Palo Alto Networks 集成
编辑Palo Alto Networks 集成
编辑此集成定期从 Palo Alto Networks 防火墙和管理系统获取指标。
兼容性
编辑此集成使用 Pango 库来收集 Palo Alto Networks 防火墙的指标。
配置
编辑此集成设计为一次处理一个防火墙。不支持在一个集成策略中处理多个防火墙,并且尚未在 Panorama 中进行测试。要从多个防火墙收集指标,请为每个防火墙创建单独的集成策略,并指定各自的主机 IP 和 API 密钥。
指标
编辑接口
编辑interfaces 数据集从 Palo Alto Networks 防火墙收集详细的网络接口统计信息。它提供有关接口状态、流量吞吐量、数据包计数、错误率和配置详细信息(包括物理接口、逻辑接口和高可用性 (HA) 接口)的信息。
示例
interfaces 的一个示例事件如下所示
{
"@timestamp": "2024-02-08T10:15:30.123Z",
"agent": {
"ephemeral_id": "a1b2c3d4-e5f6-4321-a987-1234567890ab",
"id": "9876543210-abcdef-0987654321",
"name": "panw-agent-01",
"type": "metricbeat",
"version": "8.16.0"
},
"data_stream": {
"namespace": "default",
"type": "metrics"
},
"ecs": {
"version": "8.11.0"
},
"elastic_agent": {
"id": "2ea50bee-9250-43d1-8d70-949f242aa275",
"snapshot": false,
"version": "8.16.0"
},
"event": {
"agent_id_status": "verified",
"duration": 1250000,
"ingested": "2024-02-08T10:15:32Z"
},
"host": {
"architecture": "x86_64",
"containerized": false,
"hostname": "docker-fleet-agent",
"id": "28da52b32df94b50aff67dfb8f1be3d6",
"ip": [
"172.24.0.7"
],
"mac": [
"02-42-AC-18-00-07"
],
"name": "docker-fleet-agent",
"os": {
"codename": "focal",
"family": "debian",
"kernel": "5.15.0-89-generic",
"name": "Ubuntu",
"platform": "ubuntu",
"type": "linux",
"version": "20.04.6 LTS (Focal Fossa)"
}
},
"metricset": {
"name": "interfaces",
"period": 10000
},
"panw": {
"interfaces": {
"physical": {
"name": "ethernet1/1",
"id": "ethernet1/1",
"type": "Ethernet interface",
"mac": "00:1B:17:00:01:01",
"speed": "1000Mbps",
"duplex": "full",
"state": "up",
"mode": "autoneg",
"full_state": "1000/full/up"
},
"logical": {
"name": "ethernet1/1.100",
"id": "ethernet1/1.100",
"tag": 100,
"vsys": 1,
"zone": "trust",
"fwd": "yes",
"ip": "192.168.1.1/24"
},
"ha": {
"enabled": true,
"mode": "active-passive",
"running_sync": "synchronized",
"running_sync_enabled": true,
"local_info": {
"state": "active",
"mgmt_ip": "10.0.0.1",
"platform_model": "PA-3260"
},
"peer_info": {
"conn_status": "up",
"state": "passive",
"mgmt_ip": "10.0.0.2",
"platform_model": "PA-3260"
}
},
"ipsec_tunnel": {
"id": "tunnel-001",
"name": "Site-A-to-Site-B",
"gw": "203.0.113.1",
"TSi_ip": "10.0.0.0",
"TSi_prefix": "24",
"TSi_proto": "any",
"TSi_port": 0,
"TSr_ip": "192.168.0.0",
"TSr_prefix": "24",
"TSr_proto": "any",
"TSr_port": 0,
"proto": "ESP",
"mode": "tunnel",
"dh": "group14",
"enc": "aes-256-cbc",
"hash": "sha256",
"life.sec": 28800,
"kb": 102400
}
}
}
}
报告的字段是
ECS 字段参考
有关 ECS 字段的详细信息,请参阅以下文档。
导出的字段
| 字段 | 描述 | 类型 | 单位 | 指标类型 |
|---|---|---|---|---|
@timestamp |
事件时间戳。 |
日期 |
||
agent.id |
此代理的唯一标识符(如果存在)。例如:对于 Beats,这将是 beat.id。 |
关键字 |
||
container.id |
唯一容器 ID。 |
关键字 |
||
data_stream.dataset |
数据流数据集。 |
常量关键字 |
||
data_stream.namespace |
数据流命名空间。 |
常量关键字 |
||
data_stream.type |
数据流类型。 |
常量关键字 |
||
host.id |
唯一主机 ID。由于主机名并非总是唯一的,请使用在您的环境中具有意义的值。例如:当前 |
关键字 |
||
host.name |
主机名。它可以包含 Unix 系统上主机名返回的内容、完全限定的域名 (FQDN) 或用户指定的名称。建议的值是主机的小写 FQDN。 |
关键字 |
||
panw.interfaces.ha.enabled |
HA 已启用 |
布尔值 |
||
panw.interfaces.ha.link_monitoring.enabled |
指示是否启用链路监控 |
布尔值 |
||
panw.interfaces.ha.link_monitoring.failure_condition |
