Palo Alto Networks 集成
编辑Palo Alto Networks 集成
编辑此集成适用于通过 Syslog 接收或从文件中读取的 Palo Alto Networks PAN-OS 防火墙监控日志。它目前支持 GlobalProtect、HIP 匹配、威胁、流量、用户 ID、身份验证、配置、相关事件、解密、GTP、IP 标记、SCTP、系统和 隧道检查类型的消息。
兼容性
编辑- 此集成支持 PAN-OS 8.1 到 11.0 版本,但早期版本的兼容性有限。
- 此集成支持 PAN-OS 9.1.3 或更高版本的 GlobalProtect 日志。
- 此集成支持 PAN-OS 8.1 或更高版本的 User-ID 日志。
- 此集成支持 PAN-OS 9.1 或更高版本的隧道检查日志。
- 此集成支持配置变更日志,无论是否包含变更配置的详细信息(
before-change-detail和after-change-detail)。有关更多详细信息,请阅读注意。 - 此模块已使用运行 PAN-OS 7.1 到 11.0 版本的设备生成的日志进行了测试。
配置
编辑要配置 syslog 监控,请按照 配置 Syslog 监控中提到的步骤进行操作。
注意
编辑-
如果事件被截断,则增加 TCP 和 UDP 输入类型的
max_message_size选项。- 它可以在“高级选项”下找到,并且可以根据需要进行配置。
max_message_size的默认值设置为 50KiB。
- 它可以在“高级选项”下找到,并且可以根据需要进行配置。
- 如果使用 TCP 输入,建议将 PAN-OS 配置为使用 IETF (RFC 5424) 格式发送 syslog 消息。此外,默认情况下,TCP 输入将启用 RFC 6587 框架(八位字节计数)。
- 如果您想在 config-log 中查看更改前后的配置(字段
before-change-detail和after-change-detail),请在 syslog 服务器配置文件中使用以下 自定义日志格式:1,$receive_time,$serial,$type,$subtype,2561,$time_generated,$host,$vsys,$cmd,$admin,$client,$result,$path,$before-change-detail,$after-change-detail,$seqno,$actionflags,$dg_hier_level_1,$dg_hier_level_2,$dg_hier_level_3,$dg_hier_level_4,$vsys_name,$device_name,$dg_id,$comment,0,$high_res_timestamp
日志
编辑PAN-OS
编辑这是 panos 数据流。
示例
panos 的示例事件如下
{
"@timestamp": "2012-10-30T09:46:12.000Z",
"agent": {
"ephemeral_id": "df9cb56b-dbbb-4b0c-919d-cfab75836e80",
"id": "01cab955-0bdd-4b67-97d1-743fd31e19ea",
"name": "docker-fleet-agent",
"type": "filebeat",
"version": "8.14.1"
},
"data_stream": {
"dataset": "panw.panos",
"namespace": "65288",
"type": "logs"
},
"destination": {
"domain": "lorexx.cn",
"geo": {
"city_name": "Changchun",
"continent_name": "Asia",
"country_iso_code": "CN",
"country_name": "China",
"location": {
"lat": 43.88,
"lon": 125.3228
},
"name": "United States",
"region_iso_code": "CN-22",
"region_name": "Jilin Sheng"
},
"ip": "175.16.199.1",
"port": 80
},
"ecs": {
"version": "8.11.0"
},
"elastic_agent": {
"id": "01cab955-0bdd-4b67-97d1-743fd31e19ea",
"snapshot": false,
"version": "8.14.1"
},
"event": {
"action": "url_filtering",
"agent_id_status": "verified",
"category": [
"intrusion_detection",
"threat",
"network"
],
"created": "2024-08-15T19:31:00.703Z",
"dataset": "panw.panos",
"ingested": "2024-08-15T19:31:10Z",
"kind": "alert",
"original": "<14>Nov 30 16:09:08 PA-220 1,2012/10/30 09:46:12,01606001116,THREAT,url,1,2012/04/10 04:39:56,192.168.0.2,175.16.199.1,0.0.0.0,0.0.0.0,rule1,crusher,,web-browsing,vsys1,trust,untrust,ethernet1/2,ethernet1/1,forwardAll,2012/04/10 04:39:58,25149,1,59309,80,0,0,0x208000,tcp,alert,\"lorexx.cn/loader.exe\",(9999),not-resolved,informational,client-to-server,0,0x0,192.168.0.0-192.168.255.255,United States,0,text/html",
"outcome": "success",
"severity": 5,
"timezone": "+00:00",
"type": [
"allowed"
]
},
"input": {
"type": "tcp"
},
"labels": {
"captive_portal": true,
"container_page": true
},
"log": {
"level": "informational",
"source": {
"address": "172.19.0.4:52222"
},
"syslog": {
"facility": {
"code": 1,
"name": "user-level"
},
"hostname": "PA-220",
"priority": 14,
"severity": {
"code": 6,
"name": "Informational"
}
}
},
"message": "192.168.0.2,175.16.199.1,0.0.0.0,0.0.0.0,rule1,crusher,,web-browsing,vsys1,trust,untrust,ethernet1/2,ethernet1/1,forwardAll,2012/04/10 04:39:58,25149,1,59309,80,0,0,0x208000,tcp,alert,\"lorexx.cn/loader.exe\",(9999),not-resolved,informational,client-to-server,0,0x0,192.168.0.0-192.168.255.255,United States,0,text/html",
"network": {
"application": "web-browsing",
"community_id": "1:CpnxxiYk2GolQXL1AiyOIq2jeIE=",
"direction": "inbound",
"transport": "tcp",
"type": "ipv4"
},
"observer": {
"egress": {
"interface": {
"name": "ethernet1/1"
},
"zone": "untrust"
},
"ingress": {
"interface": {
"name": "ethernet1/2"
},
"zone": "trust"
},
"product": "PAN-OS",
"serial_number": "01606001116",
"type": "firewall",
"vendor": "Palo Alto Networks"
},
"panw": {
"panos": {
"action": "alert",
"action_flags": "0x0",
"flow_id": "25149",
"generated_time": "2012-04-10T04:39:56.000Z",
"http_content_type": "text/html",
"log_profile": "forwardAll",
"logged_time": "2012-04-10T04:39:58.000Z",
"received_time": "2012-10-30T09:46:12.000Z",
"repeat_count": 1,
"ruleset": "rule1",
"sequence_number": "0",
"sub_type": "url",
"threat": {
"id": "9999",
"name": "URL-filtering"
},
"type": "THREAT",
"url": {
"category": "not-resolved"
},
"virtual_sys": "vsys1"
}
},
"related": {
"ip": [
"192.168.0.2",
"175.16.199.1"
],
"user": [
"crusher"
]
},
"rule": {
"name": "rule1"
},
"source": {
"geo": {
"name": "192.168.0.0-192.168.255.255"
},
"ip": "192.168.0.2",
"port": 59309,
"user": {
"name": "crusher"
}
},
"tags": [
"preserve_original_event",
"panw-panos",
"forwarded"
],
"url": {
"domain": "lorexx.cn",
"extension": "exe",
"original": "lorexx.cn/loader.exe",
"path": "/loader.exe"
},
"user": {
"name": "crusher"
}
}
导出的字段
| 字段 | 描述 | 类型 |
|---|---|---|
@timestamp |
事件时间戳。 |
日期 |
client.bytes |
从客户端发送到服务器的字节数。 |
long |
client.ip |
客户端的 IP 地址(IPv4 或 IPv6)。 |
ip |
client.nat.ip |
基于源的 NAT 会话的转换 IP(例如,内部客户端到 Internet)。通常是经过负载均衡器、防火墙或路由器的连接。 |
ip |
client.nat.port |
基于源的 NAT 会话的转换端口(例如,内部客户端到 Internet)。通常是经过负载均衡器、防火墙或路由器的连接。 |
long |
client.packets |
从客户端发送到服务器的数据包。 |
long |
client.port |
客户端的端口。 |
long |
client.user.name |
