持的日志格式和 PAN 操作系统版本。下表列出了 Chronicle 解析器支持的日志格式和对应的 PAN 操作系统版本：

日志格式 PAN 操作系统版本

CSV 10.1.3

CEF 10.0.0

LEEF 9.1.0
验证 Chronicle 解析器支持的 Palo Alto Networks 防火墙日志类型。 Chronicle 解析器支持以下 Palo Alto Networks 防火墙日志类型：
- 流量
- 威胁
- WildFire 提交
- 隧道检查
- 配置
- 系统
- HIP 比赛
- IP 标记
- User-ID
- 解密
- Authentication
- 网址过滤
- 数据过滤
- GlobalProtect
- 相关性
如需详细了解 Palo Alto Networks 防火墙日志类型，请参阅 PAN-OS 日志类型。
确保部署架构中的所有系统均采用 UTC 时区。
在使用 Palo Alto Networks 防火墙 Gold 解析器之前，请先查看本文档中列出的默认解析器和 Gold 解析器之间的字段映射变化。在迁移过程中，请确保依赖于原始字段的规则、搜索、信息中心或其他进程使用更新后的字段。

例如，在默认解析器中，“category”日志字段会映射到“security_result.description”UDM 字段。在 PAN 防火墙 Gold 解析器中，“category”日志字段会映射到“security_result.category_details”UDM 字段。如果您迁移到 PAN 防火墙 Gold 解析器，并在规则中使用“category”，则需要修改规则，以使用 Gold 解析器的“security_result.category_details”UDM 字段。

配置 syslog 和 Chronicle 转发器

如需配置 syslog 和 Chronicle 转发器，请完成以下步骤：

要监控 CSV 日志，请配置 Syslog 服务器配置文件。如需了解详情，请参阅配置 syslog 服务器配置文件。

配置 syslog 服务器配置文件时，请将“Default”指定为自定义日志格式。
如需监控 CEF 日志，请配置 Palo Alto Networks 防火墙以转发 CEF 日志。如需了解详情，请下载 PAN-OS CEF 集成指南 PDF，并参阅“将 Palo Alto Networks NGFW 配置为输出 CEF 事件”部分。
如需监控 LEEF 日志，请配置 Syslog 服务器配置文件。如需了解详情，请参阅采用 LEEF 格式的自定义日志转发。

配置 Chronicle 转发器以向 Chronicle 发送日志。如需了解详情，请参阅在 Linux 上安装和配置转发器。以下是 Chronicle 转发器配置示例：

  - syslog:
      common:
        enabled: true
        data_type: PAN_FIREWALL
        batch_n_seconds: 10
        batch_n_bytes: 1048576
      tcp_address: 0.0.0.0:10518
      connection_timeout_sec: 60

字段映射参考文档：PAN 防火墙日志字段转换为 UDM 字段

本部分介绍解析器如何将 Palo Alto Networks 防火墙日志字段映射到每种日志类型的 Chronicle UDM 事件字段。

Chronicle 标签键是指映射到 Labels.key UDM 字段的键的名称。例如，对于“Virtual System”字段，CEF 格式的字段名称为“cs3”，LEEF 格式的字段名称为“VirtualSystem”。UDM 字段“about.labels.key”包含值“vsys”，UDM 字段“about.labels.value”包含该字段的值。

某些 CEF 或 LEEF 字段名称没有与 CSV 字段名称对应的名称。在这种情况下，如果您在 syslog 配置文件中以自定义日志格式添加自己的变量名称，解析器不会将其映射到 UDM 字段。

有关每种日志类型的映射参考，请参阅以下部分：

系统
配置
威胁/野火
流量
用户 ID
HIP 匹配
IP 标记
解密
隧道
Authentication
网址
数据
GlobalProtect
相关性

系统

下表列出了系统日志类型的日志字段及其对应的 UDM 字段。

CSV 字段	CEF 字段	LEEF 字段	Chronicle 标签键	UDM 字段
接收时间（receive_time 或 cef format-receive_time）	rt	devTime		metadata.collected_timestamp、 metadata.event_timestamp（如果未显示“Generate Time”）
序列号（序列号）	deviceExternalId	序列号		intermediary.asset.hardware.serial_number
类型 (type)	type（标头）	猫		元数据.product_event_type 设置为“%{type} - %{subtype}”。
威胁/内容类型（子类型）	子类型（标头）	子类型		元数据.product_event_type 设置为“%{type} - %{subtype}”。
生成时间（时间生成或 cef 格式的时间时间）				metadata.event_timestamp
虚拟系统 (vsys)	cs3	VirtualSystem	vsys	about.labels.key/value
事件 ID (eventid)	猫		eventid	about.labels.key/value
对象（对象）	fname	文件名	对象	about.labels.key/value
模块（模块）	flexString2	模块	模块	about.labels.key/value
严重程度（严重程度）	$number-of-severity(header)	严重级别		security_result.severity 和 security_result.severity_details
说明（不透明）	信息	信息		metadata.description
序列号 (seqno)	externalId	序列		metadata.product_log_id
操作标志 (actionflags)	PanOSActionFlags	ActionFlag	操作标志	about.labels.key/value
设备组层次结构（dg_hier_level_1 到 dg_hier_level_4）	PanOSDGl1	DeviceGroupHierarchyL1	dg_hier_level_1	about.labels.key/value
设备组层次结构 (dg_hier_level_2)	PanOSDGl2	DeviceGroupHierarchyL2	dg_hier_level_2	about.labels.key/value
设备组层次结构 (dg_hier_level_3)	PanOSDGl3	DeviceGroupHierarchyL3	dg_hier_level_3	about.labels.key/value
设备组层次结构 (dg_hier_level_4)	PanOSDGl4	DeviceGroupHierarchyL4	dg_hier_level_4	about.labels.key/value
虚拟系统名称 (vsys_name)	PanOSVsysName	vSrcName		primary.resource.name primary.resource.resource_type=VIRTUAL_MACHINE
设备名称 (device_name)	dvchost	DeviceName		intermediary.hostname
高分辨率时间戳 (high_res_timestamp)	anOSTimeGeneratedHighResolution			metadata.collected_timestamp、 metadata.event_timestamp（如果未显示“Generate Time”）

配置

下表列出了配置日志类型的日志字段及其对应的 UDM 字段。

CSV 字段	CEF 字段	LEEF 字段	Chronicle 标签键	UDM 字段
接收时间（receive_time 或 cef format-receive_time）	rt	devTime		metadata.collected_timestamp、 metadata.event_timestamp（如果未显示“Generate Time”）
序列号（序列号）	deviceExternalId	序列号		intermediary.asset.hardware.serial_number
类型 (type)	type（标头）	猫		metadata.product_event_type
威胁/内容类型（子类型）	子类型（标头）			metadata.product_event_type
生成时间（时间生成或 cef 格式的时间时间）				metadata.event_timestamp
主机（主机）	主机	src		primary.ip/hostname
虚拟系统 (vsys)	cs3	VirtualSystem	vsys	about.labels.key/value
命令 (cmd)	act	信息	cmd	about.labels.key/value
管理员（管理员）	duser	usrName		primary.user.userid
客户端（客户端）	destinationServiceName	客户端		primary.application
结果（结果）	签名 ID（标头）（原因）	结果		security_result.summary
配置路径（路径）	信息	ConfigurationPath		primary.process.command_line
更改之前 (before_change_detail)	cs1	BeforeChangeDetail	更改前详细信息	target.resource.attribute.labels.key/value
更改后的详细信息 (after_change_detail)	cs2	AfterChangeDetail	更改详情	target.resource.attribute.labels.key/value
序列号 (seqno)	externalId	序列		metadata.product_log_id
操作标志 (actionflags)	PanOSActionFlags	ActionFlag	操作标志	about.labels.key/value
设备组层次结构（dg_hier_level_1 到 dg_hier_level_4）	PanOSDGl1	DeviceGroupHierarchyL1	dg_hier_level_1	about.labels.key/value
设备组层次结构 (dg_hier_level_2)	PanOSDGl2	DeviceGroupHierarchyL2	dg_hier_level_2	about.labels.key/value
设备组层次结构 (dg_hier_level_3)	PanOSDGl3	DeviceGroupHierarchyL3	dg_hier_level_3	about.labels.key/value
设备组层次结构 (dg_hier_level_4)	PanOSDGl4	DeviceGroupHierarchyL4	dg_hier_level_4	about.labels.key/value
虚拟系统名称 (vsys_name)	PanOSVsysName	vSrcName		primary.resource.name primary.resource.resource_type=VIRTUAL_MACHINE
设备名称 (device_name)	dvchost	DeviceName		intermediary.hostname
设备组 (dg_id)	PanOSFWDeviceGroup		dg_id	primary.asset.attribute.labels.key/value
审核评论（评论）	PanOSPolicy 审核日志注释		注释	about.labels.key/value

