使用集合让一切井井有条 根据您的偏好保存内容并对其进行分类。

收集 Palo Alto Networks 防火墙日志

概览

本文档介绍了如何配置 syslog 和 Chronicle 转发器来收集 Palo Alto Networks 防火墙日志。本文档还介绍了 Palo Alto Networks 防火墙日志字段与 Chronicle Unified Data Model (UDM) 字段之间的对应关系。

如需简要了解 Chronicle 数据注入,请参阅 Chronicle 数据注入

注入标签用于标识将原始日志数据标准化为结构化 UDM 格式的解析器。本文档中的信息适用于带有 PAN_FIREWALL 提取标签的解析器。

准备工作

  • 如需了解部署以收集 Palo Alto Networks 防火墙日志的组件,请查看部署架构。每个客户部署可能与此表示法不同,并且可能更复杂。

    下图展示了如何在 Palo Alto Networks 防火墙上配置 syslog,并在 Linux 服务器上安装 Chronicle 转发器,以将日志数据转发到 Chronicle。解析器支持以下数据格式编写的日志:逗号分隔值 (CSV)、通用事件格式 (CEF) 和日志事件扩展格式 (LEEF)。

    部署架构

  • 验证 Chronicle 解析器支持的日志格式和 PAN 操作系统版本。下表列出了 Chronicle 解析器支持的日志格式和相应的 PAN 操作系统版本:

    日志格式 PAN 操作系统版本
    CSV 10.1.3
    CEF 10.0.0
    领先者 9.1.0

  • 验证 Chronicle 解析器支持的 Palo Alto Networks 防火墙日志类型。 Chronicle 解析器支持以下 Palo Alto Networks 防火墙日志类型:

    • 流量
    • 威胁
    • WildFire 提交
    • 隧道检查
    • 配置
    • 系统
    • HIP 匹配
    • IP 标记
    • User-ID
    • 解密
    • Authentication
    • 网址过滤
    • 数据过滤
    • 全球保护
    • 相关性

    如需详细了解 Palo Alto Networks 防火墙日志类型,请参阅 PAN-OS 日志类型

  • 确保部署架构中的所有系统均采用世界协调时间 (UTC) 时区。

  • 在使用 Palo Alto Networks 防火墙 Gold 解析器之前,请查看本文档中列出的默认解析器和 Gold 解析器之间的字段映射更改。在迁移过程中,请确保依赖原始字段的规则、搜索、信息中心或其他进程使用更新后的字段。

    例如,在默认解析器中,“类别”日志字段映射到“security_result.description”UDD 字段。在 PAN 防火墙 Gold 解析器中,“category”日志字段映射到“security_result.category_details”UDM 字段。如果您迁移到 PAN 防火墙 Gold 解析器,并在规则中使用“category” ,则需要修改规则,以使用 Gold 解析器的“security_result.category_details”UDM 字段。

配置 syslog 和 Chronicle 转发器

如需配置 syslog 和 Chronicle 转发器,请完成以下步骤:

  1. 要监控 CSV 日志,请配置 Syslog 服务器配置文件。如需了解详情,请参阅配置 syslog 服务器配置文件

    配置 syslog 服务器配置文件时,请将“默认”指定为自定义日志格式。

  2. 如需监控 CEF 日志,请配置 Palo Alto Networks 防火墙以转发 CEF 日志。如需了解详情,请下载 PAN-OS CEF 集成指南 PDF,并参阅“Palo Alto Networks NGFW 的配置以输出 CEF 事件”部分。

  3. 如需监控 LEEF 日志,请配置 Syslog 服务器配置文件。如需了解详情,请参阅 LEEF 格式的自定义日志转发

  4. 配置 Chronicle 转发器以将日志发送到 Cronicle。如需了解详情,请参阅在 Linux 上安装和配置转发器。 以下是 Chronicle 转发器配置示例:

      - syslog:
          common:
            enabled: true
            data_type: PAN_FIREWALL
            batch_n_seconds: 10
            batch_n_bytes: 1048576
          tcp_address: 0.0.0.0:10518
          connection_timeout_sec: 60
    

字段映射参考:PAN 防火墙将字段记录到 UDM 字段

本部分将介绍解析器如何针对每种日志类型将 Palo Alto Networks 防火墙日志字段映射到 Chronicle UDM 事件字段。

Chronicle 标签键是指映射到 Labels.key UDM 字段的密钥的名称。例如,对于“Virtual System”字段,字段名称是“cs3”(CEF 格式),“VirtualSystem”(LEEF 格式)。UDM 字段“about.labels.key”包含值“vsys”,UDM 字段“about.labels.value”包含该字段的值。

某些 CEF 或 LEEF 字段名称没有与 CSV 字段名称对应的名称。在这种情况下,如果您在 syslog 配置文件中以自定义日志格式添加自己的变量名称,解析器不会将其映射到 UDM 字段。

有关每种日志类型的映射参考,请参阅以下部分:

系统

下表列出了系统日志类型的日志字段及其对应的 UDM 字段。

CSV 字段 CEF 字段 LEEF 字段 Chronicle 标签键 UDM 字段
接收时间(receive_time 或 cef-formatted-receive_time) rt devTime metadata.collected_timestamp、

metadata.event_timestamp(如果“生成时间”不存在)

序列号(串行) deviceExternalId 序列号 intermediary.asset.hardware.serial_number
类型(类型) 类型(标题) metadata.product_event_type 设为 "%{type} - %{subtype}”。
威胁/内容类型(子类型) 子类型(标题) 子类型 metadata.product_event_type 设为 "%{type} - %{subtype}”。
生成时间(time_generated 或 cef-formatted-time_generated) metadata.event_timestamp
虚拟系统 (vsys) cs3 VirtualSystem vsys about.labels.key/value
事件 ID (eventid) eventid about.labels.key/value
对象(对象) fname 文件名 对象 about.labels.key/value
模块 (module) flexString2 模块 模块 about.labels.key/value
严重程度(严重程度) $number-of-严重程度(标题) 严重程度 security_result.verity 和 security_result.verity_details
说明(不透明) 信息 信息 元数据.说明
序列号 (seqno) externalId 序列 metadata.product_log_id
操作标记 (actionflags) PanOSActionFlags ActionFlags 操作标志 about.labels.key/value
设备组层次结构(dg_hier_level_1 到 dg_hier_level_4) PanOSDGl1 DeviceGroupHierarchyL1 dg_hier_level_1 about.labels.key/value
设备组层次结构 (dg_hier_level_2) PanOSDGl2 DeviceGroupHierarchyL2 dg_hier_level_2 about.labels.key/value
设备组层次结构 (dg_hier_level_3) PanOSDGl3 DeviceGroupHierarchyL3 dg_hier_level_3 about.labels.key/value
设备组层次结构 (dg_hier_level_4) PanOSDGl4 DeviceGroupHierarchyL4 dg_hier_level_4 about.labels.key/value
虚拟系统名称 (vsys_name) PanOSVsysName vSrcName principal.resource.name

principal.resource.resource_type=VIRTUAL_MACHINE

设备名称(设备名称) dvchost 设备名称 intermediary.hostname
高分辨率时间戳 (high_res_timestamp) anOSTimeGeneratedHighResolution metadata.collected_timestamp、

metadata.event_timestamp(如果“生成时间”不存在)

配置

下表列出了配置日志类型的日志字段及其对应的 UDM 字段。

CSV 字段 CEF 字段 LEEF 字段 Chronicle 标签键 UDM 字段
接收时间(receive_time 或 cef-formatted-receive_time) rt devTime metadata.collected_timestamp、

metadata.event_timestamp(如果“生成时间”不存在)

序列号(串行) deviceExternalId 序列号 intermediary.asset.hardware.serial_number
类型(类型) 类型(标题) 元数据.product_event_type
威胁/内容类型(子类型) 子类型(标题) 元数据.product_event_type
生成时间(time_generated 或 cef-formatted-time_generated) metadata.event_timestamp
主机(主机) Shost src principal.ip/hostname
虚拟系统 (vsys) cs3 VirtualSystem vsys about.labels.key/value
命令 (cmd) 动作 信息 cmd about.labels.key/value
管理员(管理员) duser usrName principal.user.userid
客户端(客户端) destinationServiceName 客户端 principal.application
结果(结果) 签名 ID(标头)(原因) 结果 security_result.summary
配置路径(路径) 信息 ConfigurationPath principal.process.command_line
更改详情之前 (before_change_detail) cs1 BeforeChangeDetail before_change_detail target.resource.attribute.labels.key/value
更改详情之后 (after_change_detail) cs2 AfterChangeDetail 更改详情 target.resource.attribute.labels.key/value
序列号 (seqno) externalId 序列 metadata.product_log_id
操作标记 (actionflags) PanOSActionFlags ActionFlags 操作标志 about.labels.key/value
设备组层次结构(dg_hier_level_1 到 dg_hier_level_4) PanOSDGl1 DeviceGroupHierarchyL1 dg_hier_level_1 about.labels.key/value
设备组层次结构 (dg_hier_level_2) PanOSDGl2 DeviceGroupHierarchyL2 dg_hier_level_2 about.labels.key/value
设备组层次结构 (dg_hier_level_3) PanOSDGl3 DeviceGroupHierarchyL3 dg_hier_level_3 about.labels.key/value
设备组层次结构 (dg_hier_level_4) PanOSDGl4 DeviceGroupHierarchyL4 dg_hier_level_4 about.labels.key/value
虚拟系统名称 (vsys_name) PanOSVsysName vSrcName principal.resource.name

principal.resource.resource_type=VIRTUAL_MACHINE

设备名称(设备名称) dvchost 设备名称 intermediary.hostname
设备组 (dg_id) PanOSFWDeviceGroup dg_id principal.asset.attribute.labels.key/value
审核评论(注释) PanOSPolicy 审核日志备注 注释 about.labels.key/value

威胁/野火

下表列出了 Threat/WildFire 日志类型的日志字段及其对应的 UDM 字段。

CSV 字段 CEF 字段 LEEF 字段 Chronicle 标签键 UDM 字段
接收时间(receive_time 或 cef-formatted-receive_time) rt devTime metadata.collected_timestamp、

metadata.event_timestamp(如果“生成时间”不存在)