用户的短名称或登录名。 |
keyword |
client.user.name.text |
|
match_only_text |
cloud.account.id |
用于在多租户环境中标识不同实体的云帐户或组织 ID。示例:AWS 帐户 ID、Google Cloud ORG ID 或其他唯一标识符。 |
keyword |
cloud.availability_zone |
此主机正在运行的可用区。 |
keyword |
cloud.image.id |
云实例的映像 ID。 |
keyword |
cloud.instance.id |
主机机器的实例 ID。 |
keyword |
cloud.instance.name |
主机机器的实例名称。 |
keyword |
cloud.machine.type |
主机机器的机器类型。 |
keyword |
cloud.project.id |
Google Cloud 中项目的名称。 |
keyword |
cloud.provider |
云提供商的名称。示例值包括 aws、azure、gcp 或 digitalocean。 |
keyword |
cloud.region |
此主机正在运行的区域。 |
keyword |
container.id |
唯一容器 ID。 |
keyword |
container.image.name |
构建容器所基于的映像的名称。 |
keyword |
container.labels |
映像标签。 |
object |
container.name |
容器名称。 |
keyword |
data_stream.dataset |
数据流数据集。 |
constant_keyword |
data_stream.namespace |
数据流命名空间。 |
constant_keyword |
data_stream.type |
数据流类型。 |
constant_keyword |
destination.address |
某些事件目标地址的定义不明确。事件有时会列出 IP、域或 Unix 套接字。您应该始终将原始地址存储在 |
keyword |
destination.as.number |
分配给自治系统的唯一编号。自治系统编号 (ASN) 唯一标识 Internet 上的每个网络。 |
long |
destination.as.organization.name |
组织名称。 |
keyword |
destination.as.organization.name.text |
|
match_only_text |
destination.bytes |
从目标发送到源的字节数。 |
long |
destination.domain |
目标系统的域名。此值可以是主机名、完全限定的域名或其他主机命名格式。该值可能来自原始事件,也可能来自充实。 |
keyword |
destination.geo.city_name |
城市名称。 |
keyword |
destination.geo.continent_name |
大陆名称。 |
keyword |
destination.geo.country_iso_code |
国家 ISO 代码。 |
keyword |
destination.geo.country_name |
国家名称。 |
keyword |
destination.geo.location |
经度和纬度。 |
geo_point |
destination.geo.name |
用户定义的位置描述,在其关心的粒度级别。可以是其数据中心的名称、楼层号(如果这描述的是本地物理实体)、城市名称。通常不用于自动地理位置。 |
keyword |
destination.geo.region_iso_code |
区域 ISO 代码。 |
keyword |
destination.geo.region_name |
区域名称。 |
keyword |
destination.ip |
目标的 IP 地址(IPv4 或 IPv6)。 |
ip |
destination.nat.ip |
基于目标的 NAT 会话的转换 IP(例如,从 Internet 到私有 DMZ)。通常与负载均衡器、防火墙或路由器一起使用。 |
ip |
destination.nat.port |
源会话由 NAT 设备转换成的端口。通常与负载均衡器、防火墙或路由器一起使用。 |
long |
destination.packets |
从目标发送到源的数据包。 |
long |
destination.port |
目标的端口。 |
long |
destination.user.domain |
用户所属目录的名称。例如,LDAP 或 Active Directory 域名。 |
keyword |
destination.user.email |
用户电子邮件地址。 |
keyword |
destination.user.name |
用户的短名称或登录名。 |
keyword |
destination.user.name.text |
|
match_only_text |
ecs.version |
此事件符合的 ECS 版本。 |
keyword |
error.message |
错误消息。 |
match_only_text |
event.action |
事件捕获的操作。这描述了事件中的信息。它比 |
keyword |
event.category |
这是四个 ECS 分类字段之一,表示 ECS 类别层次结构中的第二级。 |
keyword |
event.code |
此事件的标识代码(如果存在)。某些事件源使用事件代码来明确标识消息,而不管消息语言或随时间调整的措辞。这方面的一个示例是 Windows 事件 ID。 |
keyword |
event.created |
|
日期 |
event.dataset |
事件数据集。 |
constant_keyword |
event.duration |
事件的持续时间,以纳秒为单位。如果已知 |
long |
event.end |
|
日期 |
event.kind |
这是四个 ECS 分类字段之一,表示 ECS 类别层次结构中的最高级别。 |
keyword |
event.module |
事件模块。 |
constant_keyword |
event.original |
整个事件的原始文本消息。用于演示日志完整性,或在可能需要完整日志消息(在将其拆分为多个部分之前)的情况下,例如用于重新索引。此字段未被索引,且禁用了 doc_values。它无法被搜索,但可以从 |
keyword |
event.outcome |
这是四个 ECS 分类字段之一,表示 ECS 类别层次结构中的最低级别。 |
keyword |
event.reason |
根据来源,此事件发生的原因。这描述了事件中捕获的特定操作或结果的原因。如果 |
keyword |
event.severity |
根据您的事件源,事件的数值严重性。不同的严重性值含义在不同的来源和用例之间可能有所不同。由实施者负责确保来自同一来源的事件的严重性保持一致。Syslog 严重性属于 |
long |
event.start |
|
日期 |
event.timezone |
当事件的时间戳未包含时区信息时(例如,默认的 Syslog 时间戳),应填充此字段。否则为可选。可接受的时区格式包括:规范 ID(例如“Europe/Amsterdam”)、缩写形式(例如“EST”)或 HH:mm 差值(例如“-05:00”)。 |
keyword |
event.type |
这是四个 ECS 分类字段之一,表示 ECS 类别层次结构中的第三级。 |
keyword |
file.name |
文件名,包括扩展名,不带目录。 |
keyword |
file.path |
文件的完整路径,包括文件名。它应包括驱动器盘符(如果适用)。 |
keyword |
file.path.text |
|
match_only_text |
file.type |
文件类型(文件、目录或符号链接)。 |
keyword |
host.architecture |
操作系统架构。 |
keyword |
host.containerized |
如果主机是容器。 |
布尔值 |
host.domain |
主机所属域的名称。例如,在 Windows 上,这可能是主机的 Active Directory 域或 NetBIOS 域名。对于 Linux,这可能是主机 LDAP 提供程序的域。 |
keyword |
host.hostname |
主机的hostname。它通常包含主机上 |
keyword |
host.id |
唯一的主机 ID。由于主机名并非总是唯一的,请使用在您的环境中具有意义的值。示例:当前使用的 |
keyword |
host.ip |
主机 IP 地址。 |
ip |
host.mac |
主机 MAC 地址。建议使用 RFC 7042 中的表示法格式:每个八位字节(即 8 位字节)由两个 [大写] 十六进制数字表示,给出八位字节的值作为无符号整数。连续的八位字节用连字符分隔。 |
keyword |
host.name |
主机的名称。它可以包含 Unix 系统上 hostname 返回的内容、完全限定域名 (FQDN) 或用户指定的名称。建议的值是主机的小写 FQDN。 |
keyword |
host.os.build |
操作系统构建信息。 |
keyword |
host.os.codename |
操作系统代号(如果有)。 |
keyword |
host.os.family |
操作系统系列(例如 redhat、debian、freebsd、windows)。 |
keyword |
host.os.full |
操作系统名称,包括版本或代号。 |
keyword |
host.os.full.text |
|
match_only_text |
host.os.kernel |
操作系统内核版本,作为原始字符串。 |
keyword |
host.os.name |
操作系统名称,不带版本。 |
keyword |
host.os.name.text |
|
文本 |
host.os.platform |
操作系统平台(例如 centos、ubuntu、windows)。 |
keyword |
host.os.version |
操作系统版本,作为原始字符串。 |
keyword |
host.type |
主机类型。对于云提供商,这可以是机器类型,例如 |
keyword |
hostname |
从 syslog 消息解析的主机名。 |
keyword |
http.request.method |
HTTP 请求方法。该值应保留原始事件中的大小写。例如, |
keyword |
http.request.referer |
此 HTTP 请求的引荐来源。 |
keyword |
http.request.referrer |
此 HTTP 请求的引荐来源。 |
keyword |
http.version |
HTTP 版本。 |
keyword |
input.type |
Filebeat 输入类型。 |
keyword |
labels |
自定义键/值对。可用于向事件添加元信息。不应包含嵌套对象。所有值都存储为关键字。示例: |
object |
labels.captive_portal |
布尔值 |
|
labels.client_server_policy_based_forwarding |
布尔值 |
|
labels.connect_to_destination_host |
布尔值 |
|
labels.container_page |
布尔值 |
|
labels.decrypted_traffic |
布尔值 |
|
labels.enterprise_credential_submission |
布尔值 |
|
