Palo Alto Prisma Access
编辑Palo Alto Prisma Access
编辑概述
编辑Palo Alto Prisma Access 是一个安全访问服务边缘 (SASE) 平台,使组织能够为其分支机构、零售地点和远程用户提供对其网络和应用程序的受保护连接。它旨在确保用户无论身在何处,都可以安全地访问云、SaaS 和互联网。Prisma Access 使用云交付的基础设施将用户连接到应用程序,从而提供网络安全和无缝的用户体验。
使用 Palo Alto Prisma Access 集成从 Syslog 服务器收集和解析数据。然后在 Kibana 中可视化该数据。
兼容性
编辑此模块已针对最新的 Palo Alto Prisma Access 版本 5.0 进行过测试。
数据流
编辑Palo Alto Prisma Access 集成收集 16 种事件类型
- 身份验证 - 身份验证日志包含下一代防火墙看到的身份验证事件的相关信息。
- DNS 安全 - DNS 安全日志包含 DNS 安全服务收集的信息,例如基于您的防火墙安全策略规则的服务器响应和请求信息、相关操作以及执行域查找时的 DNS 查询详细信息。
- 解密 - 默认情况下,解密日志显示不成功的 TLS 握手条目。
- 文件 - 文件日志表示网络上的文件传输。
- GlobalProtect - GlobalProtect 日志标识 GlobalProtect 门户或网关与 GlobalProtect 应用程序之间的网络流量。
- HIP 匹配 - HIP 匹配日志捕获有关访问网络的端点的安全状态的信息(例如,它们是否启用了磁盘加密)。
- IPtag - IPtag 日志显示源 IP 地址如何以及何时在下一代防火墙上注册或注销,以及防火墙应用于该地址的标签。
- SCTP - SCTP 日志在每个 SCTP 网络会话结束时写入,并且可以选择在每个此类会话开始时写入。
- 威胁 - 威胁日志包含当网络流量与附加到下一代防火墙安全规则之一的安全配置文件匹配时的条目。
- 流量 - 流量日志包含每个网络会话结束时的条目,以及(可选)网络会话开始时的条目。
- 隧道 - 每当下一代防火墙处理 GTP 流量时,都会写入隧道日志。
- URL - 每当网络流量与附加到一个或多个安全规则的 URL 筛选配置文件匹配时,下一代防火墙都会写入 URL 日志。
- UserID - 每当使用防火墙可见的资源发生用户身份验证事件时,就会生成 User-ID 日志。
- 系统 - 系统日志用于记录写入实体内发生的系统事件。
- 配置 - 配置日志用于记录对写入实体所做的更改。
- GlobalProtect 应用程序故障排除 - GlobalProtect 应用程序故障排除日志包含有关 GlobalProtect 客户端及其主机的信息,以帮助应用程序用户解决问题。
Palo Alto Prisma Access 集成收集不同事件的日志,但我们将所有这些事件合并到一个名为 event 的数据流中。
要求
编辑必须安装 Elastic Agent。有关更多详细信息和安装说明,请参阅 Elastic Agent 安装指南。
安装和管理 Elastic Agent
编辑有几种安装和管理 Elastic Agent 的选项
安装 Fleet 管理的 Elastic Agent(推荐)
编辑使用此方法,您需要安装 Elastic Agent 并使用 Kibana 中的 Fleet 在中心位置定义、配置和管理您的代理。我们建议使用 Fleet 管理,因为它使您的代理的管理和升级变得相当容易。
以独立模式安装 Elastic Agent(高级用户)
编辑使用此方法,您需要安装 Elastic Agent 并在安装它的系统上本地手动配置代理。您负责管理和升级代理。此方法仅保留给高级用户使用。
在容器化环境中安装 Elastic Agent
编辑您可以使用 Fleet Server 或独立模式在容器内运行 Elastic Agent。所有版本的 Elastic Agent 的 Docker 映像都可从 Elastic Docker 注册表获得,并且我们提供用于在 Kubernetes 上运行的部署清单。
请注意,运行 Elastic Agent 有最低要求。有关更多信息,请参阅 Elastic Agent 最低要求。
设置
编辑有关如何将日志从 Palo Alto Prisma Access 实例转发到 syslog 服务器的分步说明,请参阅 将日志转发到 Syslog 服务器 指南。
在 Elastic 中启用集成
编辑- 在 Kibana 中,导航到管理 > 集成。
- 在顶部的“搜索集成”栏中,搜索
Palo Alto Prisma Access。 - 从搜索结果中选择“Palo Alto Prisma Access”集成。
- 选择“添加 Palo Alto Prisma Access”以添加集成。
- 根据启用的输入类型添加所有必需的集成配置参数。
- 单击“保存并继续”以保存集成。
日志参考
编辑事件
编辑这是 Event 数据集。
示例
以下是 event 的示例事件
{
"@timestamp": "2019-07-25T23:30:12.000-05:00",
"agent": {
"ephemeral_id": "cbff23b6-6c63-45bd-9fec-4d5ca3d75727",
"id": "7b106bd2-a2ca-4877-9577-96012c934f32",
"name": "docker-fleet-agent",
"type": "filebeat",
"version": "8.13.0"
},
"cloud": {
"account": {
"id": [
"xxxxxxxxxxxxx"
]
}
},
"data_stream": {
"dataset": "prisma_access.event",
"namespace": "44529",
"type": "logs"
},
"destination": {
"user": {
"domain": [
"globex.org"
],
"id": [
"12345"
],
"name": [
"col-34"
]
}
},
"ecs": {
"version": "8.11.0"
},
"elastic_agent": {
"id": "7b106bd2-a2ca-4877-9577-96012c934f32",
"snapshot": false,
"version": "8.13.0"
},
"event": {
"action": "commit-all",
"agent_id_status": "verified",
"category": [
"configuration"
],
"created": "2021-03-01T20:35:54.000Z",
"dataset": "prisma_access.event",
"id": "xxxxxxxxxxxxx",
"ingested": "2024-07-29T07:37:02Z",
"kind": "event",
"original": "Mar 1 20:35:56 81.2.69.142 928 <14>1 2021-03-01T20:35:56.500Z stream-logfwd20-587718190-02280003-lvod-harness-mjdh logforwarder - panwlogs - CEF:0|Palo Alto Networks|LF|2.0|CONFIG|config|3|ProfileToken=xxxxx dtz=UTC rt=Mar 01 2021 20:35:54 deviceExternalId=xxxxxxdfrrxx PanOSEventTime=Jul 25 2019 23:30:12 duser=col-34 dntdom=globex.org duid=12345 PanOSEventDetails=change before issuer validity expires PanOSIsDuplicateLog=false PanOSIsPrismaNetwork=false PanOSIsPrismaUsers=false cat=xxxxx PanOSLogExported=false PanOSLogSource=firewall PanOSLogSourceTimeZoneOffset=-05:00 PanOSSeverity=warn PanOSTenantID=xxxxxxxxxxxxx PanOSVirtualSystemID=0 src=81.2.69.144 cs3=vsys2 cs3Label=VirtualLocation act=commit-all duser0=Panorama-admin destinationServiceName=dns PanOSEventResult=retrievd msg=uploaded details externalId=xxxxxxxxxxxxx PanOSDGHierarchyLevel1=0 PanOSDGHierarchyLevel2=0 PanOSDGHierarchyLevel3=0 PanOSDGHierarchyLevel4=0 PanOSVirtualSystemName=<{xwo X dvchost=PA-VM PanOSEventDescription=\\r_IYytr PanOSTimeGeneratedHighResolution=Jul 25 2019 23:30:12",
"timezone": "-05:00",
"type": [
"info"
]
},
"input": {
"type": "tcp"
},
"log": {
"level": "warn",
"source": {
"address": "192.168.240.7:60494"
}
},
"message": "uploaded details",
"observer": {
"hostname": "PA-VM",
"product": "Prisma Access",
"serial_number": [
"xxxxxxdfrrxx"
],
"type": "firewall",
"vendor": "Palo Alto Networks"
},
"prisma_access": {
"event": {
"cef": {
"device": {
"product": "LF",
"vendor": "Palo Alto Networks",
"version": "2.0"
},
"name": "config",
"severity": 3,
"version": "0"
},
"class_id": "CONFIG",
"d_user_0": "Panorama-admin",
"data": {
"description": "\r_IYytr",
"details": "change before issuer validity expires",
"result": "retrievd",
"time": "2019-07-25T23:30:12.000-05:00"
},
"destination": {
"nt_domain": "globex.org",
"service_name": "dns",
"user": {
"id": "12345",
"name": "col-34"
}
},
"device": {
"action": "commit-all",
"event": {
"category": "xxxxx"
},
"external_id": "xxxxxxdfrrxx",
"host_name": "PA-VM",
"receipt_time": "2021-03-01T20:35:54.000Z",
"time_zone": "UTC"
},
"dg_hierarchy": {
"level1": 0,
"level2": 0,
"level3": 0,
"level4": 0
},
"external_id": "xxxxxxxxxxxxx",
"is_duplicate": {
"log": false
},
"is_prisma": {
"network": false,
"users": false
},
"label": {
"cs3": "VirtualLocation"
