Cette page a été traduite par l'API Cloud Translation.

Collecter les journaux du pare-feu Palo Alto Networks

Compatible avec:

Google SecOps SIEM

Présentation

Ce document explique comment configurer syslog et un forwarder Google Security Operations pour collecter les journaux du pare-feu Palo Alto Networks. Ce document explique également comment les champs de journal du pare-feu Palo Alto Networks sont mappés sur les champs du modèle de données unifié (UDM) de Google Security Operations.

Pour en savoir plus sur l'ingestion de données dans Google Security Operations, consultez Ingestion de données dans Google Security Operations.

Un libellé d'ingestion identifie l'analyseur qui normalise les données de journal brutes au format UDM structuré. Les informations de ce document s'appliquent à l'analyseur avec le libellé d'ingestion PAN_FIREWALL.

Avant de commencer

Pour comprendre les composants déployés pour collecter les journaux du pare-feu Palo Alto Networks, consultez l'architecture de déploiement. Chaque déploiement client peut différer de cette représentation et être plus complexe.

Le schéma suivant montre comment configurer syslog sur un pare-feu Palo Alto Networks et installer un transfert Google Security Operations sur un serveur Linux pour transférer les données de journal vers Google Security Operations. L'analyseur accepte les journaux écrits dans les formats de données suivants: valeurs séparées par une virgule (CSV), format d'événement commun (CEF) et format d'événement journal étendu (LEEF).
Vérifiez les formats de journaux et les versions PAN-OS compatibles avec l'analyseur Google Security Operations. Le tableau suivant répertorie les formats de journaux et les versions PAN-OS correspondantes compatibles avec l'analyseur Google Security Operations:

Format de journal Version de PAN-OS

CSV 10.1.3

CEF 10.0.0

LEEF 9.1.0
Vérifiez les types de journaux de pare-feu Palo Alto Networks compatibles avec l'analyseur Google Security Operations. L'analyseur Google Security Operations est compatible avec les types de journaux de pare-feu Palo Alto Networks suivants:
- Trafic
- Menace
- Envois WildFire
- Inspection des tunnels
- Config
- Système
- Correspondance HIP
- Balise IP
- User-ID
- Déchiffrement
- Authentification
- Filtrage des URL
- Filtrage des données
- GlobalProtect
- Corrélation
Pour en savoir plus sur les types de journaux du pare-feu Palo Alto Networks, consultez la section Types de journaux PAN-OS.
Assurez-vous que tous les systèmes de l'architecture de déploiement sont configurés dans le fuseau horaire UTC.
Avant d'utiliser l'analyseur de pare-feu Palo Alto Networks, consultez les modifications apportées aux mappages de champs entre l'analyseur précédent et l'analyseur de pare-feu Palo Alto Networks actuel. Lors de la migration, assurez-vous que les règles, les recherches, les tableaux de bord ou les autres processus qui dépendent des champs d'origine utilisent les champs mis à jour.

Par exemple, dans la version précédente de l'analyseur, le champ de journal category est mappé sur le champ UDM security_result.description. Dans l'analyseur de pare-feu Palo Alto Networks actuel, le champ de journal category est mappé sur le champ UDM security_result.category_details. Si vous migrez vers l'analyseur de pare-feu Palo Alto Networks actuel et que vous utilisez le champ category dans vos règles, vous devez modifier les règles pour utiliser le champ UDM security_result.category_details de l'analyseur actuel.

Configurer syslog et le transpondeur Google Security Operations

Pour configurer syslog et le transfert Google Security Operations, procédez comme suit:

Pour surveiller les journaux CSV, configurez le profil du serveur syslog. Pour en savoir plus, consultez la section Configurer le profil du serveur syslog.

Lorsque vous configurez le profil du serveur syslog, spécifiez "Par défaut" comme format de journal personnalisé.
Pour surveiller les journaux CEF, configurez le pare-feu Palo Alto Networks pour qu'il transfère les journaux CEF. Pour en savoir plus, téléchargez le guide PDF d'intégration du CEF PAN-OS et consultez la section "Configuration du pare-feu nouvelle génération Palo Alto Networks pour générer des événements CEF".
Pour surveiller les journaux LEEF, configurez le profil du serveur syslog. Pour en savoir plus, consultez la section Transfert de journaux personnalisé au format LEEF.
Configurez le transfert Google Security Operations pour envoyer des journaux à Google Security Operations. Pour en savoir plus, consultez Installer et configurer le forwarder sur Linux. Voici un exemple de configuration d'un forwarder Google Security Operations:
```
  - syslog:
      common:
        enabled: true
        data_type: PAN_FIREWALL
        batch_n_seconds: 10
        batch_n_bytes: 1048576
      tcp_address: 0.0.0.0:10518
      connection_timeout_sec: 60
```

Référence de mappage de champ: champs des journaux du pare-feu PAN vers les champs UDM

Cette section explique comment l'analyseur mappe les champs de journal du pare-feu Palo Alto Networks aux champs d'événements UDM de Google Security Operations pour chaque type de journal.

La clé de libellé Google Security Operations fait référence au nom de la clé mappée sur le champ UDM Labels.key. Par exemple, dans le cas du champ "Virtual System" (Système virtuel), le nom du champ est "cs3" au format CEF et "VirtualSystem" au format LEEF. Le champ UDM "about.labels.key" contient la valeur "vsys", et le champ UDM "about.labels.value" contient la valeur de ce champ.

Certains noms de champs CEF ou LEEF ne correspondent pas aux noms de champs CSV. Dans ce cas, si vous ajoutez votre propre nom de variable au format de journal personnalisé dans le profil syslog, l'analyseur ne le met pas en correspondance avec le champ UDM.

Pour obtenir une référence de mappage pour chaque type de journal, consultez les sections suivantes:

Système
Configuration
Menace/Feu de forêt
Trafic
ID utilisateur
Correspondance HIP
Balise IP
Décryptage
Tunnel
Authentification
URL
Données
GlobalProtect
Corrélation

Système

Le tableau suivant répertorie les champs de journal du type de journal système et les champs UDM correspondants.

Champ CSV	Champ CEF	Champ LEEF	Clé d'étiquette Google Security Operations	Champ UDM
Heure de réception (receive_time ou cef-formatted-receive_time)	rt	devTime		metadata.collected_timestamp, metadata.event_timestamp (si "Generate Time" est absent)
Numéro de série (serial)	deviceExternalId	SerialNumber		intermediary.asset.hardware.serial_number
Type (type)	type (En-tête)	cat		metadata.product_event_type est défini sur "%{type} - %{subtype}".
Menace/Type de contenu (sous-type)	subtype (en-tête)	Sous-type		metadata.product_event_type est défini sur "%{type} - %{subtype}".
Heure de génération (time_generated ou cef-formatted-time_generated)				metadata.event_timestamp
Système virtuel (vsys)	cs3	VirtualSystem	vsys	about.labels.key et about.labels.value additional.fields.key et additional.fields.value.string_value
ID de l'événement (eventid)	cat		eventid	about.labels.key et about.labels.value additional.fields.key et additional.fields.value.string_value
Object (objet)	fname	Nom de fichier	objet	about.labels.key et about.labels.value additional.fields.key et additional.fields.value.string_value
Module	flexString2	Module	module	about.labels.key et about.labels.value additional.fields.key et additional.fields.value.string_value
Gravité (severity)	$nombre-de-gravité(en-tête)	Gravité		security_result.severity et security_result.severity_details
Description (opaque)	Message	Message		metadata.description
	principal_user_userid (ce champ est extrait du champ "msg")			principal.user.userid
	principal_ip3 (ce champ est extrait du champ "msg")			principal.ip
	Motif (ce champ est extrait du champ "msg")			security_result.description
	server_address (ce champ est extrait du champ msg)			target.ip
	server_profile (ce champ est extrait du champ msg)			additional.fields.key et additional.fields.value.string_value
Numéro de séquence (seqno)	externalId	séquence		metadata.product_log_id
Indicateurs d'action (actionflags)	PanOSActionFlags	ActionFlags	actionflags	about.labels.key et about.labels.value additional.fields.key et additional.fields.value.string_value
Hiérarchie des groupes d'appareils (dg_hier_level_1 à dg_hier_level_4)	PanOSDGl1	DeviceGroupHierarchyL1	dg_hier_level_1	about.labels.key et about.labels.value additional.fields.key et additional.fields.value.string_value
Hiérarchie des groupes d'appareils (dg_hier_level_2)	PanOSDGl2	DeviceGroupHierarchyL2	dg_hier_level_2	about.labels.key et about.labels.value additional.fields.key et additional.fields.value.string_value
Hiérarchie des groupes d'appareils (dg_hier_level_3)	PanOSDGl3	DeviceGroupHierarchyL3	dg_hier_level_3	about.labels.key et about.labels.value additional.fields.key et additional.fields.value.string_value
Hiérarchie des groupes d'appareils (dg_hier_level_4)	PanOSDGl4	DeviceGroupHierarchyL4	dg_hier_level_4	about.labels.key et about.labels.value additional.fields.key et additional.fields.value.string_value
Nom du système virtuel (vsys_name)	PanOSVsysName	vSrcName		principal.resource.name principal.resource.resource_type=VIRTUAL_MACHINE
Nom de l'appareil (device_name)	dvchost	DeviceName		intermediary.hostname
Code temporel haute résolution (high_res_timestamp)	anOSTimeGeneratedHighResolution			metadata.collected_timestamp, metadata.event_timestamp (si "Generate Time" est absent)

Config

Le tableau suivant répertorie les champs de journal du type de journal de configuration et leurs champs UDM correspondants.

Champ CSV	Champ CEF	Champ LEEF	Clé d'étiquette Google Security Operations	Champ UDM
Heure de réception (receive_time ou cef-formatted-receive_time)	rt	devTime		metadata.collected_timestamp, metadata.event_timestamp (si "Generate Time" est absent)
Numéro de série (serial)	deviceExternalId	SerialNumber		intermediary.asset.hardware.serial_number
Type (type)	type (En-tête)	cat		metadata.product_event_type
Menace/Type de contenu (sous-type)	subtype (en-tête)			metadata.product_event_type
Heure de génération (time_generated ou cef-formatted-time_generated)				metadata.event_timestamp
Hôte (host)	shost	src		principal.ip/hostname
Système virtuel (vsys)	cs3	VirtualSystem	vsys	about.labels.key et about.labels.value additional.fields.key et additional.fields.value.string_value
Commande (cmd)	agir	Message	cmd	metadata.description
Administrateur (admin)	duser	usrName		principal.user.userid
Client (client)	destinationServiceName	Client		principal.application
Résultat (result)	ID de signature (en-tête)(motif)	Résultat		security_result.summary
Chemin d'accès à la configuration	Message	ConfigurationPath		principal.process.command_line
Détail avant la modification (before_change_detail)	cs1	BeforeChangeDetail	before_change_detail	target.resource.attribute.labels.key/value
Détail après la modification (after_change_detail)	cs2	AfterChangeDetail	after_change_detail	target.resource.attribute.labels.key/value
Numéro de séquence (seqno)	externalId	séquence		metadata.product_log_id
Indicateurs d'action (actionflags)	PanOSActionFlags	ActionFlags	actionflags	about.labels.key et about.labels.value additional.fields.key et additional.fields.value.string_value
Hiérarchie des groupes d'appareils (dg_hier_level_1 à dg_hier_level_4)	PanOSDGl1	DeviceGroupHierarchyL1	dg_hier_level_1	about.labels.key et about.labels.value additional.fields.key et additional.fields.value.string_value
Hiérarchie des groupes d'appareils (dg_hier_level_2)	PanOSDGl2	DeviceGroupHierarchyL2	dg_hier_level_2	about.labels.key et about.labels.value additional.fields.key et additional.fields.value.string_value
Hiérarchie des groupes d'appareils (dg_hier_level_3)	PanOSDGl3	DeviceGroupHierarchyL3	dg_hier_level_3	about.labels.key et about.labels.value additional.fields.key et additional.fields.value.string_value
Hiérarchie des groupes d'appareils (dg_hier_level_4)	PanOSDGl4	DeviceGroupHierarchyL4	dg_hier_level_4	about.labels.key et about.labels.value additional.fields.key et additional.fields.value.string_value
Nom du système virtuel (vsys_name)	PanOSVsysName	vSrcName		principal.resource.name principal.resource.resource_type=VIRTUAL_MACHINE
Nom de l'appareil (device_name)	dvchost	DeviceName		intermediary.hostname
Groupe d'appareils (dg_id)	PanOSFWDeviceGroup		dg_id	principal.asset.attribute.labels.key/value
Commentaire d'audit (commentaire)	PanOSPolicyAuditComment		commentaire	about.labels.key et about.labels.value additional.fields.key et additional.fields.value.string_value

Menace/WildFire

Le tableau suivant répertorie les champs de journal du type de journal Threat/WildFire et leurs champs UDM correspondants.