序列号(序列号) deviceExternalId 序列号 intermediary.asset.hardware.serial_number
类型(类型) 类型(标题) 元数据.product_event_type
威胁/内容类型(子类型) cat/subtype(标头) 子类型 元数据.product_event_type
生成时间(time_generated 或 cef-formatted-time_generated) metadata.event_timestamp
源地址 (src) src src principal.ip
目标地址 (dst) DST DST target.ip
NAT 来源 IP (natsrc) sourceTranslationdAddress srcPostNAT principal.nat_ip
NAT 目标 IP (natdst) destinationTranslationdAddress dstPostNAT target.nat_ip
规则名称(规则) cs1 RuleName security_result.rule_name
源用户 (srcuser) Suser SourceUser / usrName principal.user.userid
目标用户 (dstuser) duser DestinationUser target.user.userid
应用(应用) 应用 应用 target.application
虚拟系统 (vsys) cs3 VirtualSystem vsys about.labels.key/value
来源可用区(来源) cs4 SourceZone 发件人 principal.labels.key/value
目标可用区(目的地) cs5 DestinationZone target.labels.key/value
入站接口 (inbound_if) deviceInboundInterface IngressInterface 入站 ID principal.labels.key/value
出站接口 (outbound_if) device 出站接口 EgressInterface 出站_如果 target.labels.key/value
日志操作(日志集) cs6 LogForwardProfile 日志集 about.labels.key/value
会话 ID (sessionid) CN1 会话 ID network.session_id
重复计数 (Repeatcnt) CNT 重复计数 重复 about.labels.key/value
来源端口(体育) Spt srcPort principal.port
目标端口 (dport) dpt dstPort target.port
NAT 来源端口 (natsport) sourceTranslationdPort srcPostNATPort principal.nat_port
NAT 目标端口 (natdport) destinationTranslationdPort dstPostNATPort target.nat_port
标志(标志) flexString1 标志 标记 about.labels.key/value
IP 协议 (proto) proto proto network.ip_protocol
操作(操作) 动作 操作 security_result.action_details

security_result.action

网址/文件名 (misc) 请求 其他 target.file.full_path

target.url

威胁/内容名称(威胁) 威胁 ID security_result.threat_name
类别 (category) cs2 网址Category security_result.category_details
严重程度(严重程度) number-of-严重程度(标题) 严重程度 security_result.verity 和 security_result.verity_details
方向(方向) flexString2 方向 network.direction
序列号 (seqno) externalId 序列 metadata.product_log_id
操作标记 (actionflags) PanOSActionFlags ActionFlags 操作标志 about.labels.key/value
来源国家/地区 (srcloc) 来源位置 principal.location.country_or_region
目的地国家/地区 (dstloc) DestinationLocation target.location.country_or_region
内容类型 (contenttype) ContentType contenttype about.labels.key/value
PCAP ID (pcap_id) fileId PCAP_ID pcap_id about.labels.key/value
文件摘要 (filedigest) fileHash FileDigest about.file.sha1/md5/sha256
云(云) filePath 云端 about.labels.key/value
网址索引 (url_idx) 网址Index url_idx about.labels.key/value
用户代理 (user_agent) network.http.user_agent
文件类型(文件类型) 文件类型 文件类型 about.file.mime_type
X-Forwarded-For (xff) principal.ip
引荐来源网址(引荐来源网址) network.http.referral_url
发件人(发件人) SUID 发送者 network.email.from
主题(主题) 信息 主题 network.email.subject
收件人(收件人) Duid 收件人 network.email.to
报告 ID (reportid) 旧文件 ID 报告 ID reportid about.labels.key/value
设备组层次结构(dg_hier_level_1 到 dg_hier_level_4) PanOSDGl1 DeviceGroupHierarchyL1 dg_hier_level_1 about.labels.key/value
设备组层次结构 (dg_hier_level_2) PanOSDGl2 DeviceGroupHierarchyL2 dg_hier_level_2 about.labels.key/value
设备组层次结构 (dg_hier_level_3) PanOSDGl3 DeviceGroupHierarchyL3 dg_hier_level_3 about.labels.key/value
设备组层次结构 (dg_hier_level_4) PanOSDGl4 DeviceGroupHierarchyL4 dg_hier_level_4 about.labels.key/value
虚拟系统名称 (vsys_name) PanOSVsysName vSrcName principal.resource.name

principal.resource.resource_type=VIRTUAL_MACHINE

设备名称(设备名称) dvchost 设备名称 intermediary.hostname
来源虚拟机 UUID (src_uuid) PanOSSrcUUID SrcUUID principal.user.product_object_id
目标虚拟机 UUID (dst_uuid) PanOSDstUUID DstUUID target.user.product_object_id
HTTP 方法 (http_method) RequestMethod network.http.method
隧道 ID/IMSI (tunnel_id/imsi) PanOSTunnelID 隧道 ID tunnel_id/imsi about.labels.key/value
监控代码/IMEI (monitortag/imei) PanOSMonitorTag MonitorTag watchtag/imei about.labels.key/value
父级会话 ID (parent_session_id) PanOSParentSessionID ParentSessionID parent_session_id about.labels.key/value
父级会话开始时间 (parent_start_time) PanOSParentStartTime ParentStartTime parent_start_time about.labels.key/value
隧道类型(隧道) PanOSTunnelType 隧道类型 隧道 about.labels.key/value
威胁类别 (thr_category) PanOSThreatCategory ThreatCategory thr_category security_result.detection_fields.key/value
内容版本 (contentver) PanOSContentVer ContentVer contentver about.labels.key/value
SCTP 关联 ID (assoc_id) PanOSAssocID assoc_id about.labels.key/value
载荷协议 ID (ppid) PanOSPPID ppid about.labels.key/value
HTTP 标头 (http_headers) PanOSHTTPHeader http_headers about.labels.key/value
网址类别列表 (url_category_list) PanOS网址CatList url_category_list about.labels.key/value
规则 UUID (rule_uuid) PanOSRuleUUID security_result.rule_id
HTTP/2 连接 (http2_connection) PanOSHTTP2Con http2_连接 about.labels.key/value
动态用户组名称 (dynusergroup_name) PanDynamicUsrgrp dynusergroup_name principal.labels.key/value
XFF 地址 (xff_ip) PanXFFIP principal.ip
源设备类别 (src_category) PanSrcDeviceCat src_category principal.labels.key/value
源设备配置文件 (src_profile) PanSrcDeviceProf src_profile principal.labels.key/value
源设备型号 (src_model) PanSrcDeviceModel src_model principal.labels.key/value
源设备供应商 (src_vendor) PanSrcDeviceVendor src_vendor principal.labels.key/value
源设备操作系统系列 (src_osfamily) PanSrcDeviceOS src_osfamily principal.asset.platform_software.platform

principal.labels.key/value

源设备操作系统版本 (src_osversion) PanSrcDeviceOSv principal.asset.software.version
来源主机名 (src_host) PanSrcHostname principal.hostname
源 MAC 地址 (src_mac) PanSrcMac principal.mac
目标设备类别 (dst_category) PanDstDeviceCat dst_category target.labels.key/value
目标设备配置文件 (dst_profile) PanDstDeviceProf dst_profile target.labels.key/value
目标设备型号 (dst_model) PanDstDeviceModel dst_model target.labels.key/value
目标设备供应商 (dst_vendor) PanDstDeviceVendor dst_vendor target.labels.key/value
目标设备操作系统系列 (dst_osfamily) PanDstDeviceOS dst_osfamily target.labels.key/value
目标设备操作系统版本 (dst_osversion) PanDstDeviceOSv target.asset.software.version
目标主机名 (dst_host) PanDstHostname target.hostname
目标 MAC 地址 (dst_mac) PanDstMac target.mac
容器 ID (container_id) PanContainerName container_id(容器 ID) about.labels.key/value
POD 命名空间 (pod_namespace) PanPODNamespace pod_namespace about.labels.key/value
POD 名称 (pod_name) PanPODName pod_name about.labels.key/value
来源外部动态列表 (src_edl) PanSrcEDL src_edl about.labels.key/value
目标外部动态列表 (dst_edl) PanDstEDL dst_edl about.labels.key/value
主机 ID (hostid) PanGPHostID hostid about.labels.key/value
用户设备序列号(序列号) PanEPSerial principal.asset.hardware.serial_number
网域 EDL (domain_edl) PanDomainEDL domain_edl about.labels.key/value
来源动态地址组 (src_dag) PanSrcDAG principal.group.group_display_name
目标动态地址组 (dst_dag) PanDstDAG target.group.group_display_name
部分哈希 (partial_hash) PanPartialHash partial_hash about.labels.key/value
高分辨率时间戳 (high_res 时间戳) PanTimeHighRes high_res 时间戳 metadata.collected_timestamp、

metadata.event_timestamp(如果“生成时间”不存在)

原因(原因) PanReasonFiltersAction 原因 about.labels.key/value
理由(理由) 平移理由 理由 about.labels.key/value
切片服务类型 (nssai_sst) PanASServiceType nssai_sst about.labels.key/value
应用子类别 (subcategory_of_app) 子类别应用 about.labels.key/value
应用类别 (category_of_app) 类别应用 about.labels.key/value
应用技术 (technology_of_app) 应用技术 about.labels.key/value
应用风险 (risk_of_app) 应用的风险 about.labels.key/value
应用特征 (characteristic_of_app) 应用的特征 about.labels.key/value
应用容器 (container_of_app) container_of_app about.labels.key/value
应用 SaaS (is_saas_of_app) is_saas_of_app about.labels.key/value
应用受制裁状态 (sanctioned_state_of_app) 已制裁的应用状态 about.labels.key/value

流量

下表列出了流量日志类型的日志字段及其对应的 UDM 字段。

CSV 字段 CEF 字段 LEEF 字段 Chronicle 标签键 UDM 字段
接收时间(receive_time 或 cef-formatted-receive_time) rt devTime metadata.collected_timestamp、

metadata.event_timestamp(如果“生成时间”不存在)