触发链路监控故障的条件,例如“any” |
关键字 |
||
panw.interfaces.ha.link_monitoring.group.enabled |
指示是否启用链路监控组 |
布尔值 |
||
panw.interfaces.ha.link_monitoring.group.failure_condition |
触发链路监控组故障的条件 |
关键字 |
||
panw.interfaces.ha.link_monitoring.group.interface.name |
链路监控组中接口的名称 |
关键字 |
||
panw.interfaces.ha.link_monitoring.group.interface.status |
链路监控组中接口的状态 |
关键字 |
||
panw.interfaces.ha.link_monitoring.group.name |
链路监控组的名称 |
关键字 |
||
panw.interfaces.ha.local_info.app_version |
应用程序数据库的版本 |
关键字 |
||
panw.interfaces.ha.local_info.av_version |
防病毒数据库的版本 |
关键字 |
||
panw.interfaces.ha.local_info.build_rel |
防火墙上运行的 PAN-OS 软件版本 |
关键字 |
||
panw.interfaces.ha.local_info.gp_client_version |
GlobalProtect 客户端软件的版本 |
关键字 |
||
panw.interfaces.ha.local_info.ha1_backup_gateway |
备份 HA1 接口的默认网关 |
关键字 |
||
panw.interfaces.ha.local_info.ha1_backup_ipaddr |
HA1 接口的备份 IP 地址,采用 CIDR 格式。 |
关键字 |
||
panw.interfaces.ha.local_info.ha1_backup_macaddr |
HA 本地信息 HA1 备份 MAC 地址 |
关键字 |
||
panw.interfaces.ha.local_info.ha1_backup_port |
HA 本地信息 HA1 备份端口,例如“management” |
关键字 |
||
panw.interfaces.ha.local_info.ha1_ipaddr |
HA1 接口的 IP 地址,用于心跳和管理同步,采用 CIDR 格式。 |
关键字 |
||
panw.interfaces.ha.local_info.ha1_macaddr |
HA 本地信息 HA1 MAC 地址 |
关键字 |
||
panw.interfaces.ha.local_info.ha1_port |
指示哪个接口用于 HA1 流量,例如“dedicated-ha1” |
关键字 |
||
panw.interfaces.ha.local_info.ha2_ipaddr |
HA 本地信息 HA2 IP 地址,采用 CIDR 格式。 |
关键字 |
||
panw.interfaces.ha.local_info.ha2_macaddr |
HA 本地信息 HA2 MAC 地址 |
关键字 |
||
panw.interfaces.ha.local_info.ha2_port |
指示哪个接口用于 HA1 流量,例如“dedicated-ha2” |
关键字 |
||
panw.interfaces.ha.local_info.iot_version |
HA 本地信息 IoT 数据库版本 |
关键字 |
||
panw.interfaces.ha.local_info.mgmt_ip |
HA 本地信息管理 IP,采用 CIDR 格式。 |
关键字 |
||
panw.interfaces.ha.local_info.mode |
HA 模式,例如“active-active”或“active-passive” |
关键字 |
||
panw.interfaces.ha.local_info.platform_model |
本地设备的平台型号 |
关键字 |
||
panw.interfaces.ha.local_info.preemptive |
指示是否将防火墙配置为在 HA 设置中抢占式地接管作为活动单元。这是一个 yes/no 值,beat 不会将其转换为布尔值,因此它将是一个关键字。 |
关键字 |
||
panw.interfaces.ha.local_info.state |
本地设备的 HA 状态,例如“active”或“passive” |
关键字 |
||
panw.interfaces.ha.local_info.state_duration |
当前状态的持续时间(以秒为单位) |
长整型 |
秒 |
计量 |
panw.interfaces.ha.local_info.state_sync |
HA 同步状态,例如“complete” |
关键字 |
||
panw.interfaces.ha.local_info.state_sync_type |
用于 HA 同步的接口类型 |
关键字 |
||
panw.interfaces.ha.local_info.threat_version |
HA 本地信息威胁版本 |
关键字 |
||
panw.interfaces.ha.local_info.url_version |
URL 过滤数据库的版本 |
关键字 |
||
panw.interfaces.ha.local_info.version |
HA 配置信息版本 |
长整型 |
||
panw.interfaces.ha.local_info.vpn_client_version |
VPN 客户端的版本(如果已安装) |
关键字 |
||
panw.interfaces.ha.mode |
HA 模式,例如“active-active”或“active-passive” |
关键字 |
||
panw.interfaces.ha.peer_info.conn_ha1.description |
连接类型的描述,例如“heartbeat status” |
关键字 |
||
panw.interfaces.ha.peer_info.conn_ha1.primary |
指定 HA1 连接是否为主 |
关键字 |
||
panw.interfaces.ha.peer_info.conn_ha1.status |
对等 HA1 连接状态,例如“up” |
关键字 |
||
panw.interfaces.ha.peer_info.conn_ha1_backup.description |
HA 对等信息连接 HA1 备份描述 |
关键字 |
||
panw.interfaces.ha.peer_info.conn_ha1_backup.status |
HA 对等信息连接 HA1 备份状态,例如“up”表示它正在运行 |
关键字 |
||