Champ CSV	Champ CEF	Champ LEEF	Clé d'étiquette Google Security Operations	Champ UDM
Heure de réception (receive_time ou cef-formatted-receive_time)	rt	devTime		metadata.collected_timestamp, metadata.event_timestamp (si "Generate Time" est absent)
Numéro de série	deviceExternalId	SerialNumber		intermediary.asset.hardware.serial_number
Type (type)	type (En-tête)	cat		metadata.product_event_type
Menace/Type de contenu (sous-type)	cat/subtype (en-tête)	Sous-type		metadata.product_event_type
Heure de génération (time_generated ou cef-formatted-time_generated)				metadata.event_timestamp
Adresse source (src)	src	src		principal.ip
Adresse de destination (dst)	dst	dst		target.ip
Adresse IP source NAT (natsrc)	sourceTranslatedAddress	srcPostNAT		principal.nat_ip
Adresse IP de destination NAT (natdst)	destinationTranslatedAddress	dstPostNAT		target.nat_ip
Nom de la règle (rule)	cs1	RuleName		security_result.rule_name
Utilisateur source (srcuser)	suser	SourceUser / usrName		principal.user.userid
Utilisateur de destination (dstuser)	duser	DestinationUser		target.user.userid
Application	application	Application		target.application
Système virtuel (vsys)	cs3	VirtualSystem	vsys	about.labels.key et about.labels.value additional.fields.key et additional.fields.value.string_value
Zone source (de)	cs4	SourceZone	de	principal.labels.key et principal.labels.value additional.fields.key et additional.fields.value.string_value
Zone de destination (à)	cs5	DestinationZone	à	target.labels.key et target.labels.value additional.fields.key et additional.fields.value.string_value
Interface entrante (inbound_if)	deviceInboundInterface	IngressInterface	inbound_if	principal.labels.key et principal.labels.value additional.fields.key et additional.fields.value.string_value
Interface sortante (outbound_if)	deviceOutboundInterface	EgressInterface	outbound_if	target.labels.key et target.labels.value additional.fields.key et additional.fields.value.string_value
Action de journalisation (ensemble de journaux)	cs6	LogForwardingProfile	ensemble de journaux	about.labels.key et about.labels.value additional.fields.key et additional.fields.value.string_value
ID de session (sessionid)	cn1	SessionID		network.session_id
Nombre de répétitions (repeatcnt)	cnt	RepeatCount	repeatcnt	about.labels.key et about.labels.value additional.fields.key et additional.fields.value.string_value
Port source (sport)	spt	srcPort		principal.port
Port de destination (dport)	dpt	dstPort		target.port
Port source NAT (natsport)	sourceTranslatedPort	srcPostNATPort		principal.nat_port
Port de destination NAT (natdport)	destinationTranslatedPort	dstPostNATPort		target.nat_port
Options	flexString1	Options	flags	about.labels.key et about.labels.value additional.fields.key et additional.fields.value.string_value
Protocole IP (proto)	proto	proto		network.ip_protocol
Action (action)	agir	action		security_result.action_details security_result.action
URL/Nom de fichier (divers)	request	Autres		target.file.full_path (si le sous-type est "file", "virus", "wildfire-virus" ou "wildfire", le champ "divers" est mappé sur target.file.full_path) target.url (si le sous-type est "url", le champ "divers" est mappé sur target.url et target.hostname) target.hostname (si le sous-type est "logiciel espion" ou "vulnérabilité", le champ "divers" est mappé sur target.file.full_path et target.url)
Nom de la menace/du contenu (threatid)	cat	ThreatID		security_result.threat_name
Catégorie (category)	cs2	URLCategory		security_result.category_details
Gravité (severity)	number-of-severity(header)	Gravité		security_result.severity et security_result.severity_details
Direction (direction)	flexString2	Direction		network.direction
Numéro de séquence (seqno)	externalId	séquence		metadata.product_log_id
Indicateurs d'action (actionflags)	PanOSActionFlags	ActionFlags	actionflags	about.labels.key et about.labels.value additional.fields.key et additional.fields.value.string_value
Pays source (srcloc)		SourceLocation		principal.location.country_or_region
Pays de destination (dstloc)		DestinationLocation		target.location.country_or_region
Type de contenu (contenttype)		ContentType	contenttype	about.labels.key et about.labels.value additional.fields.key et additional.fields.value.string_value
ID PCAP (pcap_id)	fileId	PCAP_ID	pcap_id	about.labels.key et about.labels.value additional.fields.key et additional.fields.value.string_value
File digest (filedigest)	fileHash	FileDigest		about.file.sha1/md5/sha256
Cloud (cloud)	filePath	Cloud	cloud	about.labels.key et about.labels.value additional.fields.key et additional.fields.value.string_value
Indice de l'URL (url_idx)		URLIndex	url_idx	about.labels.key et about.labels.value additional.fields.key et additional.fields.value.string_value
User-agent (user_agent)				network.http.user_agent
Type de fichier (filetype)	fileType	FileType		about.file.mime_type
X-Forwarded-For (xff)				principal.ip
URL de provenance (referer)				network.http.referral_url
Expéditeur (sender)	suid	Expéditeur		network.email.from
Objet (sujet)	Message	Objet		network.email.subject
Destinataire	duid	Destinataire		network.email.to
ID du rapport (reportid)	oldFileId	ReportID	reportid	about.labels.key et about.labels.value additional.fields.key et additional.fields.value.string_value
Hiérarchie des groupes d'appareils (dg_hier_level_1 à dg_hier_level_4)	PanOSDGl1	DeviceGroupHierarchyL1	dg_hier_level_1	about.labels.key et about.labels.value additional.fields.key et additional.fields.value.string_value
Hiérarchie des groupes d'appareils (dg_hier_level_2)	PanOSDGl2	DeviceGroupHierarchyL2	dg_hier_level_2	about.labels.key et about.labels.value additional.fields.key et additional.fields.value.string_value
Hiérarchie des groupes d'appareils (dg_hier_level_3)	PanOSDGl3	DeviceGroupHierarchyL3	dg_hier_level_3	about.labels.key et about.labels.value additional.fields.key et additional.fields.value.string_value
Hiérarchie des groupes d'appareils (dg_hier_level_4)	PanOSDGl4	DeviceGroupHierarchyL4	dg_hier_level_4	about.labels.key et about.labels.value additional.fields.key et additional.fields.value.string_value
Nom du système virtuel (vsys_name)	PanOSVsysName	vSrcName		principal.resource.name principal.resource.resource_type=VIRTUAL_MACHINE
Nom de l'appareil (device_name)	dvchost	DeviceName		intermediary.hostname
UUID de la VM source (src_uuid)	PanOSSrcUUID	SrcUUID		principal.user.product_object_id
UUID de la VM de destination (dst_uuid)	PanOSDstUUID	DstUUID		target.user.product_object_id
Méthode HTTP (http_method)		RequestMethod		network.http.method
ID de tunnel/IMSI (tunnel_id/imsi)	PanOSTunnelID	TunnelID	tunnel_id/imsi	about.labels.key et about.labels.value additional.fields.key et additional.fields.value.string_value
Balise de surveillance/IMEI (monitortag/imei)	PanOSMonitorTag	MonitorTag	monitortag/imei	about.labels.key et about.labels.value additional.fields.key et additional.fields.value.string_value
ID de session parent (parent_session_id)	PanOSParentSessionID	ParentSessionID	parent_session_id	network.parent_session_id
Heure de début de la session parente (parent_start_time)	PanOSParentStartTime	ParentStartTime	parent_start_time	about.labels.key et about.labels.value additional.fields.key et additional.fields.value.string_value
Type de tunnel (tunnel)	PanOSTunnelType	TunnelType	tunnel	about.labels.key et about.labels.value additional.fields.key et additional.fields.value.string_value
Catégorie de menace (thr_category)	PanOSThreatCategory	ThreatCategory	thr_category	security_result.detection_fields.key/value
Version du contenu (contentver)	PanOSContentVer	ContentVer	contentver	about.labels.key et about.labels.value additional.fields.key et additional.fields.value.string_value
ID d'association SCTP (assoc_id)	PanOSAssocID		assoc_id	about.labels.key et about.labels.value additional.fields.key et additional.fields.value.string_value
ID de protocole de charge utile (ppid)	PanOSPPID		ppid	about.labels.key et about.labels.value additional.fields.key et additional.fields.value.string_value
En-têtes HTTP (http_headers)	PanOSHTTPHeader		http_headers	about.labels.key et about.labels.value additional.fields.key et additional.fields.value.string_value
Liste des catégories d'URL (url_category_list)	PanOSURLCatList		url_category_list	about.labels.key et about.labels.value additional.fields.key et additional.fields.value.string_value
UUID de la règle (rule_uuid)	PanOSRuleUUID			security_result.rule_id
Connexion HTTP/2 (http2_connection)	PanOSHTTP2Con		http2_connection	about.labels.key et about.labels.value additional.fields.key et additional.fields.value.string_value
Nom du groupe d'utilisateurs dynamique (dynusergroup_name)	PanDynamicUsrgrp		dynusergroup_name	principal.labels.key et principal.labels.value additional.fields.key et additional.fields.value.string_value
Adresse XFF (xff_ip)	PanXFFIP			principal.ip
Catégorie de l'appareil source (src_category)	PanSrcDeviceCat		src_category	principal.labels.key et principal.labels.value additional.fields.key et additional.fields.value.string_value
Profil de l'appareil source (src_profile)	PanSrcDeviceProf		src_profile	principal.labels.key et principal.labels.value additional.fields.key et additional.fields.value.string_value
Modèle de l'appareil source (src_model)	PanSrcDeviceModel		src_model	principal.labels.key et principal.labels.value additional.fields.key et additional.fields.value.string_value
Fournisseur de l'appareil source (src_vendor)	PanSrcDeviceVendor		src_vendor	principal.labels.key et principal.labels.value additional.fields.key et additional.fields.value.string_value
Famille d'OS de l'appareil source (src_osfamily)	PanSrcDeviceOS		src_osfamily	principal.asset.platform_software.platform principal.labels.key et principal.labels.value additional.fields.key et additional.fields.value.string_value
Version du système d'exploitation de l'appareil source (src_osversion)	PanSrcDeviceOSv			principal.asset.software.version
Nom d'hôte source (src_host)	PanSrcHostname			principal.hostname
Adresse MAC source (src_mac)	PanSrcMac			principal.mac
Catégorie d'appareil de destination (dst_category)	PanDstDeviceCat		dst_category	target.labels.key et target.labels.value additional.fields.key et additional.fields.value.string_value
Profil de l'appareil de destination (dst_profile)	PanDstDeviceProf		dst_profile	target.labels.key et target.labels.value additional.fields.key et additional.fields.value.string_value
Modèle de l'appareil de destination (dst_model)	PanDstDeviceModel		dst_model	target.labels.key et target.labels.value additional.fields.key et additional.fields.value.string_value
Fournisseur de l'appareil de destination (dst_vendor)	PanDstDeviceVendor		dst_vendor	target.labels.key et target.labels.value additional.fields.key et additional.fields.value.string_value
Famille d'OS de l'appareil de destination (dst_osfamily)	PanDstDeviceOS		dst_osfamily	target.labels.key et target.labels.value additional.fields.key et additional.fields.value.string_value
Version de l'OS de l'appareil de destination (dst_osversion)	PanDstDeviceOSv			target.asset.software.version
Nom d'hôte de destination (dst_host)	PanDstHostname			target.hostname
Adresse MAC de destination (dst_mac)	PanDstMac			target.mac
ID du conteneur (container_id)	PanContainerName		container_id	about.labels.key et about.labels.value additional.fields.key et additional.fields.value.string_value
Espace de noms du pod (pod_namespace)	PanPODNamespace		pod_namespace	about.labels.key et about.labels.value additional.fields.key et additional.fields.value.string_value
Nom du pod (pod_name)	PanPODName		pod_name	about.labels.key et about.labels.value additional.fields.key et additional.fields.value.string_value
Source External Dynamic List (src_edl)	PanSrcEDL		src_edl	about.labels.key et about.labels.value additional.fields.key et additional.fields.value.string_value
Destination External Dynamic List (dst_edl)	PanDstEDL		dst_edl	about.labels.key et about.labels.value additional.fields.key et additional.fields.value.string_value
ID de l'hôte (hostid)	PanGPHostID		hostid	about.labels.key et about.labels.value additional.fields.key et additional.fields.value.string_value
Numéro de série de l'appareil de l'utilisateur (serialnumber)	PanEPSerial			principal.asset.hardware.serial_number
EDL du domaine (domain_edl)	PanDomainEDL		domain_edl	about.labels.key et about.labels.value additional.fields.key et additional.fields.value.string_value
Groupe d'adresses dynamiques source (src_dag)	PanSrcDAG			principal.group.group_display_name
Groupe d'adresses dynamiques de destination (dst_dag)	PanDstDAG			target.group.group_display_name
Hachage partiel (partial_hash)	PanPartialHash		partial_hash	about.labels.key et about.labels.value additional.fields.key et additional.fields.value.string_value
Code temporel haute résolution (code temporel high_res)	PanTimeHighRes		high_res timestamp	metadata.collected_timestamp, metadata.event_timestamp (si "Generate Time" est absent)
Motif (reason)	PanReasonFilteringAction		reason	about.labels.key et about.labels.value additional.fields.key et additional.fields.value.string_value
Justification	PanJustification		justification	about.labels.key et about.labels.value additional.fields.key et additional.fields.value.string_value
Un type de service de tranche (nssai_sst)	PanASServiceType		nssai_sst	about.labels.key et about.labels.value additional.fields.key et additional.fields.value.string_value
Sous-catégorie de l'application (subcategory_of_app)			subcategory_of_app	about.labels.key et about.labels.value additional.fields.key et additional.fields.value.string_value
Catégorie d'application (category_of_app)			category_of_app	about.labels.key et about.labels.value additional.fields.key et additional.fields.value.string_value
Technologie utilisée dans l'application (technology_of_app)			technology_of_app	about.labels.key et about.labels.value additional.fields.key et additional.fields.value.string_value
Risque de l'application (risk_of_app)			risk_of_app	about.labels.key et about.labels.value additional.fields.key et additional.fields.value.string_value
Caractéristique de l'application (characteristic_of_app)			characteristic_of_app	about.labels.key et about.labels.value additional.fields.key et additional.fields.value.string_value
Conteneur d'application (container_of_app)			container_of_app	about.labels.key et about.labels.value additional.fields.key et additional.fields.value.string_value
Application SaaS (is_saas_of_app)			is_saas_of_app	about.labels.key et about.labels.value additional.fields.key et additional.fields.value.string_value
État de l'application approuvée (sanctioned_state_of_app)			sanctioned_state_of_app	about.labels.key et about.labels.value additional.fields.key et additional.fields.value.string_value

Trafic

Le tableau suivant répertorie les champs de journal du type de journal de trafic et leurs champs UDM correspondants.