序列号(串行) deviceExternalId 序列号 intermediary.asset.hardware.serial_number
类型(类型) 类型(标题) 猫/类型 元数据.product_event_type
威胁/内容类型(子类型) 子类型(标题) 子类型 元数据.product_event_type
生成时间(time_generated 或 cef-formatted-time_generated) 开始 metadata.event_timestamp
源地址 (src) src src principal.ip
目标地址 (dst) DST DST target.ip
NAT 来源 IP (natsrc) sourceTranslationdAddress srcPostNAT principal.nat_ip
NAT 目标 IP (natdst) destinationTranslationdAddress dstPostNAT target.nat_ip
规则名称(规则) cs1 RuleName security_result.rule_name
源用户 (srcuser) Suser SourceUser principal.user.userid
目标用户 (dstuser) duser DestinationUser target.user.userid
应用(应用) 应用 应用 target.application
虚拟系统 (vsys) cs3 VirtualSystem vsys about.labels.key/value
来源可用区(来源) cs4 SourceZone 发件人 principal.labels.key/value
目标可用区(目的地) cs5 DestinationZone target.labels.key/value
入站接口 (inbound_if) deviceInboundInterface IngressInterface 入站 ID principal.labels.key/value
出站接口 (outbound_if) device 出站接口 EgressInterface 出站_如果 target.labels.key/value
日志操作(日志集) cs6 LogForwardProfile 日志集 about.labels.key/value
会话 ID (sessionid) CN1 会话 ID network.session_id
重复计数 (Repeatcnt) CNT 重复计数 重复 about.labels.key/value
来源端口(体育) Spt srcPort principal.port
目标端口 (dport) dpt dstPort target.port
NAT 来源端口 (natsport) sourceTranslationdPort srcPostNATPort principal.nat_port
NAT 目标端口 (natdport) destinationTranslationdPort dstPostNATPort target.nat_port
标志(标志) flexString1 标志 标记 about.labels.key/value
IP 协议 (proto) proto proto network.ip_protocol
操作(操作) 动作 操作 security_result.action_details

security_result.action

字节 (Bytes) FlexNumber1 totalBytes 字节 about.labels.key/value
发送的字节数 (bytes_sent) 位于 srcBytes network.received_bytes
已接收的字节数 (bytes_received) 输出 dstBytes network.sent_bytes
数据包(数据包) cn2 totalPackets 数据包 about.labels.key/value
开始时间(开始时间) 开始时间 开始 about.labels.key/value
已用时间(已用时间) CN3 已播放时间 已过去 about.labels.key/value
类别 (category) cs2 网址Category security_result.category / security_result.category_details
序列号 (seqno) externalId 序列 metadata.product_log_id
操作标记 (actionflags) PanOSActionFlags ActionFlags 操作标志 about.labels.key/value
来源国家/地区 (srcloc) 来源位置 principal.location.country_or_region
目的地国家/地区 (dstloc) DestinationLocation target.location.country_or_region
发送的数据包 (pkts_sent) PanOSPackets 已发送 srcPackets pkts_sent about.labels.key/value
已接收的数据包 (pkts_received) 已接收 PanOSPackets dstPackets pkts_received about.labels.key/value
会话结束原因 (session_end_reason) 原因 SessionEndReason security_result.summary
设备组层次结构 1(从 dg_hier_level_1 到 dg_hier_level_4) PanOSDGl1 DeviceGroupHierarchyL1 dg_hier_level_1 about.labels.key/value
设备组层次结构 2 (dg_hier_level_2) PanOSDGl2 DeviceGroupHierarchyL2 dg_hier_level_2 about.labels.key/value
设备组层次结构 3 (dg_hier_level_3) PanOSDGl3 DeviceGroupHierarchyL3 dg_hier_level_3 about.labels.key/value
设备组层次结构 (dg_hier_level_4) PanOSDGl4 DeviceGroupHierarchyL4 dg_hier_level_4 about.labels.key/value
虚拟系统名称 (vsys_name) PanOSVsysName vSrcName principal.resource.name

principal.resource.resource_type=VIRTUAL_MACHINE

设备名称(设备名称) dvchost 设备名称 intermediary.hostname
操作来源 (action_source) ActionSource action_source about.labels.key/value
来源虚拟机 UUID (src_uuid) PanOSSrcUUID SrcUUID principal.asset.product_object_id
目标虚拟机 UUID (dst_uuid) PanOSDstUUID DstUUID target.asset.product_object_id
隧道 ID/IMSI(隧道 ID/IMSI) PanOSTunnelID 隧道 ID tunnelid/imsi about.labels.key/value
监控代码/IMEI (monitortag/imei) PanOSMonitorTag MonitorTag watchtag/imei about.labels.key/value
父级会话 ID (parent_session_id) PanOSParentSessionID ParentSessionID parent_session_id about.labels.key/value
父级开始时间 (parent_start_time) PanOSParentStartTime ParentStartTime parent_start_time about.labels.key/value
隧道类型(隧道) PanOSTunnelType 隧道类型 隧道 about.labels.key/value
SCTP 关联 ID (assoc_id) PanOSSCTPAssocID assoc_id about.labels.key/value
SCTP 分块(分块) PanOSSCTPChunk 分块 about.labels.key/value
已发送 SCTP 分块 (blocks_sent) PanOSSCTPChunkSent blocks_sent about.labels.key/value
已收到 SCTP 分块 (blocks_received) PanOSSCTPChunksRcv blocks_received about.labels.key/value
规则 UUID (rule_uuid) PanOSRuleUUID security_result.rule_id
HTTP/2 连接 (http2_connection) PanOSHTTP2Con http2_连接 about.labels.key/value
应用滑动计数 (link_change_count) PanLinkChange link_change_count about.labels.key/value
政策 ID (policy_id) PanPolicyID policy_id about.labels.key/value
链接开关 (link_switches) PanLinkDetail link_switches about.labels.key/value
SD-WAN 集群 (sdwan_cluster) PanSDWANCluster sdwan_cluster about.labels.key/value
SD-WAN 设备类型 (sdwan_device_type) PanSDWANDevice sdwan_device_type about.labels.key/value
SD-WAN 集群类型 (sdwan_cluster_type) PanSDWANClustype sdwan_cluster_type about.labels.key/value
SD-WAN 网站 (sdwan_site) PanSDWAN 网站 sdwan_site about.labels.key/value
动态用户组名称 (dynusergroup_name) PanDynamicUsrgrp dynusergroup_name about.labels.key/value
XFF 地址 (xff_ip) PanXFFIP principal.ip
源设备类别 (src_category) PanSrcDeviceCat src_category principal.labels.key/value
源设备配置文件 (src_profile) PanSrcDeviceProf src_profile principal.labels.key/value
源设备型号 (src_model) PanSrcDeviceModel src_model principal.labels.key/value
源设备供应商 (src_vendor) PanSrcDeviceVendor src_vendor principal.labels.key/value
源设备操作系统系列 (src_osfamily) PanSrcDeviceOS principal.asset.platform_software.platform

principal.labels.key/value

源设备操作系统版本 (src_osversion) PanSrcDeviceOSv principal.asset.software.version
来源主机名 (src_host) PanSrcHostname principal.hostname
源 MAC 地址 (src_mac) PanSrcMac principal.mac
目标设备类别 (dst_category) PanDstDeviceCat dst_category target.labels.key/value
目标设备配置文件 (dst_profile) PanDstDeviceProf dst_profile target.labels.key/value
目标设备型号 (dst_model) PanDstDeviceModel dst_model target.labels.key/value
目标设备供应商 (dst_vendor) PanDstDeviceVendor dst_vendor target.labels.key/value
目标设备操作系统系列 (dst_osfamily) PanDstDeviceOS dst_osfamily target.labels.key/value
目标设备操作系统版本 (dst_osversion) PanDstDeviceOSv target.asset.software.version
目标主机名 (dst_host) PanDstHostname target.hostname
目标 MAC 地址 (dst_mac) PanDstMac target.mac
容器 ID (container_id) PanContainerName container_id(容器 ID) about.labels.key/value
POD 命名空间 (pod_namespace) PanPODNamespace pod_namespace about.labels.key/value
POD 名称 (pod_name) PanPODName pod_name about.labels.key/value
来源外部动态列表 (src_edl) PanSrcEDL src_edl principal.labels.key/value
目标外部动态列表 (dst_edl) PanDstEDL dst_edl target.labels.key/value
主机 ID (hostid) PanGPHostID hostid about.labels.key/value
用户设备序列号(序列号) PanEPSerial principal.asset.hardware.serial_number
来源动态地址组 (src_dag) PanSrcDAG principal.group.group_display_name
目标动态地址组 (dst_dag) PanDstDAG target.group.group_display_name
会话所有者 (session_owner) PanHASessionOwner session_owner about.labels.key/value
高分辨率时间戳 (high_res_timestamp) PanTimeHighRes metadata.collected_timestamp、

metadata.event_timestamp(如果“生成时间”不存在)

切片服务类型 (nsdsai_sst) PanASServiceType nsdsai_sst about.labels.key/value
切片微分器 (nsdsai_sd) PanASServiceDiff nsdsai_sd about.labels.key/value
应用子类别 (subcategory_of_app) 子类别应用 about.labels.key/value
应用类别 (category_of_app) 类别应用 about.labels.key/value
应用技术 (technology_of_app) 应用技术 about.labels.key/value
应用风险 (risk_of_app) security_result.verity
应用特征 (characteristic_of_app) 应用的特征 about.labels.key/value
应用容器 (container_of_app) container_of_app about.labels.key/value
应用 SaaS (is_saas_of_app) is_saas_of_app about.labels.key/value
应用受制裁状态 (sanctioned_state_of_app) 已制裁的应用状态 about.labels.key/value
应用子类别 (subcategory_of_app) 子类别_应用 1 about.labels.key/value

User-ID

下表列出了 User-ID 日志类型的日志字段及其对应的 UDM 字段。

CSV 字段 CEF 字段 LEEF 字段 Chronicle 标签键 UDM 字段
接收时间(receive_time 或 cef-formatted-receive_time) rt devTime metadata.collected_timestamp、

metadata.event_timestamp(如果“生成时间”不存在)

序列号(串行) deviceExternalId 序列号 intermediary.asset.hardware.serial_number
类型(类型) 类型(标题) 元数据.product_event_type
威胁/内容类型(子类型) 子类型(标题) 子类型 元数据.product_event_type
生成时间(time_generated 或 cef-formatted-time_generated) metadata.event_timestamp
虚拟系统 (vsys) cs3 VirtualSystem vsys about.labels.key/value
来源 IP (ip) src src principal.ip
用户(用户) duser usrName target.user.userid

target.administrative_domain

target.user.email_addresses

数据源名称 (datasourcename) cs4 DataSourceName 数据源名称 principal.labels.key/value
事件 ID (eventid) 事件 ID eventid about.labels.key/value
重复计数 (Repeatcnt) CNT 重复计数 重复 about.labels.key/value
超时阈值(超时) CN3 TimeoutThreshold 超时 about.labels.key/value
来源端口(起始端口) Spt srcPort principal.port
目标端口(端口) dpt dstPort target.port
数据源 (datasource) cs5 数据源 数据源 principal.labels.key/value
数据源类型 (datasourcetype) cs6 DataSourceType 数据源类型 principal.labels.key/value
序列号 (seqno) externalId 序列 metadata.product_log_id
操作标记 (actionflags) PanOSActionFlags ActionFlags 操作标志 about.labels.key/value
设备组层次结构 (dg_hier_level_1) PanOSDGl1 DeviceGroupHierarchyL1 dg_hier_level_1 about.labels.key/value
设备组层次结构 (dg_hier_level_2) PanOSDGl2 DeviceGroupHierarchyL2 dg_hier_level_2 about.labels.key/value
设备组层次结构 (dg_hier_level_3) PanOSDGl3 DeviceGroupHierarchyL3 dg_hier_level_3 about.labels.key/value
设备组层次结构 (dg_hier_level_4) PanOSDGl4 DeviceGroupHierarchyL4 dg_hier_level_4 about.labels.key/value
虚拟系统名称 (vsys_name) PanOSVsysName vSrcName principal.resource.name

principal.resource.resource_type=VIRTUAL_MACHINE

设备名称(设备名称) dvchost 设备名称 intermediary.hostname
虚拟系统 ID (vsys_id) cn2 VirtualSystemID principal.resource.resource_type=VIRTUAL_MACHINE 和 principal.resource.product_object_id
因数类型(因数类型) cs1 系数 因数类型 about.labels.key/value
系数完成时间 (factor completiontime) 结束 FactorCompletionTime 完成时间 about.labels.key/value
因数(因数) CN1 系数 乘数 about.labels.key/value
用户群组标记 (ugflags) PanOSUG 标记 ugflags about.labels.key/value
按来源细分的用户数据 (userbysource) PanOSUserBySource principal.user.userid

principal.administrative_domain

principal.user.email_addresses

高分辨率时间戳 (high_res 时间戳) PanOSTimeGeneratedHighResolution metadata.collected_timestamp、

metadata.event_timestamp(如果“生成时间”不存在)