panw.interfaces.ha.peer_info.conn_ha2.description |
HA 对等信息连接 HA2 描述 |
关键字 |
||
panw.interfaces.ha.peer_info.conn_ha2.primary |
指定 HA2 连接是否为主 |
关键字 |
||
panw.interfaces.ha.peer_info.conn_ha2.status |
HA 对等信息连接 HA2 状态 |
关键字 |
||
panw.interfaces.ha.peer_info.conn_status |
HA 连接的总体状态(“up”表示所有连接都在运行) |
关键字 |
||
panw.interfaces.ha.peer_info.ha1_backup_ipaddr |
HA 对等信息 HA1 备份 IP 地址,采用 CIDR 格式。 |
ip |
||
panw.interfaces.ha.peer_info.ha1_backup_macaddr |
HA 对等信息 HA1 备份 MAC 地址 |
关键字 |
||
panw.interfaces.ha.peer_info.ha1_ipaddr |
对等设备上 HA1 接口的 IP 地址,采用 CIDR 格式。 |
ip |
||
panw.interfaces.ha.peer_info.ha1_macaddr |
对等设备的 HA1 MAC 地址 |
关键字 |
||
panw.interfaces.ha.peer_info.ha2_ipaddr |
HA 对等信息 HA2 IP 地址,采用 CIDR 格式。 |
关键字 |
||
panw.interfaces.ha.peer_info.ha2_macaddr |
HA 对等信息 HA2 MAC 地址 |
关键字 |
||
panw.interfaces.ha.peer_info.mgmt_ip |
对等防火墙的管理 IP 地址。采用 CIDR 格式。 |
关键字 |
||
panw.interfaces.ha.peer_info.mode |
在对等防火墙上配置的 HA 模式,例如“Active-Passive” |
关键字 |
||
panw.interfaces.ha.peer_info.platform_model |
对等防火墙的型号 |
关键字 |
||
panw.interfaces.ha.peer_info.preemptive |
指示是否在对等防火墙上启用了抢占 |
关键字 |
||
panw.interfaces.ha.peer_info.priority |
对等防火墙的 HA 优先级值 |
长整型 |
||
panw.interfaces.ha.peer_info.state |
对等防火墙的当前运行状态(passive 表示它处于待机模式,不处理流量) |
关键字 |
||
panw.interfaces.ha.peer_info.state_duration |
对等设备处于当前状态的时间(以秒为单位) |
长整型 |
秒 |
计量 |
panw.interfaces.ha.running_sync |
指示 HA 对的同步状态,例如“synchronized”、“not-synchronized”、“synchronizing” |
关键字 |
||
panw.interfaces.ha.running_sync_enabled |
指示是否启用了正在运行的配置同步 |
布尔值 |
||
panw.interfaces.ipsec_tunnel.TSi_ip |
流量选择器发起方 IP。这是本地 IP(0.0.0.0 表示任何 IP 地址) |
ip |
||
panw.interfaces.ipsec_tunnel.TSi_port |
与 TSi 关联的端口号(0 表示任何端口) |
长整型 |
||
panw.interfaces.ipsec_tunnel.TSi_prefix |
TSi IP 的网络前缀,0 表示未定义特定网络。 |
关键字 |
||
panw.interfaces.ipsec_tunnel.TSi_proto |
与 TSi 关联的协议(0 表示任何协议) |
关键字 |
||
panw.interfaces.ipsec_tunnel.TSr_ip |
流量选择器响应方 IP。 |
ip |
||
panw.interfaces.ipsec_tunnel.TSr_port |
IPsec 隧道的 TSr 端口 |
长整型 |
||
panw.interfaces.ipsec_tunnel.TSr_prefix |
TSr IP 的网络前缀。类似于 TSi_prefix |
关键字 |
||
panw.interfaces.ipsec_tunnel.TSr_proto |
IPsec 隧道的 TSr 协议 |
关键字 |
||
panw.interfaces.ipsec_tunnel.dh |
IPsec 隧道的 Diffie-Hellman 组 |
关键字 |
||
panw.interfaces.ipsec_tunnel.enc |
IPsec 隧道的加密算法 |
关键字 |
||
panw.interfaces.ipsec_tunnel.gw |
IPsec 隧道网关 |
关键字 |
||
panw.interfaces.ipsec_tunnel.hash |
IPsec 隧道的哈希算法 |
关键字 |
||
panw.interfaces.ipsec_tunnel.id |
IPsec 隧道的 ID |
关键字 |
||
panw.interfaces.ipsec_tunnel.kb |
SA 重建密钥的流量限制 |
长整型 |
字节 |
计量 |
panw.interfaces.ipsec_tunnel.life.sec |
IPsec 安全联盟 (SA) 的生命周期,以秒为单位 |
长整型 |
秒 |
计量 |
panw.interfaces.ipsec_tunnel.mode |
指定 IPsec 模式。例如,tunl |
关键字 |
||
panw.interfaces.ipsec_tunnel.name |
IPsec 隧道的名称 |
关键字 |
||
panw.interfaces.ipsec_tunnel.proto |
IPsec 隧道的协议 |
关键字 |
||
panw.interfaces.logical.addr |
用于存储额外的静态 IP 地址 |
关键字 |
||
panw.interfaces.logical.addr6 |
逻辑 IPv6 地址 |
关键字 |
||
panw.interfaces.logical.dyn_addr |
动态地址,例如,由 DHCP 生成 |
关键字 |
||
panw.interfaces.logical.fwd |
指示该接口是否用于转发 |
关键字 |
||
panw.interfaces.logical.id |
逻辑接口 ID |
关键字 |
||
panw.interfaces.logical.ip |
带子网掩码的逻辑 IP 地址,例如,111.222.333.10/29。也可以是“N/A” |
关键字 |
||
panw.interfaces.logical.name |
