Palo Alto Networks (PAN-OS) 模块
panw
panw 模块的字段。
panos
Palo Alto Networks PAN-OS 日志的字段。
-
panw.panos.ruleset -
与该会话匹配的规则名称。
type: keyword
source
用于扩展顶层 source 对象的字段。
-
panw.panos.source.zone -
该会话的源区域。
type: keyword
-
panw.panos.source.interface -
该会话的源接口。
type: keyword
nat
如果执行源 NAT,则为 NAT 后源地址。
-
panw.panos.source.nat.ip -
NAT 后源 IP。
type: ip
-
panw.panos.source.nat.port -
NAT 后源端口。
type: long
destination
用于扩展顶层 destination 对象的字段。
-
panw.panos.destination.zone -
该会话的目标区域。
type: keyword
-
panw.panos.destination.interface -
该会话的目标接口。
type: keyword
nat
如果执行目标 NAT,则为 NAT 后目标地址。
-
panw.panos.destination.nat.ip -
NAT 后目标 IP。
type: ip
-
panw.panos.destination.nat.port -
NAT 后目标端口。
type: long
-
panw.panos.endreason -
会话终止的原因。
type: keyword
network
用于扩展顶层 network 对象的字段。
-
panw.panos.network.pcap_id -
威胁的报文捕获 ID。
type: keyword
-
panw.panos.network.nat.community_id -
NAT 5 元组的社区 ID 流哈希。
type: keyword
file
用于扩展顶层 file 对象的字段。
-
panw.panos.file.hash -
发送到 WildFire 服务以进行分析的威胁文件的二进制哈希值。
type: keyword
url
用于扩展顶层 url 对象的字段。
-
panw.panos.url.category -
对于威胁 URL,它是 URL 类别。对于 WildFire,它是对文件的判定,为 *恶意软件*、*灰度软件* 或 *良性* 之一。
type: keyword
-
panw.panos.flow_id -
每个会话的内部数字标识符。
type: keyword
-
panw.panos.sequence_number -
按顺序递增的日志条目标识符。每种日志类型唯一。
type: long
-
panw.panos.threat.resource -
威胁的 URL 或文件名。
type: keyword
-
panw.panos.threat.id -
Palo Alto Networks 对威胁的标识符。
type: keyword
-
panw.panos.threat.name -
Palo Alto Networks 对威胁的名称。
type: keyword
-
panw.panos.action -
对会话采取的操作。
type: keyword
-
panw.panos.type -
指定日志的类型
-
panw.panos.sub_type -
指定日志的子类型
-
panw.panos.virtual_sys -
虚拟系统实例
type: keyword
-
panw.panos.client_os_ver -
客户端设备的操作系统版本。
type: keyword
-
panw.panos.client_os -
客户端设备的操作系统版本。
type: keyword
-
panw.panos.client_ver -
客户端的 GlobalProtect 应用版本。
type: keyword
-
panw.panos.stage -
显示连接阶段的字符串
type: keyword
example: before-login
-
panw.panos.actionflags -
指示是否将日志转发到 Panorama 的位字段。
type: keyword
-
panw.panos.error -
显示任何事件中发生的错误的字符串。
type: keyword
-
panw.panos.error_code -
与任何发生的错误关联的整数。
type: integer
-
panw.panos.repeatcnt -
在过去五秒内,GlobalProtect 检测到的具有相同源 IP 地址、目标 IP 地址、应用程序和子类型的会话数量。与任何发生的错误关联的整数。
type: integer
-
panw.panos.serial_number -
用户机器或设备的序列号。
type: keyword
-
panw.panos.auth_method -
显示身份验证类型的字符串
type: keyword
example: LDAP
-
panw.panos.datasource -
收集映射信息的来源。
type: keyword
-