},
"log": {
"exported": false,
"source": {
"timezone_offset": "-05:00",
"value": "firewall"
}
},
"message": "uploaded details",
"profile": {
"token": "xxxxx"
},
"severity": "warn",
"source": {
"address": {
"value": "81.2.69.144"
}
},
"tenant_id": "xxxxxxxxxxxxx",
"time": {
"generated_high_resolution": "2019-07-25T23:30:12.000Z"
},
"virtual": {
"location": "vsys2",
"system": {
"id": "0",
"name": "<{xwo X"
}
}
}
},
"related": {
"hosts": [
"PA-VM"
],
"ip": [
"81.2.69.144"
],
"user": [
"12345",
"col-34"
]
},
"source": {
"ip": [
"81.2.69.144"
]
},
"tags": [
"preserve_original_event",
"preserve_duplicate_custom_fields",
"forwarded",
"prisma_access-event"
]
}
导出的字段
| 字段 | 描述 | 类型 |
|---|---|---|
@timestamp |
事件时间戳。 |
日期 |
data_stream.dataset |
数据流数据集。 |
constant_keyword |
data_stream.namespace |
数据流命名空间。 |
constant_keyword |
data_stream.type |
数据流类型。 |
constant_keyword |
event.dataset |
事件数据集。 |
constant_keyword |
event.module |
事件模块。 |
constant_keyword |
input.type |
filebeat 输入的类型。 |
keyword |
log.offset |
日志偏移量。 |
long |
log.source.address |
读取/发送日志事件的源地址。 |
keyword |
prisma_access.event.access_point_name |
指示接入点名称,它是移动网络中数据分组网络数据网关 (PGW) / 网关 GPRS 支持节点 (GGSN) 的引用。 |
keyword |
prisma_access.event.agent.content_version |
安装在端点上的代理内容的版本。 |
keyword |
prisma_access.event.agent.data_collection_status |
指示代理是否正在收集与另一个产品(例如,EDR)相关的数据。 |
keyword |
prisma_access.event.agent.id |
端点上代理的唯一标识符。 |
keyword |
prisma_access.event.agent.isolation_status |
指示代理是否隔离。通常,如果代理已被泄露,则会隔离代理。 |
keyword |
prisma_access.event.agent.status |
为端点设置的保护状态。 |
keyword |
prisma_access.event.agent.timezone_offset |
自 UTC 起的有效端点时区偏移量(以分钟为单位)。 |
keyword |
prisma_access.event.agent.version |
端点上代理的版本。 |
keyword |
prisma_access.event.app_tampered |
指示端点上的应用程序文件是否被篡改或修改。 |
布尔值 |
prisma_access.event.appliance_or_cloud |
从中上传文件进行分析的设备(私有)或云(公共)的 FQDN。 |
keyword |
prisma_access.event.application.category |
标识应用程序的高级系列。 |
keyword |
prisma_access.event.application.characteristics |
标识与网络流量关联的应用程序的行为特征。 |
keyword |
prisma_access.event.application.container |
标识与此网络流量关联的应用程序的管理应用程序或父级。 |
keyword |
prisma_access.event.application.protocol |
与网络流量关联的应用程序。 |
keyword |
prisma_access.event.application.risk |
从网络安全的角度指示应用程序的风险程度。 |
keyword |
prisma_access.event.application.subcategory |
标识应用程序的子类别。子类别与应用程序的类别相关,该类别在 category_of_app 中标识。 |
keyword |
prisma_access.event.application.technology |
标识的应用程序使用的网络技术。 |
keyword |
prisma_access.event.assocation_end_reason |
会话终止的原因。如果终止有多个原因,则此处仅标识最高优先级的原因。 |
keyword |
prisma_access.event.attempted_gateways |
客户端位置可用的所有网关字符串,并尝试了这些网关。包含网关名称、ssl 响应时间和优先级,并用分号分隔。 |
keyword |
prisma_access.event.auth.cache_service_region |
部署服务的区域。 |
keyword |
prisma_access.event.auth.factor_no |
指示使用主要身份验证 (1) 或其他因素 (2, 3)。 |
long |
prisma_access.event.auth.method |
用于 GlobalProtect 连接的身份验证方法。 |
keyword |
prisma_access.event.auth.server_profile |
用于身份验证的身份验证服务器。 |
keyword |
prisma_access.event.authenticated.user.domain |
正在进行身份验证的用户所属的域。 |
keyword |
prisma_access.event.authenticated.user.name |
正在进行身份验证的用户的名称。 |
keyword |
prisma_access.event.authenticated.user.uuid |
分配给正在进行身份验证的用户的唯一标识符。 |
keyword |
prisma_access.event.authentication.description |
其他身份验证信息。 |
keyword |
prisma_access.event.authentication.policy |
在允许访问受保护资源之前,为身份验证调用的策略。 |
keyword |
prisma_access.event.authentication.protocol |
指示服务器使用的身份验证协议。 |
keyword |
prisma_access.event.base_event_count |
在摘要间隔内看到的具有相同源 IP、目标 IP、应用程序和内容/威胁类型的会话数。 |
long |
prisma_access.event.bytes.in |
服务器到客户端网络流量中的字节数。 |
long |
prisma_access.event.bytes.out |
客户端到服务器网络流量中的字节数。 |
long |
prisma_access.event.bytes.total |
总字节数(发送和接收)。 |
long |
prisma_access.event.cached_configuration |
指示客户端是否正在使用缓存的配置连接到 GlobalProtect 门户。 |
布尔值 |
prisma_access.event.captive_portal |
指示是否通过强制门户捕获了会话的用户信息。 |
布尔值 |
prisma_access.event.cef.device.product |
keyword |
|
prisma_access.event.cef.device.vendor |
keyword |
|
prisma_access.event.cef.device.version |
keyword |
|
prisma_access.event.cef.name |
keyword |
|
prisma_access.event.cef.severity |
long |
|
prisma_access.event.cef.version |
keyword |
|
prisma_access.event.certificate.flags |
仅供内部使用的位字段,包含防火墙生成的原始解密信息。此位字段中的信息反映在其他解密日志字段中。 |
keyword |
prisma_access.event.certificate.serial |
证书的序列号。 |
keyword |
prisma_access.event.certificate.size |
证书的大小。 |
long |
prisma_access.event.certificate.version |
证书的版本号。 |
keyword |
prisma_access.event.chain_status |
证书链验证状态。 |
keyword |
prisma_access.event.chunks.received |
服务器到客户端网络流量中 SCTP 数据块的总数。 |
long |
prisma_access.event.chunks.sent |
客户端到服务器网络流量中 SCTP 数据块的总数。 |
long |
prisma_access.event.chunks.total |
网络流量中 SCTP 数据块的总数。 |
long |
prisma_access.event.class_id |
设备类 ID。 |
keyword |
prisma_access.event.client.to_firewall |
SSL/TLS 连接的方向是从客户端到防火墙。 |
布尔值 |
prisma_access.event.client.type.name |
用于完成身份验证的客户端类型。 |
keyword |
prisma_access.event.client.type.value |
用于完成身份验证的客户端类型(例如身份验证门户)。 |
keyword |
prisma_access.event.cloud.hostname |
VM 系列防火墙运行所在的主机名。 |
keyword |
prisma_access.event.cloud.report_id |
由 PAN-OS 10.2.0 运行的防火墙发送的、DLP 云服务扫描的文件的唯一 32 个字符 ID。 |
keyword |
prisma_access.event.common.name.length |
证书域名上找到的公用名称在截断之前的长度(如果有)。 |
long |
prisma_access.event.common.name.value |
在证书域名上找到的公用名称。 |
keyword |
prisma_access.event.config_version |
写入此日志记录的防火墙操作系统的版本号。 |
keyword |
prisma_access.event.configuration_refresh |
指示是否已刷新 GlobalProtect 门户配置。 |
布尔值 |
prisma_access.event.connection.error.id |