威胁/野火

下表列出了 Threat/WildFire 日志类型的日志字段及其对应的 UDM 字段。

CSV 字段	CEF 字段	LEEF 字段	Chronicle 标签键	UDM 字段
接收时间（receive_time 或 cef format-receive_time）	rt	devTime		metadata.collected_timestamp、 metadata.event_timestamp（如果未显示“Generate Time”）
序列号（序列号）	deviceExternalId	序列号		intermediary.asset.hardware.serial_number
类型 (type)	type（标头）	猫		metadata.product_event_type
威胁/内容类型（子类型）	cat/subtype（标头）	子类型		metadata.product_event_type
生成时间（时间生成或 cef 格式的时间时间）				metadata.event_timestamp
源地址 (src)	src	src		primary.ip
目标地址 (dst)	DST	DST		target.ip
NAT 来源 IP (natsrc)	sourceTranslationdAddress	srcPostNAT		primary.nat_ip
NAT 目标 IP (natdst)	destinationTranslationdAddress	dstPostNAT		target.nat_ip
规则名称（规则）	cs1	RuleName		security_result.rule_name
源用户 (srcuser)	Suser	SourceUser / usrName		primary.user.userid
目标用户 (dstuser)	duser	DestinationUser		target.user.userid
应用（应用）	应用	应用		target.application
虚拟系统 (vsys)	cs3	VirtualSystem	vsys	about.labels.key/value
来源可用区（源）	cs4	SourceZone	从	principal.labels.key/value
目标可用区（目的地）	cs5	DestinationZone	更改为	target.labels.key/value
入站接口 (inbound_if)	deviceInboundInterface	IngressInterface	传入_if	principal.labels.key/value
出站接口 (outbound_if)	device 出站接口	EgressInterface	出站	target.labels.key/value
日志操作 (logset)	cs6	LogForwardProfile	日志集	about.labels.key/value
会话 ID (sessionid)	cn1	会话 ID		network.session_id
重复计数 (Repeatcnt)	CNT	RepeatCount	重复	about.labels.key/value
来源端口 (sport)	分	srcPort		primary.port
目标端口 (dport)	dpt	dstPort		target.port
NAT 来源端口 (natsport)	sourceTranslationdPort	srcPostNATPort		primary.nat_port
NAT 目标端口 (natdport)	destinationTranslationdPort	dstPostNATPort		target.nat_port
标志 (flags)	flexString1	标志	标志	about.labels.key/value
IP 协议 (proto)	proto	proto		network.ip_protocol
操作（操作）	act	操作		security_result.action_details security_result.action
网址/文件名 (misc)	请求	其他		target.file.full_path（如果子类型为“file”、“virus”、“fire-virus”或“fire”，则“misc”字段会映射到 target.file.full_path） target.url（如果子类型为“url”，则系统会将“misc”字段映射到 target.url 和 target.hostname） target.hostname（如果子类型为“spyware”或“vulnerability”，则 `misc` 字段会映射到 target.file.full_path 和 target.url）
威胁/内容名称 (threatid)	猫	ThreatID		security_result.threat_name
类别 (category)	cs2	网址Category		security_result.category_details
严重程度（严重程度）	number-of-severity(header)	严重级别		security_result.severity 和 security_result.severity_details
方向（方向）	flexString2	方向		network.direction
序列号 (seqno)	externalId	序列		metadata.product_log_id
操作标志 (actionflags)	PanOSActionFlags	ActionFlag	操作标志	about.labels.key/value
来源国家/地区 (srcloc)		SourceLocation		primary.location.country_or_region
目的地国家/地区 (dstloc)		DestinationLocation		target.location.country_or_region
内容类型 (contenttype)		ContentType	contenttype	about.labels.key/value
PCAP ID (pcap_id)	fileId	PCAP_ID	pcap_id	about.labels.key/value
文件摘要 (filedigest)	fileHash	FileDigest		about.file.sha1/md5/sha256
云 (cloud)	filePath	云	云	about.labels.key/value
网址索引 (url_idx)		网址Index	url_idx	about.labels.key/value
用户代理 (user_agent)				network.http.user_agent
文件类型 (filetype)	fileType	文件类型		about.file.mime_type
X-Forwarded-For (xff)				primary.ip
引荐来源网址（引荐来源网址）				network.http.referral_url
发件人（发件人）	SUID	发送者		network.email.from
主题（主题）	信息	主题		network.email.subject
收件人（收件人）	Duid	接收者		network.email.to
报告 ID (reportid)	oldFileId	报告 ID	报告 ID	about.labels.key/value
设备组层次结构（dg_hier_level_1 到 dg_hier_level_4）	PanOSDGl1	DeviceGroupHierarchyL1	dg_hier_level_1	about.labels.key/value
设备组层次结构 (dg_hier_level_2)	PanOSDGl2	DeviceGroupHierarchyL2	dg_hier_level_2	about.labels.key/value
设备组层次结构 (dg_hier_level_3)	PanOSDGl3	DeviceGroupHierarchyL3	dg_hier_level_3	about.labels.key/value
设备组层次结构 (dg_hier_level_4)	PanOSDGl4	DeviceGroupHierarchyL4	dg_hier_level_4	about.labels.key/value
虚拟系统名称 (vsys_name)	PanOSVsysName	vSrcName		primary.resource.name primary.resource.resource_type=VIRTUAL_MACHINE
设备名称 (device_name)	dvchost	DeviceName		intermediary.hostname
来源虚拟机 UUID (src_uuid)	PanOSSrcUUID	SrcUUID		primary.user.product_object_id
目标虚拟机 UUID (dst_uuid)	PanOSDstUUID	DstUUID		target.user.product_object_id
HTTP 方法 (http_method)		RequestMethod		network.http.method
隧道 ID/IMSI (tunnel_id/imsi)	PanOSTunnelID	隧道 ID	tunnel_id/imsi	about.labels.key/value
监控代码/IMEI (monitortag/imei)	PanOSMonitorTag	MonitorTag	monitortag/imei	about.labels.key/value
父级会话 ID (parent_session_id)	PanOSParentSessionID	ParentSessionID	parent_session_id	about.labels.key/value
父级会话开始时间 (parent_start_time)	PanOSParentStartTime	ParentStartTime	parent_start_time	about.labels.key/value
隧道类型（隧道）	PanOSTunnelType	隧道类型	隧道	about.labels.key/value
威胁类别 (thr_category)	PanOSThreatCategory	ThreatCategory	类别	security_result.detection_field.key/value
内容版本 (contentver)	PanOSContentVer	ContentVer	contentver	about.labels.key/value
SCTP 关联 ID (assoc_id)	PanOSAssocID		assoc_id	about.labels.key/value
载荷协议 ID (ppid)	PanOSPPID		ppid	about.labels.key/value
HTTP 标头 (http_headers)	PanOSHTTPHeader		http_headers	about.labels.key/value
网址类别列表 (url_category_list)	PanOS网址CatList		url_category_list	about.labels.key/value
规则 UUID (rule_uuid)	PanOSRuleUUID			security_result.rule_id
HTTP/2 连接 (http2_connection)	PanOSHTTP2Con		http2_connection	about.labels.key/value
动态用户组名称 (dynusergroup_name)	PanDynamicUsrgrp		dynusergroup_name	principal.labels.key/value
XFF 地址 (xff_ip)	PanXFFIP			primary.ip
源设备类别 (src_category)	PanSrcDeviceCat		src_category	principal.labels.key/value
源设备配置文件 (src_profile)	PanSrcDeviceProf		src_profile	principal.labels.key/value
源设备型号 (src_model)	PanSrcDeviceModel		src_model	principal.labels.key/value
源设备供应商 (src_vendor)	PanSrcDeviceVendor		src_vendor	principal.labels.key/value
源设备操作系统系列 (src_osfamily)	PanSrcDeviceOS		src_osfamily	primary.asset.platform_software.platform principal.labels.key/value
源设备操作系统版本 (src_osversion)	PanSrcDeviceOSv			primary.asset.software.version
来源主机名 (src_host)	PanSrcHostname			primary.hostname
来源 MAC 地址 (src_mac)	PanSrcMac			main.mac
目标设备类别 (dst_category)	PanDstDeviceCat		dst_category	target.labels.key/value
目标设备配置文件 (dst_profile)	PanDstDeviceProf		dst_profile	target.labels.key/value
目标设备型号 (dst_model)	PanDstDeviceModel		dst_model	target.labels.key/value
目标设备供应商 (dst_vendor)	PanDstDeviceVendor		dst_vendor	target.labels.key/value
目标设备操作系统系列 (dst_osfamily)	PanDstDeviceOS		dst_osfamily	target.labels.key/value
目标设备操作系统版本 (dst_osversion)	PanDstDeviceOSv			target.asset.software.version
目标主机名 (dst_host)	PanDstHostname			target.hostname
目标 MAC 地址 (dst_mac)	PanDstMac			target.mac
容器 ID (container_id)	PanContainerName		container_id（容器 ID）	about.labels.key/value
POD 命名空间 (pod_namespace)	PanPOD 命名空间		pod_namespace	about.labels.key/value
POD 名称 (pod_name)	PanPODName		pod_name	about.labels.key/value
来源外部动态列表 (src_edl)	PanSrcEDL		src_edl	about.labels.key/value
目标外部动态列表 (dst_edl)	PanDstEDL		dst_edl	about.labels.key/value
主机 ID (hostid)	PanGPHostID		hostid	about.labels.key/value
用户设备序列号（序列号）	PanEPSerial			primary.asset.hardware.serial_number
网域 EDL (domain_edl)	PanDomainEDL		网域_ll	about.labels.key/value
来源动态地址组 (src_dag)	PanSrcDAG			primary.group.group_display_name
目标动态地址组 (dst_dag)	PanDstDAG			target.group.group_display_name
部分哈希 (partial_hash)	Pan 部分哈希		部分哈希	about.labels.key/value
高分辨率时间戳（high_res 时间戳）	PanTimeHighRes		high_res 时间戳	metadata.collected_timestamp、 metadata.event_timestamp（如果未显示“Generate Time”）
原因（原因）	PanReasonFilteringAction		原因	about.labels.key/value
理由（理由）	平移理由		理由	about.labels.key/value
Slice 服务类型 (nssai_sst)	PanASServiceType		nssai_sst	about.labels.key/value
应用子类别 (subcategory_of_app)			子类别应用	about.labels.key/value
应用类别 (category_of_app)			category_of_app	about.labels.key/value
应用技术 (technology_of_app)			应用技术	about.labels.key/value
应用风险 (exof_app)			应用风险	about.labels.key/value
应用特征 (characteristic_of_app)			特征	about.labels.key/value
应用容器 (container_of_app)			container_of_app	about.labels.key/value
应用 SaaS (is_saas_of_app)			is_saas_of_app	about.labels.key/value
应用受制裁状态 (sanctioned_state_of_app)			受制裁的州/省/自治区/直辖市	about.labels.key/value