Champ CSV	Champ CEF	Champ LEEF	Clé d'étiquette Google Security Operations	Champ UDM
Heure de réception (receive_time ou cef-formatted-receive_time)	rt	devTime		metadata.collected_timestamp, metadata.event_timestamp (si "Generate Time" est absent)
Numéro de série (serial)	deviceExternalId	SerialNumber		intermediary.asset.hardware.serial_number
Type (type)	type (En-tête)	cat/Type		metadata.product_event_type
Menace/Type de contenu (sous-type)	subtype (en-tête)	Sous-type		metadata.product_event_type
Heure de génération (time_generated ou cef-formatted-time_generated)	start			metadata.event_timestamp
Adresse source (src)	src	src		principal.ip
Adresse de destination (dst)	dst	dst		target.ip
Adresse IP source NAT (natsrc)	sourceTranslatedAddress	srcPostNAT		principal.nat_ip
Adresse IP de destination NAT (natdst)	destinationTranslatedAddress	dstPostNAT		target.nat_ip
Nom de la règle (rule)	cs1	RuleName		security_result.rule_name
Utilisateur source (srcuser)	suser	SourceUser		principal.user.userid
Utilisateur de destination (dstuser)	duser	DestinationUser		target.user.userid
Application	application	Application		target.application
Système virtuel (vsys)	cs3	VirtualSystem	vsys	about.labels.key et about.labels.value additional.fields.key et additional.fields.value.string_value
Zone source (de)	cs4	SourceZone	de	principal.labels.key et principal.labels.value additional.fields.key et additional.fields.value.string_value
Zone de destination (à)	cs5	DestinationZone	à	target.labels.key et target.labels.value additional.fields.key et additional.fields.value.string_value
Interface entrante (inbound_if)	deviceInboundInterface	IngressInterface	inbound_if	principal.labels.key et principal.labels.value additional.fields.key et additional.fields.value.string_value
Interface sortante (outbound_if)	deviceOutboundInterface	EgressInterface	outbound_if	target.labels.key et target.labels.value additional.fields.key et additional.fields.value.string_value
Action de journalisation (ensemble de journaux)	cs6	LogForwardingProfile	ensemble de journaux	about.labels.key et about.labels.value additional.fields.key et additional.fields.value.string_value
ID de session (sessionid)	cn1	SessionID		network.session_id
Nombre de répétitions (repeatcnt)	cnt	RepeatCount	repeatcnt	about.labels.key et about.labels.value additional.fields.key et additional.fields.value.string_value
Port source (sport)	spt	srcPort		principal.port
Port de destination (dport)	dpt	dstPort		target.port
Port source NAT (natsport)	sourceTranslatedPort	srcPostNATPort		principal.nat_port
Port de destination NAT (natdport)	destinationTranslatedPort	dstPostNATPort		target.nat_port
Options	flexString1	Options	flags	about.labels.key et about.labels.value additional.fields.key et additional.fields.value.string_value
Protocole IP (proto)	proto	proto		network.ip_protocol
Action (action)	agir	action		security_result.action_details security_result.action
Octets	flexNumber1	totalBytes	bytes	about.labels.key et about.labels.value additional.fields.key et additional.fields.value.string_value
Octets envoyés (bytes_sent)	dans	srcBytes		network.sent_bytes
Octets reçus (bytes_received)	interprétés.	dstBytes		network.received_bytes
paquets	cn2	totalPackets	paquets	about.labels.key et about.labels.value additional.fields.key et additional.fields.value.string_value
Heure de début (début)		StartTime	start	about.labels.key et about.labels.value additional.fields.key et additional.fields.value.string_value
Durée écoulée (écoulée)	cn3	ElapsedTime	écoulé	network.session_duration.seconds
Catégorie (category)	cs2	URLCategory		security_result.category / security_result.category_details
Numéro de séquence (seqno)	externalId	séquence		metadata.product_log_id
Indicateurs d'action (actionflags)	PanOSActionFlags	ActionFlags	actionflags	about.labels.key et about.labels.value additional.fields.key et additional.fields.value.string_value
Pays source (srcloc)		SourceLocation		principal.location.country_or_region
Pays de destination (dstloc)		DestinationLocation		target.location.country_or_region
Paquets envoyés (pkts_sent)	PanOSPacketsSent	srcPackets	pkts_sent	about.labels.key et about.labels.value additional.fields.key et additional.fields.value.string_value
Paquets reçus (pkts_received)	PanOSPacketsReceived	dstPackets	pkts_received	about.labels.key et about.labels.value additional.fields.key et additional.fields.value.string_value
Motif de la fin de la session (session_end_reason)	reason	SessionEndReason		security_result.summary
Hiérarchie des groupes d'appareils 1 (dg_hier_level_1 à dg_hier_level_4)	PanOSDGl1	DeviceGroupHierarchyL1	dg_hier_level_1	about.labels.key et about.labels.value additional.fields.key et additional.fields.value.string_value
Hiérarchie des groupes d'appareils 2 (dg_hier_level_2)	PanOSDGl2	DeviceGroupHierarchyL2	dg_hier_level_2	about.labels.key et about.labels.value additional.fields.key et additional.fields.value.string_value
Hiérarchie des groupes d'appareils 3 (dg_hier_level_3)	PanOSDGl3	DeviceGroupHierarchyL3	dg_hier_level_3	about.labels.key et about.labels.value additional.fields.key et additional.fields.value.string_value
Hiérarchie des groupes d'appareils (dg_hier_level_4)	PanOSDGl4	DeviceGroupHierarchyL4	dg_hier_level_4	about.labels.key et about.labels.value additional.fields.key et additional.fields.value.string_value
Nom du système virtuel (vsys_name)	PanOSVsysName	vSrcName		principal.resource.name principal.resource.resource_type=VIRTUAL_MACHINE
Nom de l'appareil (device_name)	dvchost	DeviceName		intermediary.hostname
Source de l'action (action_source)	cat	ActionSource	action_source	about.labels.key et about.labels.value additional.fields.key et additional.fields.value.string_value
UUID de la VM source (src_uuid)	PanOSSrcUUID	SrcUUID		principal.asset.product_object_id
UUID de la VM de destination (dst_uuid)	PanOSDstUUID	DstUUID		target.asset.product_object_id
ID de tunnel/IMSI (tunnelid/imsi)	PanOSTunnelID	TunnelID	tunnelid/imsi	about.labels.key et about.labels.value additional.fields.key et additional.fields.value.string_value
Balise de surveillance/IMEI (monitortag/imei)	PanOSMonitorTag	MonitorTag	monitortag/imei	about.labels.key et about.labels.value additional.fields.key et additional.fields.value.string_value
ID de session parent (parent_session_id)	PanOSParentSessionID	ParentSessionID	parent_session_id	network.parent_session_id
Heure de début du parent (parent_start_time)	PanOSParentStartTime	ParentStartTime	parent_start_time	about.labels.key et about.labels.value additional.fields.key et additional.fields.value.string_value
Type de tunnel (tunnel)	PanOSTunnelType	TunnelType	tunnel	about.labels.key et about.labels.value additional.fields.key et additional.fields.value.string_value
ID d'association SCTP (assoc_id)	PanOSSCTPAssocID		assoc_id	about.labels.key et about.labels.value additional.fields.key et additional.fields.value.string_value
Blocs SCTP (chunks)	PanOSSCTPChunks		blocs	about.labels.key et about.labels.value additional.fields.key et additional.fields.value.string_value
Blocs SCTP envoyés (chunks_sent)	PanOSSCTPChunkSent		chunks_sent	about.labels.key et about.labels.value additional.fields.key et additional.fields.value.string_value
Blocs SCTP reçus (chunks_received)	PanOSSCTPChunksRcv		chunks_received	about.labels.key et about.labels.value additional.fields.key et additional.fields.value.string_value
UUID de la règle (rule_uuid)	PanOSRuleUUID			security_result.rule_id
Connexion HTTP/2 (http2_connection)	PanOSHTTP2Con		http2_connection	about.labels.key et about.labels.value additional.fields.key et additional.fields.value.string_value
Nombre de volets d'application (link_change_count)	PanLinkChange		link_change_count	about.labels.key et about.labels.value additional.fields.key et additional.fields.value.string_value
ID de stratégie (policy_id)	PanPolicyID		policy_id	about.labels.key et about.labels.value additional.fields.key et additional.fields.value.string_value
Commutateurs de lien (link_switches)	PanLinkDetail		link_switches	about.labels.key et about.labels.value additional.fields.key et additional.fields.value.string_value
Cluster SD-WAN (sdwan_cluster)	PanSDWANCluster		sdwan_cluster	about.labels.key et about.labels.value additional.fields.key et additional.fields.value.string_value
Type d'appareil SD-WAN (sdwan_device_type)	PanSDWANDevice		sdwan_device_type	about.labels.key et about.labels.value additional.fields.key et additional.fields.value.string_value
Type de cluster SD-WAN (sdwan_cluster_type)	PanSDWANClustype		sdwan_cluster_type	about.labels.key et about.labels.value additional.fields.key et additional.fields.value.string_value
Site SD-WAN (sdwan_site)	PanSDWANSite		sdwan_site	about.labels.key et about.labels.value additional.fields.key et additional.fields.value.string_value
Nom du groupe d'utilisateurs dynamique (dynusergroup_name)	PanDynamicUsrgrp		dynusergroup_name	about.labels.key et about.labels.value additional.fields.key et additional.fields.value.string_value
Adresse XFF (xff_ip)	PanXFFIP			principal.ip
Catégorie de l'appareil source (src_category)	PanSrcDeviceCat		src_category	principal.labels.key et principal.labels.value additional.fields.key et additional.fields.value.string_value
Profil de l'appareil source (src_profile)	PanSrcDeviceProf		src_profile	principal.labels.key et principal.labels.value additional.fields.key et additional.fields.value.string_value
Modèle de l'appareil source (src_model)	PanSrcDeviceModel		src_model	principal.labels.key et principal.labels.value additional.fields.key et additional.fields.value.string_value
Fournisseur de l'appareil source (src_vendor)	PanSrcDeviceVendor		src_vendor	principal.labels.key et principal.labels.value additional.fields.key et additional.fields.value.string_value
Famille d'OS de l'appareil source (src_osfamily)	PanSrcDeviceOS			principal.asset.platform_software.platform principal.labels.key et principal.labels.value additional.fields.key et additional.fields.value.string_value
Version du système d'exploitation de l'appareil source (src_osversion)	PanSrcDeviceOSv			principal.asset.software.version
Nom d'hôte source (src_host)	PanSrcHostname			principal.hostname
Adresse MAC source (src_mac)	PanSrcMac			principal.mac
Catégorie d'appareil de destination (dst_category)	PanDstDeviceCat		dst_category	target.labels.key et target.labels.value additional.fields.key et additional.fields.value.string_value
Profil de l'appareil de destination (dst_profile)	PanDstDeviceProf		dst_profile	target.labels.key et target.labels.value additional.fields.key et additional.fields.value.string_value
Modèle de l'appareil de destination (dst_model)	PanDstDeviceModel		dst_model	target.labels.key et target.labels.value additional.fields.key et additional.fields.value.string_value
Fournisseur de l'appareil de destination (dst_vendor)	PanDstDeviceVendor		dst_vendor	target.labels.key et target.labels.value additional.fields.key et additional.fields.value.string_value
Famille d'OS de l'appareil de destination (dst_osfamily)	PanDstDeviceOS		dst_osfamily	target.labels.key et target.labels.value additional.fields.key et additional.fields.value.string_value
Version de l'OS de l'appareil de destination (dst_osversion)	PanDstDeviceOSv			target.asset.software.version
Nom d'hôte de destination (dst_host)	PanDstHostname			target.hostname
Adresse MAC de destination (dst_mac)	PanDstMac			target.mac
ID du conteneur (container_id)	PanContainerName		container_id	about.labels.key et about.labels.value additional.fields.key et additional.fields.value.string_value
Espace de noms du pod (pod_namespace)	PanPODNamespace		pod_namespace	about.labels.key et about.labels.value additional.fields.key et additional.fields.value.string_value
Nom du pod (pod_name)	PanPODName		pod_name	about.labels.key et about.labels.value additional.fields.key et additional.fields.value.string_value
Source External Dynamic List (src_edl)	PanSrcEDL		src_edl	principal.labels.key et principal.labels.value additional.fields.key et additional.fields.value.string_value
Destination External Dynamic List (dst_edl)	PanDstEDL		dst_edl	target.labels.key et target.labels.value additional.fields.key et additional.fields.value.string_value
ID de l'hôte (hostid)	PanGPHostID		hostid	about.labels.key et about.labels.value additional.fields.key et additional.fields.value.string_value
Numéro de série de l'appareil de l'utilisateur (serialnumber)	PanEPSerial			principal.asset.hardware.serial_number
Groupe d'adresses dynamiques source (src_dag)	PanSrcDAG			principal.group.group_display_name
Groupe d'adresses dynamiques de destination (dst_dag)	PanDstDAG			target.group.group_display_name
Propriétaire de la session (session_owner)	PanHASessionOwner		session_owner	about.labels.key et about.labels.value additional.fields.key et additional.fields.value.string_value
Code temporel haute résolution (high_res_timestamp)	PanTimeHighRes			metadata.collected_timestamp, metadata.event_timestamp (si "Generate Time" est absent)
Type de service de tranche (nsdsai_sst)	PanASServiceType		nsdsai_sst	about.labels.key et about.labels.value additional.fields.key et additional.fields.value.string_value
Un différenciateur de tranche (nsdsai_sd)	PanASServiceDiff		nsdsai_sd	about.labels.key et about.labels.value additional.fields.key et additional.fields.value.string_value
Sous-catégorie de l'application (subcategory_of_app)			subcategory_of_app	about.labels.key et about.labels.value additional.fields.key et additional.fields.value.string_value
Catégorie d'application (category_of_app)			category_of_app	about.labels.key et about.labels.value additional.fields.key et additional.fields.value.string_value
Technologie utilisée dans l'application (technology_of_app)			technology_of_app	about.labels.key et about.labels.value additional.fields.key et additional.fields.value.string_value
Risque de l'application (risk_of_app)				security_result.severity
Caractéristique de l'application (characteristic_of_app)			characteristic_of_app	about.labels.key et about.labels.value additional.fields.key et additional.fields.value.string_value
Conteneur d'application (container_of_app)			container_of_app	about.labels.key et about.labels.value additional.fields.key et additional.fields.value.string_value
Application SaaS (is_saas_of_app)			is_saas_of_app	about.labels.key et about.labels.value additional.fields.key et additional.fields.value.string_value
État de l'application approuvée (sanctioned_state_of_app)			sanctioned_state_of_app	about.labels.key et about.labels.value additional.fields.key et additional.fields.value.string_value
Sous-catégorie de l'application (subcategory_of_app)			subcategory_of_app1	about.labels.key et about.labels.value additional.fields.key et additional.fields.value.string_value

User-ID

Le tableau suivant liste les champs de journal du type de journal "user-id" et leurs champs UDM correspondants.