分配给 connection_error 字段值的枚举整数。 |
keyword |
prisma_access.event.connection.error.value |
连接不成功的错误信息。 |
keyword |
prisma_access.event.connection.method |
标识 GlobalProtect 应用程序如何连接到网关。 |
keyword |
prisma_access.event.container.id |
未知字段。目前没有可用信息。 |
keyword |
prisma_access.event.container.name.space |
容器命名空间。 |
keyword |
prisma_access.event.container.name.value |
容器名称。 |
keyword |
prisma_access.event.content_version |
防火墙上内容的版本。 |
keyword |
prisma_access.event.cortex_data_lake_tenant_id |
唯一标识接收此日志记录的 Cortex Data Lake 实例的 ID。 |
keyword |
prisma_access.event.count_of_repeats |
在摘要间隔内看到的具有相同源 IP、目标 IP、应用程序和内容/威胁类型的会话数。 |
long |
prisma_access.event.cpadding |
仅供内部使用。 |
keyword |
prisma_access.event.cpu_usage |
端点上的总体 CPU 使用率百分比。 |
double |
prisma_access.event.crash_history |
任何 GlobalProtect 应用程序崩溃的记录。 |
keyword |
prisma_access.event.d_user_0 |
keyword |
|
prisma_access.event.data.code |
为此消息设置的 SCTP 事件通知代码。 |
keyword |
prisma_access.event.data.description |
系统事件的描述。如果来源是防火墙,则此描述是不透明的。如果来源是 TMS,则这是 msgTextEn 字段。 |
keyword |
prisma_access.event.data.details |
标识配置更改之前和之后防火墙的配置。 |
keyword |
prisma_access.event.data.id |
标识事件。 |
keyword |
prisma_access.event.data.outcome |
事件的状态(成功或失败)。 |
keyword |
prisma_access.event.data.result |
配置操作的结果。 |
keyword |
prisma_access.event.data.time |
在防火墙数据平面上生成日志的时间。此字符串包含一个时间戳值,该值是从 Unix 纪元开始的微秒数。 |
日期 |
prisma_access.event.debug_log_file |
包含调试日志的文件的名称。 |
keyword |
prisma_access.event.description |
有关事件的其他信息。 |
keyword |
prisma_access.event.destination.address.v6 |
原始目标 IP 地址。 |
ip |
prisma_access.event.destination.address.value |
原始目标 IP 地址。 |
ip |
prisma_access.event.destination.device.category |
会话定向到的设备的类别。 |
keyword |
prisma_access.event.destination.device.class |
目标设备类。 |
keyword |
prisma_access.event.destination.device.host |
会话定向到的设备的主机名。 |
keyword |
prisma_access.event.destination.device.mac |
会话定向到的设备的 MAC 地址。 |
keyword |
prisma_access.event.destination.device.model |
会话定向到的设备的型号。 |
keyword |
prisma_access.event.destination.device.os.family |
会话定向到的设备的操作系统系列。 |
keyword |
prisma_access.event.destination.device.os.type |
目标设备操作系统类型。 |
keyword |
prisma_access.event.destination.device.os.version |
会话定向到的设备的操作系统版本。 |
keyword |
prisma_access.event.destination.device.profile |
会话定向到的设备的配置文件。 |
keyword |
prisma_access.event.destination.device.vendor |
会话定向到的设备的供应商。 |
keyword |
prisma_access.event.destination.dynamic_address_group |
设备 ID 标识为流量目标的动态地址组。 |
keyword |
prisma_access.event.destination.edl |
包含流量目标 IP 地址的外部动态列表的名称。 |
keyword |
prisma_access.event.destination.host_name |
用户计算机的名称。 |
keyword |
prisma_access.event.destination.location |
目标国家或私有地址的内部区域。 |
keyword |
prisma_access.event.destination.nt_domain |
目标用户所属的域。 |
keyword |
prisma_access.event.destination.port |
网络流量的目标端口。如果此值为 0,则应用程序正在使用其标准端口。 |
long |
prisma_access.event.destination.service_name |
执行配置的管理员使用的客户端。 |
keyword |
prisma_access.event.destination.translated.address |
如果执行了目标 NAT,则为 NAT 后的目标 IP 地址。 |
ip |
prisma_access.event.destination.translated.port |
NAT 后的目标端口。 |
long |
prisma_access.event.destination.user.domain |
目标用户所属的域。 |
keyword |
prisma_access.event.destination.user.id |
分配给目标用户的唯一标识符。 |
keyword |
prisma_access.event.destination.user.name |
网络流量的目标用户名。 |
keyword |
prisma_access.event.destination.user.uuid |
分配给目标用户的唯一标识符。 |
keyword |
prisma_access.event.destination.uuid |
标识 VMware NSX 环境中来宾虚拟机的目标通用唯一标识符。 |
keyword |
prisma_access.event.device.action |
标识防火墙针对网络流量采取的操作。 |
keyword |
prisma_access.event.device.event.category |
设备事件类别。 |
keyword |
prisma_access.event.device.event.class_id |
标识日志类型。 |
keyword |
prisma_access.event.device.external_id |
唯一标识日志来源的 ID。如果来源是防火墙,则这是其序列号。 |
keyword |
prisma_access.event.device.group |
防火墙所在设备组的 ID 和名称。 |
keyword |
prisma_access.event.device.host_name |
日志来源的名称。也就是说,记录网络流量的防火墙的主机名。 |
keyword |
prisma_access.event.device.inbound_interface |
网络流量的来源接口。 |
keyword |
prisma_access.event.device.ipv6_address |
收集映射信息的来源。 |
ip |
prisma_access.event.device.name |
日志来源的名称。也就是说,记录网络流量的防火墙的主机名。 |
keyword |
prisma_access.event.device.outbound_interface |
网络流量的目标接口。 |
keyword |
prisma_access.event.device.receipt_time |
在 Cortex Data Lake 中收到日志的时间。此时间由平台填充。 |
日期 |
prisma_access.event.device.sn |
唯一标识日志来源的 ID。也就是说,生成日志的防火墙的序列号。 |
keyword |
prisma_access.event.device.time_zone |
端点时区与 GMT 之间的差异。 |
keyword |
prisma_access.event.device.vendor |
标识生成数据的供应商。 |
keyword |
prisma_access.event.dg_hierarchy.level1 |
一系列标识号,指示设备组在设备组层次结构中的位置。 |
long |
prisma_access.event.dg_hierarchy.level2 |
一系列标识号,指示设备组在设备组层次结构中的位置。 |
long |
prisma_access.event.dg_hierarchy.level3 |
一系列标识号,指示设备组在设备组层次结构中的位置。 |
long |
prisma_access.event.dg_hierarchy.level4 |
一系列标识号,指示设备组在设备组层次结构中的位置。 |
long |
prisma_access.event.diam.app_id |
分配给与此网络流量关联的 Diameter 应用程序的 IANA ID。 |
keyword |
prisma_access.event.diam.avp_code |
与此网络流量关联的 Diameter 应用程序使用的 AVP 代码。 |
keyword |
prisma_access.event.diameter_command_code |
此网络流量使用的 Diameter 命令代码。 |
keyword |
prisma_access.event.direction_of_attack |
指示攻击方向。 |
keyword |
prisma_access.event.disable_history |
GlobalProtect 被禁用的时间的记录。 |
keyword |
prisma_access.event.disk_available |
端点上剩余的磁盘空间。 |
double |
prisma_access.event.dlp_version_flag |
指示这些是旧的数据过滤日志还是新的数据过滤日志。 |
keyword |
prisma_access.event.dlsa_status |
指示是否启用了本地子网访问。 |
布尔值 |
prisma_access.event.dns.category |
请求域的 DNS 类别判定,用整数表示。根据协议字段的值,该整数表示不同的类别。 |
keyword |
prisma_access.event.dns.reachable |