流量

下表列出了流量日志类型的日志字段及其对应的 UDM 字段。

CSV 字段	CEF 字段	LEEF 字段	Chronicle 标签键	UDM 字段
接收时间（receive_time 或 cef format-receive_time）	rt	devTime		metadata.collected_timestamp、 metadata.event_timestamp（如果未显示“Generate Time”）
序列号（序列号）	deviceExternalId	序列号		intermediary.asset.hardware.serial_number
类型 (type)	type（标头）	cat/Type		metadata.product_event_type
威胁/内容类型（子类型）	子类型（标头）	子类型		metadata.product_event_type
生成时间（时间生成或 cef 格式的时间时间）	开始			metadata.event_timestamp
源地址 (src)	src	src		primary.ip
目标地址 (dst)	DST	DST		target.ip
NAT 来源 IP (natsrc)	sourceTranslationdAddress	srcPostNAT		primary.nat_ip
NAT 目标 IP (natdst)	destinationTranslationdAddress	dstPostNAT		target.nat_ip
规则名称（规则）	cs1	RuleName		security_result.rule_name
源用户 (srcuser)	Suser	SourceUser		primary.user.userid
目标用户 (dstuser)	duser	DestinationUser		target.user.userid
应用（应用）	应用	应用		target.application
虚拟系统 (vsys)	cs3	VirtualSystem	vsys	about.labels.key/value
来源可用区（源）	cs4	SourceZone	从	principal.labels.key/value
目标可用区（目的地）	cs5	DestinationZone	更改为	target.labels.key/value
入站接口 (inbound_if)	deviceInboundInterface	IngressInterface	传入_if	principal.labels.key/value
出站接口 (outbound_if)	device 出站接口	EgressInterface	出站	target.labels.key/value
日志操作 (logset)	cs6	LogForwardProfile	日志集	about.labels.key/value
会话 ID (sessionid)	cn1	会话 ID		network.session_id
重复计数 (Repeatcnt)	CNT	RepeatCount	重复	about.labels.key/value
来源端口 (sport)	分	srcPort		primary.port
目标端口 (dport)	dpt	dstPort		target.port
NAT 来源端口 (natsport)	sourceTranslationdPort	srcPostNATPort		primary.nat_port
NAT 目标端口 (natdport)	destinationTranslationdPort	dstPostNATPort		target.nat_port
标志 (flags)	flexString1	标志	标志	about.labels.key/value
IP 协议 (proto)	proto	proto		network.ip_protocol
操作（操作）	act	操作		security_result.action_details security_result.action
字节（字节）	flexNumber1	totalBytes	字节	about.labels.key/value
发送的字节数 (bytes_sent)	位于	srcBytes		network.received_bytes
已接收的字节数 (bytes_received)	输出	dstBytes		network.sent_bytes
数据包	CN2	totalPackets	数据包	about.labels.key/value
开始时间（开始时间）		开始时间	开始	about.labels.key/value
所用时间（所用时间）	cn3	所用时间	已过去	about.labels.key/value
类别 (category)	cs2	网址Category		security_result.category / security_result.category_details
序列号 (seqno)	externalId	序列		metadata.product_log_id
操作标志 (actionflags)	PanOSActionFlags	ActionFlag	操作标志	about.labels.key/value
来源国家/地区 (srcloc)		SourceLocation		primary.location.country_or_region
目的地国家/地区 (dstloc)		DestinationLocation		target.location.country_or_region
发送的数据包 (pkts_sent)	PanOSPacketsSent	srcPackets	pkts_sent	about.labels.key/value
已接收的数据包 (pkts_received)	PanOSPacketsReceived	dstPackets	pkts_received	about.labels.key/value
会话结束原因 (session_end_reason)	原因	SessionEndReason		security_result.summary
设备组层次结构 1（从 dg_hier_level_1 到 dg_hier_level_4）	PanOSDGl1	DeviceGroupHierarchyL1	dg_hier_level_1	about.labels.key/value
设备组 Hierarchy2 (dg_hier_level_2)	PanOSDGl2	DeviceGroupHierarchyL2	dg_hier_level_2	about.labels.key/value
设备组层次结构 3 (dg_hier_level_3)	PanOSDGl3	DeviceGroupHierarchyL3	dg_hier_level_3	about.labels.key/value
设备组层次结构 (dg_hier_level_4)	PanOSDGl4	DeviceGroupHierarchyL4	dg_hier_level_4	about.labels.key/value
虚拟系统名称 (vsys_name)	PanOSVsysName	vSrcName		primary.resource.name primary.resource.resource_type=VIRTUAL_MACHINE
设备名称 (device_name)	dvchost	DeviceName		intermediary.hostname
操作来源 (action_source)	猫	ActionSource	action_source	about.labels.key/value
来源虚拟机 UUID (src_uuid)	PanOSSrcUUID	SrcUUID		primary.asset.product_object_id
目标虚拟机 UUID (dst_uuid)	PanOSDstUUID	DstUUID		target.asset.product_object_id
隧道 ID/IMSI (tunnelid/imsi)	PanOSTunnelID	隧道 ID	tunnelid/imsi	about.labels.key/value
监控代码/IMEI (monitortag/imei)	PanOSMonitorTag	MonitorTag	monitortag/imei	about.labels.key/value
父级会话 ID (parent_session_id)	PanOSParentSessionID	ParentSessionID	parent_session_id	about.labels.key/value
家长开始时间 (parent_start_time)	PanOSParentStartTime	ParentStartTime	parent_start_time	about.labels.key/value
隧道类型（隧道）	PanOSTunnelType	隧道类型	隧道	about.labels.key/value
SCTP 关联 ID (assoc_id)	PanOSSCTPAssocID		assoc_id	about.labels.key/value
SCTP 块（区块）	PanOSSCTPChunks		数据块	about.labels.key/value
已发送 SCTP 块 (blocks_sent)	PanOSSCTPChunkSent		分块	about.labels.key/value
收到的 SCTP 区块 (blocks_received)	PanOSSCTPChunksRcv		块数	about.labels.key/value
规则 UUID (rule_uuid)	PanOSRuleUUID			security_result.rule_id
HTTP/2 连接 (http2_connection)	PanOSHTTP2Con		http2_connection	about.labels.key/value
应用折叠计数 (link_change_count)	PanLinkChange		link_change_count	about.labels.key/value
政策 ID (policy_id)	PanPolicyID		policy_id	about.labels.key/value
链接开关 (link_switches)	PanLinkDetail		link_switches	about.labels.key/value
SD-WAN 集群 (sdwan_cluster)	PanSDWANCluster		sdwan_cluster	about.labels.key/value
SD-WAN 设备类型 (sdwan_device_type)	PanSDWANDevice		sdwan_device_type	about.labels.key/value
SD-WAN 集群类型 (sdwan_cluster_type)	PanSDWANClustype		sdwan_cluster_type	about.labels.key/value
SD-WAN 网站 (sdwan_site)	PanSDWANSite		sdwan_site	about.labels.key/value
动态用户组名称 (dynusergroup_name)	PanDynamicUsrgrp		dynusergroup_name	about.labels.key/value
XFF 地址 (xff_ip)	PanXFFIP			primary.ip
源设备类别 (src_category)	PanSrcDeviceCat		src_category	principal.labels.key/value
源设备配置文件 (src_profile)	PanSrcDeviceProf		src_profile	principal.labels.key/value
源设备型号 (src_model)	PanSrcDeviceModel		src_model	principal.labels.key/value
源设备供应商 (src_vendor)	PanSrcDeviceVendor		src_vendor	principal.labels.key/value
源设备操作系统系列 (src_osfamily)	PanSrcDeviceOS			primary.asset.platform_software.platform principal.labels.key/value
源设备操作系统版本 (src_osversion)	PanSrcDeviceOSv			primary.asset.software.version
来源主机名 (src_host)	PanSrcHostname			primary.hostname
来源 MAC 地址 (src_mac)	PanSrcMac			main.mac
目标设备类别 (dst_category)	PanDstDeviceCat		dst_category	target.labels.key/value
目标设备配置文件 (dst_profile)	PanDstDeviceProf		dst_profile	target.labels.key/value
目标设备型号 (dst_model)	PanDstDeviceModel		dst_model	target.labels.key/value
目标设备供应商 (dst_vendor)	PanDstDeviceVendor		dst_vendor	target.labels.key/value
目标设备操作系统系列 (dst_osfamily)	PanDstDeviceOS		dst_osfamily	target.labels.key/value
目标设备操作系统版本 (dst_osversion)	PanDstDeviceOSv			target.asset.software.version
目标主机名 (dst_host)	PanDstHostname			target.hostname
目标 MAC 地址 (dst_mac)	PanDstMac			target.mac
容器 ID (container_id)	PanContainerName		container_id（容器 ID）	about.labels.key/value
POD 命名空间 (pod_namespace)	PanPOD 命名空间		pod_namespace	about.labels.key/value
POD 名称 (pod_name)	PanPODName		pod_name	about.labels.key/value
来源外部动态列表 (src_edl)	PanSrcEDL		src_edl	principal.labels.key/value
目标外部动态列表 (dst_edl)	PanDstEDL		dst_edl	target.labels.key/value
主机 ID (hostid)	PanGPHostID		hostid	about.labels.key/value
用户设备序列号（序列号）	PanEPSerial			primary.asset.hardware.serial_number
来源动态地址组 (src_dag)	PanSrcDAG			primary.group.group_display_name
目标动态地址组 (dst_dag)	PanDstDAG			target.group.group_display_name
会话所有者 (session_owner)	PanHASessionOwner		session_owner	about.labels.key/value
高分辨率时间戳 (high_res_timestamp)	PanTimeHighRes			metadata.collected_timestamp、 metadata.event_timestamp（如果未显示“Generate Time”）
Slice 服务类型 (nsdsai_sst)	PanASServiceType		nsdsai_sst	about.labels.key/value
Slice 差异化工具 (nsdsai_sd)	PanASServiceDiff		nsdsai_sd	about.labels.key/value
应用子类别 (subcategory_of_app)			子类别应用	about.labels.key/value
应用类别 (category_of_app)			category_of_app	about.labels.key/value
应用技术 (technology_of_app)			应用技术	about.labels.key/value
应用风险 (exof_app)				security_result.severity
应用特征 (characteristic_of_app)			特征	about.labels.key/value
应用容器 (container_of_app)			container_of_app	about.labels.key/value
应用 SaaS (is_saas_of_app)			is_saas_of_app	about.labels.key/value
应用受制裁状态 (sanctioned_state_of_app)			受制裁的州/省/自治区/直辖市	about.labels.key/value
应用子类别 (subcategory_of_app)			子类别_应用 1	about.labels.key/value

User-ID

下表列出了用户 ID 日志类型的日志字段及其对应的 UDM 字段。

CSV 字段	CEF 字段	LEEF 字段	Chronicle 标签键	UDM 字段
接收时间（receive_time 或 cef format-receive_time）	rt	devTime		metadata.collected_timestamp、 metadata.event_timestamp（如果未显示“Generate Time”）
序列号（序列号）	deviceExternalId	序列号		intermediary.asset.hardware.serial_number
类型 (type)	type（标头）	猫		metadata.product_event_type
威胁/内容类型（子类型）	子类型（标头）	子类型		metadata.product_event_type
生成时间（时间生成或 cef 格式的时间时间）				metadata.event_timestamp
虚拟系统 (vsys)	cs3	VirtualSystem	vsys	about.labels.key/value
来源 IP (ip)	src	src		primary.ip
用户（用户）	duser	usrName		target.user.userid target.administrative_domain target.user.email_addresses
数据源名称 (datasourcename)	cs4	DataSourceName	数据源名称	principal.labels.key/value
事件 ID (eventid)		事件 ID	eventid	about.labels.key/value
重复计数 (Repeatcnt)	CNT	RepeatCount	重复	about.labels.key/value
超时阈值（超时）	cn3	TimeoutThreshold	超时	about.labels.key/value
来源端口（起始端口）	分	srcPort		primary.port
目标端口（端口）	dpt	dstPort		target.port
数据源（数据源）	cs5	数据源	数据源	principal.labels.key/value
数据源类型 (datasourcetype)	cs6	DataSourceType	数据源类型	principal.labels.key/value
序列号 (seqno)	externalId	序列		metadata.product_log_id
操作标志 (actionflags)	PanOSActionFlags	ActionFlag	操作标志	about.labels.key/value
设备组层次结构 (dg_hier_level_1)	PanOSDGl1	DeviceGroupHierarchyL1	dg_hier_level_1	about.labels.key/value
设备组层次结构 (dg_hier_level_2)	PanOSDGl2	DeviceGroupHierarchyL2	dg_hier_level_2	about.labels.key/value
设备组层次结构 (dg_hier_level_3)	PanOSDGl3	DeviceGroupHierarchyL3	dg_hier_level_3	about.labels.key/value
设备组层次结构 (dg_hier_level_4)	PanOSDGl4	DeviceGroupHierarchyL4	dg_hier_level_4	about.labels.key/value
虚拟系统名称 (vsys_name)	PanOSVsysName	vSrcName		primary.resource.name primary.resource.resource_type=VIRTUAL_MACHINE
设备名称 (device_name)	dvchost	DeviceName		intermediary.hostname
虚拟系统 ID (vsys_id)	CN2	VirtualSystemID		primary.resource.resource_type=VIRTUAL_MACHINE 和 principal.resource.product_object_id
因素类型（因数类型）	cs1	FactorType	因数类型	about.labels.key/value
系数完成时间 (factorcompletiontime)	结束	FactorCompletionTime	factorcompletiontime	about.labels.key/value
因素（因数）	cn1	因素	乘数	about.labels.key/value
用户群组标志 (ugflags)	PanOSUG 标志		ugflags	about.labels.key/value
按来源划分的用户 (userbysource)	PanOSUserBySource			primary.user.userid primary.administrative_domain primary.user.email_addresses
高分辨率时间戳（high_res 时间戳）	PanOSTimeGeneratedHighResolution			metadata.collected_timestamp、 metadata.event_timestamp（如果未显示“Generate Time”）