逻辑接口名称 |
关键字 |
||
panw.interfaces.logical.tag |
与此接口关联的 VLAN 标签 |
整数 |
||
panw.interfaces.logical.vsys |
此接口所属的虚拟系统 |
整数 |
||
panw.interfaces.logical.zone |
逻辑区域,例如,“inside”或“outside” |
关键字 |
||
panw.interfaces.physical.ae_member |
对于聚合接口,成员接口的数组 |
关键字 |
||
panw.interfaces.physical.duplex |
双工配置,例如,“full”或“half” |
关键字 |
||
panw.interfaces.physical.full_state |
物理完整状态,速度/双工/状态,例如,“1000/full/up” |
关键字 |
||
panw.interfaces.physical.id |
物理接口 ID |
关键字 |
||
panw.interfaces.physical.mac |
物理 MAC 地址 |
关键字 |
||
panw.interfaces.physical.mode |
物理接口模式,例如,autoneg |
关键字 |
||
panw.interfaces.physical.name |
物理接口名称 |
关键字 |
||
panw.interfaces.physical.speed |
物理接口速度 |
关键字 |
||
panw.interfaces.physical.state |
物理接口状态:up/down |
关键字 |
||
panw.interfaces.physical.type |
物理接口类型 |
关键字 |
路由
编辑routing 数据集从 Palo Alto Networks 设备收集全面的路由信息。它包括有关路由协议(侧重于 BGP)、静态和动态路由、下一跳、AS 号和对等状态的详细信息。此数据集提供有关设备的路由表及其与其他网络设备交互的见解。
示例
一个 routing 的示例事件如下
{
"@timestamp": "2024-02-08T10:15:30.123Z",
"agent": {
"ephemeral_id": "a1b2c3d4-e5f6-4321-a987-1234567890ab",
"id": "9876543210-abcdef-0987654321",
"name": "paloalto-firewall-01",
"type": "metricbeat",
"version": "8.16.0"
},
"data_stream": {
"namespace": "default",
"type": "metrics"
},
"ecs": {
"version": "8.11.0"
},
"elastic_agent": {
"id": "2ea50bee-9250-43d1-8d70-949f242aa275",
"snapshot": false,
"version": "8.16.0"
},
"event": {
"agent_id_status": "verified",
"duration": 1250000,
"ingested": "2024-02-08T10:15:32Z"
},
"host": {
"architecture": "x86_64",
"containerized": false,
"hostname": "docker-fleet-agent",
"id": "28da52b32df94b50aff67dfb8f1be3d6",
"ip": [
"172.24.0.7"
],
"mac": [
"02-42-AC-18-00-07"
],
"name": "docker-fleet-agent",
"os": {
"codename": "focal",
"family": "debian",
"kernel": "5.15.0-89-generic",
"name": "Ubuntu",
"platform": "ubuntu",
"type": "linux",
"version": "20.04.6 LTS (Focal Fossa)"
}
},
"metricset": {
"name": "routing",
"period": 10000
},
"panw": {
"routing": {
"bgp": {
"peer_name": "ISP-A",
"virtual_router": "default",
"peer_group": "external_peers",
"peer_router_id": "10.0.0.1",
"remote_as_asn": 65001,
"status": "Established",
"status_duration": 3600,
"password_set": true,
"passive": false,
"peering_type": "External BGP",
"holdtime": 180,
"keepalive": 60,
"msg_update_in": 1000,
"msg_update_out": 500,
"msg_total_in": 5000,
"msg_total_out": 4500,
"last_update_age": 300,
"status_flap_counts": 2,
"established_counts": 10
}
}
}
}
报告的字段是
ECS 字段参考
有关 ECS 字段的详细信息,请参阅以下文档。
导出的字段
| 字段 | 描述 | 类型 | 单位 | 指标类型 |
|---|---|---|---|---|
@timestamp |
事件时间戳。 |
日期 |
||
agent.id |
此代理的唯一标识符(如果存在)。例如:对于 Beats,这将是 beat.id。 |
关键字 |
||
container.id |
唯一容器 ID。 |
关键字 |
||
data_stream.dataset |
数据流数据集。 |
常量关键字 |
||
data_stream.namespace |
数据流命名空间。 |
常量关键字 |
||
data_stream.type |
数据流类型。 |
常量关键字 |
||
host.id |
唯一主机 ID。由于主机名并非总是唯一的,请使用在您的环境中具有意义的值。例如:当前 |
关键字 |
||
host.name |
主机名。它可以包含 Unix 系统上主机名返回的内容、完全限定的域名 (FQDN) 或用户指定的名称。建议的值是主机的小写 FQDN。 |
关键字 |
||
panw.routing.bgp.aggregate_confed_as |
指示是否为联盟启用了自治系统 (AS) 聚合 |
布尔值 |
||
panw.routing.bgp.connect_retry_interval |
连接重试之间的间隔 |
长整型 |
秒 |
计量 |
panw.routing.bgp.established_counts |
BGP 会话成功转换为“已建立”状态的次数 |