指示端点是否可以访问 Internet DNS 服务器。 |
布尔值 |
prisma_access.event.dns.resolver_ip |
DNS 解析器的 IP 地址。 |
ip |
prisma_access.event.dns.response.code |
DNS 查询中域解析到的 IP 地址。 |
keyword |
prisma_access.event.dns.response.value |
DNS 查询中域解析到的 IP 地址。 |
ip |
prisma_access.event.dns.secuity_version |
指示生成日志的防火墙的 PAN-OS 版本的数字。 |
keyword |
prisma_access.event.domain.edl |
域外部动态列表。也就是说,包含流量目标域的外部动态列表的名称。 |
keyword |
prisma_access.event.domain.value |
主体公用名称;即证书保护的服务器的名称。 |
keyword |
prisma_access.event.dst_zone |
会话的目标网络区域。 |
keyword |
prisma_access.event.dual_stack_tunnel_interface |
指示 GlobalProtect 接口是否同时与 IPv4 和 IPv6 兼容。 |
布尔值 |
prisma_access.event.dynamic_user_group.name |
发起网络连接的用户的动态用户组。 |
keyword |
prisma_access.event.dynamic_user_group.value |
发起网络连接的用户的动态用户组。 |
keyword |
prisma_access.event.elliptic_curve |
客户端和服务器协商并用于使用 ECDHE 密码套件的连接的椭圆密码曲线。 |
keyword |
prisma_access.event.email_subject |
标识沙箱在分析防火墙转发的电子邮件链接时确定为恶意的电子邮件的主题。 |
keyword |
prisma_access.event.end_time |
身份验证完成的时间。此字符串包含一个时间戳值,该值是从 Unix 纪元开始的微秒数。 |
日期 |
prisma_access.event.endpoint.association_id |
用于 SCTP 网络流量的端点关联的 ID。 |
keyword |
prisma_access.event.endpoint.cpu_architecture |
端点正在运行的操作系统的架构。 |
keyword |
prisma_access.event.endpoint.device.domain |
端点所属的域。 |
keyword |
prisma_access.event.endpoint.device.name |
记录事件的端点的主机名。 |
keyword |
prisma_access.event.endpoint.ip_address |
事件源的 IP 地址。 |
ip |
prisma_access.event.endpoint.os.type |
安装在用户计算机或设备(或客户端系统)上的操作系统。 |
keyword |
prisma_access.event.endpoint.os.version |
端点上运行的操作系统的版本。 |
keyword |
prisma_access.event.endpoint.serial_number |
安装 GlobalProtect 的主机序列号。 |
keyword |
prisma_access.event.endpoint.sn |
唯一标识部署了 GlobalProtect 客户端的端点的 ID。 |
keyword |
prisma_access.event.endpoint.user.domain |
在发生系统事件时登录到端点的用户的域。 |
keyword |
prisma_access.event.endpoint.user.name |
在发生系统事件时登录到端点的用户的名称。 |
keyword |
prisma_access.event.endpoint.user.uuid |
端点用户的唯一 ID。 |
keyword |
prisma_access.event.enforcer_status |
指示是否强制执行 GlobalProtect 进行网络访问。 |
布尔值 |
prisma_access.event.error.details |
有助于解决错误的详细信息。 |
keyword |
prisma_access.event.error.index |
客户端和服务器协商并用于使用 ECDHE 密码套件的连接的椭圆密码曲线。 |
keyword |
prisma_access.event.error.message |
错误消息内容。 |
keyword |
prisma_access.event.error.stage |
发生错误时的阶段。 |
keyword |
prisma_access.event.external_id |
日志条目标识符,按顺序递增。每种日志类型都有唯一的编号空间。 |
keyword |
prisma_access.event.fallback_to_ssl_reason |
GlobalProtect 客户端回退到 SSL 连接网关的原因。 |
keyword |
prisma_access.event.file.hash |
文件的二进制哈希值 (SHA256)。 |
keyword |
prisma_access.event.file.id |
数据包捕获 ID。用于将威胁 pcap 文件与作为会话流一部分的扩展 pcap 相关联。 |
keyword |
prisma_access.event.file.name |
被阻止的文件的名称。 |
keyword |
prisma_access.event.file.type |
文件的类型。 |
keyword |
prisma_access.event.file.url |
文件 URL。 |
keyword |
prisma_access.event.filename |
与系统事件关联的对象的名称。 |
keyword |
prisma_access.event.fingerprint |
x509 二进制格式证书的哈希值。 |
keyword |
prisma_access.event.firewall_to_client |
SSL/TLS 连接的方向是从防火墙到客户端。 |
布尔值 |
prisma_access.event.flow_type |
定义流量类型,无论是显式代理、透明代理还是无代理流量。 |
keyword |
prisma_access.event.from_zone |
流量的来源网络区域。 |
keyword |
prisma_access.event.gateway.address |
GlobalProtect 网关的 IP 地址。 |
ip |
prisma_access.event.gateway.authentication |
用于连接到 GlobalProtect 网关的身份验证方法数组。 |
keyword |
prisma_access.event.gateway.configuration_name |
GlobalProtect 网关客户端设置配置的名称。 |
keyword |
prisma_access.event.gateway.logout_time |
GlobalProtect 客户端从网关注销时的 UTC 时间(以毫秒为单位)。 |
日期 |
prisma_access.event.gateway.priority |
从门户配置检索的网关优先级。 |
keyword |
prisma_access.event.gateway.reachable |
指示网关是否可达。 |
布尔值 |
prisma_access.event.gateway.selection_type |
网关选择方法,即自动、首选或手动。 |
keyword |
prisma_access.event.gateway.ssl_certificate_valid |
指示网关服务器证书是否有效。 |
布尔值 |
prisma_access.event.gateway.status |
GlobalProtect 网关的状态。 |
keyword |
prisma_access.event.gateway.value |
所选的连接网关。 |
keyword |
prisma_access.event.global_protect.client_version |
GlobalProtect 客户端版本号。 |
keyword |
prisma_access.event.global_protect.cpu_usage |
GlobalProtect 使用的端点 CPU 资源百分比。 |
double |
prisma_access.event.global_protect.gateway_location |
Global Protect 网关的位置。 |
keyword |
prisma_access.event.global_protect.memory_usage |
GlobalProtect 在端点上使用的内存资源。 |
keyword |
prisma_access.event.global_protect.mtu |
GlobalProtect 的最大传输单元。 |
long |
prisma_access.event.global_protect.version |
GlobalProtect 应用程序版本。 |
keyword |
prisma_access.event.gp_host_id |
GlobalProtect 分配的用于标识主机的唯一 ID。 |
keyword |
prisma_access.event.ha_session_owner |
会话故障转移到的集群成员的名称。 |
keyword |
prisma_access.event.hip_match_type |
标识 hip 字段表示 HIP 对象还是 HIP 配置文件。 |
keyword |
prisma_access.event.host_id |
GlobalProtect 分配的用于标识主机的唯一 ID。 |
keyword |
prisma_access.event.http.headers |
Web 请求中使用的 HTTP 标头。 |
keyword |
prisma_access.event.http.method |
描述 Web 请求中使用的 HTTP 方法。 |
keyword |
prisma_access.event.http.referer.fqdn |
HTTP REFERER 标头字段中使用的完全限定域名。 |
keyword |
prisma_access.event.http.referer.port |
HTTP REFERER 标头字段中使用的端口。 |
long |
prisma_access.event.http.referer.protocol |
HTTP REFERER 标头字段中使用的协议。 |
keyword |
prisma_access.event.http.referer.url_path |
HTTP REFERER 标头字段中使用的 URL 路径。 |
keyword |
prisma_access.event.http2_connection |
HTTP/2 连接的父会话 ID。如果流量未使用 HTTP/2,则此字段设置为 0。 |
keyword |
prisma_access.event.imei |
用于将相似流量分组在一起进行日志记录和报告的字符串。此值由管理员在防火墙上全局定义。 |
keyword |
prisma_access.event.imsi |
正在检查的隧道 ID 或移动用户的国际移动用户识别码 (IMSI) ID。 |
keyword |
prisma_access.event.inbound_interface.details.port |
网络流量来源的硬件端口或套接字。 |
long |
prisma_access.event.inbound_interface.details.slot |