Champ CSV	Champ CEF	Champ LEEF	Clé d'étiquette Google Security Operations	Champ UDM
Heure de réception (receive_time ou cef-formatted-receive_time)	rt	devTime		metadata.collected_timestamp, metadata.event_timestamp (si "Generate Time" est absent)
Numéro de série (serial)	deviceExternalId	SerialNumber		intermediary.asset.hardware.serial_number
Type (type)	type (En-tête)	cat		metadata.product_event_type
Menace/Type de contenu (sous-type)	subtype (en-tête)	Sous-type		metadata.product_event_type
Heure de génération (time_generated ou cef-formatted-time_generated)				metadata.event_timestamp
Système virtuel (vsys)	cs3	VirtualSystem	vsys	about.labels.key et about.labels.value additional.fields.key et additional.fields.value.string_value
Adresse IP source	src	src		principal.ip
Utilisateur (user)	duser	usrName		target.user.userid target.administrative_domain target.user.email_addresses
Nom de la source de données (datasourcename)	cs4	DataSourceName	datasourcename	principal.labels.key et principal.labels.value additional.fields.key et additional.fields.value.string_value
ID de l'événement (eventid)		EventID	eventid	about.labels.key et about.labels.value additional.fields.key et additional.fields.value.string_value
Nombre de répétitions (repeatcnt)	cnt	RepeatCount	repeatcnt	about.labels.key et about.labels.value additional.fields.key et additional.fields.value.string_value
Seuil de délai avant expiration	cn3	TimeoutThreshold	délai avant expiration	about.labels.key et about.labels.value additional.fields.key et additional.fields.value.string_value
Port source (beginport)	spt	srcPort		principal.port
Port de destination (endport)	dpt	dstPort		target.port
Source de données (datasource)	cs5	DataSource	source de données	principal.labels.key et principal.labels.value additional.fields.key et additional.fields.value.string_value
Type de source de données (datasourcetype)	cs6	DataSourceType	datasourcetype	principal.labels.key et principal.labels.value additional.fields.key et additional.fields.value.string_value
Numéro de séquence (seqno)	externalId	séquence		metadata.product_log_id
Indicateurs d'action (actionflags)	PanOSActionFlags	ActionFlags	actionflags	about.labels.key et about.labels.value additional.fields.key et additional.fields.value.string_value
Hiérarchie des groupes d'appareils (dg_hier_level_1)	PanOSDGl1	DeviceGroupHierarchyL1	dg_hier_level_1	about.labels.key et about.labels.value additional.fields.key et additional.fields.value.string_value
Hiérarchie des groupes d'appareils (dg_hier_level_2)	PanOSDGl2	DeviceGroupHierarchyL2	dg_hier_level_2	about.labels.key et about.labels.value additional.fields.key et additional.fields.value.string_value
Hiérarchie des groupes d'appareils (dg_hier_level_3)	PanOSDGl3	DeviceGroupHierarchyL3	dg_hier_level_3	about.labels.key et about.labels.value additional.fields.key et additional.fields.value.string_value
Hiérarchie des groupes d'appareils (dg_hier_level_4)	PanOSDGl4	DeviceGroupHierarchyL4	dg_hier_level_4	about.labels.key et about.labels.value additional.fields.key et additional.fields.value.string_value
Nom du système virtuel (vsys_name)	PanOSVsysName	vSrcName		principal.resource.name principal.resource.resource_type=VIRTUAL_MACHINE
Nom de l'appareil (device_name)	dvchost	DeviceName		intermediary.hostname
ID de système virtuel (vsys_id)	cn2	VirtualSystemID		principal.resource.resource_type=VIRTUAL_MACHINE and principal.resource.product_object_id
Type de facteur (factortype)	cs1	FactorType	factortype	about.labels.key et about.labels.value additional.fields.key et additional.fields.value.string_value
Heure de fin du facteur (factorcompletiontime)	end	FactorCompletionTime	factorcompletiontime	about.labels.key et about.labels.value additional.fields.key et additional.fields.value.string_value
Numéro de facteur (factorno)	cn1	FactorNumber	factorno	about.labels.key et about.labels.value additional.fields.key et additional.fields.value.string_value
Indicateurs de groupe d'utilisateurs (ugflags)	PanOSUGFlags		ugflags	about.labels.key et about.labels.value additional.fields.key et additional.fields.value.string_value
Utilisateur par source (userbysource)	PanOSUserBySource			principal.user.userid principal.administrative_domain principal.user.email_addresses
Code temporel haute résolution (code temporel high_res)	PanOSTimeGeneratedHighResolution			metadata.collected_timestamp, metadata.event_timestamp (si "Generate Time" est absent)

Correspondance HIP

Le tableau suivant répertorie les champs de journal du type de journal des correspondances HIP et les champs UDM correspondants.

Champ CSV	Champ CEF	Champ LEEF	Clé d'étiquette Google Security Operations	Champ UDM
Heure de réception (receive_time ou cef-formatted-receive_time)	rt	devTime		metadata.collected_timestamp, metadata.event_timestamp (si "Generate Time" est absent)
Numéro de série (serial)	deviceExternalId	SerialNumber		intermediary.asset.hardware.serial_number
Type (type)	type (En-tête)	cat		metadata.product_event_type
Menace/Type de contenu (sous-type)	subtype (en-tête)	Sous-type
Heure de génération (time_generated ou cef-formatted-time_generated)	start	startTime		metadata.event_timestamp
Utilisateur source (srcuser)	suser	usrName		principal.user.userid
Système virtuel (vsys)	cs3	VirtualSystem	vsys	about.labels.key et about.labels.value additional.fields.key et additional.fields.value.string_value
Nom de la machine (machinename)	shost	identHostName		principal.hostname
Système d'exploitation (OS)	cs2	OS		principal.asset.platform_software.platform
Adresse source (src)	src	identsrc		principal.ip
HIP (nom de la correspondance)	cat	HIP	matchname	about.labels.key et about.labels.value additional.fields.key et additional.fields.value.string_value
Nombre de répétitions (repeatcnt)	cnt	RepeatCount	repeatcnt	about.labels.key et about.labels.value additional.fields.key et additional.fields.value.string_value
Type de HIP (matchtype)	ID de classe d'événement de l'appareil (en-tête)	HIPType	matchtype	about.labels.key et about.labels.value additional.fields.key et additional.fields.value.string_value
Numéro de séquence (seqno)	externalId	séquence		metadata.product_log_id
Indicateurs d'action (actionflags)	PanOSActionFlags	ActionFlags	actionflags	about.labels.key et about.labels.value additional.fields.key et additional.fields.value.string_value
Hiérarchie des groupes d'appareils (dg_hier_level_1)	PanOSDGl1	DeviceGroupHierarchyL1	dg_hier_level_1	about.labels.key et about.labels.value additional.fields.key et additional.fields.value.string_value
Hiérarchie des groupes d'appareils (dg_hier_level_2)	PanOSDGl2	DeviceGroupHierarchyL2	dg_hier_level_2	about.labels.key et about.labels.value additional.fields.key et additional.fields.value.string_value
Hiérarchie des groupes d'appareils (dg_hier_level_3)	PanOSDGl3	DeviceGroupHierarchyL3	dg_hier_level_3	about.labels.key et about.labels.value additional.fields.key et additional.fields.value.string_value
Hiérarchie des groupes d'appareils (dg_hier_level_4)	PanOSDGl4	DeviceGroupHierarchyL4	dg_hier_level_4	about.labels.key et about.labels.value additional.fields.key et additional.fields.value.string_value
Nom du système virtuel (vsys_name)	PanOSVsysName	vSrcName		principal.resource.name principal.resource.resource_type=VIRTUAL_MACHINE
Nom de l'appareil (device_name)	dvchost	DeviceName		intermediary.hostname
ID de système virtuel (vsys_id)	cn2	VirtualSystemID		principal.resource.resource_type=VIRTUAL_MACHINE and principal.resource.product_object_id
Adresse système IPv6 (srcipv6)	c6a2	srcipv6		principal.asset.ip
ID de l'hôte (hostid)	PanOSHostID			principal.asset.product_object_id
Numéro de série de l'appareil de l'utilisateur (serialnumber)	PanOSEndpointSerialNumber			principal.asset.hardware.serial_number
Adresse MAC de l'appareil (mac)	PanOSEndpointMac			principal.asset.mac
Code temporel haute résolution (high_res_timestamp)	PanOSTimeGeneratedHighResolution			metadata.collected_timestamp, metadata.event_timestamp (si "Generate Time" est absent)

Balise IP

Le tableau suivant répertorie les champs de journal du type de journal de balise IP et les champs UDM correspondants.

Champ CSV	Champ CEF	Champ LEEF	Clé d'étiquette Google Security Operations	Champ UDM
Heure de réception (receive_time ou cef-formatted-receive_time)	rt	devTime		metadata.collected_timestamp, metadata.event_timestamp (si "Generate Time" est absent)
Numéro de série (serial)	deviceExternalId	SerialNumber		intermediary.asset.hardware.serial_number
Type (type)	type (En-tête)	cat		metadata.product_event_type
Menace/Type de contenu (sous-type)	subtype (en-tête)	Sous-type		metadata.product_event_type
Heure de génération (time_generated ou cef-formatted-time_generated)		GenerateTime		metadata.event_timestamp
Système virtuel (vsys)	cs3	VirtualSystem	vsys	about.labels.key et about.labels.value additional.fields.key et additional.fields.value.string_value
Adresse IP source	src	src		principal.ip
Nom de la balise (tag_name)	PanOSTagName	TagName	tag_name	principal.labels.key et principal.labels.value additional.fields.key et additional.fields.value.string_value
ID de l'événement (event_id)	PanOSEventID	EventID	event_id	about.labels.key et about.labels.value additional.fields.key et additional.fields.value.string_value
Nombre de répétitions (repeatcnt)	cnt	RepeatCount	repeatcnt	about.labels.key et about.labels.value additional.fields.key et additional.fields.value.string_value
Délai avant expiration	PanOSTimeout	TimeoutThreshold	délai avant expiration	about.labels.key et about.labels.value additional.fields.key et additional.fields.value.string_value
Nom de la source de données (datasourcename)	PanOSDataSourceName	DataSourceName	datasourcename	principal.labels.key et principal.labels.value additional.fields.key et additional.fields.value.string_value
Type de source de données (datasource_type)	PanOSDataSourceType	DataSource	datasource_type	principal.labels.key et principal.labels.value additional.fields.key et additional.fields.value.string_value
Sous-type de source de données (datasource_subtype)	PanOSDataSourceSubType	DataSourceType	datasource_subtype	principal.labels.key et principal.labels.value additional.fields.key et additional.fields.value.string_value
Numéro de séquence (seqno)	externalId	séquence		metadata.product_log_id
Indicateurs d'action (actionflags)	PanOSActionFlags	ActionFlags	actionflags	about.labels.key et about.labels.value additional.fields.key et additional.fields.value.string_value
Hiérarchie des groupes d'appareils (dg_hier_level_1)	PanOSDGl1	DeviceGroupHierarchyL1	dg_hier_level_1	about.labels.key et about.labels.value additional.fields.key et additional.fields.value.string_value
Hiérarchie des groupes d'appareils (dg_hier_level_2)	PanOSDGl2	DeviceGroupHierarchyL2	dg_hier_level_2	about.labels.key et about.labels.value additional.fields.key et additional.fields.value.string_value
Hiérarchie des groupes d'appareils (dg_hier_level_3)	PanOSDGl3	DeviceGroupHierarchyL3	dg_hier_level_3	about.labels.key et about.labels.value additional.fields.key et additional.fields.value.string_value
Hiérarchie des groupes d'appareils (dg_hier_level_4)	PanOSDGl4	DeviceGroupHierarchyL4	dg_hier_level_4	about.labels.key et about.labels.value additional.fields.key et additional.fields.value.string_value
Nom du système virtuel (vsys_name)	PanOsVsysName	vSrcName		principal.resource.name principal.resource.resource_type=VIRTUAL_MACHINE
Nom de l'appareil (device_name)	dvchost	DeviceName		intermediary.hostname
ID de système virtuel (vsys_id)	cn2	VirtualSystemID		principal.resource.resource_type=VIRTUAL_MACHINE and principal.resource.product_object_id
Code temporel haute résolution (code temporel high_res)	PanOSTimeGeneratedHighResolution			metadata.collected_timestamp, metadata.event_timestamp (si "Generate Time" est absent)

Déchiffrement

Le tableau suivant répertorie les champs de journal du type de journal de déchiffrement et les champs UDM correspondants.

