收集 Palo Alto Networks 防火墙日志

Palo Alto Networks Firewall

概览

本文档介绍了如何配置 syslog 和 Google SecOps 转发器来收集 Palo Alto Networks 防火墙日志。本文档还介绍了 Palo Alto Networks 防火墙日志字段如何映射到 Google SecOps 统一数据模型 (UDM) 字段。如需大致了解 Google SecOps 数据注入，请参阅将数据注入到 Google SecOps。 注入标签用于标识将原始日志数据标准化为结构化 UDM 格式的解析器。本文档中的信息适用于具有 PAN_FIREWALL 注入标签的解析器。

准备工作

• 确保 Palo Alto Networks 防火墙产品已正确部署和配置。如需详细的设置说明，请参阅 PAN-OS 文档。

• 如需了解为收集 Palo Alto Networks 防火墙日志而部署的组件，请查看部署架构。每个客户部署都可能与此表示法不同，并且可能更复杂。下图展示了如何在 Palo Alto Networks 防火墙上配置 syslog，以及如何在 Linux 服务器上安装 Google SecOps 转发器，以将日志数据转发到 Google SecOps。解析器支持采用以下数据格式编写的日志：逗号分隔值 (CSV)、通用事件格式 (CEF) 和日志事件扩展格式 (LEEF)。

  

• 验证 Google SecOps 解析器支持的日志格式和 PAN-OS 版本。下表列出了 Google SecOps 解析器支持的日志格式和相应的 PAN-OS 版本：

  日志格式	PAN-OS 版本
  CSV	10.1.3
  CEF	10.0.0
  LEEF	9.1.0

• 验证 Google SecOps 解析器支持的 Palo Alto Networks 防火墙日志类型。 Google SecOps 解析器支持以下 Palo Alto Networks 防火墙日志类型：

  • 流量
  • 威胁
  • WildFire 提交内容
  • 隧道检查
  • 配置
  • 系统
  • HIP 匹配
  • IP-Tag
  • User-ID
  • 解密
  • 身份验证
  • 网址过滤
  • 数据过滤
  • GlobalProtect
  • 相关性
  • GTP
  • SCTP
  • 审核

  如需详细了解 Palo Alto Networks 防火墙日志类型，请参阅 PAN-OS 日志类型。

• 确保部署架构中的所有系统都配置为使用世界协调时间 (UTC) 时区。

• 在使用 Palo Alto Networks 防火墙解析器之前，请先查看旧解析器与当前 Palo Alto Networks 防火墙解析器之间字段映射的变化。在迁移过程中，请确保依赖于原始字段的规则、搜索、信息中心或其他进程使用更新后的字段。

  例如，在之前的解析器版本中，category 日志字段映射到 security_result.description UDM 字段。在当前的 Palo Alto Networks 防火墙解析器中，category 日志字段会映射到 security_result.category_details UDM 字段。如果您迁移到当前的 Palo Alto Networks 防火墙解析器，并在规则中使用 category 字段，则需要修改规则以使用当前解析器的 security_result.category_details UDM 字段。

配置 syslog 和 Google Security Operations 转发器

如需配置 syslog 和 Google SecOps 转发器，请完成以下步骤：

1. 如需监控 CSV 日志，请配置 syslog 服务器配置文件。如需了解详情，请参阅配置 Syslog 服务器配置文件。 配置 syslog 服务器配置文件时，请指定“默认”作为自定义日志格式。
2. 如需监控 CEF 日志，请将 Palo Alto Networks 防火墙配置为转发 CEF 日志。如需了解详情，请下载 PAN-OS CEF 集成指南 PDF，并参阅“配置 Palo Alto Networks NGFW 以输出 CEF 事件”部分。
3. 如需监控 LEEF 日志，请配置 syslog 服务器配置文件。如需了解详情，请参阅以 LEEF 格式转发自定义日志。

4. 配置 Google SecOps 转发器，以将日志发送到 Google Security Operations。 如需了解详情，请参阅在 Linux 上安装和配置转发器。以下是 Google SecOps 转发器配置示例：