labels.file_submitted_to_WildFire |
布尔值 |
|
labels.http_proxy |
布尔值 |
|
labels.ipv6_session |
布尔值 |
|
labels.nat_translated |
布尔值 |
|
labels.non_standard_port_usage |
布尔值 |
|
labels.payload_outer_tunnel |
布尔值 |
|
labels.pcap_included |
布尔值 |
|
labels.server_client_policy_based_forwarding |
布尔值 |
|
labels.source_flow_allow_list |
布尔值 |
|
labels.ssl_decrypted |
布尔值 |
|
labels.symmetric_return |
布尔值 |
|
labels.temporary_match |
布尔值 |
|
labels.url_filter_denied |
布尔值 |
|
labels.x_forwarded_for |
布尔值 |
|
log.file.path |
日志文件的路径。 |
keyword |
log.flags |
日志文件的标志。 |
keyword |
log.level |
日志事件的原始日志级别。如果事件源提供了日志级别或文本严重性,则此级别将进入 |
keyword |
log.offset |
日志文件中条目的偏移量。 |
long |
log.source.address |
读取/发送日志事件的源地址。 |
keyword |
log.syslog.facility.code |
如果可用,则为日志事件的 Syslog 数字设备。根据 RFC 5424 和 3164,此值应为介于 0 和 23 之间的整数。 |
long |
log.syslog.facility.name |
如果可用,则为日志事件的基于文本的 Syslog 设备。 |
keyword |
log.syslog.hostname |
最初发送 Syslog 消息的机器的主机名、FQDN 或 IP。这来自 syslog 标头的主机名字段。根据环境,此值可能与处理事件的主机不同,尤其是在处理事件的主机充当收集器的情况下。 |
keyword |
log.syslog.priority |
如果可用,则为事件的 Syslog 数字优先级。根据 RFC 5424 和 3164,优先级为 8 * 设备 + 严重性。因此,该数字预计包含介于 0 和 191 之间的值。 |
long |
log.syslog.severity.code |
如果可用,则为日志事件的 Syslog 数字严重性。如果通过 Syslog 发布事件的事件源提供了不同的数值严重性值(例如,防火墙、IDS),则您的源的数值严重性应进入 |
long |
log.syslog.severity.name |
如果可用,则为日志事件的 Syslog 数字严重性。如果通过 Syslog 发布事件的事件源提供了不同的严重性值(例如,防火墙、IDS),则您的源的文本严重性应进入 |
keyword |
log.syslog.version |
Syslog 协议规范的版本。仅适用于 RFC 5424 消息。 |
keyword |
message |
对于日志事件,message 字段包含日志消息,该消息已针对在日志查看器中查看进行了优化。对于没有原始消息字段的结构化日志,可以将其他字段连接起来以形成事件的人类可读摘要。如果存在多条消息,则可以将它们合并为一条消息。 |
match_only_text |
network.application |
当从网络连接详细信息(源/目标 IP、端口、证书或线路格式)中识别出特定的应用程序或服务时,此字段会捕获该应用程序或服务的名称。例如,原始事件识别出网络连接来自 |
keyword |
network.bytes |
双向传输的总字节数。如果已知 |
long |
network.community_id |
源和目标 IP 及端口的哈希值,以及通信中使用的协议。这是一种与工具无关的用于识别流的标准。请访问 https://github.com/corelight/community-id-spec 了解更多信息。 |
keyword |
network.direction |
网络流量的方向。当从基于主机的监控环境中映射事件时,请从主机的角度使用“ingress”或“egress”值填充此字段。当从基于网络或边界的监控环境中映射事件时,请从网络边界的角度使用“inbound”、“outbound”、“internal”或“external”值填充此字段。请注意,“internal”不跨越边界,旨在描述边界内两台主机之间的通信。另请注意,“external”旨在描述边界外部两台主机之间的流量。例如,这对于 ISP 或 VPN 服务提供商可能很有用。 |
keyword |
network.forwarded_ip |
当源 IP 地址为代理时,主机 IP 地址。 |
ip |
network.packets |
双向传输的总数据包数。如果已知 |
long |
network.transport |
与 network.iana_number 相同,但使用传输层的关键字名称(udp、tcp、ipv6-icmp 等)。为了便于查询,该字段的值必须被规范化为小写。 |
keyword |
network.type |
在 OSI 模型中,这将是网络层。ipv4、ipv6、ipsec、pim 等。为了便于查询,该字段的值必须被规范化为小写。 |
keyword |
observer.egress.interface.name |
系统报告的接口名称。 |
keyword |
observer.egress.zone |
观察者报告的出站流量的网络区域,用于对出站流量的目标区域进行分类,例如内部、外部、DMZ、HR、法律等。 |
keyword |
observer.geo.name |
用户定义的位置描述,在其关心的粒度级别。可以是其数据中心的名称、楼层号(如果这描述的是本地物理实体)、城市名称。通常不用于自动地理位置。 |
keyword |
观察者的主机名。 |
observer.hostname |
keyword |
observer.ingress.interface.name |
系统报告的接口名称。 |
keyword |
observer.ingress.zone |
观察者报告的入站流量的网络区域,用于对入站流量的来源区域进行分类。例如,内部、外部、DMZ、HR、法律等。 |
keyword |
observer.product |
观察者的产品名称。 |
keyword |
observer.serial_number |
观察者的序列号。 |
keyword |
observer.type |
数据来源的观察者类型。没有预定义的观察者类型列表。一些示例包括 |
keyword |
observer.vendor |
观察者的供应商名称。 |
keyword |
panw.panos.access_point.name |
引用移动网络中的分组数据网络数据网关 (PGW)/网关 GPRS 支持节点。由强制性 APN 网络标识符和可选 APN 运营商标识符组成。 |
keyword |
panw.panos.action |
为会话采取的操作;值包括 alert、allow、deny、drop、drop-all-packets、reset-client、reset-server、reset-both、block-url。 |
keyword |
panw.panos.action_flags |
一个位字段,指示日志是否已转发到 Panorama。 |
keyword |
panw.panos.action_source |
指定允许或阻止应用程序的操作是在应用程序中还是在策略中定义的。对于会话,操作可以是 allow、deny、drop、reset- server、reset-client 或 reset-both。 |
keyword |
panw.panos.admin |
执行配置的管理员的用户名。 |
keyword |
panw.panos.after_change_detail |
此字段仅存在于自定义日志中;默认格式中没有。它包含配置更改后的完整 xpath。 |
match_only_text |
panw.panos.application.category |
应用程序配置属性中指定的应用程序类别。值包括:business-systems、collaboration、general-internet、media、networking、saas。 |
keyword |
panw.panos.application.characteristics |
适用应用程序特性的逗号分隔列表。 |
keyword |
panw.panos.application.container |
应用程序的父应用程序。 |
keyword |
panw.panos.application.is_saas |
如果 SaaS 应用程序则显示 1,否则显示 0。 |
keyword |
panw.panos.application.is_sanctioned |
如果应用程序被批准则显示 1,否则显示 0。 |
keyword |
panw.panos.application.risk_level |
与应用程序关联的风险级别(1=最低到 5=最高)。 |
long |
panw.panos.application.sub_category |
应用程序配置属性中指定的应用程序子类别。 |
keyword |
panw.panos.application.technology |
应用程序配置属性中指定的应用程序技术。值包括:browser-based、client-server、network-protocol、peer-to-peer。 |
keyword |
panw.panos.application.tunneled |
隧道应用程序的名称。 |
keyword |
panw.panos.area_code |
公共陆地移动网络 (PLMN) 内的区域。 |
keyword |
panw.panos.attempted_gateways |
为每个网关连接尝试收集的字段,包括网关名称、SSL 响应时间和优先级(每个字段条目之间用逗号分隔,例如 g82-gateway,12,3。每个网关条目之间用分号分隔,例如 g83-gateway,10,2;g84-gateway,-1,1。 |
keyword |
panw.panos.auth_method |
显示身份验证类型的字符串,例如 LDAP、RADIUS 或 SAML。 |
keyword |
panw.panos.authentication.id |
在主身份验证和附加(多因素)身份验证中给定的唯一 ID。 |
keyword |
panw.panos.authentication.policy |
在允许访问受保护的资源之前,为身份验证调用的策略。 |
keyword |
panw.panos.authentication.protocol |
指示服务器使用的身份验证协议。例如,带有 GTC 的 PEAP。 |
keyword |
panw.panos.before_change_detail |
此字段仅存在于自定义日志中;默认格式中没有。它包含配置更改前的完整 xpath。 |
keyword |
panw.panos.bytes_received |
会话中服务器到客户端方向的字节数。 |
long |
panw.panos.bytes_sent |
会话中客户端到服务器方向的字节数。 |
long |
panw.panos.category |
对网络、用户或主机造成的威胁或危害的总结。 |
keyword |
panw.panos.cause_code |