HIP 比赛

下表列出了 HIP 匹配日志类型的日志字段及其对应的 UDM 字段。

CSV 字段	CEF 字段	LEEF 字段	Chronicle 标签键	UDM 字段
接收时间（receive_time 或 cef format-receive_time）	rt	devTime		metadata.collected_timestamp、 metadata.event_timestamp（如果未显示“Generate Time”）
序列号（序列号）	deviceExternalId	序列号		intermediary.asset.hardware.serial_number
类型 (type)	type（标头）	猫		metadata.product_event_type
威胁/内容类型（子类型）	子类型（标头）	子类型
生成时间（时间生成或 cef 格式的时间时间）	开始	startTime		metadata.event_timestamp
源用户 (srcuser)	Suser	usrName		primary.user.userid
虚拟系统 (vsys)	cs3	VirtualSystem	vsys	about.labels.key/value
机器名称（机器名称）	主机	identHostName		primary.hostname
操作系统 (os)	cs2	操作系统		primary.asset.platform_software.platform
源地址 (src)	src	identsrc		primary.ip
HIP（匹配名称）	猫	HIP	匹配名称	about.labels.key/value
重复计数 (Repeatcnt)	CNT	RepeatCount	重复	about.labels.key/value
HIP 类型（匹配类型）	设备事件类 ID（标头）	HIP 类型	匹配类型
序列号 (seqno)	externalId	序列		metadata.product_log_id
操作标志 (actionflags)	PanOSActionFlags	ActionFlag	操作标志	about.labels.key/value
设备组层次结构 (dg_hier_level_1)	PanOSDGl1	DeviceGroupHierarchyL1	dg_hier_level_1	about.labels.key/value
设备组层次结构 (dg_hier_level_2)	PanOSDGl2	DeviceGroupHierarchyL2	dg_hier_level_2	about.labels.key/value
设备组层次结构 (dg_hier_level_3)	PanOSDGl3	DeviceGroupHierarchyL3	dg_hier_level_3	about.labels.key/value
设备组层次结构 (dg_hier_level_4)	PanOSDGl4	DeviceGroupHierarchyL4	dg_hier_level_4	about.labels.key/value
虚拟系统名称 (vsys_name)	PanOSVsysName	vSrcName		primary.resource.name primary.resource.resource_type=VIRTUAL_MACHINE
设备名称 (device_name)	dvchost	DeviceName		intermediary.hostname
虚拟系统 ID (vsys_id)	CN2	VirtualSystemID		primary.resource.resource_type=VIRTUAL_MACHINE 和 principal.resource.product_object_id
IPv6 系统地址 (srcipv6)	c6a2	srcipv6		principal.asset.ip
主机 ID (hostid)	PanOSHostID			primary.asset.product_object_id
用户设备序列号（序列号）	PanOSEndpointSerialNumber			primary.asset.hardware.serial_number
设备 MAC 地址 (mac)	PanOSEndpointMac			primary.asset.mac
高分辨率时间戳 (high_res_timestamp)	PanOSTimeGeneratedHighResolution			metadata.collected_timestamp、 metadata.event_timestamp（如果未显示“Generate Time”）

IP 标记

下表列出了 IP 标记日志类型的日志字段及其对应的 UDM 字段。

CSV 字段	CEF 字段	LEEF 字段	Chronicle 标签键	UDM 字段
接收时间（receive_time 或 cef format-receive_time）	rt	devTime		metadata.collected_timestamp、 metadata.event_timestamp（如果未显示“Generate Time”）
序列号（序列号）	deviceExternalId	序列号		intermediary.asset.hardware.serial_number
类型 (type)	type（标头）	猫		metadata.product_event_type
威胁/内容类型（子类型）	子类型（标头）	子类型		metadata.product_event_type
生成时间（时间生成或 cef 格式的时间时间）		generateTime		metadata.event_timestamp
虚拟系统 (vsys)	cs3	VirtualSystem	vsys	about.labels.key/value
来源 IP (ip)	src	src		primary.ip
代码名称（tag_name）	PanOSTagName	代码名称	标记名称	principal.labels.key/value
事件 ID (event_id)	PanOSEventID	事件 ID	event_id	about.labels.key/value
重复计数 (Repeatcnt)	CNT	RepeatCount	重复	about.labels.key/value
超时（超时）	PanOSTimeout	TimeoutThreshold	超时	about.labels.key/value
数据源名称 (datasourcename)	PanOSDataSourceName	DataSourceName	数据源名称	principal.labels.key/value
数据源类型 (datasource_type)	PanOSDataSourceType	数据源	数据源类型	principal.labels.key/value
数据源子类型 (datasource_subtype)	PanOSDataSourceSubType	DataSourceType	datasource_subtype	principal.labels.key/value
序列号 (seqno)	externalId	序列		metadata.product_log_id
操作标志 (actionflags)	PanOSActionFlags	ActionFlag	操作标志	about.labels.key/value
设备组层次结构 (dg_hier_level_1)	PanOSDGl1	DeviceGroupHierarchyL1	dg_hier_level_1	about.labels.key/value
设备组层次结构 (dg_hier_level_2)	PanOSDGl2	DeviceGroupHierarchyL2	dg_hier_level_2	about.labels.key/value
设备组层次结构 (dg_hier_level_3)	PanOSDGl3	DeviceGroupHierarchyL3	dg_hier_level_3	about.labels.key/value
设备组层次结构 (dg_hier_level_4)	PanOSDGl4	DeviceGroupHierarchyL4	dg_hier_level_4	about.labels.key/value
虚拟系统名称 (vsys_name)	PanOsVsysName	vSrcName		primary.resource.name primary.resource.resource_type=VIRTUAL_MACHINE
设备名称 (device_name)	dvchost	DeviceName		intermediary.hostname
虚拟系统 ID (vsys_id)	CN2	VirtualSystemID		primary.resource.resource_type=VIRTUAL_MACHINE 和 principal.resource.product_object_id
高分辨率时间戳（high_res 时间戳）	PanOSTimeGeneratedHighResolution			metadata.collected_timestamp、 metadata.event_timestamp（如果未显示“Generate Time”）

解密

下表列出了解密日志类型的日志字段及其对应的 UDM 字段。

CSV 字段	CEF 字段	LEEF 字段	Chronicle 标签键	UDM 字段
接收时间（receive_time 或 cef format-receive_time）	rt			metadata.collected_timestamp、 metadata.event_timestamp（如果未显示“Generate Time”）
序列号（序列号）	PanOSDeviceSN			intermediary.asset.hardware.serial_number
类型 (type)	type（标头）			metadata.product_event_type
威胁/内容类型（子类型）	子类型（标头）			metadata.product_event_type
配置版本 (config_ver)	PanOSConfigVersion		config_ver	about.labels.key/value
生成时间（按时间生成）	PanOSLogTimeStamp			metadata.event_timestamp
源地址 (src)	src			primary.ip
目标地址 (dst)	DST			target.ip
NAT 来源 IP (natsrc)	sourceTranslationdAddress			principa.nat_ip
NAT 目标 IP (natdst)	destinationTranslationdAddress			target.nat_ip
规则（规则）	cs1			security_result.rule_name
源用户 (srcuser)	Suser			primary.user.userid
目标用户 (dstuser)	duser			target.user.userid
应用（应用）	应用			target.application
虚拟系统 (vsys)	cs3		vsys	about.labels.key/value
来源可用区（源）	cs4		从	principal.labels.key/value
目标可用区（目的地）	cs5		更改为	target.labels.key/value
入站接口 (inbound_if)	deviceInboundInterface		传入_if	principal.labels.key/value
出站接口 (outbound_if)	device 出站接口		出站	target.labels.key/value
日志操作 (logset)	cs6		日志集	about.labels.key/value
已记录时间 (time_received)	PanOSTimeReceivedManagementPlane			-
会话 ID (sessionid)	cn1			network.session_id
重复计数 (Repeatcnt)	PanOSCountOfRepeats		重复	about.labels.key/value
来源端口 (sport)	分			primary.port
目标端口 (dport)	dpt			target.port
NAT 来源端口 (natsport)	sourceTranslationdPort			primary.nat_port
NAT 目标端口 (natdport)	destinationTranslationdPort			target.nat_port
标志 (flags)	flexString1		标志	about.labels.key/value
IP 协议 (proto)	proto			network.ip_protocol
操作（操作）	act			security_result.action_details security_result.action
隧道（隧道）	PanOSTunnel		隧道	about.labels.key/value
来源虚拟机 UUID (src_uuid)	PanOSSourceUUID			principal.asset.asset_id
目标虚拟机 UUID (dst_uuid)	PanOSDestinationUUID			target.asset.asset_id
规则的 UUID (rule_uuid)	PanOSRuleUUID			security_result.rule_id
客户端到防火墙的阶段 (hs_stage_c2f)	PanOSClientTo 防火墙		hs_stage_c2f	about.labels.key/value
防火墙到服务器的阶段 (hs_stage_f2s)	PanOSFirewallTo 服务器		hs_stage_f2s	about.labels.key/value
TLS 版本 (tls_version)	PanOSTLS 版本			network.tls.version
密钥交换算法 (tls_keyxchg)	PanOSTLSKeyExchange		tls_keyxchg	about.labels.key/value
加密算法 (tls_enc)	PanOSTLS 加密算法		tl_enc	about.labels.key/value
哈希算法 (tls_auth)	PanOSTLSAuth		tls_auth	about.labels.key/value
政策名称 (policy_name)	PanOSPolicyName		政策名称	about.labels.key/value
椭圆曲线 (ec_curve)	PanOSEllipticCurve			network.tls.curve
错误索引 (err_index)	PanOSErrorIndex		er_index	about.labels.key/value
根状态 (root_status)	PanOSRootStatus		root_status	about.labels.key/value
连锁店状态 (chain_status)	PanOSChainStatus		连锁店状态	about.labels.key/value
代理类型 (proxy_type)	PanOSProxyType		代理类型	about.labels.key/value
证书序列号 (cert_serial)	PanOSCertificateSerial			network.tls.server.certificate.serial
证书指纹（指纹）	PanOSFingerprint			network.tls.server.certificate.md5/sha1/sha256
证书开始日期（不早于）	PanOSTimeNotBefore			network.tls.server.certificate.not_before
证书结束日期（不晚于）	PanOSTimeNotAfter			network.tls.server.certificate.not_after
证书版本 (cert_ver)	PanOSCertificateVersion			network.tls.server.certificate.version
证书大小 (cert_size)	PanOSCertificateSize		cert_size	about.labels.key/value
通用名称长度 (cn_len)	PanOSCommonNameLength		cn_len	about.labels.key/value
发卡机构通用名称长度 (issuer_len)	PanOSIssuerNameLength		颁发者	about.labels.key/value
根通用名称长度 (rootcn_len)	PanOSRootCNLength		rootcn_len	about.labels.key/value
SNI 长度 (sni_len)	PanOSSNILength		sni_len	about.labels.key/value
证书标志 (cert_flags)	PanOSCertificateFlags		cert_flags	about.labels.key/value
主题通用名称 (cn)	PanOSCommonName		CN	about.labels.key/value
颁发者通用名称 (issuer_cn)	PanOSIssuerCommonName			network.tls.server.certificate.issuer
根通用名称 (root_cn)	PanOSRootCommonName		root_cn	about.labels.key/value
服务器名称指示 (SNI)				network.tls.client.server_name
错误（错误）	PanOSErrorMessage		错误	about.labels.key/value
容器 ID (container_id)	PanOSContainerID		container_id（容器 ID）	about.labels.key/value
POD 命名空间 (pod_namespace)	PanOSContainerNameSpace		pod_namespace	about.labels.key/value
POD 名称 (pod_name)	PanOSContainerName		pod_name	about.labels.key/value
来源外部动态列表 (src_edl)	PanOSSourceEDL		src_edl	principal.labels.key/value
目标外部动态列表 (dst_edl)	PanOSDestinationEDL		dst_edl	target.labels.key/value
来源动态地址组 (src_dag)	PanOSSourceDynamicAddressGroup			primary.group.group_display_name
目标动态地址组 (dst_dag)	PanOSDestinationDynamicAddressGroup			target.group.group_display_name
高分辨率时间戳 (high_res_timestamp)	PanOSTimeGeneratedHighResolution			metadata.collected_timestamp、 metadata.event_timestamp（如果未显示“Generate Time”）
源设备类别 (src_category)	PanOSSourceDeviceCategory		src_category	principal.labels.key/value
源设备配置文件 (src_profile)	PanOSSourceDeviceProfile		src_profile	principal.labels.key/value
源设备型号 (src_model)	PanOSSourceDeviceModel		src_model	principal.labels.key/value
源设备供应商 (src_vendor)	PanOSSourceDeviceVendor		src_vendor	principal.labels.key/value
源设备操作系统系列 (src_osfamily)	PanOSSourceDeviceOSFamily			primary.asset.platform_software.platform principal.labels.key/value
源设备操作系统版本 (src_osversion)	PanOSSourceDeviceOSVersion			primary.asset.software.version
来源主机名 (src_host)	PanOSSourceDeviceHost			primary.hostname
来源 MAC 地址 (src_mac)	PanOSSourceDeviceMac			main.mac
目标设备类别 (dst_category)	PanOSDestinationDeviceCategory		dst_category	target.labels.key/value
目标设备配置文件 (dst_profile)	PanOSDestinationDeviceProfile		dst_profile	target.labels.key/value
目标设备型号 (dst_model)	PanOSDestinationDeviceModel		dst_model	target.labels.key/value
目标设备供应商 (dst_vendor)	PanOSDestinationDeviceVendor		dst_vendor	target.labels.key/value
目标设备操作系统系列 (dst_osfamily)	PanOSDestinationDeviceOSFamily		dst_osfamily	target.labels.key/value
目标设备操作系统版本 (dst_osversion)	PanOSDestinationDeviceOSVersion			target.asset.software.version
目标主机名 (dst_host)	PanOSDestinationDeviceHost			target.hostname
目标 MAC 地址 (dst_mac)	PanOSDestinationDeviceMac			target.mac
序列号 (seqno)	PanOSLogTypeSeqNo			metadata.product_log_id
操作标志 (actionflags)	PanOSActionFlags		操作标志	about.labels.key/value
设备组层次结构 (dg_hier_level_1)		DeviceGroupHierarchyL1	dg_hier_level_1	about.labels.key/value
设备组层次结构 (dg_hier_level_2)		DeviceGroupHierarchyL2	dg_hier_level_2	about.labels.key/value
设备组层次结构 (dg_hier_level_3)		DeviceGroupHierarchyL3	dg_hier_level_3	about.labels.key/value
设备组层次结构 (dg_hier_level_4)		DeviceGroupHierarchyL4	dg_hier_level_4	about.labels.key/value
虚拟系统名称 (vsys_name)				primary.resource.name primary.resource.resource_type=VIRTUAL_MACHINE
设备名称 (device_name)				intermediary.hostname
虚拟系统 ID (vsys_id)				primary.resource.resource_type=VIRTUAL_MACHINE 和 principal.resource.product_object_id
应用子类别 (subcategory_of_app)			子类别应用	about.labels.key/value
应用类别 (category_of_app)			category_of_app	about.labels.key/value
应用技术 (technology_of_app)			应用技术	about.labels.key/value
应用风险 (exof_app)				security_result.severity
应用特征 (characteristic_of_app)			特征	about.labels.key/value
应用容器 (container_of_app)			container_of_app	about.labels.key/value
应用 SaaS (is_saas_of_app)			is_saas_of_app	about.labels.key/value
应用受制裁状态 (sanctioned_state_of_app)			受制裁的州/省/自治区/直辖市	about.labels.key/value