     - syslog:
         common:
           enabled: true
           data_type: PAN_FIREWALL
           batch_n_seconds: 10
           batch_n_bytes: 1048576
         tcp_address: 0.0.0.0:10518
         connection_timeout_sec: 60
   

在 PAN 防火墙上配置 syslog 转发

创建 syslog 服务器配置文件

1. 登录 Palo Alto Networks 防火墙管理控制台。
2. 依次前往设备 > 服务器配置文件 > Syslog。
3. 点击添加以创建新的服务器配置文件。
4. 提供以下配置详细信息：
   • 名称：输入一个描述性名称（例如 Google SecOps BindPlane）。
   • 位置：选择此配置文件可用的虚拟系统 (vsys) 或共享。
5. 点击服务器 > 添加，以配置 Syslog 服务器。
6. 提供以下服务器配置详细信息：
   • 名称：输入服务器的描述性名称（例如 BindPlane Agent）。
   • Syslog 服务器：输入 BindPlane 代理 IP 地址。
   • 传输：根据 BindPlane Agent 配置选择 UDP 或 TCP（默认值为 UDP）。
   • 端口：输入 BindPlane 代理端口号（例如 514）。
   • 格式：根据您的需求，选择 BSD（默认）或 IETF。
   • 设备：根据需要选择 LOG_USER（默认）或其他设备。
7. 点击 OK 以保存 syslog 服务器配置文件。

可选：为 CEF 或 LEEF 配置自定义日志格式

如果您需要 CEF（通用事件格式）或 LEEF（日志事件扩展格式）日志，而不是 CSV 日志，请执行以下操作：

1. 在 Syslog 服务器配置文件中，选择自定义日志格式标签页。
2. 为每种日志类型（配置、系统、威胁、流量、网址、数据、WildFire、隧道、身份验证、User-ID、HIP 匹配）配置自定义日志格式。
3. 如需了解 CEF 格式配置，请参阅 Palo Alto Networks CEF 配置指南。
4. 点击确定以保存配置。

创建日志转发配置文件

1. 依次前往对象 > 日志转发。
2. 点击添加以创建新的日志转发配置文件。
3. 提供以下配置详细信息：
   • 名称：输入配置文件的名称（例如 Google SecOps Forwarding）。如果您希望防火墙自动将此配置文件分配给新的安全规则和区域，请将其命名为 default。
4. 对于要转发的每种日志类型（流量、威胁、WildFire 提交、网址过滤、数据过滤、隧道、身份验证），请配置以下内容：
   • 在相应的日志类型部分中，点击添加。
   • Syslog：选择您创建的 syslog 服务器配置文件（例如 Google SecOps BindPlane）。
   • 日志严重程度：选择要转发的严重程度级别（例如全部）。
5. 点击确定以保存日志转发配置文件。

将日志转发配置文件应用于安全政策

1. 依次前往政策 > 安全。
2. 选择要为其启用日志转发的安全规则。
3. 点击相应规则即可进行修改。
4. 前往操作标签页。
5. 在日志转发菜单中，选择您创建的日志转发配置文件（例如 Google SecOps Forwarding）。
6. 点击确定以保存安全政策配置。

为系统日志配置日志设置

1. 依次前往设备 > 日志设置。
2. 针对每种日志类型（系统、配置、User-ID、HIP Match、Global Protect、IP-Tag、SCTP）和严重程度级别，选择您创建的 syslog 服务器配置文件。
3. 点击确定以保存日志设置。

提交更改

1. 点击防火墙网页界面顶部的提交。
2. 等待提交成功完成。
3. 通过在 Google SecOps 控制台中检查传入的 Palo Alto Networks 防火墙日志，验证日志是否已发送到 Bindplane 代理。

使用 Bindplane 代理将日志转发到 Google SecOps

1. 安装并设置 Linux 虚拟机。
2. 在 Linux 上安装和配置 Bindplane 代理，以将日志转发到 Google SecOps。如需详细了解如何安装和配置 Bindplane 代理，请参阅Bindplane 代理安装和配置说明。