HIP 匹配

下表列出了 HIP 匹配日志类型的日志字段及其对应的 UDM 字段。

CSV 字段 CEF 字段 LEEF 字段 Chronicle 标签键 UDM 字段
接收时间(receive_time 或 cef-formatted-receive_time) rt devTime metadata.collected_timestamp、

metadata.event_timestamp(如果“生成时间”不存在)

序列号(串行) deviceExternalId 序列号 intermediary.asset.hardware.serial_number
类型(类型) 类型(标题) 元数据.product_event_type
威胁/内容类型(子类型) 子类型(标题) 子类型
生成时间(time_generated 或 cef-formatted-time_generated) 开始 startTime metadata.event_timestamp
源用户 (srcuser) Suser usrName principal.user.userid
虚拟系统 (vsys) cs3 VirtualSystem vsys about.labels.key/value
计算机名称(机器名称) Shost identHostName principal.hostname
操作系统 (os) cs2 操作系统 principal.asset.platform_software.platform
源地址 (src) src identsrc principal.ip
HIP(匹配名称) HIP 匹配名称 about.labels.key/value
重复计数 (Repeatcnt) CNT 重复计数 重复 about.labels.key/value
HIP 类型(匹配类型) 设备事件类 ID(标头) HIP 类型 匹配类型
序列号 (seqno) externalId 序列 metadata.product_log_id
操作标记 (actionflags) PanOSActionFlags ActionFlags 操作标志 about.labels.key/value
设备组层次结构 (dg_hier_level_1) PanOSDGl1 DeviceGroupHierarchyL1 dg_hier_level_1 about.labels.key/value
设备组层次结构 (dg_hier_level_2) PanOSDGl2 DeviceGroupHierarchyL2 dg_hier_level_2 about.labels.key/value
设备组层次结构 (dg_hier_level_3) PanOSDGl3 DeviceGroupHierarchyL3 dg_hier_level_3 about.labels.key/value
设备组层次结构 (dg_hier_level_4) PanOSDGl4 DeviceGroupHierarchyL4 dg_hier_level_4 about.labels.key/value
虚拟系统名称 (vsys_name) PanOSVsysName vSrcName principal.resource.name

principal.resource.resource_type=VIRTUAL_MACHINE

设备名称(设备名称) dvchost 设备名称 intermediary.hostname
虚拟系统 ID (vsys_id) cn2 VirtualSystemID principal.resource.resource_type=VIRTUAL_MACHINE 和 principal.resource.product_object_id
IPv6 系统地址 (srcipv6) c6a2 srcipv6 principal.asset.ip
主机 ID (hostid) PanOSHostID principal.asset.product_object_id
用户设备序列号(序列号) PanOSEndpointSerialNumber principal.asset.hardware.serial_number
设备 MAC 地址 (mac) PanOSEndpointMac principal.asset.mac
高分辨率时间戳 (high_res_timestamp) PanOSTimeGeneratedHighResolution metadata.collected_timestamp、

metadata.event_timestamp(如果“生成时间”不存在)

IP 标记

下表列出了 IP 标记日志类型的日志字段及其对应的 UDM 字段。

CSV 字段 CEF 字段 LEEF 字段 Chronicle 标签键 UDM 字段
接收时间(receive_time 或 cef-formatted-receive_time) rt devTime metadata.collected_timestamp、

metadata.event_timestamp(如果“生成时间”不存在)

序列号(串行) deviceExternalId 序列号 intermediary.asset.hardware.serial_number
类型(类型) 类型(标题) 元数据.product_event_type
威胁/内容类型(子类型) 子类型(标题) 子类型 元数据.product_event_type
生成时间(time_generated 或 cef-formatted-time_generated) GenerateTime metadata.event_timestamp
虚拟系统 (vsys) cs3 VirtualSystem vsys about.labels.key/value
来源 IP (ip) src src principal.ip
代码名称(tag_name) PanOSTagName 标记名称 tag_name principal.labels.key/value
事件 ID (event_id) PanOSEventID 事件 ID event_id about.labels.key/value
重复计数 (Repeatcnt) CNT 重复计数 重复 about.labels.key/value
超时(超时) PanOSTimeout TimeoutThreshold 超时 about.labels.key/value
数据源名称 (datasourcename) PanOSDataSourceName DataSourceName 数据源名称 principal.labels.key/value
数据源类型 (datasource_type) PanOSDataSourceType 数据源 datasource_type principal.labels.key/value
数据源子类型 (datasource_subtype) PanOSDataSourceSubType DataSourceType datasource_subtype principal.labels.key/value
序列号 (seqno) externalId 序列 metadata.product_log_id
操作标记 (actionflags) PanOSActionFlags ActionFlags 操作标志 about.labels.key/value
设备组层次结构 (dg_hier_level_1) PanOSDGl1 DeviceGroupHierarchyL1 dg_hier_level_1 about.labels.key/value
设备组层次结构 (dg_hier_level_2) PanOSDGl2 DeviceGroupHierarchyL2 dg_hier_level_2 about.labels.key/value
设备组层次结构 (dg_hier_level_3) PanOSDGl3 DeviceGroupHierarchyL3 dg_hier_level_3 about.labels.key/value
设备组层次结构 (dg_hier_level_4) PanOSDGl4 DeviceGroupHierarchyL4 dg_hier_level_4 about.labels.key/value
虚拟系统名称 (vsys_name) PanOsVsysName vSrcName principal.resource.name

principal.resource.resource_type=VIRTUAL_MACHINE

设备名称(设备名称) dvchost 设备名称 intermediary.hostname
虚拟系统 ID (vsys_id) cn2 VirtualSystemID principal.resource.resource_type=VIRTUAL_MACHINE 和 principal.resource.product_object_id
高分辨率时间戳 (high_res 时间戳) PanOSTimeGeneratedHighResolution metadata.collected_timestamp、

metadata.event_timestamp(如果“生成时间”不存在)

解密

下表列出了解密日志类型的日志字段及其对应的 UDM 字段。

CSV 字段 CEF 字段 LEEF 字段 Chronicle 标签键 UDM 字段
接收时间(receive_time 或 cef-formatted-receive_time) rt metadata.collected_timestamp、

metadata.event_timestamp(如果“生成时间”不存在)

序列号(串行) PanOSDeviceSN intermediary.asset.hardware.serial_number
类型(类型) 类型(标题) 元数据.product_event_type
威胁/内容类型(子类型) 子类型(标题) 元数据.product_event_type
配置版本 (config_ver) PanOSConfigVersion config_ver about.labels.key/value
生成时间(生成的时间) PanOSLogTimeStamp metadata.event_timestamp
源地址 (src) src principal.ip
目标地址 (dst) DST target.ip
NAT 来源 IP (natsrc) sourceTranslationdAddress principa.nat_ip
NAT 目标 IP (natdst) destinationTranslationdAddress target.nat_ip
规则(规则) cs1 security_result.rule_name
源用户 (srcuser) Suser principal.user.userid
目标用户 (dstuser) duser target.user.userid
应用(应用) 应用 target.application
虚拟系统 (vsys) cs3 vsys about.labels.key/value
来源可用区(来源) cs4 发件人 principal.labels.key/value
目标可用区(目的地) cs5 target.labels.key/value
入站接口 (inbound_if) deviceInboundInterface 入站 ID principal.labels.key/value
出站接口 (outbound_if) device 出站接口 出站_如果 target.labels.key/value
日志操作(日志集) cs6 日志集 about.labels.key/value
已记录的时间 (time_received) PanOSTimeReceivedManagementPlane -
会话 ID (sessionid) CN1 network.session_id
重复计数 (Repeatcnt) PanOSCountOfRepeats 重复 about.labels.key/value
来源端口(体育) Spt principal.port
目标端口 (dport) dpt target.port
NAT 来源端口 (natsport) sourceTranslationdPort principal.nat_port
NAT 目标端口 (natdport) destinationTranslationdPort target.nat_port
标志(标志) flexString1 标记 about.labels.key/value
IP 协议 (proto) proto network.ip_protocol
操作(操作) 动作 security_result.action_details

security_result.action

隧道(隧道) PanOSTunnel 隧道 about.labels.key/value
来源虚拟机 UUID (src_uuid) PanOSSourceUUID principal.asset.asset_id
目标虚拟机 UUID (dst_uuid) PanOSDestinationUUID target.asset.asset_id
规则 UUID (rule_uuid) PanOSRuleUUID security_result.rule_id
客户端到防火墙的阶段 (hs_stage_c2f) PanOSClientToFirewall hs_stage_c2f about.labels.key/value
防火墙到服务器的阶段 (hs_stage_f2s) PanOSFirewallToServer hs_stage_f2s about.labels.key/value
TLS 版本 (tls_version) PanOSTLSVersion network.tls.version
密钥交换算法 (tls_keyxchg) PanOSTLSKeyExchange tls_keyxchg about.labels.key/value
加密算法 (tls_enc) PanOSTLSEncryption 算法 tls_enc about.labels.key/value
哈希算法 (tls_auth) PanOSTLSAuth tls_auth about.labels.key/value
政策名称 (policy_name) PanOSPolicyName policy_name(政策名称) about.labels.key/value
椭圆曲线 (ec_curve) PanOSEllipticCurve network.tls.curve
错误索引 (err_index) PanOSErrorIndex err_index about.labels.key/value
根状态 (root_status) PanOSRootStatus root_status about.labels.key/value
连锁店状态(连锁店状态) PanOSChainStatus 连锁店状态 about.labels.key/value
代理类型 (proxy_type) PanOSProxyType 代理类型 about.labels.key/value
证书序列号 (cert_serial) PanOSCertificateSerial network.tls.server.certificate.serial
证书指纹(指纹) PanOSFingerprint network.tls.server.certificate.md5/sha1/sha256
证书开始日期(不早于) PanOSTimeNotBefore network.tls.server.certificate.not_before
证书结束日期(不晚于) PanOSTimeNotAfter network.tls.server.certificate.not_after
证书版本 (cert_ver) PanOSCertificateVersion network.tls.server.certificate.version
证书大小 (cert_size) PanOSCertificateSize cert_size about.labels.key/value
通用名称长度 (cn_len) PanOSCommonNameLength cn_len about.labels.key/value
发卡机构通用名称长度 (issuer_len) PanOSIssuerNameLength 发卡机构 ID about.labels.key/value
根通用名称长度 (rootcn_len) PanOSRootCNLength rootcn_len about.labels.key/value
SNI 长度 (sni_len) PanOSSNILength sni_len about.labels.key/value
证书标志 (cert_flags) PanOSCertificateFlags cert_flags about.labels.key/value
主题常用名 (cn) PanOSCommonName CN about.labels.key/value
发卡机构通用名称 (issuer_cn) PanOSIssuerCommonName network.tls.server.certificate.issuer
根通用名称 (root_cn) PanOSRootCommonName root_cn about.labels.key/value
服务器名称指示