隧道

下表列出了隧道日志类型的日志字段及其对应的 UDM 字段。

CSV 字段	CEF 字段	LEEF 字段	Chronicle 标签键	UDM 字段
接收时间（receive_time 或 cef format-receive_time）	rt	devTime		metadata.collected_timestamp、 metadata.event_timestamp（如果未显示“Generate Time”）
序列号（序列号）	deviceExternalId	序列号		intermediary.asset.hardware.serial_number
类型 (type)	type（标头）	猫		metadata.product_event_type
威胁/内容类型（子类型）	子类型（标头）	子类型		metadata.product_event_type
生成时间（时间生成或 cef 格式的时间时间）				metadata.event_timestamp
源地址 (src)	src	src		primary.ip
目标地址 (dst)	DST	DST		target.ip
NAT 来源 IP (natsrc)	sourceTranslationdAddress	srcPostNAT		primary.nat_ip
NAT 目标 IP (natdst)	destinationTranslationdAddress	dstPostNAT		target.nat_ip
规则名称（规则）	cs1	RuleName		security_result.rule_name
源用户 (srcuser)	Suser	SourceUser / usrName		primary.user.userid
目标用户 (dstuser)	duser	DestinationUser		target.user.userid
应用（应用）	应用	应用		network.application_protocol
虚拟系统 (vsys)	cs3	VirtualSystem	vsys	about.labels.key/value
来源可用区（源）	cs4	SourceZone	从	principal.labels.key/value
目标可用区（目的地）	cs5	DestinationZone	更改为	target.labels.key/value
入站接口 (inbound_if)	deviceInboundInterface	IngressInterface	传入_if	principal.labels.key/value
出站接口 (outbound_if)	device 出站接口	EgressInterface	出站	target.labels.key/value
日志操作 (logset)	cs6	LogForwardProfile	日志集	about.labels.key/value
会话 ID (sessionid)	cn1	会话 ID		network.session_id
重复计数 (Repeatcnt)	CNT	RepeatCount	重复	about.labels.key/value
来源端口 (sport)	分	srcPort		primary.port
目标端口 (dport)	dpt	dstPort		target.port
NAT 来源端口 (natsport)	sourceTranslationdPort	srcPostNATPort		primary.nat_port
NAT 目标端口 (natdport)	destinationTranslationdPort	dstPostNATPort		target.nat_port
标志 (flags)	flexString1	标志	标志	about.labels.key/value
IP 协议 (proto)	proto	proto		network.ip_protocol
操作（操作）	act	操作		security_result.action_details security_result.action
严重程度（严重程度）				security_result.severity 和 security_result.severity_details
序列号 (seqno)	externalId	序列		metadata.product_log_id
操作标志 (actionflags)	PanOSActionFlags	ActionFlag	操作标志	about.labels.key/value
来源位置 (srcloc)				primary.location.country_or_region
目标位置 (dstloc)				target.location.country_or_region
设备组层次结构 (dg_hier_level_1)	PanOSDGl1	DeviceGroupHierarchyL1	dg_hier_level_1	about.labels.key/value
设备组层次结构 (dg_hier_level_2)	PanOSDGl2	DeviceGroupHierarchyL2	dg_hier_level_2	about.labels.key/value
设备组层次结构 (dg_hier_level_3)	PanOSDGl3	DeviceGroupHierarchyL3	dg_hier_level_3	about.labels.key/value
设备组层次结构 (dg_hier_level_4)	PanOSDGl4	DeviceGroupHierarchyL4	dg_hier_level_4	about.labels.key/value
虚拟系统名称 (vsys_name)	PanOSVsysName	vSrcName		primary.resource.name primary.resource.resource_type=VIRTUAL_MACHINE
设备名称 (device_name)	dvchost	DeviceName		intermediary.hostname
隧道 ID (tunnelid)	PanOSTunnelID	隧道 ID	隧道式	about.labels.key/value
监控代码 (monitortag)	PanOSMonitorTag	MonitorTag	监控标签	about.labels.key/value
父级会话 ID (parent_session_id)	PanOSParentSessionID	ParentSessionID	parent_session_id	about.labels.key/value
家长开始时间 (parent_start_time)	PanOSParentStartTime	ParentStartTime	parent_start_time	about.labels.key/value
隧道类型（隧道）	cs2	隧道类型	隧道	about.labels.key/value
字节（字节）	flexNumber1	totalBytes	字节	about.labels.key/value
发送的字节数 (bytes_sent)	位于	srcBytes		network.received_bytes
已接收的字节数 (bytes_received)	输出	dstBytes		network.sent_bytes
数据包	CN2	totalPackets	数据包	about.labels.key/value
发送的数据包 (pkts_sent)	PanOSPacketsSent	srcPackets	pkts_sent	about.labels.key/value
已接收的数据包 (pkts_received)	PanOSPacketsReceived	dstPackets	pkts_received	about.labels.key/value
最大封装 (max_encap)	flexNumber2	最大封装	max_encap	about.labels.key/value
未知协议 (unknown_proto)	cfp1	UnknownProtocol	未知协议	about.labels.key/value
严格检查 (strict-check)	cfp2	严格检查	strict_check	about.labels.key/value
隧道 Fragment (tunnel_fragment)	PanOSTunnelFragment	TunnelFragment	tunnel_fragment	about.labels.key/value
已创建的会话 (sessions_created)	cfp3	创建的会话	sessions_created	about.labels.key/value
会话已关闭 (sessions_closed)	cfp4	SessionClosed	sessions_closed	about.labels.key/value
会话结束原因 (session_end_reason)	原因	SessionEndReason		security_result.summary
操作来源 (action_source)	猫	ActionSource	action_source	about.labels.key/value
开始时间（开始时间）		startTime	开始	about.labels.key/value
所用时间（所用时间）	cn3	所用时间	已过去	about.labels.key/value
隧道检查规则 (tunnel_insp_rule)	PanOSTunneInspectionRule			security_result.rule_name =“隧道检查规则：%{PanOSTunnelInspectionRule}”
远程用户 IP (remote_user_ip)	PanOSRmtUserIP			target.ip
远程用户 ID (remote_user_id)	PanOSRmtUserID		remote_user_id（远程用户 ID）	target.labels.key/value
安全规则 UUID (rule_uuid)	PanOSRuleUUID			security_result.rule_id
PCAP ID (pcap_id)	PanOSPcapID		pcap_id	about.labels.key/value
动态用户组名称 (dynusergroup_name)	PanDynamicUsrgrp			primary.group.group_display_name
来源外部动态列表 (src_edl)	PanOSSourceEDL		src_edl	principal.labels.key/value
目标外部动态列表 (dst_edl)	PanOSDestinationEDL		dst_edl	target.labels.key/value
高分辨率时间戳（high_res 时间戳）	PanOSTimeGeneratedHighResolution			metadata.collected_timestamp、 metadata.event_timestamp（如果未显示“Generate Time”）
Slice 微分器 (nssai_sd)			nssai_sd	about.labels.key/value
Slice 服务类型 (nssai_sd)			nssai_sd1	about.labels.key/value
PDU 会话 ID (pdu_session_id)			pdu_session_id	about.labels.key/value
应用子类别 (subcategory_of_app)			子类别应用	about.labels.key/value
应用类别 (category_of_app)			category_of_app	about.labels.key/value
应用技术 (technology_of_app)			应用技术	about.labels.key/value
应用风险 (exof_app)			应用风险	about.labels.key/value
应用特征 (characteristic_of_app)			特征	about.labels.key/value
应用容器 (container_of_app)			container_of_app	about.labels.key/value
应用 SaaS (is_saas_of_app)			is_saas_of_app	about.labels.key/value
应用受制裁状态 (sanctioned_state_of_app)			受制裁的州/省/自治区/直辖市	about.labels.key/value