Champ CSV	Champ CEF	Champ LEEF	Clé d'étiquette Google Security Operations	Champ UDM
Heure de réception (receive_time ou cef-formatted-receive_time)	rt			metadata.collected_timestamp, metadata.event_timestamp (si "Generate Time" est absent)
Numéro de série (serial)	PanOSDeviceSN			intermediary.asset.hardware.serial_number
Type (type)	type (En-tête)			metadata.product_event_type
Menace/Type de contenu (sous-type)	subtype (en-tête)			metadata.product_event_type
Version de configuration (config_ver)	PanOSConfigVersion		config_ver	about.labels.key et about.labels.value additional.fields.key et additional.fields.value.string_value
Heure de génération (time_generated)	PanOSLogTimeStamp			metadata.event_timestamp
Adresse source (src)	src			principal.ip
Adresse de destination (dst)	dst			target.ip
Adresse IP source NAT (natsrc)	sourceTranslatedAddress			principa.nat_ip
Adresse IP de destination NAT (natdst)	destinationTranslatedAddress			target.nat_ip
Rule (règle)	cs1			security_result.rule_name
Utilisateur source (srcuser)	suser			principal.user.userid
Utilisateur de destination (dstuser)	duser			target.user.userid
Application	application			target.application
Système virtuel (vsys)	cs3		vsys	about.labels.key et about.labels.value additional.fields.key et additional.fields.value.string_value
Zone source (de)	cs4		de	principal.labels.key et principal.labels.value additional.fields.key et additional.fields.value.string_value
Zone de destination (à)	cs5		à	target.labels.key et target.labels.value additional.fields.key et additional.fields.value.string_value
Interface entrante (inbound_if)	deviceInboundInterface		inbound_if	principal.labels.key et principal.labels.value additional.fields.key et additional.fields.value.string_value
Interface sortante (outbound_if)	deviceOutboundInterface		outbound_if	target.labels.key et target.labels.value additional.fields.key et additional.fields.value.string_value
Action de journalisation (ensemble de journaux)	cs6		ensemble de journaux	about.labels.key et about.labels.value additional.fields.key et additional.fields.value.string_value
Heure de connexion (time_received)	PanOSTimeReceivedManagementPlane			-
ID de session (sessionid)	cn1			network.session_id
Nombre de répétitions (repeatcnt)	PanOSCountOfRepeats/RepeatCount		repeatcnt	about.labels.key et about.labels.value additional.fields.key et additional.fields.value.string_value
Port source (sport)	spt			principal.port
Port de destination (dport)	dpt			target.port
Port source NAT (natsport)	sourceTranslatedPort			principal.nat_port
Port de destination NAT (natdport)	destinationTranslatedPort			target.nat_port
Options	flexString1		flags	about.labels.key et about.labels.value additional.fields.key et additional.fields.value.string_value
Protocole IP (proto)	proto			network.ip_protocol
Action (action)	agir			security_result.action_details security_result.action
Tunnel	PanOSTunnel		tunnel	about.labels.key et about.labels.value additional.fields.key et additional.fields.value.string_value
UUID de la VM source (src_uuid)	PanOSSourceUUID			principal.asset.asset_id
UUID de la VM de destination (dst_uuid)	PanOSDestinationUUID			target.asset.asset_id
UUID de la règle (rule_uuid)	PanOSRuleUUID			security_result.rule_id
Étape du client vers le pare-feu (hs_stage_c2f)	PanOSClientToFirewall		hs_stage_c2f	about.labels.key et about.labels.value additional.fields.key et additional.fields.value.string_value
Étape pour le pare-feu vers le serveur (hs_stage_f2s)	PanOSFirewallToServer		hs_stage_f2s	about.labels.key et about.labels.value additional.fields.key et additional.fields.value.string_value
Version TLS (tls_version)	PanOSTLSVersion			network.tls.version
Algorithme d'échange de clés (tls_keyxchg)	PanOSTLSKeyExchange		tls_keyxchg	about.labels.key et about.labels.value additional.fields.key et additional.fields.value.string_value
Algorithme de chiffrement (tls_enc)	PanOSTLSEncryptionAlgorithm		tls_enc	about.labels.key et about.labels.value additional.fields.key et additional.fields.value.string_value
Algorithme de hachage (tls_auth)	PanOSTLSAuth		tls_auth	about.labels.key et about.labels.value additional.fields.key et additional.fields.value.string_value
Nom de la règle (policy_name)	PanOSPolicyName		policy_name	about.labels.key et about.labels.value additional.fields.key et additional.fields.value.string_value
Courbe elliptique (ec_curve)	PanOSEllipticCurve			network.tls.curve
Indice d'erreur (err_index)	PanOSErrorIndex		err_index	about.labels.key et about.labels.value additional.fields.key et additional.fields.value.string_value
État de la racine (root_status)	PanOSRootStatus		root_status	about.labels.key et about.labels.value additional.fields.key et additional.fields.value.string_value
État de la chaîne (chain_status)	PanOSChainStatus		chain_status	about.labels.key et about.labels.value additional.fields.key et additional.fields.value.string_value
Type de proxy (proxy_type)	PanOSProxyType		proxy_type	about.labels.key et about.labels.value additional.fields.key et additional.fields.value.string_value
Numéro de série du certificat (cert_serial)	PanOSCertificateSerial			network.tls.server.certificate.serial
Empreinte du certificat (empreinte)	PanOSFingerprint			network.tls.server.certificate.md5/sha1/sha256
Date de début du certificat (notbefore)	PanOSTimeNotBefore			network.tls.server.certificate.not_before
Date de fin du certificat (notafter)	PanOSTimeNotAfter			network.tls.server.certificate.not_after
Version du certificat (cert_ver)	PanOSCertificateVersion			network.tls.server.certificate.version
Taille du certificat (cert_size)	PanOSCertificateSize		cert_size	about.labels.key et about.labels.value additional.fields.key et additional.fields.value.string_value
Longueur du nom commun (cn_len)	PanOSCommonNameLength		cn_len	about.labels.key et about.labels.value additional.fields.key et additional.fields.value.string_value
Longueur du nom commun de l'émetteur (issuer_len)	PanOSIssuerNameLength		issuer_len	about.labels.key et about.labels.value additional.fields.key et additional.fields.value.string_value
Longueur du nom d'usage racine (rootcn_len)	PanOSRootCNLength		rootcn_len	about.labels.key et about.labels.value additional.fields.key et additional.fields.value.string_value
Longueur du SNI (sni_len)	PanOSSNILength		sni_len	about.labels.key et about.labels.value additional.fields.key et additional.fields.value.string_value
Options de certificat (cert_flags)	PanOSCertificateFlags		cert_flags	about.labels.key et about.labels.value additional.fields.key et additional.fields.value.string_value
Nom commun (CN) de l'objet	PanOSCommonName		cn	about.labels.key et about.labels.value additional.fields.key et additional.fields.value.string_value
Nom commun de l'émetteur (issuer_cn)	PanOSIssuerCommonName			network.tls.server.certificate.issuer
Nom commun racine (root_cn)	PanOSRootCommonName		root_cn	about.labels.key et about.labels.value additional.fields.key et additional.fields.value.string_value
Indication du nom du serveur (sni)				network.tls.client.server_name
Erreur (erreur)	PanOSErrorMessage		erreur	about.labels.key et about.labels.value additional.fields.key et additional.fields.value.string_value
ID du conteneur (container_id)	PanOSContainerID		container_id	about.labels.key et about.labels.value additional.fields.key et additional.fields.value.string_value
Espace de noms du pod (pod_namespace)	PanOSContainerNameSpace		pod_namespace	about.labels.key et about.labels.value additional.fields.key et additional.fields.value.string_value
Nom du pod (pod_name)	PanOSContainerName		pod_name	about.labels.key et about.labels.value additional.fields.key et additional.fields.value.string_value
Source External Dynamic List (src_edl)	PanOSSourceEDL		src_edl	principal.labels.key et principal.labels.value additional.fields.key et additional.fields.value.string_value
Destination External Dynamic List (dst_edl)	PanOSDestinationEDL		dst_edl	target.labels.key et target.labels.value additional.fields.key et additional.fields.value.string_value
Groupe d'adresses dynamiques source (src_dag)	PanOSSourceDynamicAddressGroup			principal.group.group_display_name
Groupe d'adresses dynamiques de destination (dst_dag)	PanOSDestinationDynamicAddressGroup			target.group.group_display_name
Code temporel haute résolution (high_res_timestamp)	PanOSTimeGeneratedHighResolution			metadata.collected_timestamp, metadata.event_timestamp (si "Generate Time" est absent)
Catégorie de l'appareil source (src_category)	PanOSSourceDeviceCategory		src_category	principal.labels.key et principal.labels.value additional.fields.key et additional.fields.value.string_value
Profil de l'appareil source (src_profile)	PanOSSourceDeviceProfile		src_profile	principal.labels.key et principal.labels.value additional.fields.key et additional.fields.value.string_value
Modèle de l'appareil source (src_model)	PanOSSourceDeviceModel		src_model	principal.labels.key et principal.labels.value additional.fields.key et additional.fields.value.string_value
Fournisseur de l'appareil source (src_vendor)	PanOSSourceDeviceVendor		src_vendor	principal.labels.key et principal.labels.value additional.fields.key et additional.fields.value.string_value
Famille d'OS de l'appareil source (src_osfamily)	PanOSSourceDeviceOSFamily			principal.asset.platform_software.platform principal.labels.key et principal.labels.value
Version du système d'exploitation de l'appareil source (src_osversion)	PanOSSourceDeviceOSVersion			principal.asset.software.version
Nom d'hôte source (src_host)	PanOSSourceDeviceHost			principal.hostname
Adresse MAC source (src_mac)	PanOSSourceDeviceMac			principal.mac
Catégorie d'appareil de destination (dst_category)	PanOSDestinationDeviceCategory		dst_category	target.labels.key et target.labels.value additional.fields.key et additional.fields.value.string_value
Profil de l'appareil de destination (dst_profile)	PanOSDestinationDeviceProfile		dst_profile	target.labels.key et target.labels.value additional.fields.key et additional.fields.value.string_value
Modèle de l'appareil de destination (dst_model)	PanOSDestinationDeviceModel		dst_model	target.labels.key et target.labels.value additional.fields.key et additional.fields.value.string_value
Fournisseur de l'appareil de destination (dst_vendor)	PanOSDestinationDeviceVendor		dst_vendor	target.labels.key et target.labels.value additional.fields.key et additional.fields.value.string_value
Famille d'OS de l'appareil de destination (dst_osfamily)	PanOSDestinationDeviceOSFamily		dst_osfamily	target.labels.key et target.labels.value additional.fields.key et additional.fields.value.string_value
Version de l'OS de l'appareil de destination (dst_osversion)	PanOSDestinationDeviceOSVersion			target.asset.software.version
Nom d'hôte de destination (dst_host)	PanOSDestinationDeviceHost			target.hostname
Adresse MAC de destination (dst_mac)	PanOSDestinationDeviceMac			target.mac
Numéro de séquence (seqno)	PanOSLogTypeSeqNo			metadata.product_log_id
Indicateurs d'action (actionflags)	PanOSActionFlags		actionflags	about.labels.key et about.labels.value additional.fields.key et additional.fields.value.string_value
Hiérarchie des groupes d'appareils (dg_hier_level_1)		DeviceGroupHierarchyL1	dg_hier_level_1	about.labels.key et about.labels.value additional.fields.key et additional.fields.value.string_value
Hiérarchie des groupes d'appareils (dg_hier_level_2)		DeviceGroupHierarchyL2	dg_hier_level_2	about.labels.key et about.labels.value additional.fields.key et additional.fields.value.string_value
Hiérarchie des groupes d'appareils (dg_hier_level_3)		DeviceGroupHierarchyL3	dg_hier_level_3	about.labels.key et about.labels.value additional.fields.key et additional.fields.value.string_value
Hiérarchie des groupes d'appareils (dg_hier_level_4)		DeviceGroupHierarchyL4	dg_hier_level_4	about.labels.key et about.labels.value additional.fields.key et additional.fields.value.string_value
Nom du système virtuel (vsys_name)				principal.resource.name principal.resource.resource_type=VIRTUAL_MACHINE
Nom de l'appareil (device_name)				intermediary.hostname
ID de système virtuel (vsys_id)				principal.resource.resource_type=VIRTUAL_MACHINE and principal.resource.product_object_id
Sous-catégorie de l'application (subcategory_of_app)			subcategory_of_app	about.labels.key et about.labels.value additional.fields.key et additional.fields.value.string_value
Catégorie d'application (category_of_app)			category_of_app	about.labels.key et about.labels.value additional.fields.key et additional.fields.value.string_value
Technologie utilisée dans l'application (technology_of_app)			technology_of_app	about.labels.key et about.labels.value additional.fields.key et additional.fields.value.string_value
Risque de l'application (risk_of_app)				security_result.severity
Caractéristique de l'application (characteristic_of_app)			characteristic_of_app	about.labels.key et about.labels.value additional.fields.key et additional.fields.value.string_value
Conteneur d'application (container_of_app)			container_of_app	about.labels.key et about.labels.value additional.fields.key et additional.fields.value.string_value
Application SaaS (is_saas_of_app)			is_saas_of_app	about.labels.key et about.labels.value additional.fields.key et additional.fields.value.string_value
État de l'application approuvée (sanctioned_state_of_app)			sanctioned_state_of_app	about.labels.key et about.labels.value additional.fields.key et additional.fields.value.string_value

Tunnel

Le tableau suivant répertorie les champs de journal du type de journal de tunnel et les champs UDM correspondants.