(SNI)

network.tls.client.server_name
错误(错误) PanOSErrorMessage 错误 about.labels.key/value
容器 ID (container_id) PanOSContainerID container_id(容器 ID) about.labels.key/value
POD 命名空间 (pod_namespace) PanOSContainerNameSpace pod_namespace about.labels.key/value
POD 名称 (pod_name) PanOSContainerName pod_name about.labels.key/value
来源外部动态列表 (src_edl) PanOSSourceEDL src_edl principal.labels.key/value
目标外部动态列表 (dst_edl) PanOSDestinationEDL dst_edl target.labels.key/value
来源动态地址组 (src_dag) PanOSSourceDynamicAddressGroup principal.group.group_display_name
目标动态地址组 (dst_dag) PanOSDestinationDynamicAddressGroup target.group.group_display_name
高分辨率时间戳 (high_res_timestamp) PanOSTimeGeneratedHighResolution metadata.collected_timestamp、

metadata.event_timestamp(如果“生成时间”不存在)

源设备类别 (src_category) PanOSSourceDeviceCategory src_category principal.labels.key/value
源设备配置文件 (src_profile) PanOSSourceDeviceProfile src_profile principal.labels.key/value
源设备型号 (src_model) PanOSSourceDeviceModel src_model principal.labels.key/value
源设备供应商 (src_vendor) PanOSSourceDeviceVendor src_vendor principal.labels.key/value
源设备操作系统系列 (src_osfamily) PanOSSourceDeviceOSFamily principal.asset.platform_software.platform

principal.labels.key/value

源设备操作系统版本 (src_osversion) PanOSSourceDeviceOSVersion principal.asset.software.version
来源主机名 (src_host) PanOSSourceDeviceHost principal.hostname
源 MAC 地址 (src_mac) PanOSSourceDeviceMac principal.mac
目标设备类别 (dst_category) PanOSDestinationDeviceCategory dst_category target.labels.key/value
目标设备配置文件 (dst_profile) PanOSDestinationDeviceProfile dst_profile target.labels.key/value
目标设备型号 (dst_model) PanOSDestinationDeviceModel dst_model target.labels.key/value
目标设备供应商 (dst_vendor) PanOSDestinationDeviceVendor dst_vendor target.labels.key/value
目标设备操作系统系列 (dst_osfamily) PanOSDestinationDeviceOSFamily dst_osfamily target.labels.key/value
目标设备操作系统版本 (dst_osversion) PanOSDestinationDeviceOSVersion target.asset.software.version
目标主机名 (dst_host) PanOSDestinationDeviceHost target.hostname
目标 MAC 地址 (dst_mac) PanOSDestinationDeviceMac target.mac
序列号 (seqno) PanOSLogTypeSeqNo metadata.product_log_id
操作标记 (actionflags) PanOSActionFlags 操作标志 about.labels.key/value
设备组层次结构 (dg_hier_level_1) DeviceGroupHierarchyL1 dg_hier_level_1 about.labels.key/value
设备组层次结构 (dg_hier_level_2) DeviceGroupHierarchyL2 dg_hier_level_2 about.labels.key/value
设备组层次结构 (dg_hier_level_3) DeviceGroupHierarchyL3 dg_hier_level_3 about.labels.key/value
设备组层次结构 (dg_hier_level_4) DeviceGroupHierarchyL4 dg_hier_level_4 about.labels.key/value
虚拟系统名称 (vsys_name) principal.resource.name

principal.resource.resource_type=VIRTUAL_MACHINE

设备名称(设备名称) intermediary.hostname
虚拟系统 ID (vsys_id) principal.resource.resource_type=VIRTUAL_MACHINE 和 principal.resource.product_object_id
应用子类别 (subcategory_of_app) 子类别应用 about.labels.key/value
应用类别 (category_of_app) 类别应用 about.labels.key/value
应用技术 (technology_of_app) 应用技术 about.labels.key/value
应用风险 (risk_of_app) security_result.verity
应用特征 (characteristic_of_app) 应用的特征 about.labels.key/value
应用容器 (container_of_app) container_of_app about.labels.key/value
应用 SaaS (is_saas_of_app) is_saas_of_app about.labels.key/value
应用受制裁状态 (sanctioned_state_of_app) 已制裁的应用状态 about.labels.key/value

隧道

下表列出了隧道日志类型的日志字段及其对应的 UDM 字段。

CSV 字段 CEF 字段 LEEF 字段 Chronicle 标签键 UDM 字段
接收时间(receive_time 或 cef-formatted-receive_time) rt devTime metadata.collected_timestamp、

metadata.event_timestamp(如果“生成时间”不存在)

序列号(串行) deviceExternalId 序列号 intermediary.asset.hardware.serial_number
类型(类型) 类型(标题) 元数据.product_event_type
威胁/内容类型(子类型) 子类型(标题) 子类型 元数据.product_event_type
生成时间(time_generated 或 cef-formatted-time_generated) metadata.event_timestamp
源地址 (src) src src principal.ip
目标地址 (dst) DST DST target.ip
NAT 来源 IP (natsrc) sourceTranslationdAddress srcPostNAT principal.nat_ip
NAT 目标 IP (natdst) destinationTranslationdAddress dstPostNAT target.nat_ip
规则名称(规则) cs1 RuleName security_result.rule_name
源用户 (srcuser) Suser SourceUser / usrName principal.user.userid
目标用户 (dstuser) duser DestinationUser target.user.userid
应用(应用) 应用 应用 network.application_protocol
虚拟系统 (vsys) cs3 VirtualSystem vsys about.labels.key/value
来源可用区(来源) cs4 SourceZone 发件人 principal.labels.key/value
目标可用区(目的地) cs5 DestinationZone target.labels.key/value
入站接口 (inbound_if) deviceInboundInterface IngressInterface 入站 ID principal.labels.key/value
出站接口 (outbound_if) device 出站接口 EgressInterface 出站_如果 target.labels.key/value
日志操作(日志集) cs6 LogForwardProfile 日志集 about.labels.key/value
会话 ID (sessionid) CN1 会话 ID network.session_id
重复计数 (Repeatcnt) CNT 重复计数 重复 about.labels.key/value
来源端口(体育) Spt srcPort principal.port
目标端口 (dport) dpt dstPort target.port
NAT 来源端口 (natsport) sourceTranslationdPort srcPostNATPort principal.nat_port
NAT 目标端口 (natdport) destinationTranslationdPort dstPostNATPort target.nat_port
标志(标志) flexString1 标志 标记 about.labels.key/value
IP 协议 (proto) proto proto network.ip_protocol
操作(操作) 动作 操作 security_result.action_details

security_result.action

严重程度(严重程度) security_result.verity 和 security_result.verity_details
序列号 (seqno) externalId 序列 metadata.product_log_id
操作标记 (actionflags) PanOSActionFlags ActionFlags 操作标志 about.labels.key/value
源位置 (srcloc) principal.location.country_or_region
目标位置 (dstloc) target.location.country_or_region
设备组层次结构 (dg_hier_level_1) PanOSDGl1 DeviceGroupHierarchyL1 dg_hier_level_1 about.labels.key/value
设备组层次结构 (dg_hier_level_2) PanOSDGl2 DeviceGroupHierarchyL2 dg_hier_level_2 about.labels.key/value
设备组层次结构 (dg_hier_level_3) PanOSDGl3 DeviceGroupHierarchyL3 dg_hier_level_3 about.labels.key/value
设备组层次结构 (dg_hier_level_4) PanOSDGl4 DeviceGroupHierarchyL4 dg_hier_level_4 about.labels.key/value
虚拟系统名称 (vsys_name) PanOSVsysName vSrcName principal.resource.name

principal.resource.resource_type=VIRTUAL_MACHINE

设备名称(设备名称) dvchost 设备名称 intermediary.hostname
隧道 ID (tunnelid) PanOSTunnelID 隧道 ID 隧道 about.labels.key/value
监控代码 (monitortag) PanOSMonitorTag MonitorTag 监控代码 about.labels.key/value
父级会话 ID (parent_session_id) PanOSParentSessionID ParentSessionID parent_session_id about.labels.key/value
父级开始时间 (parent_start_time) PanOSParentStartTime ParentStartTime parent_start_time about.labels.key/value
隧道类型(隧道) cs2 隧道类型 隧道 about.labels.key/value
字节 (Bytes) FlexNumber1 totalBytes 字节 about.labels.key/value
发送的字节数 (bytes_sent) 位于 srcBytes network.received_bytes
已接收的字节数 (bytes_received) 输出 dstBytes network.sent_bytes
数据包(数据包) cn2 totalPackets 数据包 about.labels.key/value
发送的数据包 (pkts_sent) PanOSPackets 已发送 srcPackets pkts_sent about.labels.key/value
已接收的数据包 (pkts_received) 已接收 PanOSPackets dstPackets pkts_received about.labels.key/value
最大封装 (max_encap) FlexNumber2 MaxEncapsulation max_encap about.labels.key/value
未知协议 (unknown_proto) cfp1 UnknownProtocol 未知协议 about.labels.key/value
严格检查 (strict_check) cfp2 严格检查 strict_check about.labels.key/value
隧道 Fragment (tunnel_fragment) PanOSTunnelFragment TunnelFragment tunnel_fragment about.labels.key/value
已创建的会话 (sessions_created) cfp3 会话数已创建 sessions_created about.labels.key/value
已关闭会话 (sessions_closed) cfp4 会话关闭 sessions_closed about.labels.key/value
会话结束原因 (session_end_reason) 原因 SessionEndReason security_result.summary
操作来源 (action_source) ActionSource action_source about.labels.key/value
开始时间(开始时间) startTime 开始 about.labels.key/value
已用时间(已用时间) CN3 已播放时间 已过去 about.labels.key/value
隧道检查规则 (tunnel_insp_rule) PanOSTunneInspectionRule security_result.rule_name = "隧道检查规则:%{PanOSTunnelInspectionRule}”
远程用户 IP (remote_user_ip) PanOSRmtUserIP target.ip
远程用户 ID (remote_user_id) PanOSRmtUserID remote_user_id target.labels.key/value
安全规则 UUID (rule_uuid) PanOSRuleUUID security_result.rule_id
PCAP ID (pcap_id) PanOSPcapID pcap_id about.labels.key/value
动态用户组名称 (dynusergroup_name) PanDynamicUsrgrp principal.group.group_display_name
来源外部动态列表 (src_edl) PanOSSourceEDL src_edl principal.labels.key/value
目标外部动态列表 (dst_edl) PanOSDestinationEDL dst_edl target.labels.key/value
高分辨率时间戳 (high_res 时间戳) PanOSTimeGeneratedHighResolution metadata.collected_timestamp、

metadata.event_timestamp(如果“生成时间”不存在)