Authentication

下表列出了身份验证日志类型的日志字段及其对应的 UDM 字段。

CSV 字段	CEF 字段	LEEF 字段	Chronicle 标签键	UDM 字段
接收时间（receive_time 或 cef format-receive_time）	rt	devTime		metadata.collected_timestamp、 metadata.event_timestamp（如果未显示“Generate Time”）
序列号（序列号）	deviceExternalId	序列号		intermediary.asset.hardware.serial_number
类型 (type)	type（标头）	猫		metadata.product_event_type
威胁/内容类型（子类型）	子类型（标头）	子类型		metadata.product_event_type
生成时间（时间生成或 cef 格式的时间时间）				metadata.event_timestamp
虚拟系统 (vsys)	cs3	VirtualSystem	vsys	about.labels.key/value
来源 IP (ip)	src	src		primary.ip
用户（用户）	duser	usrName		target.user.userid
实现用户标准化 (normalize_user)	cs2	普通用户		target.user.user_display_name
对象（对象）	fname	ObjectName	对象	about.labels.key/value
身份验证政策 (authpolicy)	cs4	AuthPolicy	authpolicy	about.labels.key/value
重复计数 (Repeatcnt)	CNT	RepeatCount	重复	about.labels.key/value
身份验证 ID (authid)	CN2	AuthenticationID	authid	about.labels.key/value
供应商（供应商）	flexString2	供应商	供应商	about.labels.key/value
日志操作 (logset)	cs6	LogForwardProfile	日志集	about.labels.key/value
服务器配置文件 (serverprofile)	cs1	ServerProfile	服务器配置文件	about.labels.key/value
说明（降序）	PanOSDesc	AdditionalAuthInfo		security_result.description
客户端类型 (clienttype)	cs5	客户端类型	客户端类型	about.labels.key/value
事件类型（事件）	信息	信息		extensions.auth.auth_details
因素（因数）	cn1	因素	乘数	about.labels.key/value
序列号 (seqno)	externalId	序列		metadata.product_log_id
操作标志 (actionflags)	PanOSActionFlags	ActionFlag	操作标志	about.labels.key/value
设备组层次结构 (dg_hier_level_1)	PanOSDGl1	DeviceGroupHierarchyL1	dg_hier_level_1	about.labels.key/value
设备组层次结构 (dg_hier_level_2)	PanOSDGl2	DeviceGroupHierarchyL2	dg_hier_level_2	about.labels.key/value
设备组层次结构 (dg_hier_level_3)	PanOSDGl3	DeviceGroupHierarchyL3	dg_hier_level_3	about.labels.key/value
设备组层次结构 (dg_hier_level_4)	PanOSDGl4	DeviceGroupHierarchyL4	dg_hier_level_4	about.labels.key/value
虚拟系统名称 (vsys_name)	PanOSVsysName	vSrcName		primary.resource.name primary.resource.resource_type=VIRTUAL_MACHINE
设备名称 (device_name)	dvchost	DeviceName		intermediary.hostname
虚拟系统 ID (vsys_id)				primary.resource.resource_type=VIRTUAL_MACHINE 和 principal.resource.product_object_id
身份验证协议 (authproto)			authproto	about.labels.key/value
规则的 UUID (rule_uuid)	PanOSRuleUUID			security_result.rule_id
高分辨率时间戳 (high_res _timestamp)	PanOSTimeGeneratedHighResolution			metadata.collected_timestamp、 metadata.event_timestamp（如果未显示“Generate Time”）
源设备类别 (src_category)	PanOSSourceDeviceCategory		src_category	principal.labels.key/value
源设备配置文件 (src_profile)	PanOSSourceDeviceProfile		src_profile	principal.labels.key/value
源设备型号 (src_model)	PanOSSourceDeviceModel		src_model	principal.labels.key/value
源设备供应商 (src_vendor)	PanOSSourceDeviceVendor		src_vendor	principal.labels.key/value
源设备操作系统系列 (src_osfamily)	PanOSSourceDeviceOSFamily			primary.asset.platform_software.platform principal.labels.key/value
源设备操作系统版本 (src_osversion)	PanOSSourceDeviceOSVersion			primary.asset.software.version
来源主机名 (src_host)	PanOSSourceHostname			primary.hostname
来源 MAC 地址 (src_mac)	PanOSSourceMac			primary.asset.mac
区域（区域）	PanOS TrafficOriginRegion			primary.location.country_or_region
用户代理 (user_agent)	PanOSHTTPUserAgent			network.http.user_agent
会话 ID(sessionid)	PanOS TrafficSessionID			network.session_id

网址

下表列出了网址日志类型的日志字段及其对应的 UDM 字段。

CSV 字段	CEF 字段	LEEF 字段	Chronicle 标签键	UDM 字段
接收时间 (cef-formatted-receive_time)	rt	devTime		metadata.collected_timestamp、 metadata.event_timestamp（如果未显示“Generate Time”）
序列号（序列号）	deviceExternalId	序列号		intermediary.asset.hardware.serial_number
类型 (type)	type（标头）	猫		metadata.product_event_type
威胁/内容类型（子类型）	子类型（标头）	子类型		metadata.product_event_type
生成时间				metadata.event_timestamp
源地址 (src)	src	src		primary.ip
目标地址 (dst)	DST	DST		target.ip
NAT 来源 IP (natsrc)	sourceTranslationdAddress	srcPostNAT		primary.nat_ip
NAT 目标 IP (natdst)	destinationTranslationdAddress	dstPostNAT		target.nat_ip
规则（规则）	cs1	RuleName		security_result.rule_name
源用户 (srcuser)	Suser	SourceUser		primary.user.userid
目标用户 (dstuser)	duser	DestinationUser		target.user.userid
应用（应用）	应用	应用		network.application_protocol
虚拟系统 (vsys)	cs3	VirtualSystem	vsys	about.labels.key/value
来源可用区（源）	cs4	SourceZone	从	principal.labels.key/value
目标可用区（目的地）	cs5	DestinationZone	更改为	target.labels.key/value
入站接口 (inbound_if)	deviceInboundInterface	IngressInterface	传入_if	principal.labels.key/value
出站接口 (outbound_if)	device 出站接口	EgressInterface	出站	target.labels.key/value
日志操作 (logset)	cs6	LogForwardProfile	日志集	about.labels.key/value
记录的时间			time_logged	about.labels.key/value
会话 ID (sessionid)	cn1	会话 ID		network.session_id
重复计数 (Repeatcnt)	CNT	RepeatCount	重复	about.labels.key/value
来源端口 (sport)	分	srcPort		primary.port
目标端口 (dport)	dpt	dstPort		target.port
NAT 来源端口 (natsport)	sourceTranslationdPort	srcPostNATPort		primary.nat_port
NAT 目标端口 (natdport)	destinationTranslationdPort	dstPostNATPort		target.nat_port
标志 (flags)	flexString1	标志	标志	about.labels.key/value
IP 协议 (proto)	proto	proto		network.ip_protocol
操作（操作）	act	操作		security_result.action_details security_result.action
网址/文件名 (misc)		其他		target.file.full_path target.url
威胁/内容名称 (threatid)	猫	ThreatID		security_result.threat_id
类别 (category)	cs2	网址Category	类别	about.labels.key/value
严重程度（严重程度）	number-of-severity（标题）	严重级别		security_result.severity security_result.severity_details
方向（方向）	flexString2	方向		network.direction
序列号 (seqno)	externalId	序列		metadata.product_log_id
操作标志 (actionflags)	PanOSActionFlags	ActionFlag	操作标志	about.labels.key/value
来源国家/地区 (srcloc)		SourceLocation		primary.location.country_or_region
目的地国家/地区 (dstloc)		DestinationLocation		target.location.country_or_region
contenttype (contenttype)	requestContext	ContentType	contenttype	about.labels.key/value
pcap_id (pcap_id)	fileId	PCAP_ID	pcap_id	about.labels.key/value
filedigest (filedigest)		FileDigest		about.file.sha1/md5/sha256
云 (cloud)		云	云	about.labels.key/value
url_idx (url_idx)		网址Index	url_idx	about.labels.key/value
user_agent (user_agent)	requestClientApplication	UserAgent		network.http.user_agent
filetype（文件类型）				about.file.mime_type
xff (xff)	PanOSXForwarderfor	identSrc	xff	about.labels.key/value
引荐来源网址（引荐来源网址）	PanOSReferer	引荐来源网址		network.http.referral_url
发送者（发送者）				network.email.from
主题（主题）		主题		network.email.subject
收件人（收件人）				network.email.to
reportid (报告 ID)			报告 ID	about.labels.key/value
DG 层次结构级别 1 (dg_hier_level_1)	PanOSDGl1	DeviceGroupHierarchyL1	dg_hier_level_1	about.labels.key/value
DG 层次结构级别 2 (dg_hier_level_2)	PanOSDGl2	DeviceGroupHierarchyL2	dg_hier_level_2	about.labels.key/value
DG 层次结构级别 3 (dg_hier_level_3)	PanOSDGl3	DeviceGroupHierarchyL3	dg_hier_level_3	about.labels.key/value
DG 层次结构级别 4 (dg_hier_level_4)	PanOSDGl4	DeviceGroupHierarchyL4	dg_hier_level_4	about.labels.key/value
虚拟系统名称 (vsys_name)	PanOSVsysName	vSrcName		primary.resource.name primary.resource.resource_type=VIRTUAL_MACHINE
设备名称 (device_name)	dvchost	DeviceName		intermediary.hostname
file_url（文件网址）				about.url
来源虚拟机 UUID (src_uuid)		SrcUUID		principal.asset.asset_id
目标虚拟机 UUID (dst_uuid)		DstUUID		target.asset.asset_id
http_method (http_method)	requestMethod	RequestMethod		network.http.method
隧道 ID/IMSI (tunnelid)	PanOSTunnelID	隧道 ID	隧道式	about.labels.key/value
监控代码/IMEI (monitortag)	PanOSMonitorTag	MonitorTag	监控标签	about.labels.key/value
父级会话 ID (parent_session_id)	PanOSParentSessionID	ParentSessionID	parent_session_id	about.labels.key/value
父级会话开始时间 (parent_start_time)	PanOSParentStartTime	ParentStartTime	parent_start_time	about.labels.key/value
隧道（隧道）	PanOSTunnelType	隧道类型	隧道	about.labels.key/value
thr_category (thr_category)	PanOSThreatCategory	ThreatCategory	类别	security_result.detection_field.key/value
contentver (contentver)	PanOSContentVer	ContentVer	contentver	about.labels.key/value
sig_flags (sig_flags)			sig_flags	about.labels.key/value
SCTP 关联 ID (assoc_id)	PanOSAssocID		assoc_id	about.labels.key/value
载荷协议 ID (ppid)	PanOSPPID		ppid	about.labels.key/value
http_headers (http_headers)	PanOSHTTPHeader		http_headers	about.labels.key/value
网址类别列表 (url_category_list)	PanOS网址CatList		url_category_list	about.labels.key/value
规则的 UUID (rule_uuid)	PanOSRuleUUID		rule_uuid	about.labels.key/value
HTTP/2 连接 (http2_connection)	PanOSHTTP2Con		http2_connection	about.labels.key/value
dynusergroup_name (dynusergroup_name)	PanDynamicUsrgrp		dynusergroup_name	about.labels.key/value
XFF 地址 (xff_ip)	PanXFFIP			primary.ip
源设备类别 (src_category)	PanSrcDeviceCat		src_category	principal.labels.key/value
源设备配置文件 (src_profile)	PanSrcDeviceProf		src_profile	principal.labels.key/value
源设备型号 (src_model)	PanSrcDeviceModel		src_model	principal.labels.key/value
源设备供应商 (src_vendor)	PanSrcDeviceVendor		src_vendor	principal.labels.key/value
源设备操作系统系列 (src_osfamily)	PanSrcDeviceOS			primary.asset.platform_software.platform principal.labels.key/value
源设备操作系统版本 (src_osversion)	PanSrcDeviceOSv			primary.asset.software.version
来源主机名 (src_host)	PanSrcHostname		src_host	principal.labels.key/value
来源 Mac 地址 (src_mac)	PanSrcMac			main.mac
目标设备类别 (dst_category)	PanDstDeviceCat		dst_category	target.labels.key/value
目标设备配置文件 (dst_profile)	PanDstDeviceProf		dst_profile	target.labels.key/value
目标设备型号 (dst_model)	PanDstDeviceModel		dst_model	target.labels.key/value
目标设备供应商 (dst_vendor)	PanDstDeviceVendor		dst_vendor	target.labels.key/value
目标设备操作系统系列 (dst_osfamily)	PanDstDeviceOS			target.asset.platform_software.platform target.labels.key/value
目标设备操作系统版本 (dst_osversion)	PanDstDeviceOSv			target.asset.software.version
目标主机名 (dst_host)	PanPOD 命名空间			target.hostname
目标 Mac 地址 (dst_mac)	PanDstMac			target.mac
容器 ID (container_id)	PanContainerName		container_id（容器 ID）	about.labels.key/value
POD 命名空间 (pod_namespace)	PanPOD 命名空间		pod_namespace	about.labels.key/value
POD 名称 (pod_name)	PanPODName		pod_name	about.labels.key/value
来源外部动态列表 (src_edl)	PanSrcEDL		src_edl	principal.labels.key/value
目标外部动态列表 (dst_edl)	PanDstEDL		dst_edl	target.labels.key/value
主机 ID (hostid)	PanGPHostID		hostid	about.labels.key/value
序列号	PanEPSerial			primary.asset.hardware.serial_number
网域网域 (domain_edl)	PanDomainEDL		网域_ll	about.labels.key/value
来源动态地址组 (src_dag)	PanSrcDAG			primary.group.group_display_name
目标动态地址组 (dst_dag)	PanDstDAG			target.group.group_display_name
部分哈希 (partial_hash)	Pan 部分哈希		部分哈希	about.labels.key/value
高分辨率时间戳 (high_res_timestamp)	PanTimeHighRes			metadata.collected_timestamp、 metadata.event_timestamp（如果未显示“Generate Time”）
原因（原因）	PanReasonFilteringAction		原因	about.labels.key/value
两端对齐（两端对齐）	平移理由		理由	about.labels.key/value
nssai_sst (nssai_sst)	PanASServiceType		nssai_sst	about.labels.key/value
应用的子类别 (subcategory_of_app)			子类别应用	about.labels.key/value
应用类别 (category_of_app)			category_of_app	about.labels.key/value
应用技术 (technology_of_app)			应用技术	about.labels.key/value
应用风险 (exof_app)			应用风险	about.labels.key/value
应用的特征 (characteristic_of_app)			特征	about.labels.key/value
应用的容器 (container_of_app)			container_of_app	about.labels.key/value
隧道应用 (tunneled_app)			隧道式应用	about.labels.key/value
应用的 SaaS (is_saas_of_app)			is_saas_of_app	about.labels.key/value
应用受到制裁的状态 (sanctioned_state_of_app)			受制裁的州/省/自治区/直辖市	about.labels.key/value