Champ CSV	Champ CEF	Champ LEEF	Clé d'étiquette Google Security Operations	Champ UDM
Heure de réception (receive_time ou cef-formatted-receive_time)	rt	devTime		metadata.collected_timestamp, metadata.event_timestamp (si "Generate Time" est absent)
Numéro de série (serial)	deviceExternalId	SerialNumber		intermediary.asset.hardware.serial_number
Type (type)	type (En-tête)	cat		metadata.product_event_type
Menace/Type de contenu (sous-type)	subtype (en-tête)	Sous-type		metadata.product_event_type
Heure de génération (time_generated ou cef-formatted-time_generated)				metadata.event_timestamp
Adresse source (src)	src	src		principal.ip
Adresse de destination (dst)	dst	dst		target.ip
Adresse IP source NAT (natsrc)	sourceTranslatedAddress	srcPostNAT		principal.nat_ip
Adresse IP de destination NAT (natdst)	destinationTranslatedAddress	dstPostNAT		target.nat_ip
Nom de la règle (rule)	cs1	RuleName		security_result.rule_name
Utilisateur source (srcuser)	suser	SourceUser / usrName		principal.user.userid
Utilisateur de destination (dstuser)	duser	DestinationUser		target.user.userid
Application	application	Application		network.application_protocol
Système virtuel (vsys)	cs3	VirtualSystem	vsys	about.labels.key et about.labels.value additional.fields.key et additional.fields.value.string_value
Zone source (de)	cs4	SourceZone	de	principal.labels.key et principal.labels.value additional.fields.key et additional.fields.value.string_value
Zone de destination (à)	cs5	DestinationZone	à	target.labels.key et target.labels.value additional.fields.key et additional.fields.value.string_value
Interface entrante (inbound_if)	deviceInboundInterface	IngressInterface	inbound_if	principal.labels.key et principal.labels.value additional.fields.key et additional.fields.value.string_value
Interface sortante (outbound_if)	deviceOutboundInterface	EgressInterface	outbound_if	target.labels.key et target.labels.value additional.fields.key et additional.fields.value.string_value
Action de journalisation (ensemble de journaux)	cs6	LogForwardingProfile	ensemble de journaux	about.labels.key et about.labels.value additional.fields.key et additional.fields.value.string_value
ID de session (sessionid)	cn1	SessionID		network.session_id
Nombre de répétitions (repeatcnt)	cnt	RepeatCount	repeatcnt	about.labels.key et about.labels.value additional.fields.key et additional.fields.value.string_value
Port source (sport)	spt	srcPort		principal.port
Port de destination (dport)	dpt	dstPort		target.port
Port source NAT (natsport)	sourceTranslatedPort	srcPostNATPort		principal.nat_port
Port de destination NAT (natdport)	destinationTranslatedPort	dstPostNATPort		target.nat_port
Options	flexString1	Options	flags	about.labels.key et about.labels.value additional.fields.key et additional.fields.value.string_value
Protocole IP (proto)	proto	proto		network.ip_protocol
Action (action)	agir	action		security_result.action_details security_result.action
Gravité (severity)				security_result.severity et security_result.severity_details
Numéro de séquence (seqno)	externalId	séquence		metadata.product_log_id
Indicateurs d'action (actionflags)	PanOSActionFlags	ActionFlags	actionflags	about.labels.key et about.labels.value additional.fields.key et additional.fields.value.string_value
Emplacement de la source (srcloc)				principal.location.country_or_region
Lieu de destination (dstloc)				target.location.country_or_region
Hiérarchie des groupes d'appareils (dg_hier_level_1)	PanOSDGl1	DeviceGroupHierarchyL1	dg_hier_level_1	about.labels.key et about.labels.value additional.fields.key et additional.fields.value.string_value
Hiérarchie des groupes d'appareils (dg_hier_level_2)	PanOSDGl2	DeviceGroupHierarchyL2	dg_hier_level_2	about.labels.key et about.labels.value additional.fields.key et additional.fields.value.string_value
Hiérarchie des groupes d'appareils (dg_hier_level_3)	PanOSDGl3	DeviceGroupHierarchyL3	dg_hier_level_3	about.labels.key et about.labels.value additional.fields.key et additional.fields.value.string_value
Hiérarchie des groupes d'appareils (dg_hier_level_4)	PanOSDGl4	DeviceGroupHierarchyL4	dg_hier_level_4	about.labels.key et about.labels.value additional.fields.key et additional.fields.value.string_value
Nom du système virtuel (vsys_name)	PanOSVsysName	vSrcName		principal.resource.name principal.resource.resource_type=VIRTUAL_MACHINE
Nom de l'appareil (device_name)	dvchost	DeviceName		intermediary.hostname
ID de tunnel (tunnelid)	PanOSTunnelID	TunnelID	tunnelid	about.labels.key et about.labels.value additional.fields.key et additional.fields.value.string_value
Tag de surveillance (monitortag)	PanOSMonitorTag	MonitorTag	monitortag	about.labels.key et about.labels.value additional.fields.key et additional.fields.value.string_value
ID de session parent (parent_session_id)	PanOSParentSessionID	ParentSessionID	parent_session_id	network.parent_session_id
Heure de début du parent (parent_start_time)	PanOSParentStartTime	ParentStartTime	parent_start_time	about.labels.key et about.labels.value additional.fields.key et additional.fields.value.string_value
Type de tunnel (tunnel)	cs2	TunnelType	tunnel	about.labels.key et about.labels.value additional.fields.key et additional.fields.value.string_value
Octets	flexNumber1	totalBytes	bytes	about.labels.key et about.labels.value additional.fields.key et additional.fields.value.string_value
Octets envoyés (bytes_sent)	dans	srcBytes		network.sent_bytes
Octets reçus (bytes_received)	interprétés.	dstBytes		network.received_bytes
paquets	cn2	totalPackets	paquets	about.labels.key et about.labels.value additional.fields.key et additional.fields.value.string_value
Paquets envoyés (pkts_sent)	PanOSPacketsSent	srcPackets	pkts_sent	about.labels.key et about.labels.value additional.fields.key et additional.fields.value.string_value
Paquets reçus (pkts_received)	PanOSPacketsReceived	dstPackets	pkts_received	about.labels.key et about.labels.value additional.fields.key et additional.fields.value.string_value
Encapsulation maximale (max_encap)	flexNumber2	MaximumEncapsulation	max_encap	about.labels.key et about.labels.value additional.fields.key et additional.fields.value.string_value
Protocole inconnu (unknown_proto)	cfp1	UnknownProtocol	unknown_proto	about.labels.key et about.labels.value additional.fields.key et additional.fields.value.string_value
Vérification stricte (strict_check)	cfp2	StrictChecking	strict_check	about.labels.key et about.labels.value additional.fields.key et additional.fields.value.string_value
Fragment de tunnel (tunnel_fragment)	PanOSTunnelFragment	TunnelFragment	tunnel_fragment	about.labels.key et about.labels.value additional.fields.key et additional.fields.value.string_value
Sessions créées (sessions_created)	cfp3	SessionsCreated	sessions_created	about.labels.key et about.labels.value additional.fields.key et additional.fields.value.string_value
Sessions fermées (sessions_closed)	cfp4	SessionsClosed	sessions_closed	about.labels.key et about.labels.value additional.fields.key et additional.fields.value.string_value
Motif de la fin de la session (session_end_reason)	reason	SessionEndReason		security_result.summary
Source de l'action (action_source)	cat	ActionSource	action_source	about.labels.key et about.labels.value additional.fields.key et additional.fields.value.string_value
Heure de début (début)		startTime	start	about.labels.key et about.labels.value additional.fields.key et additional.fields.value.string_value
Durée écoulée (écoulée)	cn3	ElapsedTime	écoulé	network.session_duration.seconds
Règle d'inspection de tunnel (tunnel_insp_rule)	PanOSTunneInspectionRule			security_result.rule_name = "Règle d'inspection des tunnels: %{PanOSTunnelInspectionRule}"
Adresse IP de l'utilisateur distant (remote_user_ip)	PanOSRmtUserIP			target.ip
ID utilisateur distant (remote_user_id)	PanOSRmtUserID		remote_user_id	target.labels.key et target.labels.value additional.fields.key et additional.fields.value.string_value
UUID de la règle de sécurité (rule_uuid)	PanOSRuleUUID			security_result.rule_id
ID PCAP (pcap_id)	PanOSPcapID		pcap_id	about.labels.key et about.labels.value additional.fields.key et additional.fields.value.string_value
Nom du groupe d'utilisateurs dynamique (dynusergroup_name)	PanDynamicUsrgrp			principal.group.group_display_name
Source External Dynamic List (src_edl)	PanOSSourceEDL		src_edl	principal.labels.key et principal.labels.value additional.fields.key et additional.fields.value.string_value
Destination External Dynamic List (dst_edl)	PanOSDestinationEDL		dst_edl	target.labels.key et target.labels.value additional.fields.key et additional.fields.value.string_value
Code temporel haute résolution (code temporel high_res)	PanOSTimeGeneratedHighResolution			metadata.collected_timestamp, metadata.event_timestamp (si "Generate Time" est absent)
Un différenciateur de tranche (nssai_sd)			nssai_sd	about.labels.key et about.labels.value additional.fields.key et additional.fields.value.string_value
Un type de service de tranche (nssai_sd)			nssai_sd1	about.labels.key et about.labels.value additional.fields.key et additional.fields.value.string_value
ID de session du PDU (pdu_session_id)			pdu_session_id	about.labels.key et about.labels.value additional.fields.key et additional.fields.value.string_value
Sous-catégorie de l'application (subcategory_of_app)			subcategory_of_app	about.labels.key et about.labels.value additional.fields.key et additional.fields.value.string_value
Catégorie d'application (category_of_app)			category_of_app	about.labels.key et about.labels.value additional.fields.key et additional.fields.value.string_value
Technologie utilisée dans l'application (technology_of_app)			technology_of_app	about.labels.key et about.labels.value additional.fields.key et additional.fields.value.string_value
Risque de l'application (risk_of_app)			risk_of_app	about.labels.key et about.labels.value additional.fields.key et additional.fields.value.string_value
Caractéristique de l'application (characteristic_of_app)			characteristic_of_app	about.labels.key et about.labels.value additional.fields.key et additional.fields.value.string_value
Conteneur d'application (container_of_app)			container_of_app	about.labels.key et about.labels.value additional.fields.key et additional.fields.value.string_value
Application SaaS (is_saas_of_app)			is_saas_of_app	about.labels.key et about.labels.value additional.fields.key et additional.fields.value.string_value
État de l'application approuvée (sanctioned_state_of_app)			sanctioned_state_of_app	about.labels.key et about.labels.value additional.fields.key et additional.fields.value.string_value

Authentification

Le tableau suivant répertorie les champs de journal du type de journal d'authentification et les champs UDM correspondants.

Champ CSV	Champ CEF	Champ LEEF	Clé d'étiquette Google Security Operations	Champ UDM
Heure de réception (receive_time ou cef-formatted-receive_time)	rt	devTime		metadata.collected_timestamp, metadata.event_timestamp (si "Generate Time" est absent)
Numéro de série (serial)	deviceExternalId	SerialNumber		intermediary.asset.hardware.serial_number
Type (type)	type (En-tête)	cat		metadata.product_event_type
Menace/Type de contenu (sous-type)	subtype (en-tête)	Sous-type		metadata.product_event_type
Heure de génération (time_generated ou cef-formatted-time_generated)				metadata.event_timestamp
Système virtuel (vsys)	cs3	VirtualSystem	vsys	about.labels.key et about.labels.value additional.fields.key et additional.fields.value.string_value
Adresse IP source	src	src		principal.ip
Utilisateur (user)	duser	usrName		target.user.userid
Normaliser l'utilisateur (normalize_user)	cs2	NormalizeUser		target.user.user_display_name
Object (objet)	fname	Nom de l'objet	objet	about.labels.key et about.labels.value additional.fields.key et additional.fields.value.string_value
Stratégie d'authentification (authpolicy)	cs4	AuthPolicy	authpolicy	about.labels.key et about.labels.value additional.fields.key et additional.fields.value.string_value
Nombre de répétitions (repeatcnt)	cnt	RepeatCount	repeatcnt	about.labels.key et about.labels.value additional.fields.key et additional.fields.value.string_value
ID d'authentification (authid)	cn2	AuthenticationID	authid	about.labels.key et about.labels.value additional.fields.key et additional.fields.value.string_value
Fournisseur	flexString2	Fournisseur	vendor	about.labels.key et about.labels.value additional.fields.key et additional.fields.value.string_value
Action de journalisation (ensemble de journaux)	cs6	LogForwardingProfile	ensemble de journaux	about.labels.key et about.labels.value additional.fields.key et additional.fields.value.string_value
Profil serveur (serverprofile)	cs1	ServerProfile	serverprofile	about.labels.key et about.labels.value additional.fields.key et additional.fields.value.string_value
Description (décroiss.)	PanOSDesc	AdditionalAuthInfo		security_result.description
Type de client (clienttype)	cs5	ClientType	clienttype	about.labels.key et about.labels.value additional.fields.key et additional.fields.value.string_value
Type d'événement (événement)	Message	Message		extensions.auth.auth_details
Numéro de facteur (factorno)	cn1	FactorNumber	factorno	about.labels.key et about.labels.value additional.fields.key et additional.fields.value.string_value
Numéro de séquence (seqno)	externalId	séquence		metadata.product_log_id
Indicateurs d'action (actionflags)	PanOSActionFlags	ActionFlags	actionflags	about.labels.key et about.labels.value additional.fields.key et additional.fields.value.string_value
Hiérarchie des groupes d'appareils (dg_hier_level_1)	PanOSDGl1	DeviceGroupHierarchyL1	dg_hier_level_1	about.labels.key et about.labels.value additional.fields.key et additional.fields.value.string_value
Hiérarchie des groupes d'appareils (dg_hier_level_2)	PanOSDGl2	DeviceGroupHierarchyL2	dg_hier_level_2	about.labels.key et about.labels.value additional.fields.key et additional.fields.value.string_value
Hiérarchie des groupes d'appareils (dg_hier_level_3)	PanOSDGl3	DeviceGroupHierarchyL3	dg_hier_level_3	about.labels.key et about.labels.value additional.fields.key et additional.fields.value.string_value
Hiérarchie des groupes d'appareils (dg_hier_level_4)	PanOSDGl4	DeviceGroupHierarchyL4	dg_hier_level_4	about.labels.key et about.labels.value additional.fields.key et additional.fields.value.string_value
Nom du système virtuel (vsys_name)	PanOSVsysName	vSrcName		principal.resource.name principal.resource.resource_type=VIRTUAL_MACHINE
Nom de l'appareil (device_name)	dvchost	DeviceName		intermediary.hostname
ID de système virtuel (vsys_id)				principal.resource.resource_type=VIRTUAL_MACHINE and principal.resource.product_object_id
Protocole d'authentification (authproto)			authproto	about.labels.key et about.labels.value additional.fields.key et additional.fields.value.string_value
UUID de la règle (rule_uuid)	PanOSRuleUUID/RuleUUID			security_result.rule_id
Code temporel haute résolution (high_res_timestamp)	PanOSTimeGeneratedHighResolution			metadata.collected_timestamp, metadata.event_timestamp (si "Generate Time" est absent)
Catégorie de l'appareil source (src_category)	PanOSSourceDeviceCategory		src_category	principal.labels.key et principal.labels.value additional.fields.key et additional.fields.value.string_value
Profil de l'appareil source (src_profile)	PanOSSourceDeviceProfile		src_profile	principal.labels.key et principal.labels.value additional.fields.key et additional.fields.value.string_value
Modèle de l'appareil source (src_model)	PanOSSourceDeviceModel		src_model	principal.labels.key et principal.labels.value additional.fields.key et additional.fields.value.string_value
Fournisseur de l'appareil source (src_vendor)	PanOSSourceDeviceVendor		src_vendor	principal.labels.key et principal.labels.value additional.fields.key et additional.fields.value.string_value
Famille d'OS de l'appareil source (src_osfamily)	PanOSSourceDeviceOSFamily			principal.asset.platform_software.platform principal.labels.key et principal.labels.value additional.fields.key et additional.fields.value.string_value
Version du système d'exploitation de l'appareil source (src_osversion)	PanOSSourceDeviceOSVersion			principal.asset.software.version
Nom d'hôte source (src_host)	PanOSSourceHostname			principal.hostname
Adresse MAC source (src_mac)	PanOSSourceMac			principal.asset.mac
Région (région)	PanOSTrafficOriginRegion			principal.location.country_or_region
User-agent (user_agent)	PanOSHTTPUserAgent			network.http.user_agent
ID de session(sessionid)	PanOSTrafficSessionID			network.session_id

URL

Le tableau suivant répertorie les champs de journal du type de journal des URL et les champs UDM correspondants.