长整型 |
计量 |
|
panw.routing.bgp.holdtime |
BGP 对等方将等待保持活动消息的秒数,在对等方之间协商 |
长整型 |
秒 |
计量 |
panw.routing.bgp.holdtime_config |
表示在此对等方上本地配置的保持时间 |
长整型 |
秒 |
计量 |
panw.routing.bgp.idle_hold |
故障后重试连接之前的空闲保持时间 |
长整型 |
秒 |
计量 |
panw.routing.bgp.keepalive |
发送 BGP 保持活动消息的间隔,在对等方之间协商 |
长整型 |
秒 |
计量 |
panw.routing.bgp.keepalive_config |
在此对等方上配置的保持活动 |
长整型 |
秒 |
计量 |
panw.routing.bgp.last_error |
从对等方收到的最后一条 BGP 错误消息 |
关键字 |
||
panw.routing.bgp.last_update_age |
自收到对等方的最后一条更新消息以来的秒数 |
长整型 |
秒 |
计量 |
panw.routing.bgp.local_ip |
用于 BGP 连接的本地 IP 地址 |
ip |
||
panw.routing.bgp.local_port |
用于 BGP 连接的本地端口号 |
长整型 |
||
panw.routing.bgp.msg_total_in |
从对等方收到的所有消息的总数 |
长整型 |
计量 |
|
panw.routing.bgp.msg_total_out |
发送到对等方的所有消息的总数 |
长整型 |
计量 |
|
panw.routing.bgp.msg_update_in |
路由器从此对等方收到的 BGP UPDATE 消息数 |
长整型 |
计量 |
|
panw.routing.bgp.msg_update_out |
从本地路由器发送到对等方的 BGP UPDATE 消息数 |
长整型 |
计量 |
|
panw.routing.bgp.multi_hop_ttl |
多跳 BGP 会话的生存时间 (TTL) 值。单位是跳数。 |
长整型 |
计量 |
|
panw.routing.bgp.nexthop_peer |
指示是否将对等方用作从此对等方接收的路由的下一跳。 |
布尔值 |
||
panw.routing.bgp.nexthop_self |
路由器是否配置为将自身用作发送到此对等方的路由的下一跳 |
布尔值 |
||
panw.routing.bgp.nexthop_thirdparty |
启用了第三方下一跳功能 |
布尔值 |
||
panw.routing.bgp.open_delay |
发送 Open 消息之前的延迟 |
长整型 |
秒 |
计量 |
panw.routing.bgp.orf_entry_received |
从对等方收到的 ORF(出站路由过滤)条目的数量 |
长整型 |
计量 |
|
panw.routing.bgp.passive |
指示 BGP 对等方是否处于被动模式:如果是,则路由器不会启动与对等方的连接 |
布尔值 |
||
panw.routing.bgp.password_set |
指示是否为 BGP 对等方设置了密码 |
布尔值 |
||
panw.routing.bgp.peer_group |
此对等方所属的 BGP 对等组的名称 |
关键字 |
||
panw.routing.bgp.peer_ip |
对等方的 IP 地址 |
ip |
||
panw.routing.bgp.peer_name |
BGP 对等组中当前对等方的名称 |
关键字 |
||
panw.routing.bgp.peer_port |
对等方的端口号 |
长整型 |
||
panw.routing.bgp.peer_router_id |
BGP 对等路由器 ID |
ip |
||
panw.routing.bgp.peering_type |
定义对等方之间关系的类型,例如,“外部 BGP”、“内部 BGP”或“未指定” |
关键字 |
||
panw.routing.bgp.prefix_limit |
可以从对等方接收的最大前缀数(0 = 无限制) |
长整型 |
计量 |
|
panw.routing.bgp.reflector_client |
指定 BGP 对等方与路由反射器的关系,例如,“客户端”、“非客户端”、“网状客户端” |
关键字 |
||
panw.routing.bgp.remote_as_asn |
对等方的远程自治系统 (AS) 号 |
长整型 |
||
panw.routing.bgp.same_confederation |
同一联盟中的对等方使用内部 BGP (iBGP) 而不是外部 BGP (eBGP) 交换路由 |
布尔值 |
||
panw.routing.bgp.status |
BGP 会话状态,例如,“已建立”表示会话已启动并正在运行 |
关键字 |
||
panw.routing.bgp.status_duration |
自设置当前状态以来的秒数 |
长整型 |
秒 |
计量 |
panw.routing.bgp.status_flap_counts |
指示 BGP 会话“翻动”或在启动和关闭状态之间转换的次数 |
长整型 |
计量 |
|
panw.routing.bgp.virtual_router |
与 BGP 对等方关联的虚拟路由器 |
关键字 |
系统
编辑system 数据集从 Palo Alto Networks 防火墙收集各种系统级指标。这包括 CPU 使用率、内存利用率、磁盘空间、负载平均值和进程统计信息。它还提供有关系统正常运行时间、许可功能、文件系统使用情况和硬件组件状态(例如风扇、热传感器和电源)的信息。
示例
一个 system 的示例事件如下
{
"@timestamp": "2024-02-08T10:15:30.123Z",
"agent": {
"ephemeral_id": "a1b2c3d4-e5f6-4321-a987-1234567890ab",
"id": "9876543210-abcdef-0987654321",
"name": "panw-agent-01",
"type": "metricbeat",
"version": "8.16.0"
},
"data_stream": {
"namespace": "default",
"type": "metrics"
},
"ecs": {
"version": "8.11.0"
},
"elastic_agent": {
"id": "2ea50bee-9250-43d1-8d70-949f242aa275",
"snapshot": false,
"version": "8.16.0"
},
"event": {
"agent_id_status": "verified",
"duration": 1250000,
"ingested": "2024-02-08T10:15:32Z"
},
"host": {
"architecture": "x86_64",