日志响应中的 GTP 原因值,其中包含一个信息元素,该元素提供有关网络节点接受或拒绝 GTP 请求的信息。 |
keyword |
panw.panos.cell.id |
区域代码内的基站。 |
keyword |
panw.panos.certificate.fingerprint |
x509 二进制格式的证书哈希值。 |
keyword |
panw.panos.certificate.flags |
证书标志可以返回七个值:b_resume_session、b_cert_cn_truncated、b_issuer_cn_truncated、b_root_cn_truncated、b_sni_truncated、b_cert_type、padding3。 |
keyword |
panw.panos.certificate.not_after |
证书过期的日期(证书在此时间后失效)。 |
日期 |
panw.panos.certificate.not_before |
证书生效的日期(证书在此时间之前无效)。 |
日期 |
panw.panos.certificate.raw_size |
原始证书密钥大小。 |
keyword |
panw.panos.certificate.serial_number |
证书的唯一标识符(由证书颁发者生成)。 |
keyword |
panw.panos.certificate.size |
证书密钥大小。 |
long |
panw.panos.certificate.version |
证书版本(V1、V2 或 V3)。 |
keyword |
panw.panos.chain_status |
链是否受信任。值包括:Uninspected、Untrusted、Trusted、Incomplete |
keyword |
panw.panos.client.os |
客户端设备的操作系统类型(例如,Windows 或 Linux)。 |
keyword |
panw.panos.client.os_version |
客户端设备的操作系统版本。 |
keyword |
panw.panos.client_type |
管理员或完成身份验证所使用的客户端类型。 |
keyword |
panw.panos.client_ver |
客户端的 GlobalProtect 应用程序版本。 |
keyword |
panw.panos.cloud_report.id |
由防火墙发送的 DLP 云服务扫描的文件的唯一 32 字符 ID。 |
keyword |
panw.panos.cmd |
管理员执行的命令;值包括 add、clone、commit、delete、edit、move、rename、set,或由 cli、gui、gui-opt、gnmi 或 rest 生成的任何命令; |
keyword |
panw.panos.cmd_source |
生成审计日志的命令的来源。值包括:cli、gui、gui-op、gnmi、rest。 |
keyword |
panw.panos.comment |
在策略规则配置更改中输入的审计注释。 |
keyword |
panw.panos.config_version |
软件版本。 |
keyword |
panw.panos.connect_method |
显示 GlobalProtect 应用程序如何连接到网关的字符串(例如,按需或用户登录)。 |
keyword |
panw.panos.container.id |
PAN-NGFW Pod 在部署应用程序 POD 的 Kubernetes 节点上的容器 ID。 |
keyword |
panw.panos.content_version |
生成日志时防火墙上的应用程序和威胁版本。 |
keyword |
panw.panos.datasource |
收集映射信息的来源。 |
keyword |
panw.panos.datasource_subtype |
用于识别数据源中 IP 地址到用户名的映射的机制。 |
keyword |
panw.panos.datasource_type |
收集映射信息的来源。 |
keyword |
panw.panos.datasourcename |
发送 IP (端口)-用户映射的 User-ID 源。 |
keyword |
panw.panos.datasourcetype |
用于识别数据源中 IP/用户映射的机制。 |
keyword |
panw.panos.description |
有关发生的任何事件的附加信息。 |
文本 |
panw.panos.destination.ip |
原始会话目标 IP 地址。 |
ip |
panw.panos.destination.location |
目标国家/地区或私有地址的内部区域。最大长度为 32 字节。 |
keyword |
panw.panos.destination.nat.ip |
如果执行了目标 NAT,则为 NAT 后的目标 IP 地址。 |
ip |
panw.panos.destination.nat.port |
NAT 后的目标端口。 |
long |
panw.panos.destination.port |
会话使用的目标端口。 |
long |
panw.panos.destination.user |
会话目标用户的用户名。 |
keyword |
panw.panos.destination.zone |
会话的目标区域。 |
keyword |
panw.panos.destination_vm_uuid |
在 VMware NSX 环境中标识来宾虚拟机的目标通用唯一标识符。 |
keyword |
panw.panos.device_group_hierarchy1 |
指示设备组在设备组层次结构中的位置的标识号序列。生成日志的防火墙(或虚拟系统)包括其设备组层次结构中每个祖先的标识号。共享设备组(级别 0)不包含在此结构中。 |
keyword |
panw.panos.device_group_hierarchy2 |
指示设备组在设备组层次结构中的位置的标识号序列。生成日志的防火墙(或虚拟系统)包括其设备组层次结构中每个祖先的标识号。共享设备组(级别 0)不包含在此结构中。 |
keyword |
panw.panos.device_group_hierarchy3 |
指示设备组在设备组层次结构中的位置的标识号序列。生成日志的防火墙(或虚拟系统)包括其设备组层次结构中每个祖先的标识号。共享设备组(级别 0)不包含在此结构中。 |
keyword |
panw.panos.device_group_hierarchy4 |
指示设备组在设备组层次结构中的位置的标识号序列。生成日志的防火墙(或虚拟系统)包括其设备组层次结构中每个祖先的标识号。共享设备组(级别 0)不包含在此结构中。 |
keyword |
panw.panos.device_group_id |
如果由 Panorama™ 管理服务器管理,则防火墙所属的设备组。 |
keyword |
panw.panos.device_name |
记录会话的防火墙的主机名。 |
keyword |
panw.panos.diameter_app_id |
触发事件的数据块中的 Diameter 应用程序。Diameter 应用程序 ID 由 Internet Assigned Numbers Authority (IANA) 分配。 |
keyword |
panw.panos.diameter_avp_code |
触发事件的数据块中的 Diameter AVP 代码。 |
keyword |
panw.panos.diameter_cmd_code |
触发事件的数据块中的 Diameter 命令代码。Diameter 命令代码由互联网号码分配机构 (IANA) 分配。 |
keyword |
panw.panos.domain_edl |
包含流量域名信息的外部动态列表的名称。 |
keyword |
panw.panos.dst.category |
设备 ID 标识为流量目的地的设备的类别。 |
keyword |
panw.panos.dst.dynamic_address_group |
原始目标源动态地址组。 |
keyword |
panw.panos.dst.external_dynamic_list |
包含流量目标 IP 地址的外部动态列表的名称。 |
keyword |
panw.panos.dst.host |
设备 ID 标识为流量目的地的设备的主机名。 |
keyword |
panw.panos.dst.mac |
设备 ID 标识为流量目的地的设备的 MAC 地址。 |
keyword |
panw.panos.dst.model |
设备 ID 标识为流量目的地的设备的型号。 |
keyword |
panw.panos.dst.os.family |
设备 ID 标识为流量目的地的设备的操作系统类型。 |
keyword |
panw.panos.dst.os.version |
设备 ID 标识为流量目的地的设备的操作系统版本。 |
keyword |
panw.panos.dst.profile |
设备 ID 标识为流量目的地的设备的设备配置文件。 |
keyword |
panw.panos.dst.vendor |
设备 ID 标识为流量目的地的设备的供应商。 |
keyword |
panw.panos.dynamic_user.group.name |
包含发起会话的用户的动态用户组的名称。 |
keyword |
panw.panos.elapsed_time |
会话的持续时间。 |
long |
panw.panos.elliptic_curve |
客户端和服务器协商并用于使用 ECDHE 密码套件的连接的椭圆密码曲线。 |
keyword |
panw.panos.end_ip_address |
由 PGW/GGSN 分配的移动用户的 IP 地址。 |
ip |
panw.panos.endreason |
会话终止的原因。 |
keyword |
panw.panos.error_code |
与发生的任何错误关联的整数。 |
整数 |
panw.panos.error_message |
显示任何事件中发生的错误的字符串。 |
keyword |
panw.panos.event.id |
显示事件名称的字符串。 |
keyword |
panw.panos.event.outcome |
显示事件结果的字符串。 |
keyword |
panw.panos.event.reason |
显示隔离原因的字符串。 |
keyword |
panw.panos.event.result |
身份验证尝试的结果。 |
keyword |
panw.panos.event.status |
事件的状态(成功或失败)。 |
keyword |
panw.panos.event_code |
描述 GTP 事件的事件代码。 |
keyword |
panw.panos.event_type |
定义当 GTP 保护配置文件中的检查应用于 GTP 流量时,由 GTP 消息触发的事件。也由 GTP 会话的开始或结束触发。 |
keyword |
panw.panos.evidence |
指示主机与相关对象中定义的条件匹配了多少次的摘要语句。例如,主机访问已知恶意软件 URL (19 次)。 |
keyword |
panw.panos.factorcompletiontime |
身份验证完成的时间。 |
日期 |
panw.panos.factorno |
指示主身份验证 (1) 或其他因素 (2, 3) 的使用。 |
整数 |
panw.panos.factortype |
当存在多因素身份验证时,用于验证用户的供应商。 |
keyword |
panw.panos.file.hash |