如果您在创建 Feed 时遇到问题，请与 Google SecOps 支持团队联系。

支持的日志格式

Palo Alto Networks 防火墙解析器支持 LEEF、CEF 和 CSV 格式的日志。

支持的示例日志

• LEEF

  <14>Jan 22 02:20:19 device_host LEEF:1.0|Palo Alto Networks|PAN-OS Syslog Integration|10.2.12-h4|Microsoft MSOFFICE(52033)|ReceiveTime=2025/01/22 02:20:18|SerialNumber=01250100xxxx|cat=THREAT|Subtype=wildfire|devTime=Jan 22 2025 08:20:18 GMT|src=198.50.100.1|dst=198.50.100.2|srcPostNAT=198.50.100.3|dstPostNAT=198.50.100.4|RuleName=AZURE-US-NEW-CNF_Inbound_To_Azure-ALLOW|usrName=|SourceUser=|DestinationUser=|Application=smtp-base|VirtualSystem=vsys1|SourceZone=McD-Global-Zone|DestinationZone=Azure-Zone|IngressInterface=ae1.111|EgressInterface=ae2.409|LogForwardingProfile=Default-Traffic-Logging|SessionID=35331795|RepeatCount=1|srcPort=21578|dstPort=25|srcPostNATPort=0|dstPostNATPort=0|Flags=0x2000|proto=tcp|action=allow|Miscellaneous=\"......3...................xls\"|ThreatID=Microsoft MSOFFICE(52033)|URLCategory=malicious|sev=4|Severity=high|Direction=client-to-server|sequence=7462614601465681755|ActionFlags=0x8000000000000000|SourceLocation=198.50.100.1-198.50.100.255|DestinationLocation=United States|ContentType=|PCAP_ID=0|FileDigest=0ea04c99bf188c2e4207f60f92ca7c6f5088c7943ee63f45c50032bbd2bf7ea9|Cloud=demo.com|URLIndex=1|RequestMethod=|FileType=ms-office|Sender=sender@ab.myownpersonaldomain.com|Subject=\"............:.................................................................................-.........(Name)-2025-01-22...............:Y107202501220005, ............:........................, ...............:.........\"|Recipient=abc@demo.myownpersonaldomain.com|ReportID=117022282776|DeviceGroupHierarchyL1=143|DeviceGroupHierarchyL2=144|DeviceGroupHierarchyL3=39|DeviceGroupHierarchyL4=0|vSrcName=|DeviceName=device_host|SrcUUID=|DstUUID=|TunnelID=0|MonitorTag=|ParentSessionID=0|ParentStartTime=|TunnelType=N/A|ThreatCategory=N/A|ContentVer=WildFire-0
  

• CEF

  14>1 2024-04-04T16:21:56+02:00 FW-PERIMETRAL-AVG-01 - - - - CEF:0|Palo Alto Networks|PAN-OS|10.1.10-h2|end|TRAFFIC|1|src=198.51.100.1 dst=198.51.100.2 srcTranslatedAddress=198.51.100.3 dstTranslatedAddress=198.51.100.4 rule=FW_USER_NATS2_APP suser= duser= app=bittorrent vs=vsys1 sz=INSIDE dz=EXTERNAL InboundInterface=ae2.2266 OutboundInterface=ae1 lp=log_forwarding sid=2935823 cnt=1 spt=6881 dpt=51413 srcTranslatedPort=0 dstTranslatedPort=0 flags=0x7a proto=udp act=allow tbytes=475 in=150 out=325 pkt=2 pktReceived=1 pktSent=1 start=Apr 04 2024 14:21:56 GMT stime=1206 urlcat=any externalId=externalId reason=aged-out DGl1=11 DGl2=161 DGl3=0 DGl4=0 VsysName=STONESOFT dvchost=FW-PERIMETRAL-AVG-01 cat=from-policy ActionFlags=0x8000000000000000 srcUUID= dstUUID= TunnelID=0 MonitorTag= ParentSessionID=0 ParentStartTime= TunnelType=N/A SCTPAssocID=0 SCTPChunks=0 SCTPChunkSent=0 SCTPChunksRcv=0 RuleUUID=746c3eb6-3d51-4679-8438-bd0e00e170a8 HTTP2Con=0 LinkChange=0 PolicyID= LinkDetail= SDWANCluster= SDWANDevice= SDWANClustype= SDWANSite= DynamicUsrgrp= XFFIP= srcDevCat= srcDevProf= srcDevModel= srcDevVendor= srcDevOS= srcDevOSv= srcHostname= srcMac= dstDevCat= dstDevProf= dstDevModel= dstDevVendor= dstDevOS= dstDevOSv= dstHostname= dstMac= ContainerName= PODNamespace= PODName= srcEDL= dstEDL= GPHostID= EPSerial= srcDAG= dstDAG= HASessionOwner= TimeHighRes=2024-04-04T16:21:56.250+02:00 ASServiceType= ASServiceDiff="
  