"containerized": false,
"hostname": "docker-fleet-agent",
"id": "28da52b32df94b50aff67dfb8f1be3d6",
"ip": [
"172.24.0.7"
],
"mac": [
"02-42-AC-18-00-07"
],
"name": "docker-fleet-agent",
"os": {
"codename": "focal",
"family": "debian",
"kernel": "5.15.0-89-generic",
"name": "Ubuntu",
"platform": "ubuntu",
"type": "linux",
"version": "20.04.6 LTS (Focal Fossa)"
}
},
"metricset": {
"name": "system",
"period": 10000
},
"panw": {
"system": {
"uptime": {
"days": 15,
"hours": 7,
"minutes": 32
},
"user_count": 23,
"load_average": {
"1m": 0.75,
"5m": 0.68,
"15m": 0.62
},
"tasks": {
"total": 245,
"running": 3,
"sleeping": 242
},
"cpu": {
"user": 5.2,
"system": 2.8,
"idle": 92.0
},
"memory": {
"total": 16106127360,
"free": 8053063680,
"used": 8053063680
},
"swap": {
"total": 4294967296,
"free": 4294967296,
"used": 0
}
}
},
"service": {
"type": "panw"
}
}
报告的字段是
ECS 字段参考
有关 ECS 字段的详细信息,请参阅以下文档。
导出的字段
| 字段 | 描述 | 类型 | 单位 | 指标类型 |
|---|---|---|---|---|
@timestamp |
事件时间戳。 |
日期 |
||
agent.id |
此代理的唯一标识符(如果存在)。例如:对于 Beats,这将是 beat.id。 |
关键字 |
||
container.id |
唯一容器 ID。 |
关键字 |
||
data_stream.dataset |
数据流数据集。 |
常量关键字 |
||
data_stream.namespace |
数据流命名空间。 |
常量关键字 |
||
data_stream.type |
数据流类型。 |
常量关键字 |
||
host.id |
唯一主机 ID。由于主机名并非总是唯一的,请使用在您的环境中具有意义的值。例如:当前 |
关键字 |
||
host.name |
主机名。它可以包含 Unix 系统上主机名返回的内容、完全限定的域名 (FQDN) 或用户指定的名称。建议的值是主机的小写 FQDN。 |
关键字 |
||
panw.system.certificate.db_exp_date |
到期日期,格式:310329235959Z(2031 年 3 月 29 日 23:59:59 GMT) |
关键字 |
||
panw.system.certificate.db_file |
证书数据库的文件名 |
关键字 |
||
panw.system.certificate.db_name |
证书数据库的名称 |
关键字 |
||
panw.system.certificate.db_rev_date |
证书数据库的修订日期 |
关键字 |
||
panw.system.certificate.db_serial_no |
证书数据库的序列号 |
关键字 |
||
panw.system.certificate.db_status |
证书数据库的状态 |
关键字 |
||
panw.system.certificate.db_type |
证书数据库的类型 |
关键字 |
||
panw.system.certificate.issuer |
证书数据库的颁发者 |
关键字 |
||
panw.system.certificate.issuer_key_hash |
证书数据库颁发者的密钥哈希 |
关键字 |
||
panw.system.certificate.issuer_subject_hash |
证书数据库颁发者的主题哈希 |
关键字 |
||
panw.system.cpu.hi |
CPU 硬件中断 |
浮点数 |
百分比 |
计量 |
panw.system.cpu.idle |
CPU 空闲时间 |
浮点数 |
百分比 |
计量 |
panw.system.cpu.nice |
具有正 nice 值的进程的 CPU 使用率 |
浮点数 |
百分比 |
计量 |
panw.system.cpu.steal |
CPU 窃取时间 |
浮点数 |
百分比 |
计量 |
panw.system.cpu.system |
系统进程的 CPU 使用率 |
浮点数 |
百分比 |
计量 |
panw.system.cpu.system_int |
CPU 软件中断 |
浮点数 |
百分比 |
计量 |
panw.system.cpu.user |
用户进程的 CPU 使用率 |
浮点数 |
百分比 |
计量 |
panw.system.cpu.wait |
CPU 等待时间 |
浮点数 |
百分比 |
计量 |
panw.system.fan.alarm |
风扇是否有警报状态 |
布尔值 |
||
panw.system.fan.description |
风扇的描述 |
关键字 |
||
panw.system.fan.min_rpm |
风扇的最小转速(RPM) |
整数 |
计量 |
|
panw.system.fan.rpm |
风扇的转速(RPM) |
整数 |
计量 |
|
panw.system.fan.slot_number |
硬件插槽的编号 |
整数 |
||
panw.system.filesystem.available |
文件系统上可用的磁盘空间 |
浮点数 |
字节 |
计量 |
panw.system.filesystem.mounted |
文件系统挂载点 |
关键字 |
||
panw.system.filesystem.name |
文件系统名称 |
关键字 |
||
panw.system.filesystem.size |
文件系统的总大小 |
浮点数 |
字节 |
计量 |
panw.system.filesystem.use_percent |
文件系统使用的百分比 |
浮点数 |
百分比 |
计量 |
panw.system.filesystem.used |
文件系统上使用的量 |
浮点数 |
字节 |
计量 |
panw.system.license.auth_code |
激活或安装许可证的授权码 |
关键字 |
||
panw.system.license.description |