仅适用于 WildFire 子类型;所有其他类型不使用此字段。filedigest 字符串显示发送到 WildFire 服务进行分析的文件的二进制哈希值。 |
keyword |
panw.panos.file.type |
仅适用于 WildFire 子类型;所有其他类型不使用此字段。指定防火墙转发以进行 WildFire 分析的文件类型。 |
keyword |
panw.panos.flow_id |
应用于每个会话的内部数字标识符。 |
keyword |
panw.panos.forwarded_ip |
仅适用于 URL 过滤子类型;所有其他类型不使用此字段。HTTP 标头中的 X-Forwarded-For 字段包含请求网页的用户的 IP 地址。它允许您识别用户的 IP 地址,如果您在网络上有一个代理服务器,该代理服务器在数据包标头的源 IP 地址字段中用自己的地址替换用户 IP 地址,这将非常有用。 |
ip |
panw.panos.gateway |
门户配置上指定的网关名称。 |
keyword |
panw.panos.generated_time |
数据平面上生成日志的时间。 |
日期 |
panw.panos.hash |
用于会话的身份验证算法,例如,SHA、SHA256、SHA384 等。 |
keyword |
panw.panos.high_resolution_timestamp |
管理平面接收日志的时间(以毫秒为单位)。此新字段的格式为 YYYY-MM-DDThh:ss:sssTZD。 |
日期 |
panw.panos.host.id |
GlobalProtect 分配的用于识别主机的唯一 ID。 |
keyword |
panw.panos.host.ip |
客户端计算机的主机名或 IP 地址。 |
ip |
panw.panos.hs_stage_c2f |
从客户端到防火墙的 TLS 握手阶段。 |
keyword |
panw.panos.hs_stage_f2s |
从防火墙到服务器的 TLS 握手阶段。 |
keyword |
panw.panos.http2_connection |
通过显示以下值之一来标识流量是否使用了 HTTP/2 连接:TCP 连接会话 ID - 会话是 HTTP/2,0 - 会话不是 HTTP/2。 |
keyword |
panw.panos.http_content_type |
HTTP 响应数据的内容类型。 |
keyword |
panw.panos.http_headers |
指示防火墙上 URL 日志条目中插入的 HTTP 标头。 |
keyword |
panw.panos.http_method |
描述 Web 请求中使用的 HTTP 方法。 |
keyword |
panw.panos.imei |
国际移动设备识别码 (IMEI) 是分配给每个移动站设备的唯一的 15 或 16 位数字。 |
keyword |
panw.panos.imsi |
国际移动用户识别码 (IMSI) 是分配给 GSM/UMTS/EPS 系统中每个移动用户的唯一号码。 |
keyword |
panw.panos.inbound_interface |
会话的来源接口。 |
keyword |
panw.panos.interface |
接收到 GTP 消息的 3GPP 接口。 |
keyword |
panw.panos.is_offloaded |
如果流量已卸载,则显示 1;如果流量未卸载,则显示 0。 |
keyword |
panw.panos.issuer_common_name.length |
颁发者通用名称的长度。 |
long |
panw.panos.issuer_common_name.value |
验证证书内容的组织的名称。 |
keyword |
panw.panos.justification |
数据过滤操作的理由。 |
keyword |
panw.panos.link.change_count |
会话期间发生的链路抖动次数。 |
long |
panw.panos.link.switches |
包含最多四个链路抖动条目,每个条目包含链路名称、链路标记、链路类型、物理接口、时间戳、读取的字节数、写入的字节数、链路运行状况和链路抖动原因。 |
keyword |
panw.panos.location |
显示管理员定义的 GlobalProtect 门户或网关位置的字符串。 |
keyword |
panw.panos.log_profile |
用户计算机或设备的 MAC 地址。 |
keyword |
panw.panos.logged_time |
接收到日志的时间。 |
日期 |
panw.panos.login_duration |
用户从登录到注销连接到 GlobalProtect 网关的时间长度(以秒为单位)。 |
long |
panw.panos.machine.mac_address |
用户计算机或设备的 MAC 地址。 |
keyword |
panw.panos.machine.name |
用户计算机的名称。 |
keyword |
panw.panos.machine.os |
安装在用户计算机或设备上(或客户端系统上)的操作系统。 |
keyword |
panw.panos.matchname |
HIP 对象或配置文件的名称。 |
keyword |
panw.panos.matchtype |
文档是代表 HIP 对象还是 HIP 配置文件。 |
keyword |
panw.panos.max_encapsulation |
由于数据包超出了隧道检查策略规则中配置的最大封装级别,防火墙丢弃的数据包数。 |
long |
panw.panos.mcc |
服务核心网络运营商的移动国家代码。 |
keyword |
panw.panos.message_type |
指示 GTP 消息类型。 |
keyword |
panw.panos.misc |
具有可变长度的字段,并根据威胁子类型包含 URL、文件名。文件名最多 63 个字符。URL 最多 1023 个字符。 |
keyword |
panw.panos.mnc |
服务核心网络运营商的移动网络代码。 |
keyword |
panw.panos.module |
仅当子类型字段的值为 general 时,此字段才有效。它提供有关生成日志的子系统的其他信息;值为 general、management、auth、ha、upgrade、chassis。 |
keyword |
panw.panos.msisdn |
与移动用户关联的服务标识,由国家代码、国家目的地代码和用户组成。仅由十进制数字 (0-9) 组成,最多 15 位。 |
keyword |
panw.panos.network.application |
与会话关联的应用程序。 |
keyword |
panw.panos.network.bytes |
会话的总字节数(发送和接收)。 |
long |
panw.panos.network.direction |
指示攻击的方向,客户端到服务器或服务器到客户端:0 - 威胁的方向是客户端到服务器,1 - 威胁的方向是服务器到客户端。 |
keyword |
panw.panos.network.nat.community_id |
NAT 5 元组的 Community ID 流哈希。 |
keyword |
panw.panos.network.packets |
会话的总数据包数(发送和接收)。 |
long |
panw.panos.network.pcap_id |
数据包捕获 (pcap) ID 是一个 64 位无符号整数,表示一个 ID,用于将威胁 pcap 文件与作为该流程一部分的扩展 pcap 相关联。所有威胁日志都将包含 0(没有关联的 pcap)的 pcap_id,或者引用扩展 pcap 文件的 ID。 |
keyword |
panw.panos.normalize_user |
正在身份验证的用户名的标准化版本(例如,将域名附加到用户名)。 |
keyword |
panw.panos.nsdsai_sd |
网络切片 ID 的 A 切片区分符。 |
keyword |
panw.panos.nsdsai_sst |
网络切片 ID 的 A 切片服务类型。 |
keyword |
panw.panos.nssai_sd |
网络切片 ID 的 A 切片区分符。 |
keyword |
panw.panos.nssai_sst |
网络切片 ID 的 A 切片服务类型。 |
keyword |
panw.panos.object.id |
与系统事件关联的对象的名称。 |
keyword |
panw.panos.object.name |
匹配的相关对象的名称。 |
keyword |
panw.panos.observer.serial_number |
生成日志的设备的序列号。 |
keyword |
panw.panos.op_code |
标识触发事件的数据块中应用层 SS7 协议(如 MAP 或 CAP)的操作代码。 |
keyword |
panw.panos.outbound_interface |
会话的目标接口。 |
keyword |
panw.panos.packets_received |
会话的服务器到客户端的数据包数。 |
long |
panw.panos.packets_sent |
会话的客户端到服务器的数据包数。 |
long |
panw.panos.parent_session.id |
此会话在其中进行隧道传输的会话的 ID。仅适用于内部隧道(如果存在两级隧道)或内部内容(如果存在一级隧道)。 |
keyword |
panw.panos.parent_session.start_time |
父隧道会话开始的年/月/日 时:分:秒。 |
日期 |
panw.panos.partial_hash |
机器学习部分哈希。 |
keyword |
panw.panos.path |
已发出的配置命令的路径;长度最多 512 个字节。 |
keyword |
panw.panos.payload_protocol_id |
数据块的数据部分中负载协议的 ID。 |
keyword |
panw.panos.pcap_id |
定义防火墙上 pcap 文件位置的唯一数据包捕获 ID。 |
keyword |
panw.panos.pdu_session.id |
隧道内部 L4 段集合的会话 ID。 |
keyword |
panw.panos.pod.name |
正在保护的应用程序 POD。 |
keyword |
panw.panos.pod.namespace |
正在保护的应用程序 POD 的命名空间。 |
keyword |
panw.panos.policy.id |
SD-WAN 策略的名称。 |
keyword |
panw.panos.policy.name |
与会话关联的解密策略的名称。 |
keyword |
panw.panos.portal |
GlobalProtect 门户或网关的名称。 |
keyword |
panw.panos.priority |
网关的优先级顺序,基于最高 (1)、高 (2)、中 (3)、低 (4) 或最低 (5),GlobalProtect 应用程序可以连接到该网关。 |
keyword |
panw.panos.private.ip |
发起会话的用户的私有 IP 地址。 |
ip |
panw.panos.private.ipv6 |
发起会话的用户的私有 IPv6 地址。 |
ip |
panw.panos.protocol |
与会话关联的 IP 协议。 |
keyword |
panw.panos.proxy_type |
解密代理类型,例如,转发代理为 Forward,入站检查为 Inbound,未解密流量为 No Decrypt,GlobalProtect 等。 |
keyword |
panw.panos.public.ip |
