panw 字段 | Filebeat 参考 [8.16] | Elastic

panw.panos.ruleset

与该会话匹配的规则名称。

类型：keyword

panw.panos.source.zone

该会话的源区域。

类型：keyword

panw.panos.source.interface

该会话的源接口。

类型：keyword

panw.panos.source.nat.ip

NAT 后源 IP。

类型：ip

panw.panos.source.nat.port

NAT 后源端口。

类型：long

panw.panos.destination.zone

该会话的目标区域。

类型：keyword

panw.panos.destination.interface

该会话的目标接口。

类型：keyword

panw.panos.destination.nat.ip

NAT 后目标 IP。

类型：ip

panw.panos.destination.nat.port

NAT 后目标端口。

类型：long

panw.panos.endreason

会话终止的原因。

类型：keyword

panw.panos.network.pcap_id

威胁的网络封包捕获 ID。

类型：keyword

panw.panos.network.nat.community_id

NAT 5 元组的社区 ID 流哈希。

类型：keyword

panw.panos.file.hash

发送到 WildFire 服务进行分析的威胁文件的二进制哈希。

类型：keyword

panw.panos.url.category

对于威胁 URL，它是 URL 分类。对于 WildFire，则是对文件的判定结果，可能是 *恶意软件*、*灰软件* 或 *良性软件*。

类型：keyword

panw.panos.flow_id

每个会话的内部数字标识符。

类型：keyword

panw.panos.sequence_number

按顺序递增的日志条目标识符。每种日志类型都唯一。

类型：long

panw.panos.threat.resource

威胁的 URL 或文件名。

类型：keyword

panw.panos.threat.id

Palo Alto Networks 对威胁的标识符。

类型：keyword

panw.panos.threat.name

Palo Alto Networks 对威胁的名称。

类型：keyword

panw.panos.action

对会话采取的操作。

类型：keyword

panw.panos.type

指定日志的类型。

panw.panos.sub_type

指定日志的子类型。

panw.panos.virtual_sys

虚拟系统实例。

类型：keyword

panw.panos.client_os_ver

客户端设备的操作系统版本。

类型：keyword

panw.panos.client_os

客户端设备的操作系统版本。

类型：keyword

panw.panos.client_ver

客户端的 GlobalProtect 应用版本。

类型：keyword

panw.panos.stage

显示连接阶段的字符串。

类型：keyword

示例：before-login

panw.panos.actionflags

指示日志是否已转发到 Panorama 的位字段。

类型：keyword

panw.panos.error

显示任何事件中发生的错误的字符串。

类型：keyword

panw.panos.error_code

与发生的任何错误关联的整数。

类型：integer

panw.panos.repeatcnt

在过去五秒钟内，GlobalProtect 检测到的具有相同源 IP 地址、目标 IP 地址、应用程序和子类型的会话数。与发生的任何错误关联的整数。

类型：integer

panw.panos.serial_number

用户机器或设备的序列号。

类型：keyword

panw.panos.auth_method

显示身份验证类型的字符串。

类型：keyword

示例：LDAP

panw.panos.datasource

收集映射信息的数据源。

类型：keyword

panw.panos.datasourcetype

用于识别数据源中 IP/用户映射的机制。

类型：keyword

panw.panos.datasourcename

发送 IP（端口）-用户映射的用户 ID 源。

类型：keyword

panw.panos.factorno

指示使用主要身份验证 (1) 或附加因素 (2, 3)。

类型：integer

panw.panos.factortype

存在多因素身份验证时用于验证用户的供应商。

类型：keyword

panw.panos.factorcompletiontime

身份验证完成的时间。

类型：date

panw.panos.ugflags

显示在用户组映射期间找到的用户组。支持的值为：找到用户组——指示是否可以将用户映射到组。重复用户——指示在用户组中是否找到重复用户。如果未找到用户组，则显示 N/A。

类型：keyword

panw.panos.device_group_hierarchy.level_1

一系列标识号，指示设备组在设备组层次结构中的位置。生成日志的防火墙（或虚拟系统）包含其设备组层次结构中每个祖先的标识号。此结构中不包含共享设备组（级别 0）。如果日志值为 12、34、45、0，则表示日志是由属于设备组 45 的防火墙（或虚拟系统）生成的，其祖先是 34 和 12。

类型：keyword

panw.panos.device_group_hierarchy.level_2

一系列标识号，指示设备组在设备组层次结构中的位置。生成日志的防火墙（或虚拟系统）包含其设备组层次结构中每个祖先的标识号。此结构中不包含共享设备组（级别 0）。如果日志值为 12、34、45、0，则表示日志是由属于设备组 45 的防火墙（或虚拟系统）生成的，其祖先是 34 和 12。

类型：keyword

panw.panos.device_group_hierarchy.level_3

一系列标识号，指示设备组在设备组层次结构中的位置。生成日志的防火墙（或虚拟系统）包含其设备组层次结构中每个祖先的标识号。此结构中不包含共享设备组（级别 0）。如果日志值为 12、34、45、0，则表示日志是由属于设备组 45 的防火墙（或虚拟系统）生成的，其祖先是 34 和 12。

类型：keyword

panw.panos.device_group_hierarchy.level_4

一系列标识号，指示设备组在设备组层次结构中的位置。生成日志的防火墙（或虚拟系统）包含其设备组层次结构中每个祖先的标识号。此结构中不包含共享设备组（级别 0）。如果日志值为 12、34、45、0，则表示日志是由属于设备组 45 的防火墙（或虚拟系统）生成的，其祖先是 34 和 12。

类型：keyword

panw.panos.timeout

清除 IP/用户映射后的超时时间。

类型：integer

panw.panos.vsys_id

Palo Alto Networks 防火墙上虚拟系统的唯一标识符。

类型：keyword

panw.panos.vsys_name

与会话关联的虚拟系统的名称；仅在启用多个虚拟系统的防火墙上有效。

类型：keyword

panw.panos.description

任何发生的事件的附加信息。

类型：keyword

panw.panos.tunnel_type

隧道类型（SSLVPN 或 IPSec）。

类型：keyword

panw.panos.connect_method

显示 GlobalProtect 应用如何连接到网关的字符串。

类型：keyword

panw.panos.matchname

HIP 对象或配置文件的名称。

类型：keyword

panw.panos.matchtype

hip 字段表示 HIP 对象还是 HIP 配置文件。

类型：keyword

panw.panos.priority

网关的优先级顺序，基于最高 (1)、高 (2)、中 (3)、低 (4) 或最低 (5)，GlobalProtect 应用可以连接到该网关。

类型：keyword

panw.panos.response_time

在隧道设置过程中，以毫秒为单位测量的所选网关的 SSL 响应时间。

类型：keyword

panw.panos.attempted_gateways

为每次网关连接尝试收集的字段，包括网关名称、SSL 响应时间和优先级。

类型：keyword

panw.panos.gateway

在门户配置中指定的网关名称。

类型：keyword

panw.panos.selection_type

选择连接到网关的连接方法。

类型：keyword