网络流量来源的接口插槽。 |
long |
prisma_access.event.inbound_interface.details.type |
网络流量来源的接口类型。 |
keyword |
prisma_access.event.inbound_interface.details.unit |
内部使用。 |
long |
prisma_access.event.inbound_interface.value |
网络流量的来源接口。 |
keyword |
prisma_access.event.inline_ml_verdict |
根据用于分析网页的 Inline ML 模型,识别威胁性质的裁决。 |
keyword |
prisma_access.event.install_history |
指示 GlobalProtect 是新安装、升级还是降级。 |
布尔值 |
prisma_access.event.internal.network |
指示端点是否在内部网络中。 |
布尔值 |
prisma_access.event.internet.access |
指示端点是否具有互联网访问权限。 |
布尔值 |
prisma_access.event.ip_subnet_range |
IP 子网范围。 |
keyword |
prisma_access.event.ipsec.enabled |
指示是否启用了 IPsec 隧道模式。 |
布尔值 |
prisma_access.event.ipsec.failure_reason |
IPsec 隧道连接失败的原因。 |
keyword |
prisma_access.event.is_cert.cn_truncated |
指示证书上找到的公用名是否因缓冲区限制而被截断。 |
布尔值 |
prisma_access.event.is_cert.ecdsa |
会话使用的证书密钥交换算法是 ECDSA。 |
布尔值 |
prisma_access.event.is_cert.rsa |
会话使用的证书密钥交换算法是 RSA。 |
布尔值 |
prisma_access.event.is_client_to_server |
指示流量方向是否是从客户端到服务器。 |
布尔值 |
prisma_access.event.is_container |
指示会话是否为容器页面访问(容器页面)。 |
布尔值 |
prisma_access.event.is_decrypt_mirror |
指示解密的流量是否通过镜像端口以明文形式发送出去。 |
布尔值 |
prisma_access.event.is_decrypted.log |
未知字段。目前没有可用信息。 |
布尔值 |
prisma_access.event.is_decrypted.payload_forward |
未知字段。目前没有可用信息。 |
布尔值 |
prisma_access.event.is_decrypted.value |
指示会话已解密的标志。 |
布尔值 |
prisma_access.event.is_duplicate.log |
指示此日志数据是否在多个位置可用,例如来自 Cortex Data Lake 以及来自本地日志收集器。 |
布尔值 |
prisma_access.event.is_duplicate.user |
指示在用户组中是否找到重复用户。 |
布尔值 |
prisma_access.event.is_encrypted |
指示会话已加密的标志。 |
布尔值 |
prisma_access.event.is_forwarded |
内部使用的字段,指示日志是否正在转发。 |
布尔值 |
prisma_access.event.is_inspection_before_session |
未知字段。目前没有可用信息。 |
布尔值 |
prisma_access.event.is_ipv6 |
指示会话是否使用了 IPV6。 |
布尔值 |
prisma_access.event.is_issuer_cn_truncated |
指示证书颁发者使用的公用名是否因缓冲区限制而被截断。 |
布尔值 |
prisma_access.event.is_mptcp_on |
指示下一代防火墙上是否启用了允许客户端使用多条路径连接到目标主机的选项。 |
布尔值 |
prisma_access.event.is_nat |
指示防火墙是否正在为记录的流量执行网络地址转换 (NAT)。 |
布尔值 |
prisma_access.event.is_non_standard_destination_port |
指示目标端口是否为非标准端口。 |
布尔值 |
prisma_access.event.is_offloaded |
指示流量是否在数据包进入 VM/CN 系列上的 Linux 内核之前被卸载到硬件。 |
布尔值 |
prisma_access.event.is_packet_capture |
指示会话是否有数据包捕获 (PCAP)。 |
布尔值 |
prisma_access.event.is_phishing |
指示最终用户是否提交了企业凭据。 |
布尔值 |
prisma_access.event.is_prisma.network |
内部使用的字段。如果设置为 1,则日志是在基于云的防火墙上生成的。如果为 0,则防火墙在本地运行。 |
布尔值 |
prisma_access.event.is_prisma.users |
内部使用字段。如果设置为 1,则日志记录是使用基于云的 GlobalProtect 实例生成的。如果为 0,则 GlobalProtect 托管在本地。 |
布尔值 |
prisma_access.event.is_proxy |
指示 SSL 会话是否已解密 (SSL 代理)。 |
布尔值 |
prisma_access.event.is_recon_excluded |
指示流量的来源是否在防火墙允许列表中,并且不受侦察保护的约束。 |
布尔值 |
prisma_access.event.is_resume_session |
指示解密会话先前中断,现在正在恢复。 |
布尔值 |
prisma_access.event.is_root_cn_truncated |
指示根 CA 使用的公用名是否因缓冲区限制而被截断。 |
布尔值 |
prisma_access.event.is_saas_application |
内部使用字段。指示与此网络流量关联的应用程序是否为 SAAS 应用程序。 |
布尔值 |
prisma_access.event.is_server_to_client |
指示流量方向是否是从服务器到客户端。 |
布尔值 |
prisma_access.event.is_sni_truncated |
指示服务器名称指示 (SNI)(即客户端尝试访问的服务器的主机名)是否因缓冲区限制而被截断。 |
布尔值 |
prisma_access.event.is_source_x_forwarded |
指示代理的 X-Forwarded-For 值是否在源用户字段中。 |
布尔值 |
prisma_access.event.is_system_return |
指示是否使用对称返回来为此会话转发流量。 |
布尔值 |
prisma_access.event.is_transaction |
指示日志是否对应于 HTTP 代理会话中的事务(代理事务)。 |
布尔值 |
prisma_access.event.is_tunnel_inspected |
指示是否检查了外部隧道的有效负载。 |
布尔值 |
prisma_access.event.is_url_denied |
指示会话是否因 URL 过滤规则而被拒绝。 |
布尔值 |
prisma_access.event.issuer.common_name |
验证证书内容的组织的名称。 |
keyword |
prisma_access.event.issuer.name_length |
颁发者公用名在截断之前(如果有)的长度。 |
long |
prisma_access.event.jail_broken_status |
指示移动设备是否已越狱。 |
布尔值 |
prisma_access.event.jitter |
网关抖动(以毫秒为单位)。 |
long |
prisma_access.event.justification |
理由字符串。 |
keyword |
prisma_access.event.label.c6a1 |
keyword |
|
prisma_access.event.label.c6a2 |
keyword |
|
prisma_access.event.label.c6a3 |
keyword |
|
prisma_access.event.label.cs1 |
keyword |
|
prisma_access.event.label.cs2 |
keyword |
|
prisma_access.event.label.cs3 |
keyword |
|
prisma_access.event.label.cs4 |
keyword |
|
prisma_access.event.label.cs5 |
keyword |
|
prisma_access.event.label.cs6 |
keyword |
|
prisma_access.event.label.flex_string |
keyword |
|
prisma_access.event.last.hip_report_time |
GlobalProtect 上次发送主机信息配置文件 (HIP) 报告的时间。 |
日期 |
prisma_access.event.last.logout_time |
用户上次从 GlobalProtect 注销的时间(以毫秒为单位的 UTC 时间)。 |
日期 |
prisma_access.event.latency |
网关延迟(以毫秒为单位)。 |
long |
prisma_access.event.link.change_count |
该会话中应用翻转的次数。 |
long |
prisma_access.event.link.switches |
链路交换机的详细信息(最多 4 个)。 |
keyword |
prisma_access.event.locale |
语言区域名称。 |
keyword |
prisma_access.event.location |
地理区域/位置。 |
keyword |
prisma_access.event.log.exported |
指示此日志是否使用防火墙的日志导出功能从防火墙导出。 |
布尔值 |
prisma_access.event.log.forwarded |
内部使用的字段,指示日志是否正在转发。 |
布尔值 |
prisma_access.event.log.setting |
应用于会话的日志转发配置文件名称。此名称由防火墙的管理员定义。 |
keyword |
prisma_access.event.log.source.group_id |
唯一标识日志的 logSourceGroupId 的 ID。即,组的 log_source_id。 |
keyword |
prisma_access.event.log.source.timezone_offset |
日志源相对于 GMT 的时区偏移量。 |
keyword |
prisma_access.event.log.source.value |
标识数据的来源。即,生成数据的系统。 |
keyword |
prisma_access.event.log.subtype |
标识日志子类型。 |
keyword |
prisma_access.event.logging_service_id |
唯一标识接收此日志记录的 Cortex Data Lake 实例的 ID。 |
keyword |
prisma_access.event.login_duration |
连接用户登录的时长。 |
long |
prisma_access.event.map_app_code |
此网络流量使用的移动应用部分 (MAP) 操作代码。 |
keyword |
prisma_access.event.mapping.data_source.name |
