防火墙 (FW)

IDPS 防火墙

工作负载位置

硬件
审核日志源

Palo Alto 防火墙
接受审核的操作

登录 Web 界面并显示设置

包含审核信息的日志条目中的字段
审核元数据 审核字段名称
用户或服务身份 message

message 值的子集。例如,

admin

目标

(调用 API 的字段和值)

 message

例如,

"message":"012501009150,2022/11/22 12:03:54,audit,2561,gui-op,admin,\"<show><system><setting><multi-vsys/></setting></system></show>\",success"

操作

(包含所执行操作的字段)

 message

message 值的子集。例如,

gui-op,admin,\"<show><system><setting><multi-vsys/></setting></system></show>\"

活动时间戳 time

例如,

"time": "2022-11-22T12:03:55-08:00"

操作来源 host

例如,

"host":"10.251.72.101"

结果 不适用 不适用
其他字段 不适用 不适用

日志示例

{
  "pri": "14",
  "time": "2022-11-22T12:03:55-08:00",
  "host": "10.251.72.101",
  "ident": "-",
  "pid": "-",
  "msgid": "-",
  "extradata": "-",
  "message": "012501009150,2022/11/22 12:03:54,audit,2561,gui-op,admin,\"<show><system><setting><multi-vsys/></setting></system></show>\",success",
  "_gdch_cluster": "root-admin",
  "_gdch_fluentbit_pod": "anthos-audit-logs-forwarder-6lgds",
  "_gdch_service_name": "panw_audit_logs"
}

提交作业更改

包含审核信息的日志条目中的字段
审核元数据 审核字段名称
用户或服务身份 message

message 值的子集。例如,

admin

目标

(调用 API 的字段和值)

 message

例如,

"message":"1,2022/11/22 12:11:33,012501009150,CONFIG,0,2561,2022/11/22 12:11:33,10.251.72.79,,commit,admin,Web,Submitted,,7168767370163388448,0x0,0,0,0,0,,zb-aa-fw01,0,,0,2022-11-22T12:11:34.635-08:00"

操作

(包含所执行操作的字段)

 message

message 值的子集。例如,

Web,Submitted

活动时间戳 time

例如,

"time": "2022-11-22T12:11:34-08:00"

操作来源 host

例如,

"host":"10.251.72.101"

结果 不适用 不适用
其他字段 不适用 不适用

日志示例

{
  "pri": "14",
  "time": "2022-11-22T12:11:34-08:00",
  "host": "10.251.72.101",
  "ident": "-",
  "pid": "-",
  "msgid": "-",
  "extradata": "-",
  "message": "1,2022/11/22 12:11:33,012501009150,CONFIG,0,2561,2022/11/22 12:11:33,10.251.72.79,,commit,admin,Web,Submitted,,7168767370163388448,0x0,0,0,0,0,,zb-aa-fw01,0,,0,2022-11-22T12:11:34.635-08:00",
  "_gdch_cluster": "root-admin",
  "_gdch_fluentbit_pod": "anthos-audit-logs-forwarder-6lgds",
  "_gdch_service_name": "panw_audit_logs"
}