• CSV

  1,2021/10/24 15:30:07,,CONFIG,0,2561,2021/10/24 15:30:07,198.51.100.0,,set,admin,Web,Succeeded, network virtual-router  VR1,,VR1  { ecmp { algorithm { ip-modulo ; } } protocol { bgp { routing-options { graceful-restart { enable yes; } } enable no; } rip { enable no; } ospf { enable no; } ospfv3 { enable no; } } routing-table { ip { static-route { vr1-log  { path-monitor { enable no; failure-condition any; hold-time 2; } nexthop { ip-address 198.51.100.0; } bfd { profile None; } interface ethernet1/1; metric 10; destination 0.0.0.0/0; route-table { unicast ; } } } } } interface [ ethernet1/1 ethernet1/2 ]; } ,7022390503849066572,0x0,0,0,0,0,,PA-VM,0,
  

字段映射参考信息：日志字段到 UDM 字段

本部分介绍了对于每种日志类型，解析器如何将 Palo Alto Networks 防火墙日志字段映射到 Google SecOps UDM 事件字段。Google SecOps 标签键是指映射到 Labels.key UDM 字段的键的名称。

例如，对于“虚拟系统”字段，在 CEF 格式中，字段名称为“cs3”，而在 LEEF 格式中，字段名称为“VirtualSystem”。UDM 字段“about.labels.key”包含值“vsys”，UDM 字段“about.labels.value”包含相应字段的值。 部分 CEF 或 LEEF 字段名称没有与 CSV 字段名称对应的名称。在这种情况下，如果您在 syslog 配置文件的自定义日志格式中添加自己的变量名称，解析器不会将其映射到 UDM 字段。

如需了解每种日志类型的映射参考信息，请参阅以下部分：

• 系统
• 配置
• 威胁/野火
• 流量
• 用户 ID
• HIP 匹配
• IP 标记
• 解密
• 隧道
• Authentication
• 网址
• 数据
• GlobalProtect
• 相关性
• GTP
• SCTP
• 审核