切片微分器 (nssai_sd) nssai_sd about.labels.key/value
切片服务类型 (nssai_sd) nssai_sd1 about.labels.key/value
PDU 会话 ID (pdu_session_id) pdu_session_id about.labels.key/value
应用子类别 (subcategory_of_app) 子类别应用 about.labels.key/value
应用类别 (category_of_app) 类别应用 about.labels.key/value
应用技术 (technology_of_app) 应用技术 about.labels.key/value
应用风险 (risk_of_app) 应用的风险 about.labels.key/value
应用特征 (characteristic_of_app) 应用的特征 about.labels.key/value
应用容器 (container_of_app) container_of_app about.labels.key/value
应用 SaaS (is_saas_of_app) is_saas_of_app about.labels.key/value
应用受制裁状态 (sanctioned_state_of_app) 已制裁的应用状态 about.labels.key/value

Authentication

下表列出了身份验证日志类型的日志字段及其对应的 UDM 字段。

CSV 字段 CEF 字段 LEEF 字段 Chronicle 标签键 UDM 字段
接收时间(receive_time 或 cef-formatted-receive_time) rt devTime metadata.collected_timestamp、

metadata.event_timestamp(如果“生成时间”不存在)

序列号(串行) deviceExternalId 序列号 intermediary.asset.hardware.serial_number
类型(类型) 类型(标题) 元数据.product_event_type
威胁/内容类型(子类型) 子类型(标题) 子类型 元数据.product_event_type
生成时间(time_generated 或 cef-formatted-time_generated) metadata.event_timestamp
虚拟系统 (vsys) cs3 VirtualSystem vsys about.labels.key/value
来源 IP (ip) src src principal.ip
用户(用户) duser usrName target.user.userid
规范化用户 (normalize_user) cs2 普通用户 target.user.user_display_name
对象(对象) fname ObjectName 对象 about.labels.key/value
身份验证政策 (authpolicy) cs4 AuthPolicy authpolicy about.labels.key/value
重复计数 (Repeatcnt) CNT 重复计数 重复 about.labels.key/value
身份验证 ID (authid) cn2 AuthenticationID authid about.labels.key/value
供应商(供应商) flexString2 供应商 供应商 about.labels.key/value
日志操作(日志集) cs6 LogForwardProfile 日志集 about.labels.key/value
服务器配置文件(服务器配置文件) cs1 服务器配置文件 服务器配置文件 about.labels.key/value
说明(降序) PanOSDesc AdditionalAuthInfo security_result.description
客户端类型(客户端类型) cs5 客户端类型 clienttype about.labels.key/value
事件类型(事件) 信息 信息 extensions.auth.auth_details
因数(因数) CN1 系数 乘数 about.labels.key/value
序列号 (seqno) externalId 序列 metadata.product_log_id
操作标记 (actionflags) PanOSActionFlags ActionFlags 操作标志 about.labels.key/value
设备组层次结构 (dg_hier_level_1) PanOSDGl1 DeviceGroupHierarchyL1 dg_hier_level_1 about.labels.key/value
设备组层次结构 (dg_hier_level_2) PanOSDGl2 DeviceGroupHierarchyL2 dg_hier_level_2 about.labels.key/value
设备组层次结构 (dg_hier_level_3) PanOSDGl3 DeviceGroupHierarchyL3 dg_hier_level_3 about.labels.key/value
设备组层次结构 (dg_hier_level_4) PanOSDGl4 DeviceGroupHierarchyL4 dg_hier_level_4 about.labels.key/value
虚拟系统名称 (vsys_name) PanOSVsysName vSrcName principal.resource.name

principal.resource.resource_type=VIRTUAL_MACHINE

设备名称(设备名称) dvchost 设备名称 intermediary.hostname
虚拟系统 ID (vsys_id) principal.resource.resource_type=VIRTUAL_MACHINE 和 principal.resource.product_object_id
身份验证协议 (authproto) authproto about.labels.key/value
规则 UUID (rule_uuid) PanOSRuleUUID security_result.rule_id
高分辨率时间戳 (high_res _timestamp) PanOSTimeGeneratedHighResolution metadata.collected_timestamp、

metadata.event_timestamp(如果“生成时间”不存在)

源设备类别 (src_category) PanOSSourceDeviceCategory src_category principal.labels.key/value
源设备配置文件 (src_profile) PanOSSourceDeviceProfile src_profile principal.labels.key/value
源设备型号 (src_model) PanOSSourceDeviceModel src_model principal.labels.key/value
源设备供应商 (src_vendor) PanOSSourceDeviceVendor src_vendor principal.labels.key/value
源设备操作系统系列 (src_osfamily) PanOSSourceDeviceOSFamily principal.asset.platform_software.platform

principal.labels.key/value

源设备操作系统版本 (src_osversion) PanOSSourceDeviceOSVersion principal.asset.software.version
来源主机名 (src_host) PanOSSourceHostname principal.hostname
源 MAC 地址 (src_mac) PanOSSourceMac principal.asset.mac
区域(区域) PanOS TrafficOriginRegion principal.location.country_or_region
用户代理 (user_agent) PanOSHTTPUserAgent network.http.user_agent
会话 ID(sessionid) PanOS TrafficSessionID network.session_id

网址

下表列出了网址日志类型的日志字段及其对应的 UDM 字段。

CSV 字段 CEF 字段 LEEF 字段 Chronicle 标签键 UDM 字段
接收时间(cef-formatted-receive_time) rt devTime metadata.collected_timestamp、

metadata.event_timestamp(如果“生成时间”不存在)

序列号(串行) deviceExternalId 序列号 intermediary.asset.hardware.serial_number
类型(类型) 类型(标题) 元数据.product_event_type
威胁/内容类型(子类型) 子类型(标题) 子类型 元数据.product_event_type
生成时间 metadata.event_timestamp
源地址 (src) src src principal.ip
目标地址 (dst) DST DST target.ip
NAT 来源 IP (natsrc) sourceTranslationdAddress srcPostNAT principal.nat_ip
NAT 目标 IP (natdst) destinationTranslationdAddress dstPostNAT target.nat_ip
规则(规则) cs1 RuleName security_result.rule_name
源用户 (srcuser) Suser SourceUser principal.user.userid
目标用户 (dstuser) duser DestinationUser target.user.userid
应用(应用) 应用 应用 network.application_protocol
虚拟系统 (vsys) cs3 VirtualSystem vsys about.labels.key/value
来源可用区(来源) cs4 SourceZone 发件人 principal.labels.key/value
目标可用区(目的地) cs5 DestinationZone target.labels.key/value
入站接口 (inbound_if) deviceInboundInterface IngressInterface 入站 ID principal.labels.key/value
出站接口 (outbound_if) device 出站接口 EgressInterface 出站_如果 target.labels.key/value
日志操作(日志集) cs6 LogForwardProfile 日志集 about.labels.key/value
已记录时间 已记录时间 about.labels.key/value
会话 ID (sessionid) CN1 会话 ID network.session_id
重复计数 (Repeatcnt) CNT 重复计数 重复 about.labels.key/value
来源端口(体育) Spt srcPort principal.port
目标端口 (dport) dpt dstPort target.port
NAT 来源端口 (natsport) sourceTranslationdPort srcPostNATPort principal.nat_port
NAT 目标端口 (natdport) destinationTranslationdPort dstPostNATPort target.nat_port
标志(标志) flexString1 标志 标记 about.labels.key/value
IP 协议 (proto) proto proto network.ip_protocol
操作(操作) 动作 操作 security_result.action_details

security_result.action

网址/文件名 (misc) 其他 target.file.full_path

target.url

威胁/内容名称(威胁) 威胁 ID security_result.threat_id
类别 (category) cs2 网址Category 类别 about.labels.key/value
严重程度(严重程度) 严重程度(标题) 严重程度 security_result.verity

security_result.verity_details

方向(方向) flexString2 方向 network.direction
序列号 (seqno) externalId 序列 metadata.product_log_id
操作标记 (actionflags) PanOSActionFlags ActionFlags 操作标志 about.labels.key/value
来源国家/地区 (srcloc) 来源位置 principal.location.country_or_region
目的地国家/地区 (dstloc) DestinationLocation target.location.country_or_region
contenttype (contenttype) requestContext ContentType contenttype about.labels.key/value
pcap_id (pcap_id) fileId PCAP_ID pcap_id about.labels.key/value
filedigest (filedigest) FileDigest about.file.sha1/md5/sha256
云(云) 云端 about.labels.key/value
url_idx (url_idx) 网址Index url_idx about.labels.key/value
user_agent (user_agent) requestClientApplication UserAgent network.http.user_agent
filetype(文件类型) about.file.mime_type
xff (xff) PanOSXForwarderfor identSrc XFF about.labels.key/value
引荐来源网址(引荐来源网址) PanOSReferer 引荐来源网址 network.http.referral_url
发件人(发件人) network.email.from
主题(主题) 主题 network.email.subject
收件人(收件人) network.email.to
reportid (reportid) reportid about.labels.key/value
DG 层次结构级别 1 (dg_hier_level_1) PanOSDGl1 DeviceGroupHierarchyL1 dg_hier_level_1 about.labels.key/value
DG 层次结构级别 2 (dg_hier_level_2) PanOSDGl2 DeviceGroupHierarchyL2 dg_hier_level_2 about.labels.key/value
DG 层次结构级别 3 (dg_hier_level_3) PanOSDGl3 DeviceGroupHierarchyL3 dg_hier_level_3 about.labels.key/value
DG 层次结构级别 4 (dg_hier_level_4) PanOSDGl4 DeviceGroupHierarchyL4 dg_hier_level_4 about.labels.key/value
虚拟系统名称 (vsys_name) PanOSVsysName vSrcName principal.resource.name