许可功能的描述 |
关键字 |
||
panw.system.license.expired |
指示许可证是否已过期 |
布尔值 |
||
panw.system.license.expires |
许可证到期的日期 - 如果许可证永不过期,则不设置 |
日期 |
||
panw.system.license.feature |
许可的功能,例如高级威胁防御 |
关键字 |
||
panw.system.license.issued |
许可证颁发的日期 |
日期 |
||
panw.system.license.never_expires |
指示许可证是否永不过期 |
布尔值 |
||
panw.system.license.serial |
许可证的序列号 |
关键字 |
||
panw.system.load_average.15m |
15 分钟内的平均负载 |
浮点数 |
计量 |
|
panw.system.load_average.1m |
1 分钟内的平均负载 |
浮点数 |
计量 |
|
panw.system.load_average.5m |
5 分钟内的平均负载 |
浮点数 |
计量 |
|
panw.system.memory.buffer_cache |
用于缓冲区和缓存的内存 |
浮点数 |
字节 |
计量 |
panw.system.memory.free |
空闲内存 |
浮点数 |
字节 |
计量 |
panw.system.memory.total |
总内存 |
浮点数 |
字节 |
计量 |
panw.system.memory.used |
已用内存 |
浮点数 |
字节 |
计量 |
panw.system.power.alarm |
指示是否激活了警报 |
布尔值 |
||
panw.system.power.description |
描述字段 |
文本 |
||
panw.system.power.maximum_volts |
记录的最大电压 |
浮点数 |
计量 |
|
panw.system.power.minimum_volts |
记录的最小电压 |
浮点数 |
计量 |
|
panw.system.power.slot_number |
插槽编号字段 |
整数 |
||
panw.system.power.volts |
当前电压 |
浮点数 |
计量 |
|
panw.system.swap.available |
可用的交换空间 |
浮点数 |
字节 |
计量 |
panw.system.swap.free |
空闲交换空间 |
浮点数 |
字节 |
计量 |
panw.system.swap.total |
总交换空间 |
浮点数 |
字节 |
计量 |
panw.system.swap.used |
已用交换空间 |
浮点数 |
字节 |
计量 |
panw.system.tasks.running |
正在运行的任务数 |
长整型 |
计量 |
|
panw.system.tasks.sleeping |
休眠的任务数 |
长整型 |
计量 |
|
panw.system.tasks.stopped |
已停止的任务数 |
长整型 |
计量 |
|
panw.system.tasks.total |
任务总数 |
长整型 |
计量 |
|
panw.system.tasks.zombie |
僵尸任务数 |
长整型 |
计量 |
|
panw.system.thermal.alarm |
警报字段 |
布尔值 |
||
panw.system.thermal.degrees_celsius |
摄氏度字段 |
浮点数 |
计量 |
|
panw.system.thermal.description |
描述字段 |
文本 |
||
panw.system.thermal.maximum_temp |
最高温度字段 |
浮点数 |
计量 |
|
panw.system.thermal.minimum_temp |
最低温度字段 |
浮点数 |
计量 |
|
panw.system.thermal.slot_number |
插槽编号字段 |
整数 |
||
panw.system.uptime.days |
正常运行时间(以天为单位) |
整数 |
天 |
计量 |
panw.system.uptime.hours |
正常运行时间的小时部分 |
整数 |
小时 |
计量 |
panw.system.uptime.minutes |
正常运行时间的分钟部分 |
整数 |
分钟 |
计量 |
panw.system.user_count |
用户数 |
长整型 |
计量 |
VPN
编辑vpn 数据集从 Palo Alto Networks 设备收集详细的虚拟专用网络 (VPN) 统计信息。它涵盖 GlobalProtect 和 IPsec VPN 技术,提供有关活动 VPN 会话、用户连接、隧道状态、加密详细信息和性能指标的信息。此数据集提供有关 VPN 使用情况、安全性和性能的见解。
示例
一个 vpn 的示例事件如下
{
"@timestamp": "2024-02-08T10:15:30.123Z",
"agent": {
"ephemeral_id": "a1b2c3d4-e5f6-4321-a987-1234567890ab",
"id": "9876543210-abcdef-0987654321",
"name": "panw-agent-01",
"type": "metricbeat",
"version": "8.16.0"
},
"data_stream": {
"namespace": "default",
"type": "metrics"
},
"ecs": {
"version": "8.11.0"
},
"elastic_agent": {
"id": "2ea50bee-9250-43d1-8d70-949f242aa275",
"snapshot": false,
"version": "8.16.0"
},
"event": {
"agent_id_status": "verified",
"duration": 1250000,
"ingested": "2024-02-08T10:15:32Z"
},
"host": {
"architecture": "x86_64",
"containerized": false,
"hostname": "docker-fleet-agent",
"id": "28da52b32df94b50aff67dfb8f1be3d6",
"ip": [
"172.24.0.7"
],
"mac": [
"02-42-AC-18-00-07"
],
"name": "docker-fleet-agent",
"os": {
"codename": "focal",
"family": "debian",
"kernel": "5.15.0-89-generic",
"name": "Ubuntu",
"platform": "ubuntu",
"type": "linux",
"version": "20.04.6 LTS (Focal Fossa)"
}
},