Champ CSV	Champ CEF	Champ LEEF	Clé d'étiquette Google Security Operations	Champ UDM
Heure de réception (cef-formatted-receive_time)	rt	devTime		metadata.collected_timestamp, metadata.event_timestamp (si "Generate Time" est absent)
Numéro de série (série)	deviceExternalId	SerialNumber		intermediary.asset.hardware.serial_number
Type (type)	type (En-tête)	cat		metadata.product_event_type
Menace/Type de contenu (sous-type)	subtype (en-tête)	Sous-type		metadata.product_event_type
Heure de génération				metadata.event_timestamp
Adresse source (src)	src	src		principal.ip
Adresse de destination (dst)	dst	dst		target.ip
Adresse IP source NAT (natsrc)	sourceTranslatedAddress	srcPostNAT		principal.nat_ip
Adresse IP de destination NAT (natdst)	destinationTranslatedAddress	dstPostNAT		target.nat_ip
Rule (règle)	cs1	RuleName		security_result.rule_name
Utilisateur source (srcuser)	suser	SourceUser		principal.user.userid
Utilisateur de destination (dstuser)	duser	DestinationUser		target.user.userid
Application	application	Application		network.application_protocol
Système virtuel (vsys)	cs3	VirtualSystem	vsys	about.labels.key et about.labels.value additional.fields.key et additional.fields.value.string_value
Zone source (de)	cs4	SourceZone	de	principal.labels.key et principal.labels.value additional.fields.key et additional.fields.value.string_value
Zone de destination (à)	cs5	DestinationZone	à	target.labels.key et target.labels.value additional.fields.key et additional.fields.value.string_value
Interface entrante (inbound_if)	deviceInboundInterface	IngressInterface	inbound_if	principal.labels.key et principal.labels.value additional.fields.key et additional.fields.value.string_value
Interface sortante (outbound_if)	deviceOutboundInterface	EgressInterface	outbound_if	target.labels.key et target.labels.value additional.fields.key et additional.fields.value.string_value
Action de journalisation (ensemble de journaux)	cs6	LogForwardingProfile	ensemble de journaux	about.labels.key et about.labels.value additional.fields.key et additional.fields.value.string_value
Durée de connexion			time_logged	about.labels.key et about.labels.value additional.fields.key et additional.fields.value.string_value
ID de session (sessionid)	cn1	SessionID		network.session_id
Nombre de répétitions (repeatcnt)	cnt	RepeatCount	repeatcnt	about.labels.key et about.labels.value additional.fields.key et additional.fields.value.string_value
Port source (sport)	spt	srcPort		principal.port
Port de destination (dport)	dpt	dstPort		target.port
Port source NAT (natsport)	sourceTranslatedPort	srcPostNATPort		principal.nat_port
Port de destination NAT (natdport)	destinationTranslatedPort	dstPostNATPort		target.nat_port
Options	flexString1	Options	flags	about.labels.key et about.labels.value additional.fields.key et additional.fields.value.string_value
Protocole IP (proto)	proto	proto		network.ip_protocol
Action (action)	agir	action		security_result.action_details security_result.action
URL/Nom de fichier (divers)		Autres		target.file.full_path target.url
Nom de la menace/du contenu (threatid)	cat	ThreatID		security_result.threat_id
Catégorie (category)	cs2	URLCategory	category	about.labels.key et about.labels.value additional.fields.key et additional.fields.value.string_value
Gravité (severity)	number-of-severity (En-tête)	Gravité		security_result.severity security_result.severity_details
Direction (direction)	flexString2	Direction		network.direction
Numéro de séquence (seqno)	externalId	séquence		metadata.product_log_id
Indicateurs d'action (actionflags)	PanOSActionFlags	ActionFlags	actionflags	about.labels.key et about.labels.value additional.fields.key et additional.fields.value.string_value
Pays source (srcloc)		SourceLocation		principal.location.country_or_region
Pays de destination (dstloc)		DestinationLocation		target.location.country_or_region
contenttype (contenttype)	requestContext	ContentType	contenttype	about.labels.key et about.labels.value additional.fields.key et additional.fields.value.string_value
pcap_id (pcap_id)	fileId	PCAP_ID	pcap_id	about.labels.key et about.labels.value additional.fields.key et additional.fields.value.string_value
filedigest (filedigest)		FileDigest		about.file.sha1/md5/sha256
cloud (cloud)		Cloud	cloud	about.labels.key et about.labels.value additional.fields.key et additional.fields.value.string_value
url_idx (url_idx)		URLIndex	url_idx	about.labels.key et about.labels.value additional.fields.key et additional.fields.value.string_value
user_agent (user_agent)	requestClientApplication	UserAgent		network.http.user_agent
filetype (filetype)				about.file.mime_type
xff (xff)	PanOSXForwarderfor	identSrc	xff	about.labels.key et about.labels.value additional.fields.key et additional.fields.value.string_value
referer (referer)	PanOSReferer	Référent		network.http.referral_url
sender (expéditeur)				network.email.from
sujet (sujet)		Objet		network.email.subject
destinataire (destinataire)				network.email.to
reportid (reportid)			reportid	about.labels.key et about.labels.value additional.fields.key et additional.fields.value.string_value
Hiérarchie DG niveau 1 (dg_hier_level_1)	PanOSDGl1	DeviceGroupHierarchyL1	dg_hier_level_1	about.labels.key et about.labels.value additional.fields.key et additional.fields.value.string_value
Hiérarchie DG de niveau 2 (dg_hier_level_2)	PanOSDGl2	DeviceGroupHierarchyL2	dg_hier_level_2	about.labels.key et about.labels.value additional.fields.key et additional.fields.value.string_value
Hiérarchie DG de niveau 3 (dg_hier_level_3)	PanOSDGl3	DeviceGroupHierarchyL3	dg_hier_level_3	about.labels.key et about.labels.value additional.fields.key et additional.fields.value.string_value
Hiérarchie DG de niveau 4 (dg_hier_level_4)	PanOSDGl4	DeviceGroupHierarchyL4	dg_hier_level_4	about.labels.key et about.labels.value additional.fields.key et additional.fields.value.string_value
Nom du système virtuel (vsys_name)	PanOSVsysName	vSrcName		principal.resource.name principal.resource.resource_type=VIRTUAL_MACHINE
Nom de l'appareil (device_name)	dvchost	DeviceName		intermediary.hostname
file_url (file_url)				about.url
UUID de la VM source (src_uuid)		SrcUUID		principal.asset.asset_id
UUID de la VM de destination (dst_uuid)		DstUUID		target.asset.asset_id
http_method (http_method)	requestMethod	RequestMethod		network.http.method
ID de tunnel/IMSI (tunnelid)	PanOSTunnelID	TunnelID	tunnelid	about.labels.key et about.labels.value additional.fields.key et additional.fields.value.string_value
Balise de surveillance/Code IMEI (monitortag)	PanOSMonitorTag	MonitorTag	monitortag	about.labels.key et about.labels.value additional.fields.key et additional.fields.value.string_value
ID de session parent (parent_session_id)	PanOSParentSessionID	ParentSessionID	parent_session_id	network.parent_session_id
Heure de début de la session parente (parent_start_time)	PanOSParentStartTime	ParentStartTime	parent_start_time	about.labels.key et about.labels.value additional.fields.key et additional.fields.value.string_value
Tunnel	PanOSTunnelType	TunnelType	tunnel	about.labels.key et about.labels.value additional.fields.key et additional.fields.value.string_value
thr_category (thr_category)	PanOSThreatCategory	ThreatCategory	thr_category	security_result.detection_fields.key/value
contentver (contentver)	PanOSContentVer	ContentVer	contentver	about.labels.key et about.labels.value additional.fields.key et additional.fields.value.string_value
sig_flags (sig_flags)			sig_flags	about.labels.key et about.labels.value additional.fields.key et additional.fields.value.string_value
ID d'association SCTP (assoc_id)	PanOSAssocID		assoc_id	about.labels.key et about.labels.value additional.fields.key et additional.fields.value.string_value
ID de protocole de charge utile (ppid)	PanOSPPID		ppid	about.labels.key et about.labels.value additional.fields.key et additional.fields.value.string_value
http_headers (http_headers)	PanOSHTTPHeader		http_headers	about.labels.key et about.labels.value additional.fields.key et additional.fields.value.string_value
Liste des catégories d'URL (url_category_list)	PanOSURLCatList		url_category_list	about.labels.key et about.labels.value additional.fields.key et additional.fields.value.string_value
UUID de la règle (rule_uuid)	PanOSRuleUUID		rule_uuid	about.labels.key et about.labels.value additional.fields.key et additional.fields.value.string_value
Connexion HTTP/2 (http2_connection)	PanOSHTTP2Con		http2_connection	about.labels.key et about.labels.value additional.fields.key et additional.fields.value.string_value
dynusergroup_name (dynusergroup_name)	PanDynamicUsrgrp		dynusergroup_name	about.labels.key et about.labels.value additional.fields.key et additional.fields.value.string_value
Adresse XFF (xff_ip)	PanXFFIP			principal.ip
Catégorie de l'appareil source (src_category)	PanSrcDeviceCat		src_category	principal.labels.key et principal.labels.value additional.fields.key et additional.fields.value.string_value
Profil de l'appareil source (src_profile)	PanSrcDeviceProf		src_profile	principal.labels.key et principal.labels.value additional.fields.key et additional.fields.value.string_value
Modèle de l'appareil source (src_model)	PanSrcDeviceModel		src_model	principal.labels.key et principal.labels.value additional.fields.key et additional.fields.value.string_value
Fournisseur de l'appareil source (src_vendor)	PanSrcDeviceVendor		src_vendor	principal.labels.key et principal.labels.value additional.fields.key et additional.fields.value.string_value
Famille d'OS de l'appareil source (src_osfamily)	PanSrcDeviceOS			principal.asset.platform_software.platform principal.labels.key et principal.labels.value additional.fields.key et additional.fields.value.string_value
Version du système d'exploitation de l'appareil source (src_osversion)	PanSrcDeviceOSv			principal.asset.software.version
Nom d'hôte source (src_host)	PanSrcHostname		src_host	principal.labels.key et principal.labels.value additional.fields.key et additional.fields.value.string_value
Adresse MAC source (src_mac)	PanSrcMac			principal.mac
Catégorie d'appareil de destination (dst_category)	PanDstDeviceCat		dst_category	target.labels.key et target.labels.value additional.fields.key et additional.fields.value.string_value
Profil de l'appareil de destination (dst_profile)	PanDstDeviceProf		dst_profile	target.labels.key et target.labels.value additional.fields.key et additional.fields.value.string_value
Modèle de l'appareil de destination (dst_model)	PanDstDeviceModel		dst_model	target.labels.key et target.labels.value additional.fields.key et additional.fields.value.string_value
Fournisseur de l'appareil de destination (dst_vendor)	PanDstDeviceVendor		dst_vendor	target.labels.key et target.labels.value additional.fields.key et additional.fields.value.string_value
Famille d'OS de l'appareil de destination (dst_osfamily)	PanDstDeviceOS			target.asset.platform_software.platform target.labels.key et target.labels.value
Version de l'OS de l'appareil de destination (dst_osversion)	PanDstDeviceOSv			target.asset.software.version
Nom d'hôte de destination (dst_host)	PanPODNamespace			target.hostname
Adresse MAC de destination (dst_mac)	PanDstMac			target.mac
ID du conteneur (container_id)	PanContainerName		container_id	about.labels.key et about.labels.value additional.fields.key et additional.fields.value.string_value
Espace de noms du pod (pod_namespace)	PanPODNamespace		pod_namespace	about.labels.key et about.labels.value additional.fields.key et additional.fields.value.string_value
Nom du pod (pod_name)	PanPODName		pod_name	about.labels.key et about.labels.value additional.fields.key et additional.fields.value.string_value
Source External Dynamic List (src_edl)	PanSrcEDL		src_edl	principal.labels.key et principal.labels.value additional.fields.key et additional.fields.value.string_value
Destination External Dynamic List (dst_edl)	PanDstEDL		dst_edl	target.labels.key et target.labels.value additional.fields.key et additional.fields.value.string_value
ID de l'hôte (hostid)	PanGPHostID		hostid	about.labels.key et about.labels.value additional.fields.key et additional.fields.value.string_value
Numéro de série (serialnumber)	PanEPSerial			principal.asset.hardware.serial_number
domain_edl (domain_edl)	PanDomainEDL		domain_edl	about.labels.key et about.labels.value additional.fields.key et additional.fields.value.string_value
Groupe d'adresses dynamiques source (src_dag)	PanSrcDAG			principal.group.group_display_name
Groupe d'adresses dynamiques de destination (dst_dag)	PanDstDAG			target.group.group_display_name
partial_hash (partial_hash)	PanPartialHash		partial_hash	about.labels.key et about.labels.value additional.fields.key et additional.fields.value.string_value
Code temporel haute résolution (high_res_timestamp)	PanTimeHighRes			metadata.collected_timestamp, metadata.event_timestamp (si "Generate Time" est absent)
Motif (reason)	PanReasonFilteringAction		reason	about.labels.key et about.labels.value additional.fields.key et additional.fields.value.string_value
justification (justification)	PanJustification		justification	about.labels.key et about.labels.value additional.fields.key et additional.fields.value.string_value
nssai_sst (nssai_sst)	PanASServiceType		nssai_sst	about.labels.key et about.labels.value additional.fields.key et additional.fields.value.string_value
Sous-catégorie de l'application (subcategory_of_app)			subcategory_of_app	about.labels.key et about.labels.value additional.fields.key et additional.fields.value.string_value
Catégorie de l'application (category_of_app)			category_of_app	about.labels.key et about.labels.value additional.fields.key et additional.fields.value.string_value
Technologie de l'application (technology_of_app)			technology_of_app	about.labels.key et about.labels.value additional.fields.key et additional.fields.value.string_value
Risque de l'application (risk_of_app)			risk_of_app	about.labels.key et about.labels.value additional.fields.key et additional.fields.value.string_value
Caractéristique de l'application (characteristic_of_app)			characteristic_of_app	about.labels.key et about.labels.value additional.fields.key et additional.fields.value.string_value
Conteneur de l'application (container_of_app)			container_of_app	about.labels.key et about.labels.value additional.fields.key et additional.fields.value.string_value
Application en tunnel (tunneled_app)			tunneled_app	about.labels.key et about.labels.value additional.fields.key et additional.fields.value.string_value
SaaS de l'application (is_saas_of_app)			is_saas_of_app	about.labels.key et about.labels.value additional.fields.key et additional.fields.value.string_value
État de l'application sanctionnée (sanctioned_state_of_app)			sanctioned_state_of_app	about.labels.key et about.labels.value additional.fields.key et additional.fields.value.string_value

Données

Le tableau suivant répertorie les champs de journal du type de journal de données et les champs UDM correspondants.