principal.resource.resource_type=VIRTUAL_MACHINE

设备名称(设备名称) dvchost 设备名称 intermediary.hostname
file_url (file_url) about.url
来源虚拟机 UUID (src_uuid) SrcUUID principal.asset.asset_id
目标虚拟机 UUID (dst_uuid) DstUUID target.asset.asset_id
http_method (http_method) requestMethod RequestMethod network.http.method
隧道 ID/IMSI(隧道 ID) PanOSTunnelID 隧道 ID 隧道 about.labels.key/value
监控代码/IMEI (monitortag) PanOSMonitorTag MonitorTag 监控代码 about.labels.key/value
父级会话 ID (parent_session_id) PanOSParentSessionID ParentSessionID parent_session_id about.labels.key/value
父级会话开始时间 (parent_start_time) PanOSParentStartTime ParentStartTime parent_start_time about.labels.key/value
隧道(隧道) PanOSTunnelType 隧道类型 隧道 about.labels.key/value
thr_category (thr_category) PanOSThreatCategory ThreatCategory thr_category security_result.detection_fields.key/value
contentver (contentver) PanOSContentVer ContentVer contentver about.labels.key/value
sig_flags (sig_flags) sig_flags about.labels.key/value
SCTP 关联 ID (assoc_id) PanOSAssocID assoc_id about.labels.key/value
载荷协议 ID (ppid) PanOSPPID ppid about.labels.key/value
http_headers (http_headers) PanOSHTTPHeader http_headers about.labels.key/value
网址类别列表 (url_category_list) PanOS网址CatList url_category_list about.labels.key/value
规则 UUID (rule_uuid) PanOSRuleUUID rule_uuid about.labels.key/value
HTTP/2 连接 (http2_connection) PanOSHTTP2Con http2_连接 about.labels.key/value
dynusergroup_name (dynusergroup_name) PanDynamicUsrgrp dynusergroup_name about.labels.key/value
XFF 地址 (xff_ip) PanXFFIP principal.ip
源设备类别 (src_category) PanSrcDeviceCat src_category principal.labels.key/value
源设备配置文件 (src_profile) PanSrcDeviceProf src_profile principal.labels.key/value
源设备型号 (src_model) PanSrcDeviceModel src_model principal.labels.key/value
源设备供应商 (src_vendor) PanSrcDeviceVendor src_vendor principal.labels.key/value
源设备操作系统系列 (src_osfamily) PanSrcDeviceOS principal.asset.platform_software.platform

principal.labels.key/value

源设备操作系统版本 (src_osversion) PanSrcDeviceOSv principal.asset.software.version
来源主机名 (src_host) PanSrcHostname src_host principal.labels.key/value
源 Mac 地址 (src_mac) PanSrcMac principal.mac
目标设备类别 (dst_category) PanDstDeviceCat dst_category target.labels.key/value
目标设备配置文件 (dst_profile) PanDstDeviceProf dst_profile target.labels.key/value
目标设备型号 (dst_model) PanDstDeviceModel dst_model target.labels.key/value
目标设备供应商 (dst_vendor) PanDstDeviceVendor dst_vendor target.labels.key/value
目标设备操作系统系列 (dst_osfamily) PanDstDeviceOS target.asset.platform_software.platform

target.labels.key/value

目标设备操作系统版本 (dst_osversion) PanDstDeviceOSv target.asset.software.version
目标主机名 (dst_host) PanPODNamespace target.hostname
目标 Mac 地址 (dst_mac) PanDstMac target.mac
容器 ID (container_id) PanContainerName container_id(容器 ID) about.labels.key/value
POD 命名空间 (pod_namespace) PanPODNamespace pod_namespace about.labels.key/value
POD 名称 (pod_name) PanPODName pod_name about.labels.key/value
来源外部动态列表 (src_edl) PanSrcEDL src_edl principal.labels.key/value
目标外部动态列表 (dst_edl) PanDstEDL dst_edl target.labels.key/value
主机 ID (hostid) PanGPHostID hostid about.labels.key/value
序列号(序列号) PanEPSerial principal.asset.hardware.serial_number
domain_edl (domain_edl) PanDomainEDL domain_edl about.labels.key/value
来源动态地址组 (src_dag) PanSrcDAG principal.group.group_display_name
目标动态地址组 (dst_dag) PanDstDAG target.group.group_display_name
partial_hash (partial_hash) PanPartialHash partial_hash about.labels.key/value
高分辨率时间戳 (high_res_timestamp) PanTimeHighRes metadata.collected_timestamp、

metadata.event_timestamp(如果“生成时间”不存在)

原因(原因) PanReasonFiltersAction 原因 about.labels.key/value
两端对齐(两端对齐) 平移理由 理由 about.labels.key/value
nssai_sst (nssai_sst) PanASServiceType nssai_sst about.labels.key/value
应用的子类别 (subcategory_of_app) 子类别应用 about.labels.key/value
应用类别 (category_of_app) 类别应用 about.labels.key/value
应用技术 (technology_of_app) 应用技术 about.labels.key/value
应用的风险 (risk_of_app) 应用的风险 about.labels.key/value
应用的特征 (characteristic_of_app) 应用的特征 about.labels.key/value
应用的容器 (container_of_app) container_of_app about.labels.key/value
隧道应用 (tunneled_app) 隧道式应用 about.labels.key/value
应用的 SaaS (is_saas_of_app) is_saas_of_app about.labels.key/value
受制裁的应用状态 (sanctioned_state_of_app) 已制裁的应用状态 about.labels.key/value

数据

下表列出了数据日志类型的日志字段及其对应的 UDM 字段。

CSV 字段 CEF 字段 LEEF 字段 Chronicle 标签键 UDM 字段
接收时间(cef-formatted-receive_time) rt devTime metadata.collected_timestamp、

metadata.event_timestamp(如果“生成时间”不存在)

序列号(串行) deviceExternalId 序列号 intermediary.asset.hardware.serial_number
类型(类型) 类型(标题) 元数据.product_event_type
威胁/内容类型(子类型) 子类型(标题) 子类型 元数据.product_event_type
生成时间 metadata.event_timestamp
源地址 (src) src src principal.ip
目标地址 (dst) DST DST target.ip
NAT 来源 IP (natsrc) sourceTranslationdAddress srcPostNAT principal.nat_ip
NAT 目标 IP (natdst) destinationTranslationdAddress dstPostNAT target.nat_ip
规则(规则) cs1 RuleName security_result.rule_name
源用户 (srcuser) Suser SourceUser principal.user.userid
目标用户 (dstuser) duser DestinationUser target.user.userid
应用(应用) 应用 应用 network.application_protocol
虚拟系统 (vsys) cs3 VirtualSystem vsys about.labels.key/value
来源可用区(来源) cs4 SourceZone 发件人 principal.labels.key/value
目标可用区(目的地) cs5 DestinationZone target.labels.key/value
入站接口 (inbound_if) deviceInboundInterface IngressInterface 入站 ID principal.labels.key/value
出站接口 (outbound_if) device 出站接口 EgressInterface 出站_如果 target.labels.key/value
日志操作(日志集) cs6 LogForwardProfile 日志集 about.labels.key/value
已记录时间 已记录时间 about.labels.key/value
会话 ID (sessionid) CN1 会话 ID network.session_id
重复计数 (Repeatcnt) CNT 重复计数 重复 about.labels.key/value
来源端口(体育) Spt srcPort principal.port
目标端口 (dport) dpt dstPort target.port
NAT 来源端口 (natsport) sourceTranslationdPort srcPostNATPort principal.nat_port
NAT 目标端口 (natdport) destinationTranslationdPort dstPostNATPort target.nat_port
标志(标志) flexString1 标志 标记 about.labels.key/value
IP 协议 (proto) proto proto network.ip_protocol
操作(操作) 动作 操作 security_result.action_details

security_result.action

网址/文件名 (misc) 其他 target.file.full_path

target.url

威胁/内容名称(威胁) 威胁 ID security_result.threat_id
类别 (category) cs2 网址Category 类别 about.labels.key/value
严重程度(严重程度) 严重程度(标题) 严重程度 security_result.verity

security_result.verity_details

方向(方向) flexString2 方向 network.direction
序列号 (seqno) externalId 序列 metadata.product_log_id
操作标记 (actionflags) PanOSActionFlags ActionFlags 操作标志 about.labels.key/value
来源国家/地区 (srcloc) 来源位置 principal.location.country_or_region
目的地国家/地区 (dstloc) DestinationLocation target.location.country_or_region
contenttype (contenttype) ContentType contenttype about.labels.key/value
pcap_id (pcap_id) fileId PCAP_ID pcap_id about.labels.key/value
filedigest (filedigest) FileDigest about.file.sha1/md5/sha256
云(云) 云端 about.labels.key/value
url_idx (url_idx) 网址Index url_idx about.labels.key/value
user_agent (user_agent) network.http.user_agent
filetype(文件类型) about.file.mime_type
xff (xff) XFF about.labels.key/value
引荐来源网址(引荐来源网址) network.http.referral_url
发件人(发件人) network.email.from
主题(主题) 主题 network.email.subject
收件人(收件人) network.email.to
reportid (reportid) reportid about.labels.key/value
DG 层次结构级别 1 (dg_hier_level_1) PanOSDGl1 DeviceGroupHierarchyL1 dg_hier_level_1 about.labels.key/value
DG 层次结构级别 2 (dg_hier_level_2) PanOSDGl2 DeviceGroupHierarchyL2 dg_hier_level_2 about.labels.key/value
DG 层次结构级别 3 (dg_hier_level_3) PanOSDGl3 DeviceGroupHierarchyL3 dg_hier_level_3 about.labels.key/value
DG 层次结构级别 4 (dg_hier_level_4) PanOSDGl4 DeviceGroupHierarchyL4 dg_hier_level_4 about.labels.key/value
虚拟系统名称 (vsys_name) PanOSVsysName vSrcName principal.resource.name

principal.resource.resource_type=VIRTUAL_MACHINE

设备名称(设备名称) dvchost 设备名称 intermediary.hostname
file_url (file_url) about.url
来源虚拟机 UUID (src_uuid) SrcUUID principal.asset.asset_id
目标虚拟机 UUID (dst_uuid) DstUUID target.asset.asset_id
http_method (http_method) RequestMethod network.http.method
隧道 ID/IMSI(隧道 ID) PanOSTunnelID 隧道 ID 隧道 about.labels.key/value
监控代码/IMEI (monitortag) PanOSMonitorTag MonitorTag 监控代码 about.labels.key/value
父级会话 ID (parent_session_id) PanOSParentSessionID ParentSessionID parent_session_id about.labels.key/value
父级会话开始时间 (parent_start_time) PanOSParentStartTime ParentStartTime parent_start_time about.labels.key/value
隧道(隧道) PanOSTunnelType 隧道类型 隧道 about.labels.key/value
thr_category (thr_category) PanOSThreatCategory ThreatCategory thr_category security_result.detection_fields.key/value
contentver (contentver) PanOSContentVer ContentVer contentver about.labels.key/value
sig_flags (sig_flags) sig_flags about.labels.key/value
SCTP 关联 ID (assoc_id) PanOSAssocID assoc_id about.labels.key/value
载荷协议 ID (ppid) PanOSPPID ppid about.labels.key/value
http_headers (http_headers) PanOSHTTPHeader http_headers about.labels.key/value
网址类别列表 (url_category_list) url_category_list about.labels.key/value
规则 UUID (rule_uuid) PanOSRuleUUID rule_uuid about.labels.key/value
HTTP/2 连接 (http2_connection) http2_连接 about.labels.key/value
dynusergroup_name (dynusergroup_name) dynusergroup_name principal.labels.key/value
XFF 地址 (xff_ip) principal.ip
源设备类别 (src_category) src_category principal.labels.key/value
源设备配置文件 (src_profile) src_profile principal.labels.key/value
源设备型号 (src_model) src_model principal.labels.key/value
源设备供应商 (src_vendor) src_vendor principal.labels.key/value
源设备操作系统系列 (src_osfamily) principal.asset.platform_software.platform