系统

下表列出了系统日志类型的日志字段及其对应的 UDM 字段。

配置

下表列出了配置日志类型的日志字段及其对应的 UDM 字段。

威胁/WildFire

下表列出了威胁/WildFire 日志类型的日志字段及其对应的 UDM 字段。

流量

下表列出了流量日志类型的日志字段及其对应的 UDM 字段。

User-ID

下表列出了用户 ID 日志类型的日志字段及其对应的 UDM 字段。

HIP 匹配

下表列出了 HIP 匹配日志类型的日志字段及其对应的 UDM 字段。

IP 代码

下表列出了 IP 标记日志类型的日志字段及其对应的 UDM 字段。

解密

下表列出了解密日志类型的日志字段及其对应的 UDM 字段。

隧道

下表列出了隧道日志类型的日志字段及其对应的 UDM 字段。

身份验证

下表列出了身份验证日志类型的日志字段及其对应的 UDM 字段。

网址

下表列出了网址日志类型的日志字段及其对应的 UDM 字段。

数据

下表列出了数据日志类型的日志字段及其对应的 UDM 字段。

GlobalProtect

下表列出了 GlobalProtect 日志类型的日志字段及其对应的 UDM 字段。

相关性

下表列出了关联日志类型的日志字段及其对应的 UDM 字段。

GTP

下表列出了 gtp 日志类型的日志字段及其对应的 UDM 字段。

SCTP

审核

字段映射参考信息：日志类型到 UDM 事件类型

下表列出了 Palo Alto Networks 防火墙日志类型及其对应的 UDM 事件类型。

日志类型	UDM 事件类型
流量	NETWORK_CONNECTION
威胁	NETWORK_CONNECTION
网址过滤	NETWORK_CONNECTION
WildFire	NETWORK_CONNECTION WildFire 提交日志是威胁日志类型的一个子类型，使用相同的 syslog 格式。
数据过滤	NETWORK_CONNECTION
隧道	NETWORK_CONNECTION
GTP	NETWORK_CONNECTION
配置	SETTING_MODIFICATION/SETTING_CREATION/SETTING_DELETION/SETTING_UNCATEGORIZED “Command (cmd)”字段的值决定了 UDM 事件类型映射。 如果 cmd 字段值为 add 或 clone，则设置 SETTING_CREATION。 如果 cmd 字段值为 delete，则设置 SETTING_DELETION。 如果 cmd 字段值为 edit、move、rename、set 或 commit，则设置 SETTING_MODIFICATION。 如果 cmd 字段值不包含任何值，则设置 SETTING_UNCATEGORIZED。
系统	如果子类型值为“dhcp”，则设置 NETWORK_DHCP。 如果子类型值为“auth”，则设置 USER_LOGIN。 如果说明值为“logged in”，则设置 USER_LOGIN。 如果说明值为“logged out”，则设置 USER_LOGOUT。 对于子类型的其他值，系统会设置 GENERIC_EVENT。
HIP 匹配	NETWORK_CONNECTION
IP 代码	GENERIC_EVENT
User-ID	USER_LOGIN/USER_LOGOUT/USER_UNCATEGORIZED 如果子类型值为“login”，则设置 USER_LOGIN。 如果子类型值为“logout”，则设置 USER_LOGOUT。 如果子类型不包含任何值，则设置为 USER_UNCATEGORIZED。
解密	NETWORK_CONNECTION
Authentication	GENERIC_EVENT
SCTP	NETWORK_CONNECTION
审核	GENERIC_EVENT

UDM 映射 Delta

UDM 映射增量参考信息：Palo Alto Networks 防火墙

下表列出了 Palo Alto Networks Firewall 的旧版 UDM 映射与 Palo Alto Networks Firewall 的新版 UDM 映射之间的差值。

Palo Alto Networks Firewall Strata 日志记录服务

概览

Palo Alto Networks® Strata Logging Service 为本地、虚拟（私有云和公有云）防火墙、Prisma Access 以及 Cortex XDR 等云交付服务提供基于云的集中式日志存储和聚合。Strata Logging Service 安全、弹性且容错，可确保您的日志记录数据保持最新，并在您需要时可用。它提供可伸缩的日志记录基础架构，让您无需规划和部署日志收集器即可满足日志保留需求。如果您已有本地日志收集器，新的 Strata Logging Service 可以补充您现有的设置。您可以利用基于云的 Strata Logging Service 增强现有的日志收集基础架构，以便随着业务增长扩大运营能力，或满足新地点的容量需求。借助此服务，Palo Alto Networks 会负责日志记录基础架构的持续维护和监控，以便您可以专注于自己的业务。

• 验证 Strata Logging Service 解析器支持的日志格式和 PAN-OS 版本。下表列出了 Strata Logging Service 解析器支持的日志格式和相应的 PAN-OS 版本：

  日志格式	PAN-OS 版本
  JSON	12.1

• 验证 Google SecOps 解析器支持的 Palo Alto Networks 防火墙日志类型。 Google SecOps 解析器支持以下 Palo Alto Networks 防火墙日志类型：

  • 流量
  • 威胁
  • 隧道检查
  • 系统
  • HIP 匹配
  • IP-Tag
  • User-ID
  • 解密
  • 身份验证
  • 网址过滤
  • GlobalProtect

Strata Logging Service 部署

• 确保 Palo Alto Networks 防火墙产品已正确部署和配置。如需详细的设置说明，请参阅 PAN-OS 文档，然后按照此部署文档操作，再将日志发送到 Strata Logging Service Strata Logging Service 部署前提条件