发送 IP (端口)-用户映射的用户 ID 源。 |
keyword |
prisma_access.event.mapping.data_source.subtype |
用于标识数据源中 IP/用户映射的机制。 |
keyword |
prisma_access.event.mapping.data_source.type |
用于标识数据源中 IP/用户映射的机制。 |
keyword |
prisma_access.event.mapping.data_source.value |
收集映射信息的来源。 |
keyword |
prisma_access.event.mapping.timeout |
清除映射后的超时时间间隔。 |
long |
prisma_access.event.memory_usage |
端点上的总内存使用量。 |
long |
prisma_access.event.message |
此日志记录的描述。 |
keyword |
prisma_access.event.mfa.authentication_id |
在主身份验证和附加(多因素)身份验证中给出的唯一 ID。 |
keyword |
prisma_access.event.mfa.factor_type |
存在多因素身份验证时,用于验证用户的供应商。 |
keyword |
prisma_access.event.mfa.vendor |
提供额外因素身份验证的供应商。 |
keyword |
prisma_access.event.mobile.area_code |
公共陆地移动网络 (PLMN) 内的区域。 |
keyword |
prisma_access.event.mobile.base_station_code |
区域代码内的基站。 |
keyword |
prisma_access.event.mobile.country_code |
服务核心网络运营商的移动国家代码。 |
keyword |
prisma_access.event.mobile.ip |
PGW/GGSN 分配的移动用户的 IP 地址。 |
ip |
prisma_access.event.mobile.network_code |
服务核心网络运营商的移动网络代码。 |
keyword |
prisma_access.event.mobile.subscriber_isdn |
与移动用户关联的服务标识。 |
keyword |
prisma_access.event.name |
标识日志子类型。 |
keyword |
prisma_access.event.nat.destination.port |
NAT 后的目标端口。 |
long |
prisma_access.event.nat.destination.value |
如果执行了目标 NAT,则为 NAT 后的目标 IP 地址。 |
ip |
prisma_access.event.nat.source.port |
NAT 后的源端口。 |
long |
prisma_access.event.nat.source.value |
如果执行了源 NAT,则为 NAT 后的源 IP 地址。 |
ip |
prisma_access.event.nat.value |
指示防火墙是否正在为记录的流量执行网络地址转换 (NAT)。 |
布尔值 |
prisma_access.event.network_access |
指示端点是否具有网络访问权限。 |
布尔值 |
prisma_access.event.non_standard_destination_port |
标识与此会话关联的应用程序使用的非标准或意外端口。 |
long |
prisma_access.event.normalize_user.domain |
规范化用户的域。 |
keyword |
prisma_access.event.normalize_user.name |
正在验证的用户的规范化版本(例如,将域名附加到用户名)。 |
keyword |
prisma_access.event.nssai_network_slice.differentiator |
网络切片区分符 (SNSSAI 的 SD 部分)。 |
keyword |
prisma_access.event.nssai_network_slice.type |
网络切片类型 (SNSSAI 的 SST 部分)。 |
keyword |
prisma_access.event.operating_system |
用户报告问题所用设备的操作系统。 |
keyword |
prisma_access.event.outbound_interface_details.port |
发送网络流量的硬件端口或套接字。 |
long |
prisma_access.event.outbound_interface_details.slot |
发送网络流量的接口插槽。 |
long |
prisma_access.event.outbound_interface_details.type |
发送网络流量的接口类型。 |
keyword |
prisma_access.event.outbound_interface_details.unit |
内部使用。 |
long |
prisma_access.event.packet.capture |
指示会话是否有数据包捕获 (PCAP)。 |
布尔值 |
prisma_access.event.packet.loss |
网关流量丢失的数据包百分比。 |
double |
prisma_access.event.packet.value |
触发防火墙生成此日志记录的数据包。 |
keyword |
prisma_access.event.packets.dropped.max |
防火墙因数据包超出配置的最大封装级别数而丢弃的数据包数。 |
long |
prisma_access.event.packets.dropped.protocol |
防火墙因数据包包含未知协议而丢弃的数据包数。 |
double |
prisma_access.event.packets.dropped.strict |
防火墙因数据包中的隧道协议标头未能遵守隧道协议的 RFC 而丢弃的数据包数。 |
double |
prisma_access.event.packets.dropped.tunnel |
防火墙因分段错误而丢弃的数据包数。 |
long |
prisma_access.event.packets.received |
会话的服务器到客户端数据包数。 |
long |
prisma_access.event.packets.sent |
会话的客户端到服务器数据包数。 |
long |
prisma_access.event.packets.total |
会话看到的总数据包数(发送和接收)。 |
long |
prisma_access.event.padding |
仅供内部使用。 |
keyword |
prisma_access.event.padding3 |
仅供内部使用。 |
keyword |
prisma_access.event.pan_os.destination.user.domain |
目标用户所属的域。 |
keyword |
prisma_access.event.pan_os.source.user.domain |
源用户所属的域。 |
keyword |
prisma_access.event.pan_os_data.destination.user.domain |
目标用户所属的域。 |
keyword |
prisma_access.event.pan_os_data.destination.user.name |
目标用户。即,网络流量的目标用户名。 |
keyword |
prisma_access.event.pan_os_data.source.user.domain |
源用户所属的域。 |
keyword |
prisma_access.event.pan_os_data.source.user.name |
源用户。即,发起网络流量的用户名。 |
keyword |
prisma_access.event.pan_os_value.destination.user.domain |
目标用户所属的域。 |
keyword |
prisma_access.event.pan_os_value.destination.user.name |
网络流量的目标用户名。 |
keyword |
prisma_access.event.pan_os_value.source.user.domain |
源用户所属的域。 |
keyword |
prisma_access.event.pan_os_value.source.user.name |
发起网络流量的用户名。 |
keyword |
prisma_access.event.panorama_sn |
与 CDL 关联的全景序列号。 |
keyword |
prisma_access.event.parent.session_id |
此网络流量在其中隧道的会话的 ID。 |
keyword |
prisma_access.event.parent.start_time |
父会话开始的时间。此字符串包含一个时间戳值,该值是自 Unix 纪元以来的微秒数。 |
日期 |
prisma_access.event.partial_hash |
机器学习部分哈希。 |
keyword |
prisma_access.event.payload_protocol_id |
关联的有效负载协议标识符。 |
keyword |
prisma_access.event.platform_type |
平台类型(有效类型为 VM、PA、NGFW、CNGFW)。 |
keyword |
prisma_access.event.policy_name |
与会话关联的解密策略的名称。 |
keyword |
prisma_access.event.portal.address |
上次连接的 GlobalProtect 门户的 IP 地址。 |
ip |
prisma_access.event.portal.authentication |
用于连接到 GlobalProtect 门户的身份验证方法。 |
keyword |
prisma_access.event.portal.configuration_name |
如果客户端连接到门户,则为 GlobalProtect 门户配置的名称。 |
keyword |
prisma_access.event.portal.gateway_latency |
以毫秒为单位的网络延迟。 |
long |
prisma_access.event.portal.last_connect_time |
客户端上次连接到 GlobalProtect 门户的时间。 |
日期 |
prisma_access.event.portal.reachable |
指示 GlobalProtect 门户是否可访问并接受 TCP 连接。 |
布尔值 |
prisma_access.event.portal.ssl_certificate_valid |
指示门户是否具有有效的服务器证书。 |
布尔值 |
prisma_access.event.portal.status |
用户报告问题之前门户的状态。 |
keyword |
prisma_access.event.portal.value |
用户连接到的 Global Protect 门户或网关。 |
keyword |
prisma_access.event.private.ipv4 |
连接的用户的私有 IP 地址 (v4)。 |
ip |
prisma_access.event.private.ipv6 |
连接的用户的私有 IP 地址 (v6)。 |
ip |
prisma_access.event.privileges |
指示 GlobalProtect 在端点上是否具有正常运行所需的权限。 |
布尔值 |
prisma_access.event.profile.name |
数据过滤配置文件名称。 |