发起会话的用户的公有 IP 地址。 |
ip |
panw.panos.public.ipv6 |
发起会话的用户的公有 IPv6 地址。 |
ip |
panw.panos.radio_access_technology_type |
用于无线接入的技术类型。例如,EUTRAN、WLAN、虚拟、HSPA 演进、GAN 和 GERAN。 |
keyword |
panw.panos.reason |
数据过滤操作的原因。 |
keyword |
panw.panos.received_time |
在管理平面接收到日志的时间。 |
日期 |
panw.panos.recipient |
指定电子邮件的接收者名称。 |
keyword |
panw.panos.referrer |
HTTP 标头中的 Referer 字段包含将用户链接到另一个网页的网页 URL;它是将用户重定向(引用)到正在请求的网页的来源。 |
keyword |
panw.panos.region |
流量的地理来源区域。 |
keyword |
panw.panos.related_vsys |
与会话关联的虚拟系统。 |
keyword |
panw.panos.remote_user.id |
远程用户的 IMSI 身份,如果可用,则为一个 IMEI 身份或一个 MSISDN 身份。 |
keyword |
panw.panos.remote_user.ip |
远程用户的 IPv4 或 IPv6 地址。 |
ip |
panw.panos.repeat_count |
在 5 秒内看到具有相同源 IP、目标 IP、应用程序和子类型的会话数。 |
long |
panw.panos.response_time |
隧道建立期间,在端点上测量的所选网关的 SSL 响应时间,以毫秒为单位。 |
long |
panw.panos.result |
配置操作的结果;值包括 Submitted、Succeeded、Failed 和 Unauthorized。 |
keyword |
panw.panos.root_certificate_status |
根证书的状态,例如,受信任、不受信任或未检查。 |
keyword |
panw.panos.root_common_name.length |
根公用名称的长度。 |
long |
panw.panos.root_common_name.value |
根证书颁发机构的名称。 |
keyword |
panw.panos.rule_uuid |
永久标识规则的 UUID。 |
keyword |
panw.panos.ruleset |
会话匹配的规则的名称。 |
keyword |
panw.panos.sccp.calling_gt |
触发事件的数据块中的信令连接控制部分 (SCCP) 主叫方全局标题 (GT)。 |
keyword |
panw.panos.sccp.calling_ssn |
触发事件的数据块中的信令连接控制部分 (SCCP) 主叫方子系统编号 (SSN)。 |
keyword |
panw.panos.sctp.assoc_end_reason |
关联终止的原因。 |
keyword |
panw.panos.sctp.assoc_id |
标识两个 SCTP 端点之间关联的所有连接的编号。 |
keyword |
panw.panos.sctp.cause_code |
由端点发送,以指定同一 SCTP 关联的其他端点出现错误情况的原因。 |
keyword |
panw.panos.sctp.chunk_type |
描述数据块中包含的信息类型,例如控制或数据。 |
keyword |
panw.panos.sctp.chunks |
为关联发送和接收的 SCTP 数据块的总和。 |
long |
panw.panos.sctp.chunks_received |
为关联接收的 SCTP 数据块的数量。 |
long |
panw.panos.sctp.chunks_sent |
为关联发送的 SCTP 数据块的数量。 |
long |
panw.panos.sctp.filter |
SCTP 数据块匹配的过滤器的名称。 |
keyword |
panw.panos.sctp.stream_id |
承载触发事件的数据块的流的 ID。 |
keyword |
panw.panos.sctp.verification.tag_1 |
由发起关联的端点 1 使用,以验证接收到的 SCTP 数据包是否属于当前的 SCTP 关联并验证端点 2。 |
keyword |
panw.panos.sctp.verification.tag_2 |
由端点 2 使用,以验证接收到的 SCTP 数据包是否属于当前的 SCTP 关联并验证端点 1。 |
keyword |
panw.panos.sdwan.cluster.name |
SD-WAN 集群的名称。 |
keyword |
panw.panos.sdwan.cluster.type |
集群的类型(网状或中心辐射型)。 |
keyword |
panw.panos.sdwan.device_type |
设备的类型(中心或分支)。 |
keyword |
panw.panos.sdwan.site |
SD-WAN 站点的名称。 |
keyword |
panw.panos.selection_type |
选择的连接到网关的连接方法。 |
keyword |
panw.panos.sender |
指定电子邮件的发送者名称。 |
keyword |
panw.panos.sequence_number |
一个 64 位日志条目标识符,按顺序递增;每个日志类型都有唯一的编号空间。 |
keyword |
panw.panos.serial_number |
用户机器或设备的序列号。 |
keyword |
panw.panos.server_name_indication.length |
服务器名称指示 (主机名) 的长度。 |
long |
panw.panos.server_name_indication.value |
客户端尝试联系的服务器的主机名。使用 SNI 使服务器可以在同一 IP 地址和 TCP 端口上托管多个网站并提供多个证书,因为每个网站都有唯一的 SNI。 |
keyword |
panw.panos.server_profile |
用于身份验证的身份验证服务器。 |
keyword |
panw.panos.session.owner |
高可用性 (HA) 集群中,在 HA 故障切换时,会话表数据从中同步的原始 HA 对等会话所有者。 |
keyword |
panw.panos.sessions.closed |
创建的已完成/关闭的会话数。 |
long |
panw.panos.sessions.created |
创建的内部会话数。 |
long |
panw.panos.severity |
与事件关联的严重性;值包括 informational、low、medium、high 和 critical。 |
keyword |
panw.panos.source.ip |
原始会话源 IP 地址。 |
ip |
panw.panos.source.ipv6 |
用户机器或设备的 IPv6 地址。 |
ip |
panw.panos.source.location |
私有地址的源国家或内部区域;最大长度为 32 个字节。 |
keyword |
panw.panos.source.nat.ip |
如果执行了源 NAT,则为 NAT 后的源 IP 地址。 |
ip |
panw.panos.source.nat.port |
NAT 后的源端口。 |
long |
panw.panos.source.port |
会话使用的源端口。 |
long |
panw.panos.source.region |
发起会话的用户的区域。 |
keyword |
panw.panos.source.user |
发起会话的用户的用户名。 |
keyword |
panw.panos.source.zone |
会话的源区域。 |
keyword |
panw.panos.source_vm_uuid |
标识 VMware NSX 环境中来宾虚拟机的源通用唯一标识符。 |
keyword |
panw.panos.src.category |
设备 ID 标识为流量来源的设备的类别。 |
keyword |
panw.panos.src.dynamic_address_group |
原始会话源动态地址组。 |
keyword |
panw.panos.src.external_dynamic_list |
包含流量源 IP 地址的外部动态列表的名称。 |
keyword |
panw.panos.src.host |
设备 ID 标识为流量来源的设备的主机名。 |
keyword |
panw.panos.src.mac |
设备 ID 标识为流量来源的设备的 MAC 地址。 |
keyword |
panw.panos.src.model |
设备 ID 标识为流量来源的设备的型号。 |
keyword |
panw.panos.src.os.family |
设备 ID 标识为流量来源的设备的操作系统类型。 |
keyword |
panw.panos.src.os.version |
设备 ID 标识为流量来源的设备的操作系统版本。 |
keyword |
panw.panos.src.profile |
设备 ID 标识为流量来源的设备的设备配置文件。 |
keyword |
panw.panos.src.vendor |
设备 ID 标识为流量来源的设备的供应商。 |
keyword |
panw.panos.stage |
显示连接阶段的字符串(例如,before-login、login 或 tunnel)。 |
keyword |
panw.panos.start_time |
会话开始的时间。 |
日期 |
panw.panos.strict_check |
防火墙丢弃的数据包的数量,原因是数据包中的隧道协议标头未能遵守隧道协议的 RFC,这是在隧道检查策略规则中启用的(如果隧道协议未能通过严格的标头检查,则丢弃数据包)。 |
long |
panw.panos.sub_type |
日志的子类型。 |
keyword |
panw.panos.subject |
指定电子邮件的主题。 |
keyword |
panw.panos.subject_common_name.length |
主题公用名称的长度。 |
long |
panw.panos.subject_common_name.value |
域名(证书保护的服务器名称)。 |
keyword |
panw.panos.tag.name |
映射到源 IP 地址的标签。 |
keyword |
panw.panos.threat.id |
Palo Alto Networks 威胁的标识符。 |
keyword |
panw.panos.threat.name |
已知和自定义威胁的标识符。 |
keyword |
panw.panos.threat_category |
描述用于对不同类型的威胁签名进行分类的威胁类别。如果域外部动态列表生成了日志,则 domain-edl 会填充此字段。 |
keyword |
panw.panos.timeout |
清除 IP/用户映射和 IP 地址到标签映射的超时时间。 |
整数 |
panw.panos.tls.auth |
用于会话的身份验证算法,例如,SHA、SHA256、SHA384 等。 |
keyword |
panw.panos.tls.encryption |
用于加密会话数据的算法,例如 AES-128-CBC、AES-256-GCM 等。 |
keyword |
panw.panos.tls.error_type |
发生的错误类型:密码、资源、恢复、版本、协议、证书、功能或 HSM。 |