开始将日志发送到 Strata Logging Service：

如需开始向 Strata Logging 服务发送日志，请按以下步骤操作：

1. 安装受支持的 PAN-OS® 版本
2. 激活 Strata Logging Service - 激活 Strata Logging Service 包括预配防火墙安全连接到 Strata Logging Service 所需的证书。
3. 将防火墙载入 Strata Logging Service（无论是否使用 Panorama）

如需了解详细的初始配置步骤，请参阅文档。

转发来自 Strata Logging 服务的日志

为了满足您的长期存储、报告和监控或法律法规遵从需求，您可以将 Strata Logging Service 配置为将日志转发到 HTTPS 服务器或以下 SIEM：

1. Exabeam
2. Google Chronicle
3. Microsoft Sentinel
4. Splunk HTTP Event Collector (HEC)

使用 HTTPS 转发方法通过 Strata Logging Service 转发日志，如需了解详细信息，请参阅此文档。

支持的日志格式

Palo Alto Networks Strata Logging Service 防火墙解析器支持 JSON 格式的日志。

支持的示例日志

• JSON

  {"source": "Palo Alto Networks FLS LF", "host": "dummy-loghost", "time": "1730265996460", "event": {"TimeReceived": "2024-10-30T05:25:50.000000Z", "DeviceSN": "no-serial", "LogType": "TRAFFIC", "Subtype": "end", "ConfigVersion": "10.2", "TimeGenerated": "2024-10-30T05:25:40.000000Z", "SourceAddress": "198.51.100.6", "DestinationAddress": "198.51.100.6", "NATSource": "", "NATDestination": "", "Rule": "egress-dns-ping-traceroute", "SourceUser": null, "DestinationUser": null, "Application": "dns-base", "VirtualLocation": "vsys1", "FromZone": "VA8280-RN", "ToZone": "inter-fw", "InboundInterface": "tunnel.101", "OutboundInterface": "tunnel.4005", "LogSetting": "Cortex Data Lake", "SessionID": 754194, "RepeatCount": 1, "SourcePort": 53578, "DestinationPort": 53, "NATSourcePort": 0, "NATDestinationPort": 0, "Protocol": "udp", "Action": "allow", "Bytes": 214, "BytesSent": 72, "BytesReceived": 142, "PacketsTotal": 2, "SessionStartTime": "2024-10-30T05:25:10.000000Z", "SessionDuration": 0, "URLCategory": "any", "SequenceNo": 7382192512716388639, "SourceLocation": "198.51.100.6-198.51.255.255", "DestinationLocation": "198.51.100.6-198.51.255.255", "PacketsSent": 1, "PacketsReceived": 1, "SessionEndReason": "aged-out", "DGHierarchyLevel1": 65537, "DGHierarchyLevel2": 65538, "DGHierarchyLevel3": 65541, "DGHierarchyLevel4": 0, "VirtualSystemName": "", "DeviceName": "VA8280-RN", "ActionSource": "from-policy", "SourceUUID": null, "DestinationUUID": null, "IMSI": 0, "IMEI": null, "ParentSessionID": 0, "ParentStarttime": "1970-01-01T00:00:00.000000Z", "Tunnel": "N/A", "EndpointAssociationID": 72057594037927936, "ChunksTotal": 0, "ChunksSent": 0, "ChunksReceived": 0, "RuleUUID": "95cfc3cc-cb00-4758-af1d-de9ab5f07f97", "HTTP2Connection": 0, "LinkChangeCount": 0, "SDWANPolicyName": null, "LinkSwitches": null, "SDWANCluster": null, "SDWANDeviceType": null, "SDWANClusterType": null, "SDWANSite": null, "DynamicUserGroupName": null, "X-Forwarded-ForIP": null, "SourceDeviceCategory": null, "SourceDeviceProfile": null, "SourceDeviceModel": null, "SourceDeviceVendor": null, "SourceDeviceOSFamily": null, "SourceDeviceOSVersion": null, "SourceDeviceHost": null, "SourceDeviceMac": null, "DestinationDeviceCategory": null, "DestinationDeviceProfile": null, "DestinationDeviceModel": null, "DestinationDeviceVendor": null, "DestinationDeviceOSFamily": null, "DestinationDeviceOSVersion": null, "DestinationDeviceHost": null, "DestinationDeviceMac": null, "ContainerID": null, "ContainerNameSpace": null, "ContainerName": null, "SourceEDL": null, "DestinationEDL": null, "GPHostID": null, "EndpointSerialNumber": null, "SourceDynamicAddressGroup": null, "DestinationDynamicAddressGroup": null, "HASessionOwner": null, "TimeGeneratedHighResolution": "2024-10-30T05:25:41.009000Z", "NSSAINetworkSliceType": null, "NSSAINetworkSliceDifferentiator": null}}"
  