keyword |
prisma_access.event.profile.token |
配置文件令牌。 |
keyword |
prisma_access.event.project_name |
保留以供将来使用。 |
keyword |
prisma_access.event.protocol_data_unitsession_id |
协议数据单元会话 ID。 |
keyword |
prisma_access.event.proxy.server |
指示端点是否在代理服务器后面。 |
布尔值 |
prisma_access.event.proxy.type |
解密代理类型,例如,转发代理的“转发”、入站检查的“入站”、未解密流量的“不解密”、解密代理、GlobalProtect 等。 |
keyword |
prisma_access.event.public.ipv4 |
连接的用户的公共 IP 地址 (v4)。 |
ip |
prisma_access.event.public.ipv6 |
连接的用户的公共 IP 地址 (v6)。 |
ip |
prisma_access.event.quarantine_reason |
隔离原因。 |
keyword |
prisma_access.event.radio_access_technology |
标识用于无线电接入的技术类型。 |
keyword |
prisma_access.event.reason |
原因。 |
keyword |
prisma_access.event.reason_for_data_filtering_action |
数据过滤操作的原因。 |
keyword |
prisma_access.event.recipient_email |
标识当沙盒在分析防火墙转发的电子邮件链接时,确定为恶意的电子邮件的收件人。 |
keyword |
prisma_access.event.record_type |
DNS 记录类型。 |
keyword |
prisma_access.event.referer |
在 HTTP REFERER 标头字段中标识的网页 URL。 |
keyword |
prisma_access.event.report_id |
标识从沙盒(云或设备)请求的分析。 |
keyword |
prisma_access.event.request.client_application |
用户代理字段指定用户用于访问 URL 的 Web 浏览器。 |
keyword |
prisma_access.event.request.context |
HTTP 响应数据的内容类型。 |
keyword |
prisma_access.event.request.method |
Web 请求中使用的 HTTP 方法。 |
keyword |
prisma_access.event.request.url |
请求 URL。 |
keyword |
prisma_access.event.root.cn_length |
截断之前(如果有)根 CA 的公用名称的长度。 |
long |
prisma_access.event.root.common_name |
根证书颁发机构的名称。 |
keyword |
prisma_access.event.root.status |
根证书的状态,例如,受信任、不受信任或未检查。 |
keyword |
prisma_access.event.rule.matched |
与网络流量匹配的安全策略规则的名称。 |
keyword |
prisma_access.event.rule.matched_uuid |
与网络流量匹配的安全策略规则的唯一标识符。 |
keyword |
prisma_access.event.rule.uuid |
与网络流量匹配的安全策略规则的唯一标识符。 |
keyword |
prisma_access.event.rule.value |
与网络流量匹配的安全策略规则的名称。 |
keyword |
prisma_access.event.s_user_0 |
keyword |
|
prisma_access.event.sanctioned_state_of_app |
指示应用程序是否已被防火墙管理员标记为已批准。 |
布尔值 |
prisma_access.event.sccp_calling.gt |
在此 SCCP 协议消息的被叫方地址中指定的全局标题 (GT)。 |
keyword |
prisma_access.event.sccp_calling.ssn |
在此 SCCP 协议消息的被叫方地址中指定的子系统号 (SSN)。 |
long |
prisma_access.event.sctp.cause_code |
在 SCTP 消息中找到的错误原因代码。 |
keyword |
prisma_access.event.sctp.chunk_type |
SCTP 数据块中包含的信息类型。 |
keyword |
prisma_access.event.sctp.event_type |
为此消息设置的 SCTP 事件通知类型。 |
keyword |
prisma_access.event.sctp.filter |
防火墙应用于此网络流量的 SCTP 筛选器。 |
keyword |
prisma_access.event.sdwan.cluster.name |
SD-WAN 集群的名称。 |
keyword |
prisma_access.event.sdwan.cluster.type |
SD-WAN 集群的类型。可以是网状或中心辐射型。 |
keyword |
prisma_access.event.sdwan.device_type |
SD-WAN 设备的类型。可以是中心或分支。 |
keyword |
prisma_access.event.sdwan.fec_ratio |
SDWAN 前向纠错 (FEC) 比率。 |
double |
prisma_access.event.sdwan.policy_name |
SD-WAN 策略的名称。 |
keyword |
prisma_access.event.sdwan.site |
SD-WAN 站点的名称。 |
keyword |
prisma_access.event.sender_email |
标识当沙盒在分析防火墙转发的电子邮件链接时,确定为恶意的电子邮件的发送者。 |
keyword |
prisma_access.event.sequence_no |
日志条目标识符,按顺序递增。每种日志类型都有唯一的编号空间。 |
keyword |
prisma_access.event.server.name_indication |
客户端尝试联系的服务器的主机名。 |
keyword |
prisma_access.event.server.perfomance |
管理员在 Panorama 上配置的各种目标 URL 的网络延迟。 |
keyword |
prisma_access.event.session.duration |
完成网络会话所用的总时间。 |
long |
prisma_access.event.session.end_reason |
会话终止的原因。 |
keyword |
prisma_access.event.session.id |
标识防火墙用于特定网络会话的内部标识符。 |
keyword |
prisma_access.event.session.owner_midx |
未知字段。目前没有可用信息。 |
布尔值 |
prisma_access.event.session.start_time |
会话建立的时间。此字符串包含一个时间戳值,该值是从 Unix 纪元开始的微秒数。 |
日期 |
prisma_access.event.session.tracker |
未知字段。目前没有可用信息。 |
keyword |
prisma_access.event.severity |
平台定义的严重性。 |
keyword |
prisma_access.event.sig_flags |
仅供内部使用。 |
keyword |
prisma_access.event.sni_length |
服务器名称指示 (SNI) 的长度,它是客户端尝试连接的服务器的主机名。这是 SNI 在任何截断发生之前的完整长度。 |
long |
prisma_access.event.source.address.v6 |
原始源 IP 地址。 |
ip |
prisma_access.event.source.address.value |
请求的源 IP 地址。 |
ip |
prisma_access.event.source.device.category |
会话来源设备的类别。 |
keyword |
prisma_access.event.source.device.class |
源设备类别。 |
keyword |
prisma_access.event.source.device.host |
会话来源设备的主机名。 |
keyword |
prisma_access.event.source.device.mac |
会话来源设备的 MAC 地址。 |
keyword |
prisma_access.event.source.device.model |
会话来源设备的型号。 |
keyword |
prisma_access.event.source.device.os.family |
会话来源设备的操作系统系列。 |
keyword |
prisma_access.event.source.device.os.type |
源设备操作系统类型。 |
keyword |
prisma_access.event.source.device.os.version |
会话来源设备的操作系统版本。 |
keyword |
prisma_access.event.source.device.profile |
会话来源设备的配置文件。 |
keyword |
prisma_access.event.source.device.vendor |
会话来源设备的供应商。 |
keyword |
prisma_access.event.source.dynamic_address_group |
设备 ID 识别为流量来源的动态地址组。 |
keyword |
prisma_access.event.source.edl |
包含流量源 IP 地址的外部动态列表的名称。 |
keyword |
prisma_access.event.source.host_name |
用户用于连接的设备的名称。 |
keyword |
prisma_access.event.source.location |
源国家/地区或私有地址的内部区域。 |
keyword |
prisma_access.event.source.nt_domain |
源用户所属的域。 |
keyword |
prisma_access.event.source.port |
会话使用的源端口。 |
long |
prisma_access.event.source.region |
连接的网关(或用户)所在的区域。 |
keyword |
prisma_access.event.source.service_name |
标识数据的来源。即,生成数据的系统。 |
keyword |
prisma_access.event.source.translated.address |
如果执行了源 NAT,则为 NAT 后的源 IP 地址。 |
ip |
prisma_access.event.source.translated.port |
NAT 后的源端口。 |
long |
prisma_access.event.source.user.domain |
源用户所属的域。 |
keyword |
prisma_access.event.source.user.id |
分配给源用户的唯一标识符。 |
keyword |
prisma_access.event.source.user.name |
发起网络流量的用户名。 |
keyword |
prisma_access.event.source.user.uuid |