数据

下表列出了数据日志类型的日志字段及其对应的 UDM 字段。

CSV 字段	CEF 字段	LEEF 字段	Chronicle 标签键	UDM 字段
接收时间 (cef-formatted-receive_time)	rt	devTime		metadata.collected_timestamp、 metadata.event_timestamp（如果未显示“Generate Time”）
序列号（序列号）	deviceExternalId	序列号		intermediary.asset.hardware.serial_number
类型 (type)	type（标头）	猫		metadata.product_event_type
威胁/内容类型（子类型）	子类型（标头）	子类型		metadata.product_event_type
生成时间				metadata.event_timestamp
源地址 (src)	src	src		primary.ip
目标地址 (dst)	DST	DST		target.ip
NAT 来源 IP (natsrc)	sourceTranslationdAddress	srcPostNAT		primary.nat_ip
NAT 目标 IP (natdst)	destinationTranslationdAddress	dstPostNAT		target.nat_ip
规则（规则）	cs1	RuleName		security_result.rule_name
源用户 (srcuser)	Suser	SourceUser		primary.user.userid
目标用户 (dstuser)	duser	DestinationUser		target.user.userid
应用（应用）	应用	应用		network.application_protocol
虚拟系统 (vsys)	cs3	VirtualSystem	vsys	about.labels.key/value
来源可用区（源）	cs4	SourceZone	从	principal.labels.key/value
目标可用区（目的地）	cs5	DestinationZone	更改为	target.labels.key/value
入站接口 (inbound_if)	deviceInboundInterface	IngressInterface	传入_if	principal.labels.key/value
出站接口 (outbound_if)	device 出站接口	EgressInterface	出站	target.labels.key/value
日志操作 (logset)	cs6	LogForwardProfile	日志集	about.labels.key/value
记录的时间			time_logged	about.labels.key/value
会话 ID (sessionid)	cn1	会话 ID		network.session_id
重复计数 (Repeatcnt)	CNT	RepeatCount	重复	about.labels.key/value
来源端口 (sport)	分	srcPort		primary.port
目标端口 (dport)	dpt	dstPort		target.port
NAT 来源端口 (natsport)	sourceTranslationdPort	srcPostNATPort		primary.nat_port
NAT 目标端口 (natdport)	destinationTranslationdPort	dstPostNATPort		target.nat_port
标志 (flags)	flexString1	标志	标志	about.labels.key/value
IP 协议 (proto)	proto	proto		network.ip_protocol
操作（操作）	act	操作		security_result.action_details security_result.action
网址/文件名 (misc)		其他		target.file.full_path target.url
威胁/内容名称 (threatid)	猫	ThreatID		security_result.threat_id
类别 (category)	cs2	网址Category	类别	about.labels.key/value
严重程度（严重程度）	number-of-severity（标题）	严重级别		security_result.severity security_result.severity_details
方向（方向）	flexString2	方向		network.direction
序列号 (seqno)	externalId	序列		metadata.product_log_id
操作标志 (actionflags)	PanOSActionFlags	ActionFlag	操作标志	about.labels.key/value
来源国家/地区 (srcloc)		SourceLocation		primary.location.country_or_region
目的地国家/地区 (dstloc)		DestinationLocation		target.location.country_or_region
contenttype (contenttype)		ContentType	contenttype	about.labels.key/value
pcap_id (pcap_id)	fileId	PCAP_ID	pcap_id	about.labels.key/value
filedigest (filedigest)		FileDigest		about.file.sha1/md5/sha256
云 (cloud)		云	云	about.labels.key/value
url_idx (url_idx)		网址Index	url_idx	about.labels.key/value
user_agent (user_agent)				network.http.user_agent
filetype（文件类型）				about.file.mime_type
xff (xff)			xff	about.labels.key/value
引荐来源网址（引荐来源网址）				network.http.referral_url
发送者（发送者）				network.email.from
主题（主题）		主题		network.email.subject
收件人（收件人）				network.email.to
reportid (报告 ID)			报告 ID	about.labels.key/value
DG 层次结构级别 1 (dg_hier_level_1)	PanOSDGl1	DeviceGroupHierarchyL1	dg_hier_level_1	about.labels.key/value
DG 层次结构级别 2 (dg_hier_level_2)	PanOSDGl2	DeviceGroupHierarchyL2	dg_hier_level_2	about.labels.key/value
DG 层次结构级别 3 (dg_hier_level_3)	PanOSDGl3	DeviceGroupHierarchyL3	dg_hier_level_3	about.labels.key/value
DG 层次结构级别 4 (dg_hier_level_4)	PanOSDGl4	DeviceGroupHierarchyL4	dg_hier_level_4	about.labels.key/value
虚拟系统名称 (vsys_name)	PanOSVsysName	vSrcName		primary.resource.name primary.resource.resource_type=VIRTUAL_MACHINE
设备名称 (device_name)	dvchost	DeviceName		intermediary.hostname
file_url（文件网址）				about.url
来源虚拟机 UUID (src_uuid)		SrcUUID		principal.asset.asset_id
目标虚拟机 UUID (dst_uuid)		DstUUID		target.asset.asset_id
http_method (http_method)		RequestMethod		network.http.method
隧道 ID/IMSI (tunnelid)	PanOSTunnelID	隧道 ID	隧道式	about.labels.key/value
监控代码/IMEI (monitortag)	PanOSMonitorTag	MonitorTag	监控标签	about.labels.key/value
父级会话 ID (parent_session_id)	PanOSParentSessionID	ParentSessionID	parent_session_id	about.labels.key/value
父级会话开始时间 (parent_start_time)	PanOSParentStartTime	ParentStartTime	parent_start_time	about.labels.key/value
隧道（隧道）	PanOSTunnelType	隧道类型	隧道	about.labels.key/value
thr_category (thr_category)	PanOSThreatCategory	ThreatCategory	类别	security_result.detection_field.key/value
contentver (contentver)	PanOSContentVer	ContentVer	contentver	about.labels.key/value
sig_flags (sig_flags)			sig_flags	about.labels.key/value
SCTP 关联 ID (assoc_id)	PanOSAssocID		assoc_id	about.labels.key/value
载荷协议 ID (ppid)	PanOSPPID		ppid	about.labels.key/value
http_headers (http_headers)	PanOSHTTPHeader		http_headers	about.labels.key/value
网址类别列表 (url_category_list)			url_category_list	about.labels.key/value
规则的 UUID (rule_uuid)	PanOSRuleUUID		rule_uuid	about.labels.key/value
HTTP/2 连接 (http2_connection)			http2_connection	about.labels.key/value
dynusergroup_name (dynusergroup_name)			dynusergroup_name	principal.labels.key/value
XFF 地址 (xff_ip)				primary.ip
源设备类别 (src_category)			src_category	principal.labels.key/value
源设备配置文件 (src_profile)			src_profile	principal.labels.key/value
源设备型号 (src_model)			src_model	principal.labels.key/value
源设备供应商 (src_vendor)			src_vendor	principal.labels.key/value
源设备操作系统系列 (src_osfamily)				primary.asset.platform_software.platform principal.labels.key/value
源设备操作系统版本 (src_osversion)				primary.asset.software.version
来源主机名 (src_host)			src_host	principal.labels.key/value
来源 Mac 地址 (src_mac)				main.mac
目标设备类别 (dst_category)			dst_category	target.labels.key/value
目标设备配置文件 (dst_profile)			dst_profile	target.labels.key/value
目标设备型号 (dst_model)			dst_model	target.labels.key/value
目标设备供应商 (dst_vendor)			dst_vendor	target.labels.key/value
目标设备操作系统系列 (dst_osfamily)				target.asset.platform_software.platform target.labels.key/value
目标设备操作系统版本 (dst_osversion)				target.asset.software.version
目标主机名 (dst_host)				target.hostname
目标 Mac 地址 (dst_mac)				target.mac
容器 ID (container_id)			container_id（容器 ID）	about.labels.key/value
POD 命名空间 (pod_namespace)			pod_namespace	about.labels.key/value
POD 名称 (pod_name)			pod_name	about.labels.key/value
来源外部动态列表 (src_edl)			src_edl	principal.labels.key/value
目标外部动态列表 (dst_edl)			dst_edl	target.labels.key/value
主机 ID (hostid)			hostid	about.labels.key/value
序列号				primary.asset.hardware.serial_number
网域网域 (domain_edl)			网域_ll	about.labels.key/value
来源动态地址组 (src_dag)				primary.group.group_display_name
目标动态地址组 (dst_dag)				target.group.group_display_name
部分哈希 (partial_hash)			部分哈希	about.labels.key/value
高分辨率时间戳 (high_res_timestamp)				metadata.collected_timestamp、 metadata.event_timestamp（如果未显示“Generate Time”）
原因（原因）			原因	about.labels.key/value
两端对齐（两端对齐）			理由	about.labels.key/value
nssai_sst (nssai_sst)			nssai_sst	about.labels.key/value
应用的子类别 (subcategory_of_app)			子类别应用	about.labels.key/value
应用类别 (category_of_app)			category_of_app	about.labels.key/value
应用技术 (technology_of_app)			应用技术	about.labels.key/value
应用风险 (exof_app)			应用风险	about.labels.key/value
应用的特征 (characteristic_of_app)			特征	about.labels.key/value
应用的容器 (container_of_app)			container_of_app	about.labels.key/value
隧道应用 (tunneled_app)			隧道式应用	about.labels.key/value
应用的 SaaS (is_saas_of_app)			is_saas_of_app	about.labels.key/value
应用受到制裁的状态 (sanctioned_state_of_app)			受制裁的州/省/自治区/直辖市	about.labels.key/value

