› ›

Palo Alto Networks 模块

这是一个用于 Palo Alto Networks PAN-OS 防火墙监控日志的模块，这些日志通过 Syslog 接收或从文件读取。它目前支持流量和威胁类型的消息。

阅读快速入门，了解如何配置和运行模块。

此模块已通过运行 PAN-OS 版本 7.1 到 9.0 的设备生成的日志进行测试，但预计早期版本兼容性有限。

运行此模块需要 ingest-geoip Elasticsearch 插件。

您可以通过在 modules.d/panw.yml 文件中指定变量设置或覆盖命令行中的设置来进一步优化 panw 模块的行为。

您必须在模块中启用至少一个文件集。文件集默认情况下处于禁用状态。

默认情况下，模块配置为通过端口 9001 上的 syslog 运行。但是，它也可以配置为从文件读取日志。请参阅以下示例。

- module: panw
  panos:
    enabled: true
    var.paths: ["/var/log/pan-os.log"]
    var.input: "file"

每个文件集都有单独的变量设置来配置模块的行为。如果您未指定变量设置，则 panw 模块将使用默认值。

对于高级用例，您还可以覆盖输入设置。请参阅覆盖输入设置。

在命令行中指定设置时，请记住在设置前加上模块名称，例如，使用 panw.panos.var.paths 而不是 panos.var.paths。

配置示例

  panos:
    var.syslog_host: 0.0.0.0
    var.syslog_port: 514

var.paths: 指定查找日志文件位置的基于 glob 的路径数组。此处还支持 Go Glob 支持的所有模式。例如，您可以使用通配符从预定义级别的子目录中获取所有文件：/path/to/log/*/*.log。这将获取 /path/to/log 的子文件夹中的所有 .log 文件。它不会获取 /path/to/log 文件夹本身的日志文件。如果此设置为空，则 Filebeat 将根据您的操作系统选择日志路径。
var.syslog_host: 侦听基于 UDP 的 syslog 流量的接口。默认为 localhost。设置为 0.0.0.0 以绑定到所有可用接口。
var.syslog_port: 侦听 syslog 流量的 UDP 端口。默认为 9001

低于 1024 的端口需要 Filebeat 以 root 身份运行。

此模块解析不包含时区信息的日志。对于这些日志，Filebeat 读取本地时区并在解析时使用它将时间戳转换为 UTC。用于解析的时区包含在 event.timezone 字段中的事件中。

要禁用此转换，可以使用 drop_fields 处理器删除 event.timezone 字段。

如果日志源自与本地时区不同的系统的系统或应用程序，则可以使用 add_fields 处理器将 event.timezone 字段覆盖为原始时区。

有关在配置中指定处理器的信息，请参阅 处理器。

这些是 PAN-OS 到 ECS 字段映射以及仍在 panw.panos 前缀下添加的那些不在 ECS 中的字段

表 8. 流量日志映射

PAN-OS 字段	ECS 字段	非标准字段
接收时间	event.created
序列号	observer.serial_number
类型	event.category
子类型	event.action
生成时间	`@timestamp`
源 IP	client.ip source.ip
目标 IP	server.ip destination.ip
NAT 源 IP		panw.panos.source.nat.ip
NAT 目标 IP		panw.panos.destination.nat.ip
规则名称		panw.panos.ruleset
源用户	client.user.name source.user.name
目标用户	server.user.name destination.user.name
应用程序	network.application
源区域		panw.panos.source.zone
目标区域		panw.panos.destination.zone
入口接口		panw.panos.source.interface
出口接口		panw.panos.destination.interface
会话 ID		panw.panos.flow_id
源端口	client.port source.port
目标端口	destination.port server.port
NAT 源端口		panw.panos.source.nat.port
NAT 目标端口		panw.panos.destination.nat.port
标志	labels
协议	network.transport
操作	event.outcome
字节	network.bytes
发送的字节	client.bytes source.bytes
接收的字节	server.bytes destination.bytes
数据包	network.packets
开始时间	event.start
经过时间	event.duration
类别		panw.panos.url.category
序列号		panw.panos.sequence_number
发送的数据包	server.packets destination.packets
接收的数据包	client.packets source.packets
设备名称	observer.hostname

表 9. 威胁日志映射

PAN-OS 字段	ECS 字段	非标准字段
接收时间	event.created
序列号	observer.serial_number
类型	event.category
子类型	event.action
生成时间	`@timestamp`
源 IP	client.ip source.ip
目标 IP	server.ip destination.ip
NAT 源 IP		panw.panos.source.nat.ip
NAT 目标 IP		panw.panos.destination.nat.ip
规则名称		panw.panos.ruleset
源用户	client.user.name source.user.name
目标用户	server.user.name destination.user.name
应用程序	network.application
源区域		panw.panos.source.zone
目标区域		panw.panos.destination.zone
入口接口		panw.panos.source.interface
出口接口		panw.panos.destination.interface
会话 ID		panw.panos.flow_id
源端口	client.port source.port
目标端口	destination.port server.port
NAT 源端口		panw.panos.source.nat.port
NAT 目标端口		panw.panos.destination.nat.port
标志	labels
协议	network.transport
操作	event.outcome
其他	url.original	panw.panos.threat.resource
威胁 ID		panw.panos.threat.id
类别		panw.panos.url.category
严重性	log.level
方向	network.direction
源位置	source.geo.name
目标位置	destination.geo.name
PCAP_id		panw.panos.network.pcap_id
Filedigest		panw.panos.file.hash
用户代理	user_agent.original
文件类型	file.type
X-Forwarded-For	network.forwarded_ip
Referer	http.request.referer
发件人	source.user.email
主题		panw.panos.subject
收件人	destination.user.email
设备名称	observer.hostname