分配给源用户的唯一标识符。 |
keyword |
prisma_access.event.source.uuid |
标识 VMware NSX 环境中来宾虚拟机的源通用唯一标识符。 |
keyword |
prisma_access.event.source.value |
来源。 |
keyword |
prisma_access.event.split_tunnel_configuration |
指示在 GlobalProtect 上配置的分离隧道的状态。 |
布尔值 |
prisma_access.event.ssl.failure_reason |
SSL 隧道连接失败的原因。 |
keyword |
prisma_access.event.ssl.response_time |
SSL 响应时间,以毫秒为单位。 |
long |
prisma_access.event.stage |
GlobalProtect 连接工作流中的阶段名称。 |
keyword |
prisma_access.event.standard_ports_of_app |
应用程序的标准端口。 |
long |
prisma_access.event.start_time |
在防火墙数据平面上生成日志的时间。此字符串包含一个时间戳值,该值是从 Unix 纪元开始的微秒数。 |
日期 |
prisma_access.event.stream_id |
标识防火墙用于 SCTP 流的内部标识符。 |
keyword |
prisma_access.event.tag.name |
映射到源 IP 地址的标签。 |
keyword |
prisma_access.event.tag.value |
映射到用户的标签。 |
keyword |
prisma_access.event.template |
生成日志的防火墙所属的模板/模板堆栈的 ID 和名称。 |
keyword |
prisma_access.event.tenant_id |
唯一标识接收此日志记录的 Cortex Data Lake 实例的 ID。 |
keyword |
prisma_access.event.threat.category |
检测到的威胁的威胁类别。 |
keyword |
prisma_access.event.threat.id |
请求域的全局威胁 ID。如果 DNS 请求有关联的威胁签名,则这是 Palo Alto Networks 威胁 ID。 |
keyword |
prisma_access.event.threat.name_firewall |
由防火墙写入的威胁名称。 |
keyword |
prisma_access.event.time.generated_high_resolution |
数据平面中生成日志的时间,格式为 YYYY-MM-DDTHH:MM:SS[.DDDDDD]Z,精确到毫秒。 |
日期 |
prisma_access.event.time.not_after |
证书不再有效的日期之后的时间戳。 |
日期 |
prisma_access.event.time.not_before |
证书尚未生效的日期之前的时间戳。 |
日期 |
prisma_access.event.time.received_management_plane |
管理平面中接收到日志的时间,格式为 YYYY-MM-DDTHH:MM:SS[.DDDDDD]Z。 |
日期 |
prisma_access.event.timestamp_device_identification |
设备被识别的时间,格式为 YYYY-MM-DDTHH:MM:SS[.DDDDDD]Z。 |
日期 |
prisma_access.event.tls.auth |
TLS 哈希算法。 |
keyword |
prisma_access.event.tls.encryption_algorithm |
用于加密会话数据的算法,例如 AES-128-CBC、AES-256-GCM 等。 |
keyword |
prisma_access.event.tls.key_exchange |
用于执行密钥交换的算法。 |
keyword |
prisma_access.event.tls.version |
用于加密会话的 TLS 版本,表示为 major.minor.patch.build。 |
keyword |
prisma_access.event.to_zone |
流量发送到的网络区域。 |
keyword |
prisma_access.event.total.disk_space |
端点上的总磁盘空间。 |
double |
prisma_access.event.total.memory |
端点上的总内存。 |
long |
prisma_access.event.total.time_elapsed |
网络会话的总持续时间。 |
long |
prisma_access.event.tpadding |
仅供内部使用。 |
keyword |
prisma_access.event.transport_protocol |
与会话关联的 IP 协议。 |
keyword |
prisma_access.event.tunnel.cause_code |
日志响应中的 GTP 原因值。 |
keyword |
prisma_access.event.tunnel.endpoint.id1 |
标识网络节点中的 GTP 隧道。TEID1 是 GTP 消息中的第一个 TEID。 |
keyword |
prisma_access.event.tunnel.endpoint.id2 |
标识网络节点中的 GTP 隧道。TEID2 是 GTP 消息中的第二个 TEID。 |
keyword |
prisma_access.event.tunnel.event.code |
描述 GTP 事件的事件代码。 |
keyword |
prisma_access.event.tunnel.event.type |
标识流量的 GTP 事件类型。 |
keyword |
prisma_access.event.tunnel.inspection_rule |
会话中生效的安全策略规则的名称。 |
keyword |
prisma_access.event.tunnel.interface |
接收 GTP 消息的 3GPP 接口。 |
keyword |
prisma_access.event.tunnel.message_type |
标识 GTP 消息类型。 |
keyword |
prisma_access.event.tunnel.remote.imsi_id |
S11-U 隧道末端的远程用户的国际移动用户标识 (IMSI)。 |
keyword |
prisma_access.event.tunnel.remote.user_ip |
S11-U 隧道末端的远程用户的 IP 地址。 |
ip |
prisma_access.event.tunnel.rename |
指示预登录隧道是否已重命名为用户隧道。 |
布尔值 |
prisma_access.event.tunnel.sessions.closed |
已创建的已完成/已关闭会话的数量。 |
double |
prisma_access.event.tunnel.sessions.created |
已创建的内部会话的数量。 |
double |
prisma_access.event.tunnel.type |
隧道类型。 |
keyword |
prisma_access.event.tunnel.value |
隧道类型。 |
keyword |
prisma_access.event.tunneled_application |
仅供内部使用。 |
keyword |
prisma_access.event.type |
端点正在访问的网络类型,例如 WiFi、以太网或 LTE。 |
keyword |
prisma_access.event.ug_flags |
当下一代防火墙执行 IP 到用户名映射时,用于指示用户和组信息状态的位字段。 |
keyword |
prisma_access.event.url.category.list |
关联的 URL 类别的列表。 |
keyword |
prisma_access.event.url.category.value |
与会话关联的 URL 类别。 |
keyword |
prisma_access.event.url.counter |
关联流量、URL 和沙盒日志的列。 |
long |
prisma_access.event.url.domain |
此会话中访问的互联网域名。 |
keyword |
prisma_access.event.url.value |
此会话中访问的互联网域名。 |
keyword |
prisma_access.event.user.agent_string |
用户代理字段指定用户用于访问 URL 的 Web 浏览器。 |
keyword |
prisma_access.event.user.comment |
用户在其问题报告中提交的评论。 |
keyword |
prisma_access.event.user.group_found |
指示是否可以将用户映射到组。 |
keyword |
prisma_access.event.user.identified_by_source |
数据源发送的用户名。 |
keyword |
prisma_access.event.username |
报告问题的用户的名称。 |
keyword |
prisma_access.event.users.ip |
源 IP |
ip |
prisma_access.event.users.name |
源/目标用户。 |
keyword |
prisma_access.event.uuid |
UUID。 |
keyword |
prisma_access.event.v.padding |
仅供内部使用。 |
keyword |
prisma_access.event.v.sys_name |
与网络流量关联的虚拟系统的名称。 |
keyword |
prisma_access.event.vdi_endpoint |
指示端点是否为虚拟桌面基础设施 (VDI)。 0—端点不是 VDI,1—端点是 VDI。 |
keyword |
prisma_access.event.vendor_severity |
与事件关联的严重性。 |
keyword |
prisma_access.event.verdict |
对发送进行病毒分析的文件的判决。 |
keyword |
prisma_access.event.verification.tag1 |
为 SCTP 数据包设置的验证标签。 |
keyword |
prisma_access.event.verification.tag2 |
为 SCTP 数据包设置的验证标签。 |
keyword |
prisma_access.event.virtual.location |
Palo Alto Networks 防火墙上虚拟系统的唯一标识符的字符串表示形式。 |
keyword |
prisma_access.event.virtual.system.id |
Palo Alto Networks 防火墙上虚拟系统的唯一标识符。 |
keyword |
prisma_access.event.virtual.system.name |
与网络流量关联的虚拟系统的名称。 |
keyword |
prisma_access.event.virtual.system.value |
Palo Alto Networks 防火墙上虚拟系统的唯一标识符的字符串表示形式。 |
keyword |
prisma_access.event.x_forwarded_for.ip |
X-Forwarded-For IP。 |
ip |
prisma_access.event.x_forwarded_for.value |
请求网页的用户的 IP 地址。 |
ip |
tags |
用户定义的标签。 |
keyword |
url.user_info |
keyword |