"metricset": {
"name": "vpn",
"period": 10000
},
"panw": {
"vpn": {
"globalprotect": {
"session": {
"domain": "example.com",
"is_local": true,
"username": "john.doe",
"primary_username": "john.doe",
"computer": "LAPTOP-ABC123",
"client": "GlobalProtect",
"vpn_type": "SSL",
"app_version": "5.2.8",
"virtual_ip": "10.0.0.5",
"public_ip": "203.0.113.45",
"tunnel_type": "IPSec",
"client_ip": "192.168.1.100",
"login_time": "2024-02-08T10:15:00.000Z",
"lifetime": 3600
}
}
}
}
}
报告的字段是
ECS 字段参考
有关 ECS 字段的详细信息,请参阅以下文档。
导出的字段
| 字段 | 描述 | 类型 | 单位 | 指标类型 |
|---|---|---|---|---|
@timestamp |
事件时间戳。 |
日期 |
||
agent.id |
此代理的唯一标识符(如果存在)。例如:对于 Beats,这将是 beat.id。 |
关键字 |
||
container.id |
唯一容器 ID。 |
关键字 |
||
data_stream.dataset |
数据流数据集。 |
常量关键字 |
||
data_stream.namespace |
数据流命名空间。 |
常量关键字 |
||
data_stream.type |
数据流类型。 |
常量关键字 |
||
host.id |
唯一主机 ID。由于主机名并非总是唯一的,请使用在您的环境中具有意义的值。例如:当前 |
关键字 |
||
host.name |
主机名。它可以包含 Unix 系统上主机名返回的内容、完全限定的域名 (FQDN) 或用户指定的名称。建议的值是主机的小写 FQDN。 |
关键字 |
||
panw.vpn.globalprotect.gateway.current_users |
当前连接到 GlobalProtect 网关的用户数量 |
长整型 |
计量 |
|
panw.vpn.globalprotect.gateway.name |
GlobalProtect 网关的名称 |
关键字 |
||
panw.vpn.globalprotect.gateway.previous_users |
先前连接到 GlobalProtect 网关的用户数量 |
长整型 |
计量 |
|
panw.vpn.globalprotect.session.app_version |
会话中使用的应用程序版本 |
关键字 |
||
panw.vpn.globalprotect.session.client |
会话的客户端信息 |
关键字 |
||
panw.vpn.globalprotect.session.client_ip |
会话的客户端 IP 地址 |
ip |
||
panw.vpn.globalprotect.session.computer |
会话中的计算机名称 |
关键字 |
||
panw.vpn.globalprotect.session.domain |
GlobalProtect 会话的域 |
关键字 |
||
panw.vpn.globalprotect.session.host_id |
会话的主机 ID |
关键字 |
||
panw.vpn.globalprotect.session.is_local |
指示会话是否为本地会话 |
布尔值 |
||
panw.vpn.globalprotect.session.lifetime |
会话的生存时间 |
长整型 |
秒 |
|
panw.vpn.globalprotect.session.login_time |
会话的登录时间 |
关键字 |
||
panw.vpn.globalprotect.session.login_time_utc |
会话的 UTC 登录时间 |
日期 |
||
panw.vpn.globalprotect.session.primary_username |
会话的主要用户名 |
关键字 |
||
panw.vpn.globalprotect.session.public_connection_ipv6 |
会话的公共连接 IPv6 地址 |
关键字 |
||
panw.vpn.globalprotect.session.public_ip |
会话的公共 IP 地址 |
ip |
||
panw.vpn.globalprotect.session.public_ipv6 |
会话的公共 IPv6 地址 |
关键字 |
||
panw.vpn.globalprotect.session.region_for_config |
配置的区域 |
关键字 |
||
panw.vpn.globalprotect.session.request_get_config |
会话的请求获取配置信息 |
关键字 |
||
panw.vpn.globalprotect.session.request_login |
会话的请求登录信息 |
关键字 |
||
panw.vpn.globalprotect.session.request_sslvpn_connect |
会话的请求 SSL VPN 连接信息 |
关键字 |
||
panw.vpn.globalprotect.session.source_region |
会话的源区域 |
关键字 |
||
panw.vpn.globalprotect.session.tunnel_type |
会话中使用的隧道类型 |
关键字 |
||
panw.vpn.globalprotect.session.username |
会话的用户名 |
关键字 |
||
panw.vpn.globalprotect.session.virtual_ip |
会话的虚拟 IP 地址 |
ip |
||
panw.vpn.globalprotect.session.virtual_ipv6 |
会话的虚拟 IPv6 地址 |
关键字 |
||
panw.vpn.globalprotect.session.vpn_type |
会话中使用的 VPN 类型 |
关键字 |
||
panw.vpn.globalprotect.total_current_users |
当前连接到 GlobalProtect 网关的用户总数 |
长整型 |
计量 |
|
panw.vpn.globalprotect.total_previous_users |
先前连接到 GlobalProtect 网关的用户总数 |
长整型 |
计量 |
更新日志
编辑更新日志
| 版本 | 详情 | Kibana 版本 |
|---|---|---|
0.1.0 |
增强 (查看拉取请求) |
— |