› ›

Palo Alto Networks 模块

这是一个用于 Palo Alto Networks PAN-OS 防火墙监控日志的模块，这些日志通过 Syslog 接收或从文件中读取。它目前支持流量和威胁类型的消息。

请阅读快速入门，了解如何配置和运行模块。

此模块已使用运行 PAN-OS 版本 7.1 到 9.0 的设备生成的日志进行测试，但预计与早期版本兼容性有限。

运行此模块需要 ingest-geoip Elasticsearch 插件。

您可以通过在 modules.d/panw.yml 文件中指定变量设置，或在命令行中覆盖设置，来进一步细化 panw 模块的行为。

您必须在模块中启用至少一个文件集。 文件集默认处于禁用状态。

该模块默认配置为通过端口 9001 上的 syslog 运行。但是，它也可以配置为从文件中读取日志。请参阅以下示例。

- module: panw
  panos:
    enabled: true
    var.paths: ["/var/log/pan-os.log"]
    var.input: "file"

每个文件集都有单独的变量设置，用于配置模块的行为。如果您不指定变量设置，则 panw 模块将使用默认值。

对于高级用例，您还可以覆盖输入设置。请参阅覆盖输入设置。

当您在命令行中指定设置时，请记住在设置前加上模块名称，例如，panw.panos.var.paths 而不是 panos.var.paths。

配置示例

  panos:
    var.syslog_host: 0.0.0.0
    var.syslog_port: 514

var.paths: 一个基于 glob 的路径数组，指定查找日志文件的位置。此处也支持 Go Glob 支持的所有模式。例如，您可以使用通配符从预定义的子目录级别中获取所有文件：/path/to/log/*/*.log。这将从 /path/to/log 的子文件夹中获取所有 .log 文件。它不会从 /path/to/log 文件夹本身中获取日志文件。如果此设置留空，Filebeat 将根据您的操作系统选择日志路径。
var.syslog_host: 监听基于 UDP 的 syslog 流量的接口。默认为 localhost。设置为 0.0.0.0 以绑定到所有可用接口。
var.syslog_port: 用于监听 syslog 流量的 UDP 端口。默认为 9001

1024 以下的端口需要 Filebeat 以 root 身份运行。

此模块解析不包含时区信息的日志。对于这些日志，Filebeat 将读取本地时区，并在解析时使用它将时间戳转换为 UTC。用于解析的时区包含在事件的 event.timezone 字段中。

要禁用此转换，可以使用 drop_fields 处理器删除 event.timezone 字段。

如果日志源自时区与本地时区不同的系统或应用程序，可以使用 add_fields 处理器将 event.timezone 字段覆盖为原始时区。

有关在配置中指定处理器的信息，请参阅处理器。

这些是 PAN-OS 到 ECS 的字段映射，以及仍未在 ECS 中但在 panw.panos 前缀下添加的字段

表 9. 流量日志映射

PAN-OS 字段	ECS 字段	非标准字段
接收时间	event.created
序列号	observer.serial_number
类型	event.category
子类型	event.action
生成时间	`@timestamp`
源 IP	client.ip source.ip
目标 IP	server.ip destination.ip
NAT 源 IP		panw.panos.source.nat.ip
NAT 目标 IP		panw.panos.destination.nat.ip
规则名称		panw.panos.ruleset
源用户	client.user.name source.user.name
目标用户	server.user.name destination.user.name
应用程序	network.application
源区域		panw.panos.source.zone
目标区域		panw.panos.destination.zone
入口接口		panw.panos.source.interface
出口接口		panw.panos.destination.interface
会话 ID		panw.panos.flow_id
源端口	client.port source.port
目标端口	destination.port server.port
NAT 源端口		panw.panos.source.nat.port
NAT 目标端口		panw.panos.destination.nat.port
标志	labels
协议	network.transport
操作	event.outcome
字节数	network.bytes
已发送字节数	client.bytes source.bytes
已接收字节数	server.bytes destination.bytes
数据包数	network.packets
开始时间	event.start
经过时间	event.duration
类别		panw.panos.url.category
序列号		panw.panos.sequence_number
已发送数据包数	server.packets destination.packets
已接收数据包数	client.packets source.packets
设备名称	observer.hostname

表 10. 威胁日志映射

PAN-OS 字段	ECS 字段	非标准字段
接收时间	event.created
序列号	observer.serial_number
类型	event.category
子类型	event.action
生成时间	`@timestamp`
源 IP	client.ip source.ip
目标 IP	server.ip destination.ip
NAT 源 IP		panw.panos.source.nat.ip
NAT 目标 IP		panw.panos.destination.nat.ip
规则名称		panw.panos.ruleset
源用户	client.user.name source.user.name
目标用户	server.user.name destination.user.name
应用程序	network.application
源区域		panw.panos.source.zone
目标区域		panw.panos.destination.zone
入口接口		panw.panos.source.interface
出口接口		panw.panos.destination.interface
会话 ID		panw.panos.flow_id
源端口	client.port source.port
目标端口	destination.port server.port
NAT 源端口		panw.panos.source.nat.port
NAT 目标端口		panw.panos.destination.nat.port
标志	labels
协议	network.transport
操作	event.outcome
其他	url.original	panw.panos.threat.resource
威胁 ID		panw.panos.threat.id
类别		panw.panos.url.category
严重性	log.level
方向	network.direction
源位置	source.geo.name
目标位置	destination.geo.name
PCAP_id		panw.panos.network.pcap_id
Filedigest		panw.panos.file.hash
用户代理	user_agent.original
文件类型	file.type
X-Forwarded-For	network.forwarded_ip
引荐来源网址	http.request.referer
发件人	source.user.email
主题		panw.panos.subject
收件人	destination.user.email
设备名称	observer.hostname