principal.labels.key/value

源设备操作系统版本 (src_osversion) principal.asset.software.version
来源主机名 (src_host) src_host principal.labels.key/value
源 Mac 地址 (src_mac) principal.mac
目标设备类别 (dst_category) dst_category target.labels.key/value
目标设备配置文件 (dst_profile) dst_profile target.labels.key/value
目标设备型号 (dst_model) dst_model target.labels.key/value
目标设备供应商 (dst_vendor) dst_vendor target.labels.key/value
目标设备操作系统系列 (dst_osfamily) target.asset.platform_software.platform

target.labels.key/value

目标设备操作系统版本 (dst_osversion) target.asset.software.version
目标主机名 (dst_host) target.hostname
目标 Mac 地址 (dst_mac) target.mac
容器 ID (container_id) container_id(容器 ID) about.labels.key/value
POD 命名空间 (pod_namespace) pod_namespace about.labels.key/value
POD 名称 (pod_name) pod_name about.labels.key/value
来源外部动态列表 (src_edl) src_edl principal.labels.key/value
目标外部动态列表 (dst_edl) dst_edl target.labels.key/value
主机 ID (hostid) hostid about.labels.key/value
序列号(序列号) principal.asset.hardware.serial_number
domain_edl (domain_edl) domain_edl about.labels.key/value
来源动态地址组 (src_dag) principal.group.group_display_name
目标动态地址组 (dst_dag) target.group.group_display_name
partial_hash (partial_hash) partial_hash about.labels.key/value
高分辨率时间戳 (high_res_timestamp) metadata.collected_timestamp、

metadata.event_timestamp(如果“生成时间”不存在)

原因(原因) 原因 about.labels.key/value
两端对齐(两端对齐) 理由 about.labels.key/value
nssai_sst (nssai_sst) nssai_sst about.labels.key/value
应用的子类别 (subcategory_of_app) 子类别应用 about.labels.key/value
应用类别 (category_of_app) 类别应用 about.labels.key/value
应用技术 (technology_of_app) 应用技术 about.labels.key/value
应用的风险 (risk_of_app) 应用的风险 about.labels.key/value
应用的特征 (characteristic_of_app) 应用的特征 about.labels.key/value
应用的容器 (container_of_app) container_of_app about.labels.key/value
隧道应用 (tunneled_app) 隧道式应用 about.labels.key/value
应用的 SaaS (is_saas_of_app) is_saas_of_app about.labels.key/value
受制裁的应用状态 (sanctioned_state_of_app) 已制裁的应用状态 about.labels.key/value

全球保护

下表列出了 GlobalProtect 日志类型的日志字段及其对应的 UDM 字段。

CSV 字段 CEF 字段 LEEF 字段 Chronicle 标签键 UDM 字段
接收时间 (receive_time) rt Received_time metadata.event_timestamp
序列号(串行) PanOSDeviceSN intermediary_asset_hardware_serial_number intermediary.asset.hardware.serial_number
类型(类型) 类型(标题) 元数据.product_event_type
威胁/内容类型(子类型) 子类型(标题) 子类型 元数据.product_event_type
生成时间(生成的时间) PanOSLogTimeStamp generated_timestamp metadata.event_timestamp
虚拟系统 (vsys) PanOSVirtualSystem vsys about.labels.key/value
事件 ID (eventid) PanOSEventID event_id about.labels.key/value
阶段 (stage) PanOSStage 阶段 about.labels.key/value
身份验证方法 (auth_method) PanOSAuthMethod extension_auth_auth_details extensions.auth.auth_details
隧道类型 (tunnel_type) PanOSTunnelType 隧道 about.labels.key/value
源用户 (srcuser) PanOSSourceUserName src_user principal.user.email_address

principal.user.userid

principal.administrative_domain

来源区域 (srcregion) PanOSSourceRegion src_region principal.location.country_or_region
计算机名称(机器名称) PanOSEndpointDeviceName 计算机名称 principal.hostname
公共 IP (public_ip) PanOSPublicIPv4 principal.nat_ip
公共 IPv6 (public_ipv6) PanOSPublicIPv6 principal.nat_ip
专用 IP (private_ip) PanOSPrivateIPv4 principal.ip
专用 IPv6 (private_ipv6) PanOSPrivateIPv6 principal.ip
主机 ID (hostid) PanOSHostID hostid principal.asset.asset_id
序列号(序列号) PanOSDeviceSN principal.asset.hardware.serial_number
客户端版本 (client_ver) PanOSGlobalProtectClientVersion client_ver about.labels.key/value
客户端操作系统 (client_os) PanOSEndpointOSType principal.asset.platform_software.platform(枚举)
客户端操作系统版本 (client_os_ver) PanOSEndpointOSVersion principal.asset.platform_software.platform_version
重复计数 (Repeatcnt) PanOSCountOfRepeats 重复 about.labels.key/value
原因(原因) PanOSQuarantineReason security_result.summary
错误(错误) PanOSConnectionError 错误 security_result.description
说明(不透明) PanOSDescription security_result.description
状态(状态) PanOSEventStatus 状态 about.labels.key/value
位置(位置) PanOSGPGatewayLocation target.location.country_or_region
登录时长 (login_duration) PanOSLoginDuration network.session_duration
连接方法 (connect_method) PanOSConnectionMethod 连接方法 about.labels.key/value
错误代码 (error_code) PanOSConnectionErrorID error_code about.labels.key/value
门户(门户) PanOSPortal 门户 about.labels.key/value
序列号 (seqno) PanOSSequenceNo metadata.product_log_id
操作标记 (actionflags) PanOSActionFlags 操作标志 about.labels.key/value
高分辨率时间戳 (high_res_timestamp) anOSTimeGeneratedHighResolution metadata.collected_timestamp、

metadata.event_timestamp(如果“生成时间”不存在)

网关选择方法 (selection_type) PanOSGatewaySelectionType 选择类型 about.labels.key/value
SSL 响应时间 (response_time) PanOSSSLResponseTime response_time about.labels.key/value
网关优先级(优先级) PanOSGatewayPriority 优先级 about.labels.key/value
尝试的网关 (attempted_gates) PanOS 尝试的网关 请尝试的网关 about.labels.key/value
网关名称(网关) PanOS 尝试的网关 网关 about.labels.key/value
设备组层次结构 (dg_hier_level_1) dg_hier_level_1 about.labels.key/value
设备组层次结构 (dg_hier_level_2) dg_hier_level_2 about.labels.key/value
设备组层次结构 (dg_hier_level_3) dg_hier_level_3 about.labels.key/value
设备组层次结构 (dg_hier_level_4) dg_hier_level_4 about.labels.key/value
虚拟系统名称 (vsys_name) principal.resource.name

principal.resource.resource_type=VIRTUAL_MACHINE

设备名称(设备名称) target.hostname
虚拟系统 ID (vsys_id) principal.resource.resource_type=VIRTUAL_MACHINE 和 principal.resource.product_object_id

相关性

下表列出了相关性日志类型的日志字段及其对应的 UDM 字段。

CSV 字段 CEF 字段 LEEF 字段 Chronicle 标签键 UDM 字段
生成时间(time_generated 或 cef-formatted-time_generated) startTime generated_timestamp metadata.event_timestamp
源地址 (src) src principal.ip
源用户 (srcuser) SourceUser / usrName principal.user.userid
虚拟系统 (vsys) VirtualSystem vsys about.labels.key/value
类别 (category) security_result.category_details
严重程度(严重程度) 严重程度 security_result.verity 和 security_result.verity_details
设备组层次结构级别 1 DeviceGroupHierarchyL1 about.labels.key/value
设备组层次结构级别 2 DeviceGroupHierarchyL2 about.labels.key/value
设备组层次结构级别 3 DeviceGroupHierarchyL3 about.labels.key/value
设备组层次结构级别 4 DeviceGroupHierarchyL4 about.labels.key/value
虚拟系统名称 (vsys_name) vSrcName principal.resource.name

principal.resource.resource_type=VIRTUAL_MACHINE

设备名称(设备名称) 设备名称 intermediary.hostname
虚拟系统 ID (vsys_id) VirtualSystemID principal.resource.resource_type=VIRTUAL_MACHINE 和 principal.resource.product_object_id
对象名称(对象名称) ObjectName target.resource.name
对象 ID (object_id) ObjectID target.resource.product_object_id

字段映射参考:日志类型转换为 UDM 事件类型

下表列出了 Palo Alto Networks 防火墙日志类型及其对应的 UDM 事件类型。

日志类型 UDM 事件类型
流量 NETWORK_CONNECTION
威胁 NETWORK_CONNECTION
网址过滤 NETWORK_CONNECTION
野火 NETWORK_CONNECTION

WildFire 提交日志是威胁日志类型的子类型,并且使用相同的 syslog 格式。

数据过滤 NETWORK_CONNECTION
隧道 NETWORK_CONNECTION
配置 SETTING_MODIFICATION/SETTING_CREATION/SETTING_DELETION/SETTING_UNCATEGORIZED

"Command (cmd)”字段的值决定了 UDM 事件类型映射。如果 cmd 字段值是添加或克隆,则设置 SETTING_CREATION。

如果删除 cmd 字段值,则设置 SETTING_DELETION。

如果修改、移动、重命名、设置或提交 cmd 字段值,则设置 SETTING_MODIFICATION。

如果 cmd 字段值不包含任何值,则系统会设置 SETTING_UNCATEGORIZED。

系统

如果子类型的值为 dhcp,则表示已设置 NETWORK_DHCP。对于其他值,系统会设置 GENERIC_EVENT。

HIP 匹配 NETWORK_CONNECTION
IP 标记 GENERIC_EVENT
User-ID USER_LOGIN/USER_LOGOUT/USER_UNCATEGORIZED

如果子类型值为“login”,则系统会设置 USER_LOGIN。

如果子类型值为“logout”,则系统会设置 USER_LOGOUT。

如果子类型不包含任何值,则系统会设置 USER_UNCATEGORIZED。

解密 NETWORK_CONNECTION
Authentication GENERIC_EVENT

后续步骤