keyword |
panw.panos.tls.key_exchange_algorithm |
会话使用的密钥交换算法。 |
keyword |
panw.panos.tls.version |
会话使用的 TLS 协议版本。 |
keyword |
panw.panos.tunnel_endpoint.identifier1 |
标识网络节点中的 GTP 隧道。TEID1 是 GTP 消息中的第一个 TEID。 |
keyword |
panw.panos.tunnel_endpoint.identifier2 |
标识网络节点中的 GTP 隧道。TEID2 是 GTP 消息中的第二个 TEID。 |
keyword |
panw.panos.tunnel_fragment |
防火墙因分段错误而丢弃的数据包数量。 |
long |
panw.panos.tunnel_inspection_rule |
与明文隧道流量匹配的隧道检查规则的名称。 |
keyword |
panw.panos.tunnel_type |
隧道类型,例如 GRE 或 IPSec 或 SSLVPN。 |
keyword |
panw.panos.type |
指定日志的类型;值包括 HIP-MATCH、CONFIG、GLOBALPROTECT、THREAT、TRAFFIC、USERID、AUTHENTICATION、CORRELATION、DECRYPTION、GTP、IPTAG、SCTP、SYSTEM、AUDIT。 |
keyword |
panw.panos.ugflags |
显示在用户组映射期间是否找到了用户组。支持的值为:User Group Found — 指示是否可以将用户映射到组。Duplicate User — 指示是否在用户组中找到了重复的用户。如果未找到用户组,则显示 N/A。 |
keyword |
panw.panos.unknown_protocol |
防火墙丢弃的数据包数量,原因是数据包包含未知协议,这是在隧道检查策略规则中启用的(如果隧道内部存在未知协议,则丢弃数据包)。 |
long |
panw.panos.url.category |
对于 URL 子类型,它是 URL 类别;对于 WildFire 子类型,它是文件判定,并且为“恶意软件”、“网络钓鱼”、“灰色软件”或“良性”;对于其他子类型,该值为“任意”。 |
keyword |
panw.panos.url_category_list |
列出防火墙用于强制实施策略的 URL 过滤类别。 |
keyword |
panw.panos.url_idx |
用于 URL 过滤和 WildFire 子类型。当应用程序使用 TCP keepalive 来保持连接打开一段时间时,该会话的所有日志条目都具有一个会话 ID。在这种情况下,当您有一个包含多个 URL 条目的单个威胁日志(和会话 ID)时,url_idx 是一个计数器,允许您关联单个会话中每个日志条目的顺序。例如,要了解防火墙转发到 WildFire 进行分析的文件的 URL,请从 WildFire 提交日志中找到会话 ID 和 url_idx,并在 URL 过滤日志中搜索相同的会话 ID 和 url_idx。匹配会话 ID 和 url_idx 的日志条目将包含转发到 WildFire 的文件的 URL。 |
keyword |
panw.panos.user |
正在进行身份验证的最终用户。 |
keyword |
panw.panos.user_agent |
仅适用于 URL 过滤子类型;所有其他类型不使用此字段。用户代理字段指定用户用来访问 URL 的 Web 浏览器,例如 Internet Explorer。此信息在 HTTP 请求中发送到服务器。 |
keyword |
panw.panos.user_by_source |
指示从源通过 IP 地址到用户名映射接收到的用户名。 |
keyword |
panw.panos.vendor |
提供额外因素身份验证的供应商。 |
keyword |
panw.panos.virtual_sys |
与会话关联的虚拟系统。 |
keyword |
panw.panos.vsys_id |
Palo Alto Networks 防火墙上虚拟系统的唯一标识符。 |
keyword |
panw.panos.vsys_name |
与会话关联的虚拟系统的名称;仅在启用多个虚拟系统的防火墙上有效。 |
keyword |
panw.panos.wildfire.name |
仅适用于 WildFire 子类型;所有其他类型不使用此字段。云字符串显示从哪里上传文件进行分析的 WildFire 设备(私有)或 WildFire 云(公共)的 FQDN。 |
keyword |
panw.panos.wildfire.report_id |
仅适用于数据过滤和 WildFire 子类型;所有其他类型不使用此字段。标识防火墙、WildFire 云或 WildFire 设备上的分析请求。 |
keyword |
panw.panos.x_forwarded_for |
仅适用于 URL 过滤子类型;所有其他类型不使用此字段。HTTP 标头中的 X-Forwarded-For 字段包含请求网页的用户的 IP 地址。它允许您识别用户的 IP 地址,如果您在网络上有一个代理服务器,该代理服务器在数据包标头的源 IP 地址字段中用自己的地址替换用户 IP 地址,这将非常有用。 |
keyword |
panw.panos.xff.ip |
请求网页的用户的 IP 地址或请求遍历的倒数第二个设备的 IP 地址。如果请求通过一个或多个代理、负载均衡器或其他上游设备,则防火墙将显示最近的设备的 IP 地址。 |
ip |
related.hash |
在您的事件中看到的所有哈希值。填充此字段,然后使用它来搜索哈希值,可以在您不确定哈希算法是什么(因此不确定要搜索哪个键名)的情况下提供帮助。 |
keyword |
related.hosts |
在您的事件中看到的所有主机名或其他主机标识符。示例标识符包括 FQDN、域名、工作站名称或别名。 |
keyword |
related.ip |
在您的事件中看到的所有 IP。 |
ip |
related.user |
在事件中看到的所有用户名或其他用户标识符。 |
keyword |
rule.name |
生成事件的规则或签名的名称。 |
keyword |
rule.uuid |
在利用该规则检测此事件的一组或一组代理、观察者或其他实体范围内唯一的规则 ID。 |
keyword |
server.bytes |
从服务器发送到客户端的字节数。 |
long |
server.ip |
服务器的 IP 地址 (IPv4 或 IPv6)。 |
ip |
server.nat.ip |
基于目标的 NAT 会话的转换 IP(例如,从 Internet 到私有 DMZ)。通常与负载均衡器、防火墙或路由器一起使用。 |
ip |
server.nat.port |
基于 NAT 会话(例如,互联网到私有 DMZ)的目标转换端口。通常与负载均衡器、防火墙或路由器一起使用。 |
long |
server.packets |
从服务器发送到客户端的数据包。 |
long |
server.port |
服务器的端口。 |
long |
server.user.name |
用户的短名称或登录名。 |
keyword |
server.user.name.text |
|
match_only_text |
session.start_time |
会话开始的时间。 |
日期 |
source.address |
某些事件源地址的定义不明确。事件有时会列出 IP、域或 Unix 套接字。您应始终将原始地址存储在 |
keyword |
source.as.number |
分配给自治系统的唯一编号。自治系统编号 (ASN) 唯一标识 Internet 上的每个网络。 |
long |
source.as.organization.name |
组织名称。 |
keyword |
source.as.organization.name.text |
|
match_only_text |
source.bytes |
从源发送到目标的字节数。 |
long |
source.geo.city_name |
城市名称。 |
keyword |
source.geo.continent_name |
大陆名称。 |
keyword |
source.geo.country_iso_code |
国家 ISO 代码。 |
keyword |
source.geo.country_name |
国家名称。 |
keyword |
source.geo.location |
经度和纬度。 |
geo_point |
source.geo.name |
用户定义的位置描述,在其关心的粒度级别。可以是其数据中心的名称、楼层号(如果这描述的是本地物理实体)、城市名称。通常不用于自动地理位置。 |
keyword |
source.geo.region_iso_code |
区域 ISO 代码。 |
keyword |
source.geo.region_name |
区域名称。 |
keyword |
source.ip |
源的 IP 地址 (IPv4 或 IPv6)。 |
ip |
source.nat.ip |
基于 NAT 会话(例如,内部客户端到互联网)的源的转换 IP。通常是遍历负载均衡器、防火墙或路由器的连接。 |
ip |
source.nat.port |
基于 NAT 会话的源的转换端口。(例如,内部客户端到互联网)通常与负载均衡器、防火墙或路由器一起使用。 |
long |
source.packets |
从源发送到目标的数据包。 |
long |
source.port |
源的端口。 |
long |
source.user.domain |
用户所属目录的名称。例如,LDAP 或 Active Directory 域名。 |
keyword |
source.user.email |
用户电子邮件地址。 |
keyword |
source.user.name |
用户的短名称或登录名。 |
keyword |
source.user.name.text |
|
match_only_text |
syslog.facility |
事件的 Syslog 数字工具。 |
long |
syslog.facility_label |
事件的基于文本的 Syslog 工具。 |
keyword |
syslog.priority |
事件的 Syslog 优先级。 |
long |
syslog.severity_label |
事件的基于文本的 Syslog 严重性。 |
keyword |
tags |
用于标记每个事件的关键字列表。 |
keyword |
tls.cipher |
指示当前连接期间使用的密码的字符串。 |
keyword |
tls.client.hash.md5 |
使用客户端提供的证书的 DER 编码版本的 MD5 摘要的证书指纹。为了与其他哈希值保持一致,此值应格式化为大写哈希。 |
keyword |
tls.client.hash.sha1 |
使用客户端提供的证书的 DER 编码版本的 SHA1 摘要的证书指纹。为了与其他哈希值保持一致,此值应格式化为大写哈希。 |
keyword |
tls.client.hash.sha256 |
使用客户端提供的证书的 DER 编码版本的 SHA256 摘要的证书指纹。为了与其他哈希值保持一致,此值应格式化为大写哈希。 |
keyword |
tls.client.not_after |
指示客户端证书何时不再被视为有效的日期/时间。 |
日期 |
tls.client.not_before |
指示客户端证书何时首次被视为有效的日期/时间。 |
日期 |
tls.client.server_name |
