› ›

Palo Alto Networks 模块

Palo Alto Networks 模块编辑

这是一个用于通过 Syslog 接收或从文件读取的 Palo Alto Networks PAN-OS 防火墙监控日志的模块。它目前支持流量和威胁类型的消息。

阅读快速入门，了解如何配置和运行模块。

此模块已使用运行 PAN-OS 7.1 至 9.0 版本的设备生成的日志进行测试，但预计早期版本会有有限的兼容性。

运行此模块需要ingest-geoip Elasticsearch 插件。

您可以通过在 modules.d/panw.yml 文件中指定变量设置，或在命令行中覆盖设置，进一步优化 panw 模块的行为。

您必须在模块中至少启用一个文件集。默认情况下，文件集处于禁用状态。

默认情况下，该模块配置为通过端口 9001 上的 syslog 运行。但是，它也可以配置为从文件中读取日志。请参阅以下示例。

- module: panw
  panos:
    enabled: true
    var.paths: ["/var/log/pan-os.log"]
    var.input: "file"

每个文件集都有单独的变量设置，用于配置模块的行为。如果您未指定变量设置，panw 模块将使用默认值。

对于高级用例，您还可以覆盖输入设置。请参阅覆盖输入设置。

当您在命令行中指定设置时，请记住在设置前加上模块名称，例如，使用 panw.panos.var.paths 而不是 panos.var.paths。

配置示例

  panos:
    var.syslog_host: 0.0.0.0
    var.syslog_port: 514

var.paths: 指定在何处查找日志文件的基于 glob 的路径数组。这里也支持Go Glob支持的所有模式。例如，您可以使用通配符从预定义的子目录级别获取所有文件：/path/to/log/*/*.log。这将获取 /path/to/log 子文件夹中的所有 .log 文件。它不会从 /path/to/log 文件夹本身获取日志文件。如果此设置为空，Filebeat 将根据您的操作系统选择日志路径。
var.syslog_host: 侦听基于 UDP 的 syslog 流量的接口。默认为 localhost。设置为 0.0.0.0 可绑定到所有可用接口。
var.syslog_port: 侦听 syslog 流量的 UDP 端口。默认为 9001

低于 1024 的端口需要 Filebeat 以 root 身份运行。

此模块解析不包含时区信息的日志。对于这些日志，Filebeat 读取本地时区，并在解析时使用它将时间戳转换为 UTC。用于解析的时区包含在 event.timezone 字段的事件中。

要禁用此转换，可以使用 drop_fields 处理器删除 event.timezone 字段。

如果日志源自与本地时区不同的系统或应用程序，则可以使用 add_fields 处理器用原始时区覆盖 event.timezone 字段。

有关在配置中指定处理器的详细信息，请参阅处理器。

这些是 PAN-OS 到 ECS 的字段映射，以及尚未包含在 ECS 中但在 panw.panos 前缀下添加的字段

表 8. 流量日志映射

PAN-OS 字段	ECS 字段	非标准字段
接收时间	event.created
序列号	observer.serial_number
类型	event.category
子类型	event.action
生成时间	`@timestamp`
源 IP	client.ip source.ip
目标 IP	server.ip destination.ip
NAT 源 IP		panw.panos.source.nat.ip
NAT 目标 IP		panw.panos.destination.nat.ip
规则名称		panw.panos.ruleset
源用户	client.user.name source.user.name
目标用户	server.user.name destination.user.name
应用程序	network.application
源区域		panw.panos.source.zone
目标区域		panw.panos.destination.zone
入口接口		panw.panos.source.interface
出口接口		panw.panos.destination.interface
会话 ID		panw.panos.flow_id
源端口	client.port source.port
目标端口	destination.port server.port
NAT 源端口		panw.panos.source.nat.port
NAT 目标端口		panw.panos.destination.nat.port
标志	标签
协议	network.transport
操作	event.outcome
字节数	network.bytes
发送字节数	client.bytes source.bytes
接收字节数	server.bytes destination.bytes
数据包	network.packets
开始时间	event.start
持续时间	event.duration
类别		panw.panos.url.category
序列号		panw.panos.sequence_number
发送数据包数	server.packets destination.packets
接收数据包数	client.packets source.packets
设备名称	observer.hostname

表 9. 威胁日志映射

PAN-OS 字段	ECS 字段	非标准字段
接收时间	event.created
序列号	observer.serial_number
类型	event.category
子类型	event.action
生成时间	`@timestamp`
源 IP	client.ip source.ip
目标 IP	server.ip destination.ip
NAT 源 IP		panw.panos.source.nat.ip
NAT 目标 IP		panw.panos.destination.nat.ip
规则名称		panw.panos.ruleset
源用户	client.user.name source.user.name
目标用户	server.user.name destination.user.name
应用程序	network.application
源区域		panw.panos.source.zone
目标区域		panw.panos.destination.zone
入口接口		panw.panos.source.interface
出口接口		panw.panos.destination.interface
会话 ID		panw.panos.flow_id
源端口	client.port source.port
目标端口	destination.port server.port
NAT 源端口		panw.panos.source.nat.port
NAT 目标端口		panw.panos.destination.nat.port
标志	标签
协议	network.transport
操作	event.outcome
其他	url.original	panw.panos.threat.resource
威胁 ID		panw.panos.threat.id
类别		panw.panos.url.category
严重性	log.level
方向	network.direction
源位置	source.geo.name
目标位置	destination.geo.name
PCAP_id		panw.panos.network.pcap_id
文件摘要		panw.panos.file.hash
用户代理	user_agent.original
文件类型	file.type
X-Forwarded-For	network.forwarded_ip
引用	http.request.referer
发件人	source.user.email
主题		panw.panos.subject
收件人	destination.user.email
设备名称	observer.hostname