GlobalProtect

下表列出了 GlobalProtect 日志类型的日志字段及其对应的 UDM 字段。

CSV 字段	CEF 字段	LEEF 字段	Chronicle 标签键	UDM 字段
接收时间 (receive_time)	rt		收到时间	metadata.event_timestamp
序列号（序列号）	PanOSDeviceSN		intermediary_asset_hardware_serial_number	intermediary.asset.hardware.serial_number
类型 (type)	type（标头）			metadata.product_event_type
威胁/内容类型（子类型）	子类型（标头）	子类型		metadata.product_event_type
生成时间（按时间生成）	PanOSLogTimeStamp		generate_timestamp	metadata.event_timestamp
虚拟系统 (vsys)	PanOSVirtualSystem		vsys	about.labels.key/value
事件 ID (eventid)	PanOSEventID		event_id	about.labels.key/value
阶段	PanOSStage		阶段	about.labels.key/value
身份验证方法 (auth_method)	PanOSAuthMethod		extension_auth_auth_details	extensions.auth.auth_details
隧道类型 (tunnel_type)	PanOSTunnelType		隧道	about.labels.key/value
源用户 (srcuser)	PanOSSourceUserName		src_user	primary.user.email_address primary.user.userid primary.administrative_domain
来源区域 (srcregion)	PanOSSourceRegion		src_region	primary.location.country_or_region
机器名称（机器名称）	PanOSEndpointDeviceName		机器名称	primary.hostname
公共 IP (public_ip)	PanOSPublicIPv4			primary.nat_ip
公共 IPv6 (public_ipv6)	PanOSPublicIPv6			primary.nat_ip
专用 IP 地址 (private_ip)	PanOSPrivateIPv4			primary.ip
专用 IPv6 (private_ipv6)	PanOSPrivateIPv6			primary.ip
主机 ID (hostid)	PanOSHostID		hostid	principal.asset.asset_id
序列号	PanOSDeviceSN			primary.asset.hardware.serial_number
客户端版本 (client_ver)	PanOSGlobalProtectClientVersion		客户端	about.labels.key/value
客户端操作系统 (client_os)	PanOSEndpointOSType			principal.asset.platform_software.platform（枚举）
客户端操作系统版本 (client_os_ver)	PanOSEndpointOSVersion			primary.asset.platform_software.platform_version
重复计数 (Repeatcnt)	PanOSCountOfRepeats		重复	about.labels.key/value
原因（原因）	PanOSQuarantineReason			security_result.summary
错误（错误）	PanOSConnectionError		错误	security_result.description
说明（不透明）	PanOSDescription			security_result.description
状态（状态）	PanOSEventStatus		状态	about.labels.key/value
位置（位置）	PanOSGPGatewayLocation			target.location.country_or_region
登录时长 (login_duration)	PanOSLoginDuration			network.session_duration
连接方法 (connect_method)	PanOSConnectionMethod		连接方法	about.labels.key/value
错误代码 (error_code)	PanOSConnectionErrorID		错误代码	about.labels.key/value
门户（门户）	PanOSPortal		门户	about.labels.key/value
序列号 (seqno)	PanOSSequenceNo			metadata.product_log_id
操作标志 (actionflags)	PanOSActionFlags		操作标志	about.labels.key/value
高分辨率时间戳 (high_res_timestamp)	anOSTimeGeneratedHighResolution			metadata.collected_timestamp、 metadata.event_timestamp（如果未显示“Generate Time”）
网关选择方法 (selection_type)	PanOSGatewaySelectionType		选择类型	about.labels.key/value
SSL 响应时间 (response_time)	PanOSSSLResponseTime		响应时间	about.labels.key/value
网关优先级（优先级）	PanOSGatewayPriority		优先级	about.labels.key/value
尝试网关 (attempted_gates)	PanOSTryedGateways		尝试访问的网关	about.labels.key/value
网关名称（网关）	PanOSTryedGateways		网关	about.labels.key/value
设备组层次结构 (dg_hier_level_1)			dg_hier_level_1	about.labels.key/value
设备组层次结构 (dg_hier_level_2)			dg_hier_level_2	about.labels.key/value
设备组层次结构 (dg_hier_level_3)			dg_hier_level_3	about.labels.key/value
设备组层次结构 (dg_hier_level_4)			dg_hier_level_4	about.labels.key/value
虚拟系统名称 (vsys_name)				primary.resource.name primary.resource.resource_type=VIRTUAL_MACHINE
设备名称 (device_name)				target.hostname
虚拟系统 ID (vsys_id)				primary.resource.resource_type=VIRTUAL_MACHINE 和 principal.resource.product_object_id

CSV 字段	LEEF 字段	Chronicle 标签键	UDM 字段
生成时间（时间生成或 cef 格式的时间时间）	startTime	generate_timestamp	metadata.event_timestamp
源地址 (src)	src		primary.ip
源用户 (srcuser)	SourceUser / usrName		primary.user.userid
虚拟系统 (vsys)	VirtualSystem	vsys	about.labels.key/value
类别 (category)			security_result.category_details
严重程度（严重程度）	严重级别		security_result.severity 和 security_result.severity_details
设备组层次结构级别 1	DeviceGroupHierarchyL1		about.labels.key/value
设备组层次结构级别 2	DeviceGroupHierarchyL2		about.labels.key/value
设备组层次结构级别 3	DeviceGroupHierarchyL3		about.labels.key/value
设备组层次结构级别 4	DeviceGroupHierarchyL4		about.labels.key/value
虚拟系统名称 (vsys_name)	vSrcName		primary.resource.name primary.resource.resource_type=VIRTUAL_MACHINE
设备名称 (device_name)	DeviceName		intermediary.hostname
虚拟系统 ID (vsys_id)	VirtualSystemID		primary.resource.resource_type=VIRTUAL_MACHINE 和 principal.resource.product_object_id
对象名称（对象名称）	ObjectName		target.resource.name
对象 ID (object_id)	ObjectID		target.resource.product_object_id

字段映射参考文档：日志类型转换为 UDM 事件类型

下表列出了 Palo Alto Networks 防火墙日志类型及其对应的 UDM 事件类型。

日志类型	UDM 事件类型
路况	NETWORK_CONNECTION
威胁	NETWORK_CONNECTION
网址过滤	NETWORK_CONNECTION
WildFire	NETWORK_CONNECTION WildFire 提交日志是威胁日志类型的子类型，并使用相同的 syslog 格式。
数据过滤	NETWORK_CONNECTION
隧道	NETWORK_CONNECTION
配置	SETTING_MODIFICATION/SETTING_CREATION/SETTING_DELETION/SETTING_UNCATEGORIZED “Command (cmd)”字段的值决定了 UDM 事件类型映射。如果 cmd 字段值为 add 或 clone，则系统会设置 SETTING_CREATION。如果 cmd 字段值为 delete，则系统会设置 SETTING_DELETION。如果修改、移动、重命名、设置或提交 cmd 字段值，系统会设置 SETTING_MODIFICATION。如果 cmd 字段值不包含任何值，则设置 SETTING_UNCATEGORIZED。
系统	如果子类型的值为 dhcp，则设置了 NETWORK_DHCP。对于其他值，需设置 GENERIC_EVENT。
HIP 匹配	NETWORK_CONNECTION
IP 标记	常规事件
User-ID	USER_Login/USER_LOGOUT/USER_UNCATEGORIZED 如果子类型值为“登录”，则设置 USER_Login。如果子类型值为“logout”，则系统会设置 USER_LOGOUT。如果子类型不含任何值，则设置 USER_UNCATEGORIZED。
解密	NETWORK_CONNECTION
Authentication	常规事件

后续步骤

将数据注入 Chronicle

日志格式	PAN 操作系统版本
CSV	10.1.3
CEF	10.0.0
LEEF	9.1.0