字段映射参考信息：日志字段到 UDM 字段

本部分介绍解析器如何将 Palo Alto Networks Strata Logging Service 防火墙日志字段映射到 Google UDM 事件字段（针对每种日志类型）。

如需了解每种日志类型的映射参考信息，请参阅以下部分：

• 系统
• 威胁
• 流量
• 用户 ID
• HIP 匹配
• IP 标记
• 解密
• 隧道
• Authentication
• 网址
• GlobalProtect
• SCTP
• 审核

系统

下表列出了“系统”日志类型的日志字段及其对应的 UDM 字段。

威胁

下表列出了威胁日志类型的日志字段及其对应的 UDM 字段。

流量

下表列出了流量日志类型的日志字段及其对应的 UDM 字段。

User-ID

下表列出了 User-ID 日志类型的日志字段及其对应的 UDM 字段。

HIP 匹配

下表列出了 HIP 匹配日志类型的日志字段及其对应的 UDM 字段。

IP 代码

下表列出了 IP 标记日志类型的日志字段及其对应的 UDM 字段。

解密

下表列出了“解密”日志类型的日志字段及其对应的 UDM 字段。

隧道

下表列出了隧道日志类型的日志字段及其对应的 UDM 字段。

身份验证

下表列出了“身份验证”日志类型的日志字段及其对应的 UDM 字段。

网址

下表列出了网址日志类型的日志字段及其对应的 UDM 字段。

GlobalProtect

下表列出了 GlobalProtect 日志类型的日志字段及其对应的 UDM 字段。

SCTP

下表列出了 SCTP 日志类型的日志字段及其对应的 UDM 字段。

审核

下表列出了“审核日志”类型的日志字段及其对应的 UDM 字段。

字段映射参考信息：日志类型到 UDM 事件类型

下表列出了 Palo Alto Networks Strata Logging Service 防火墙日志类型及其对应的 UDM 事件类型。

日志类型	UDM 事件类型
流量	NETWORK_CONNECTION
威胁	NETWORK_CONNECTION
网址过滤	NETWORK_CONNECTION
隧道	NETWORK_CONNECTION
系统	如果子类型值为“dhcp”，则设置 NETWORK_DHCP。 如果子类型值为“auth”，则设置 USER_LOGIN。 如果说明值为“logged in”，则设置 USER_LOGIN。 如果说明值为“logged out”，则设置 USER_LOGOUT。 对于子类型的其他值，系统会设置 GENERIC_EVENT。
HIP 匹配	NETWORK_CONNECTION
IP 代码	GENERIC_EVENT
User-ID	USER_LOGIN/USER_LOGOUT/USER_UNCATEGORIZED 如果子类型值为“login”，则设置 USER_LOGIN。 如果子类型值为“logout”，则设置 USER_LOGOUT。 如果子类型不包含任何值，则设置为 USER_UNCATEGORIZED。
解密	NETWORK_CONNECTION
Authentication	STATUS_UNCATEGORIZED
Globalprotect	USER_LOGIN/USER_LOGOUT/USER_RESOURCE_ACCESS 如果子类型值为“auth”，则设置 USER_LOGIN。 如果子类型值为“logout”，则设置 USER_LOGOUT。 如果子类型不包含任何值，则设置 USER_RESOURCE_ACCESS。
SCTP	NETWORK_CONNECTION
审核	NETWORK_CONNECTION

后续步骤

• 将数据注入 Google SecOps

需要更多帮助？获得社区成员和 Google SecOps 专业人士的解答。