panw.panos.datasourcetype -
用于识别数据源中的 IP/用户映射的机制。
type: keyword
-
panw.panos.datasourcename -
发送 IP(端口)-用户映射的用户 ID 源。
type: keyword
-
panw.panos.factorno -
指示使用主身份验证 (1) 或附加因素 (2, 3)。
type: integer
-
panw.panos.factortype -
在存在多因素身份验证时,用于对用户进行身份验证的供应商。
type: keyword
-
panw.panos.factorcompletiontime -
完成身份验证的时间。
type: date
-
panw.panos.ugflags -
显示在用户组映射期间是否找到用户组。支持的值为:找到用户组 - 指示是否可以将用户映射到组。重复用户 - 指示是否在用户组中找到重复用户。如果未找到用户组,则显示 N/A。
type: keyword
device_group_hierarchy
一系列标识号,指示设备组在设备组层次结构中的位置。生成日志的防火墙(或虚拟系统)包括其设备组层次结构中每个祖先的标识号。共享设备组(级别 0)不包含在此结构中。如果日志值为 12、34、45、0,则表示该日志是由属于设备组 45 的防火墙(或虚拟系统)生成的,其祖先为 34 和 12。
-
panw.panos.device_group_hierarchy.level_1 -
一系列标识号,指示设备组在设备组层次结构中的位置。生成日志的防火墙(或虚拟系统)包括其设备组层次结构中每个祖先的标识号。共享设备组(级别 0)不包含在此结构中。如果日志值为 12、34、45、0,则表示该日志是由属于设备组 45 的防火墙(或虚拟系统)生成的,其祖先为 34 和 12。
type: keyword
-
panw.panos.device_group_hierarchy.level_2 -
一系列标识号,指示设备组在设备组层次结构中的位置。生成日志的防火墙(或虚拟系统)包括其设备组层次结构中每个祖先的标识号。共享设备组(级别 0)不包含在此结构中。如果日志值为 12、34、45、0,则表示该日志是由属于设备组 45 的防火墙(或虚拟系统)生成的,其祖先为 34 和 12。
type: keyword
-
panw.panos.device_group_hierarchy.level_3 -
一系列标识号,指示设备组在设备组层次结构中的位置。生成日志的防火墙(或虚拟系统)包括其设备组层次结构中每个祖先的标识号。共享设备组(级别 0)不包含在此结构中。如果日志值为 12、34、45、0,则表示该日志是由属于设备组 45 的防火墙(或虚拟系统)生成的,其祖先为 34 和 12。
type: keyword
-
panw.panos.device_group_hierarchy.level_4 -
一系列标识号,指示设备组在设备组层次结构中的位置。生成日志的防火墙(或虚拟系统)包括其设备组层次结构中每个祖先的标识号。共享设备组(级别 0)不包含在此结构中。如果日志值为 12、34、45、0,则表示该日志是由属于设备组 45 的防火墙(或虚拟系统)生成的,其祖先为 34 和 12。
type: keyword
-
panw.panos.timeout -
清除 IP/用户映射的超时时间。
type: integer
-
panw.panos.vsys_id -
Palo Alto Networks 防火墙上虚拟系统的唯一标识符。
type: keyword
-
panw.panos.vsys_name -
与会话关联的虚拟系统的名称;仅在启用多个虚拟系统的防火墙上有效。
type: keyword
-
panw.panos.description -
任何发生的事件的其他信息。
type: keyword
-
panw.panos.tunnel_type -
隧道类型(SSLVPN 或 IPSec)。
type: keyword
-
panw.panos.connect_method -
显示 GlobalProtect 应用如何连接到网关的字符串
type: keyword
-
panw.panos.matchname -
HIP 对象或配置文件的名称。
type: keyword
-
panw.panos.matchtype -
HIP 字段表示 HIP 对象还是 HIP 配置文件。
type: keyword
-
panw.panos.priority -
网关的优先级顺序,基于 GlobalProtect 应用可以连接到的最高 (1)、高 (2)、中 (3)、低 (4) 或最低 (5) 优先级。
type: keyword
-
panw.panos.response_time -
在隧道设置期间,在端点上测量的所选网关的 SSL 响应时间(以毫秒为单位)。
type: keyword
-
panw.panos.attempted_gateways -
为每个网关连接尝试收集的字段,包括网关名称、SSL 响应时间和优先级
type: keyword
-
panw.panos.gateway -
在门户配置中指定的网关名称。
type: keyword
-
panw.panos.selection_type -
选择连接到网关的连接方法。
type: keyword