也称为 SNI,它告诉服务器客户端尝试连接的主机名。当此值可用时,应将其复制到 |
keyword |
tls.client.x509.issuer.common_name |
颁发证书机构的常用名称 (CN) 列表。 |
keyword |
tls.client.x509.public_key_size |
公钥空间的大小(以位为单位)。 |
long |
tls.client.x509.serial_number |
证书颁发机构颁发的唯一序列号。为了保持一致性,如果此值是字母数字,则应将其格式化为不带冒号和大写字符。 |
keyword |
tls.client.x509.subject.common_name |
主题的常用名称 (CN) 列表。 |
keyword |
tls.client.x509.version_number |
x509 格式的版本。 |
keyword |
tls.curve |
指示给定密码使用的曲线的字符串(如果适用)。 |
keyword |
tls.version |
从原始字符串解析的版本号的数字部分。 |
keyword |
tls.version_protocol |
从原始字符串解析的规范化小写协议名称。 |
keyword |
url.domain |
URL 的域,例如“https://elastic.ac.cn[www.elastic.co]”。在某些情况下,URL 可能直接引用 IP 和/或端口,而不引用域名。在这种情况下,IP 地址将进入 |
keyword |
url.extension |
该字段包含原始请求 URL 中的文件扩展名,不包括前导点。仅当存在文件扩展名时才设置文件扩展名,因为并非每个 URL 都有文件扩展名。不得包含前导句点。例如,该值必须是“png”,而不是“.png”。请注意,当文件名有多个扩展名 (example.tar.gz) 时,只应捕获最后一个扩展名(“gz”,而不是“tar.gz”)。 |
keyword |
url.original |
如事件源中所见的未修改的原始 URL。请注意,在网络监控中,观察到的 URL 可能是完整的 URL,而在访问日志中,URL 通常仅表示为路径。此字段旨在表示观察到的 URL,无论是否完整。 |
wildcard |
url.original.text |
|
match_only_text |
url.path |
请求的路径,例如“/search”。 |
wildcard |
url.port |
请求的端口,例如 443。 |
long |
url.query |
query 字段描述请求的查询字符串,例如“q=elasticsearch”。查询字符串中不包含 |
keyword |
user.domain |
用户所属目录的名称。例如,LDAP 或 Active Directory 域名。 |
keyword |
user.email |
用户电子邮件地址。 |
keyword |
user.name |
用户的短名称或登录名。 |
keyword |
user.name.text |
|
match_only_text |
user_agent.device.name |
设备的名称。 |
keyword |
user_agent.name |
用户代理的名称。 |
keyword |
user_agent.original |
未解析的 user_agent 字符串。 |
keyword |
user_agent.original.text |
|
match_only_text |
user_agent.os.full |
操作系统名称,包括版本或代号。 |
keyword |
user_agent.os.full.text |
|
match_only_text |
user_agent.os.name |
操作系统名称,不带版本。 |
keyword |
user_agent.os.name.text |
|
match_only_text |
user_agent.os.version |
操作系统版本,作为原始字符串。 |
keyword |
user_agent.version |
用户代理的版本。 |
keyword |
变更日志
编辑变更日志
| 版本 | 详细信息 | Kibana 版本 |
|---|---|---|
4.2.0 |
增强功能 (查看拉取请求) |
8.7.1 或更高版本 |
4.1.1 |
错误修复 (查看拉取请求) |
8.7.1 或更高版本 |
4.1.0 |
增强功能 (查看拉取请求) |
8.7.1 或更高版本 |
4.0.4 |
错误修复 (查看拉取请求) |
8.7.1 或更高版本 |
4.0.3 |
Bug 修复 (查看拉取请求) |
8.7.1 或更高版本 |
4.0.2 |
增强 (查看拉取请求) |
8.7.1 或更高版本 |
4.0.1 |
Bug 修复 (查看拉取请求) |
8.7.1 或更高版本 |
4.0.0 |
重大更改 (查看拉取请求) |
8.7.1 或更高版本 |
3.26.4 |
Bug 修复 (查看拉取请求) |
8.7.1 或更高版本 |
3.26.3 |
Bug 修复 (查看拉取请求) |
8.7.1 或更高版本 |
3.26.2 |
Bug 修复 (查看拉取请求) |
8.7.1 或更高版本 |
3.26.1 |
Bug 修复 (查看拉取请求) |
8.7.1 或更高版本 |
3.26.0 |
增强 (查看拉取请求) |
8.7.1 或更高版本 |
3.25.2 |
Bug 修复 (查看拉取请求) |
8.7.1 或更高版本 |
3.25.1 |
Bug 修复 (查看拉取请求) |
8.7.1 或更高版本 |
3.25.0 |
增强 (查看拉取请求) |
8.7.1 或更高版本 |
3.24.4 |
Bug 修复 (查看拉取请求) |
8.7.1 或更高版本 |
3.24.3 |
Bug 修复 (查看拉取请求) |
8.7.1 或更高版本 |
3.24.2 |
Bug 修复 (查看拉取请求) |
8.7.1 或更高版本 |
3.24.1 |
Bug 修复 (查看拉取请求) |
8.7.1 或更高版本 |
3.24.0 |
增强 (查看拉取请求) |
8.7.1 或更高版本 |
3.23.1 |
Bug 修复 (查看拉取请求) |
8.7.1 或更高版本 |
3.23.0 |
增强 (查看拉取请求) |
8.7.1 或更高版本 |
3.22.0 |
增强 (查看拉取请求) |
8.7.1 或更高版本 |
3.21.2 |
增强 (查看拉取请求) |
8.7.1 或更高版本 |
3.21.1 |
Bug 修复 (查看拉取请求) |
8.7.1 或更高版本 |
3.21.0 |
增强 (查看拉取请求) |
8.7.1 或更高版本 |
3.20.0 |
增强 (查看拉取请求) |
8.7.1 或更高版本 |
3.19.0 |
增强 (查看拉取请求) |
8.7.1 或更高版本 |
3.18.0 |
Bug 修复 (查看拉取请求) |
8.7.1 或更高版本 |
3.17.0 |
增强 (查看拉取请求) |
8.7.1 或更高版本 |
3.16.0 |
增强 (查看拉取请求) |
8.7.1 或更高版本 |
3.15.0 |
增强 (查看拉取请求) |
8.7.1 或更高版本 |
3.14.0 |
增强 (查看拉取请求) |
8.7.1 或更高版本 |
3.13.0 |
增强 (查看拉取请求) |
8.7.1 或更高版本 |
3.12.0 |
增强 (查看拉取请求) |
8.2.1 或更高版本 |
3.11.0 |
增强 (查看拉取请求) |
8.2.1 或更高版本 |
3.10.0 |
增强 (查看拉取请求) |
8.2.1 或更高版本 |
3.9.0 |
增强 (查看拉取请求) |
8.2.1 或更高版本 |
3.8.0 |
增强 (查看拉取请求) |
8.2.1 或更高版本 |
3.7.2 |
Bug 修复 (查看拉取请求) |
8.2.1 或更高版本 |
3.7.1 |
Bug 修复 (查看拉取请求) |
8.2.1 或更高版本 |
3.7.0 |
Bug 修复 (查看拉取请求) |
8.2.1 或更高版本 |
3.6.0 |
增强 (查看拉取请求) |
— |
3.5.2 |
增强 (查看拉取请求) |
8.2.1 或更高版本 |
3.5.1 |
Bug 修复 (查看拉取请求) |
8.2.1 或更高版本 |
3.5.0 |
增强 (查看拉取请求) |
8.2.1 或更高版本 |
3.4.2 |
Bug 修复 (查看拉取请求) |
8.2.1 或更高版本 |
3.4.1 |
Bug 修复 (查看拉取请求) |
8.2.1 或更高版本 |
3.4.0 |
增强 (查看拉取请求) |
8.2.1 或更高版本 |
3.3.0 |
增强 (查看拉取请求) Bug 修复 (查看拉取请求) |
8.2.1 或更高版本 |
3.2.2 |
Bug 修复 (查看拉取请求) |
8.2.1 或更高版本 |
3.2.1 |
Bug 修复 (查看拉取请求) |
8.2.1 或更高版本 |
3.2.0 |
增强 (查看拉取请求) |
8.2.1 或更高版本 |
3.1.2 |
Bug 修复 (查看拉取请求) |
8.2.1 或更高版本 |
3.1.1 |
Bug 修复 (查看拉取请求) |
8.2.1 或更高版本 |
3.1.0 |
增强 (查看拉取请求) |
8.2.1 或更高版本 |
3.0.2 |
错误修复 (查看拉取请求) |
8.2.1 或更高版本 |
3.0.1 |
增强 (查看拉取请求) |
8.2.1 或更高版本 |
3.0.0 |
增强 (查看拉取请求) |
8.2.1 或更高版本 |
2.3.1 |
增强 (查看拉取请求) |
8.2.1 或更高版本 |
2.3.0 |
增强 (查看拉取请求) |
8.2.1 或更高版本 |
2.2.2 |
错误修复 (查看拉取请求) |
8.2.1 或更高版本 |
2.2.1 |
错误修复 (查看拉取请求) 错误修复 (查看拉取请求) 增强 (查看拉取请求) |
— |
2.2.0 |
增强 (查看拉取请求) |
— |
2.1.0 |
增强 (查看拉取请求) |
8.0.0 或更高版本 |
2.0.0 |
增强 (查看拉取请求) |
— |
1.6.0 |
增强 (查看拉取请求) |
7.16.0 或更高版本 |
1.5.3 |
增强 (查看拉取请求) |
7.16.0 或更高版本 |
1.5.2 |
增强 (查看拉取请求) |
7.16.0 或更高版本 |
1.5.1 |
增强 (查看拉取请求) |
7.16.0 或更高版本 |
1.5.0 |
增强 (查看拉取请求) 增强 (查看拉取请求) 增强 (查看拉取请求) |
— |
1.4.0 |
增强 (查看拉取请求) |
7.14.0 或更高版本 |
1.3.2 |
错误修复 (查看拉取请求) |
7.14.0 或更高版本 |
1.3.1 |
错误修复 (查看拉取请求) |
— |
1.3.0 |
增强 (查看拉取请求) |
7.14.0 或更高版本 |
1.2.3 |
增强 (查看拉取请求) |
7.14.0 或更高版本 |
1.2.2 |
增强 (查看拉取请求) |
— |
1.2.1 |
错误修复 (查看拉取请求) |
— |
1.2.0 |
增强 (查看拉取请求) |
— |
1.1.3 |
增强 (查看拉取请求) |
7.14.0 或更高版本 |
1.1.2 |
增强 (查看拉取请求) |
— |
1.1.1 |
增强 (查看拉取请求) |
— |
1.1.0 |
增强 (查看拉取请求) |
— |
1.0.0 |
增强 (查看拉取请求) 增强 (查看拉取请求) |
7.14.0 或更高版本 |
0.8.1 |
增强 (查看拉取请求) |
— |
0.8.0 |
增强 (查看拉取请求) |
— |
0.7.2 |
增强 (查看拉取请求) |
— |
0.7.1 |
增强 (查看拉取请求) |
— |
0.7.0 |
增强 (查看拉取请求) |
— |
0.6.1 |
错误修复 (查看拉取请求) |
— |
0.1.0 |
增强 (查看拉取请求) |
— |