Champ CSV	Champ CEF	Champ LEEF	Clé d'étiquette Google Security Operations	Champ UDM
Heure de réception (cef-formatted-receive_time)	rt	devTime		metadata.collected_timestamp, metadata.event_timestamp (si "Generate Time" est absent)
Numéro de série (série)	deviceExternalId	SerialNumber		intermediary.asset.hardware.serial_number
Type (type)	type (En-tête)	cat		metadata.product_event_type
Menace/Type de contenu (sous-type)	subtype (en-tête)	Sous-type		metadata.product_event_type
Heure de génération				metadata.event_timestamp
Adresse source (src)	src	src		principal.ip
Adresse de destination (dst)	dst	dst		target.ip
Adresse IP source NAT (natsrc)	sourceTranslatedAddress	srcPostNAT		principal.nat_ip
Adresse IP de destination NAT (natdst)	destinationTranslatedAddress	dstPostNAT		target.nat_ip
Rule (règle)	cs1	RuleName		security_result.rule_name
Utilisateur source (srcuser)	suser	SourceUser		principal.user.userid
Utilisateur de destination (dstuser)	duser	DestinationUser		target.user.userid
Application	application	Application		network.application_protocol
Système virtuel (vsys)	cs3	VirtualSystem	vsys	about.labels.key et about.labels.value additional.fields.key et additional.fields.value.string_value
Zone source (de)	cs4	SourceZone	de	principal.labels.key et principal.labels.value additional.fields.key et additional.fields.value.string_value
Zone de destination (à)	cs5	DestinationZone	à	target.labels.key et target.labels.value additional.fields.key et additional.fields.value.string_value
Interface entrante (inbound_if)	deviceInboundInterface	IngressInterface	inbound_if	principal.labels.key et principal.labels.value additional.fields.key et additional.fields.value.string_value
Interface sortante (outbound_if)	deviceOutboundInterface	EgressInterface	outbound_if	target.labels.key et target.labels.value additional.fields.key et additional.fields.value.string_value
Action de journalisation (ensemble de journaux)	cs6	LogForwardingProfile	ensemble de journaux	about.labels.key et about.labels.value additional.fields.key et additional.fields.value.string_value
Durée de connexion			time_logged	about.labels.key et about.labels.value additional.fields.key et additional.fields.value.string_value
ID de session (sessionid)	cn1	SessionID		network.session_id
Nombre de répétitions (repeatcnt)	cnt	RepeatCount	repeatcnt	about.labels.key et about.labels.value additional.fields.key et additional.fields.value.string_value
Port source (sport)	spt	srcPort		principal.port
Port de destination (dport)	dpt	dstPort		target.port
Port source NAT (natsport)	sourceTranslatedPort	srcPostNATPort		principal.nat_port
Port de destination NAT (natdport)	destinationTranslatedPort	dstPostNATPort		target.nat_port
Options	flexString1	Options	flags	about.labels.key et about.labels.value additional.fields.key et additional.fields.value.string_value
Protocole IP (proto)	proto	proto		network.ip_protocol
Action (action)	agir	action		security_result.action_details security_result.action
URL/Nom de fichier (divers)		Autres		target.file.full_path target.url
Nom de la menace/du contenu (threatid)	cat	ThreatID		security_result.threat_id
Catégorie (category)	cs2	URLCategory	category	about.labels.key et about.labels.value additional.fields.key et additional.fields.value.string_value
Gravité (severity)	number-of-severity (En-tête)	Gravité		security_result.severity security_result.severity_details
Direction (direction)	flexString2	Direction		network.direction
Numéro de séquence (seqno)	externalId	séquence		metadata.product_log_id
Indicateurs d'action (actionflags)	PanOSActionFlags	ActionFlags	actionflags	about.labels.key et about.labels.value additional.fields.key et additional.fields.value.string_value
Pays source (srcloc)		SourceLocation		principal.location.country_or_region
Pays de destination (dstloc)		DestinationLocation		target.location.country_or_region
contenttype (contenttype)		ContentType	contenttype	about.labels.key et about.labels.value additional.fields.key et additional.fields.value.string_value
pcap_id (pcap_id)	fileId	PCAP_ID	pcap_id	about.labels.key et about.labels.value additional.fields.key et additional.fields.value.string_value
filedigest (filedigest)		FileDigest		about.file.sha1/md5/sha256
cloud (cloud)		Cloud	cloud	about.labels.key et about.labels.value additional.fields.key et additional.fields.value.string_value
url_idx (url_idx)		URLIndex	url_idx	about.labels.key et about.labels.value additional.fields.key et additional.fields.value.string_value
user_agent (user_agent)				network.http.user_agent
filetype (filetype)				about.file.mime_type
xff (xff)			xff	about.labels.key et about.labels.value additional.fields.key et additional.fields.value.string_value
referer (referer)				network.http.referral_url
sender (expéditeur)				network.email.from
sujet (sujet)		Objet		network.email.subject
destinataire (destinataire)				network.email.to
reportid (reportid)			reportid	about.labels.key et about.labels.value additional.fields.key et additional.fields.value.string_value
Hiérarchie DG niveau 1 (dg_hier_level_1)	PanOSDGl1	DeviceGroupHierarchyL1	dg_hier_level_1	about.labels.key et about.labels.value additional.fields.key et additional.fields.value.string_value
Hiérarchie DG de niveau 2 (dg_hier_level_2)	PanOSDGl2	DeviceGroupHierarchyL2	dg_hier_level_2	about.labels.key et about.labels.value additional.fields.key et additional.fields.value.string_value
Hiérarchie DG de niveau 3 (dg_hier_level_3)	PanOSDGl3	DeviceGroupHierarchyL3	dg_hier_level_3	about.labels.key et about.labels.value additional.fields.key et additional.fields.value.string_value
Hiérarchie DG de niveau 4 (dg_hier_level_4)	PanOSDGl4	DeviceGroupHierarchyL4	dg_hier_level_4	about.labels.key et about.labels.value additional.fields.key et additional.fields.value.string_value
Nom du système virtuel (vsys_name)	PanOSVsysName	vSrcName		principal.resource.name principal.resource.resource_type=VIRTUAL_MACHINE
Nom de l'appareil (device_name)	dvchost	DeviceName		intermediary.hostname
file_url (file_url)				about.url
UUID de la VM source (src_uuid)		SrcUUID		principal.asset.asset_id
UUID de la VM de destination (dst_uuid)		DstUUID		target.asset.asset_id
http_method (http_method)		RequestMethod		network.http.method
ID de tunnel/IMSI (tunnelid)	PanOSTunnelID	TunnelID	tunnelid	about.labels.key et about.labels.value additional.fields.key et additional.fields.value.string_value
Balise de surveillance/Code IMEI (monitortag)	PanOSMonitorTag	MonitorTag	monitortag	about.labels.key et about.labels.value additional.fields.key et additional.fields.value.string_value
ID de session parent (parent_session_id)	PanOSParentSessionID	ParentSessionID	parent_session_id	network.parent_session_id
Heure de début de la session parente (parent_start_time)	PanOSParentStartTime	ParentStartTime	parent_start_time	about.labels.key et about.labels.value additional.fields.key et additional.fields.value.string_value
Tunnel	PanOSTunnelType	TunnelType	tunnel	about.labels.key et about.labels.value additional.fields.key et additional.fields.value.string_value
thr_category (thr_category)	PanOSThreatCategory	ThreatCategory	thr_category	security_result.detection_fields.key/value
contentver (contentver)	PanOSContentVer	ContentVer	contentver	about.labels.key et about.labels.value additional.fields.key et additional.fields.value.string_value
sig_flags (sig_flags)			sig_flags	about.labels.key et about.labels.value additional.fields.key et additional.fields.value.string_value
ID d'association SCTP (assoc_id)	PanOSAssocID		assoc_id	about.labels.key et about.labels.value additional.fields.key et additional.fields.value.string_value
ID de protocole de charge utile (ppid)	PanOSPPID		ppid	about.labels.key et about.labels.value additional.fields.key et additional.fields.value.string_value
http_headers (http_headers)	PanOSHTTPHeader		http_headers	about.labels.key et about.labels.value additional.fields.key et additional.fields.value.string_value
Liste des catégories d'URL (url_category_list)			url_category_list	about.labels.key et about.labels.value additional.fields.key et additional.fields.value.string_value
UUID de la règle (rule_uuid)	PanOSRuleUUID		rule_uuid	about.labels.key et about.labels.value additional.fields.key et additional.fields.value.string_value
Connexion HTTP/2 (http2_connection)			http2_connection	about.labels.key et about.labels.value additional.fields.key et additional.fields.value.string_value
dynusergroup_name (dynusergroup_name)			dynusergroup_name	principal.labels.key et principal.labels.value additional.fields.key et additional.fields.value.string_value
Adresse XFF (xff_ip)				principal.ip
Catégorie de l'appareil source (src_category)			src_category	principal.labels.key et principal.labels.value additional.fields.key et additional.fields.value.string_value
Profil de l'appareil source (src_profile)			src_profile	principal.labels.key et principal.labels.value additional.fields.key et additional.fields.value.string_value
Modèle de l'appareil source (src_model)			src_model	principal.labels.key et principal.labels.value additional.fields.key et additional.fields.value.string_value
Fournisseur de l'appareil source (src_vendor)			src_vendor	principal.labels.key et principal.labels.value additional.fields.key et additional.fields.value.string_value
Famille d'OS de l'appareil source (src_osfamily)				principal.asset.platform_software.platform principal.labels.key et principal.labels.value additional.fields.key et additional.fields.value.string_value
Version du système d'exploitation de l'appareil source (src_osversion)				principal.asset.software.version
Nom d'hôte source (src_host)			src_host	principal.labels.key et principal.labels.value additional.fields.key et additional.fields.value.string_value
Adresse MAC source (src_mac)				principal.mac
Catégorie d'appareil de destination (dst_category)			dst_category	target.labels.key et target.labels.value additional.fields.key et additional.fields.value.string_value
Profil de l'appareil de destination (dst_profile)			dst_profile	target.labels.key et target.labels.value additional.fields.key et additional.fields.value.string_value
Modèle de l'appareil de destination (dst_model)			dst_model	target.labels.key et target.labels.value additional.fields.key et additional.fields.value.string_value
Fournisseur de l'appareil de destination (dst_vendor)			dst_vendor	target.labels.key et target.labels.value additional.fields.key et additional.fields.value.string_value
Famille d'OS de l'appareil de destination (dst_osfamily)				target.asset.platform_software.platform target.labels.key et target.labels.value
Version de l'OS de l'appareil de destination (dst_osversion)				target.asset.software.version
Nom d'hôte de destination (dst_host)				target.hostname
Adresse MAC de destination (dst_mac)				target.mac
ID du conteneur (container_id)			container_id	about.labels.key et about.labels.value additional.fields.key et additional.fields.value.string_value
Espace de noms du pod (pod_namespace)			pod_namespace	about.labels.key et about.labels.value additional.fields.key et additional.fields.value.string_value
Nom du pod (pod_name)			pod_name	about.labels.key et about.labels.value additional.fields.key et additional.fields.value.string_value
Source External Dynamic List (src_edl)			src_edl	principal.labels.key et principal.labels.value additional.fields.key et additional.fields.value.string_value
Destination External Dynamic List (dst_edl)			dst_edl	target.labels.key et target.labels.value additional.fields.key et additional.fields.value.string_value
ID de l'hôte (hostid)			hostid	about.labels.key et about.labels.value additional.fields.key et additional.fields.value.string_value
Numéro de série (serialnumber)				principal.asset.hardware.serial_number
domain_edl (domain_edl)			domain_edl	about.labels.key et about.labels.value additional.fields.key et additional.fields.value.string_value
Groupe d'adresses dynamiques source (src_dag)				principal.group.group_display_name
Groupe d'adresses dynamiques de destination (dst_dag)				target.group.group_display_name
partial_hash (partial_hash)			partial_hash	about.labels.key et about.labels.value additional.fields.key et additional.fields.value.string_value
Code temporel haute résolution (high_res_timestamp)				metadata.collected_timestamp, metadata.event_timestamp (si "Generate Time" est absent)
Motif (reason)			reason	about.labels.key et about.labels.value additional.fields.key et additional.fields.value.string_value
justification (justification)			justification	about.labels.key et about.labels.value additional.fields.key et additional.fields.value.string_value
nssai_sst (nssai_sst)			nssai_sst	about.labels.key et about.labels.value additional.fields.key et additional.fields.value.string_value
Sous-catégorie de l'application (subcategory_of_app)			subcategory_of_app	about.labels.key et about.labels.value additional.fields.key et additional.fields.value.string_value
Catégorie de l'application (category_of_app)			category_of_app	about.labels.key et about.labels.value additional.fields.key et additional.fields.value.string_value
Technologie de l'application (technology_of_app)			technology_of_app	about.labels.key et about.labels.value additional.fields.key et additional.fields.value.string_value
Risque de l'application (risk_of_app)			risk_of_app	about.labels.key et about.labels.value additional.fields.key et additional.fields.value.string_value
Caractéristique de l'application (characteristic_of_app)			characteristic_of_app	about.labels.key et about.labels.value additional.fields.key et additional.fields.value.string_value
Conteneur de l'application (container_of_app)			container_of_app	about.labels.key et about.labels.value additional.fields.key et additional.fields.value.string_value
Application en tunnel (tunneled_app)			tunneled_app	about.labels.key et about.labels.value additional.fields.key et additional.fields.value.string_value
SaaS de l'application (is_saas_of_app)			is_saas_of_app	about.labels.key et about.labels.value additional.fields.key et additional.fields.value.string_value
État de l'application sanctionnée (sanctioned_state_of_app)			sanctioned_state_of_app	about.labels.key et about.labels.value additional.fields.key et additional.fields.value.string_value

GlobalProtect

Le tableau suivant répertorie les champs de journal du type de journal GlobalProtect et les champs UDM correspondants.

Champ CSV	Champ CEF	Champ LEEF	Clé d'étiquette Google Security Operations	Champ UDM
Heure de réception (receive_time)	rt		received_time	metadata.event_timestamp
Numéro de série (série)	PanOSDeviceSN		intermediary_asset_hardware_serial_number	intermediary.asset.hardware.serial_number
Type (type)	type (En-tête)			metadata.product_event_type
Menace/Type de contenu (sous-type)	subtype (en-tête)	Sous-type		metadata.product_event_type
Heure de génération (time_generated)	PanOSLogTimeStamp		generated_timestamp	metadata.event_timestamp
Système virtuel (vsys)	PanOSVirtualSystem		vsys	about.labels.key et about.labels.value additional.fields.key et additional.fields.value.string_value
ID de l'événement (eventid)	PanOSEventID		event_id	about.labels.key et about.labels.value additional.fields.key et additional.fields.value.string_value
Étape (étape)	PanOSStage		étape	about.labels.key et about.labels.value additional.fields.key et additional.fields.value.string_value
Méthode d'authentification (auth_method)	PanOSAuthMethod		extension_auth_auth_details	extensions.auth.auth_details
Type de tunnel (tunnel_type)	PanOSTunnelType		tunnel	about.labels.key et about.labels.value additional.fields.key et additional.fields.value.string_value
Utilisateur source (srcuser)	PanOSSourceUserName		src_user	principal.user.email_address principal.user.userid principal.administrative_domain
Région source (srcregion)	PanOSSourceRegion		src_region	principal.location.country_or_region
Nom de la machine (machinename)	PanOSEndpointDeviceName		machine_name	principal.hostname
Adresse IP publique (public_ip)	PanOSPublicIPv4			principal.nat_ip
Adresse IPv6 publique (public_ipv6)	PanOSPublicIPv6			principal.nat_ip
Adresse IP privée (private_ip)	PanOSPrivateIPv4			principal.ip
IPv6 privé (private_ipv6)	PanOSPrivateIPv6			principal.ip
ID de l'hôte (hostid)	PanOSHostID		hostid	principal.asset.asset_id
Numéro de série (serialnumber)	PanOSDeviceSN			principal.asset.hardware.serial_number
Version du client (client_ver)	PanOSGlobalProtectClientVersion		client_ver	about.labels.key et about.labels.value additional.fields.key et additional.fields.value.string_value
OS client (client_os)	PanOSEndpointOSType			principal.asset.platform_software.platform(enum)
Version du système d'exploitation client (client_os_ver)	PanOSEndpointOSVersion			principal.asset.platform_software.platform_version
Nombre de répétitions (repeatcnt)	PanOSCountOfRepeats		repeatcnt	about.labels.key et about.labels.value additional.fields.key et additional.fields.value.string_value
Motif (reason)	PanOSQuarantineReason			security_result.summary
Erreur (erreur)	PanOSConnectionError		erreur	security_result.description
Description (opaque)	PanOSDescription			security_result.description
État (status)	PanOSEventStatus		état	about.labels.key et about.labels.value additional.fields.key et additional.fields.value.string_value
Emplacement (lieu)	PanOSGPGatewayLocation			target.location.country_or_region
Durée de connexion (login_duration)	PanOSLoginDuration			network.session_duration
Méthode de connexion (connect_method)	PanOSConnectionMethod		connect_method	about.labels.key et about.labels.value additional.fields.key et additional.fields.value.string_value
Code d'erreur (error_code)	PanOSConnectionErrorID		error_code	about.labels.key et about.labels.value additional.fields.key et additional.fields.value.string_value
Portail (portail)	PanOSPortal		portail	about.labels.key et about.labels.value additional.fields.key et additional.fields.value.string_value
Numéro de séquence (seqno)	PanOSSequenceNo			metadata.product_log_id
Indicateurs d'action (actionflags)	PanOSActionFlags		actionflags	about.labels.key et about.labels.value additional.fields.key et additional.fields.value.string_value
Code temporel haute résolution (high_res_timestamp)	anOSTimeGeneratedHighResolution			metadata.collected_timestamp, metadata.event_timestamp (si "Generate Time" est absent)
Méthode de sélection de la passerelle (selection_type)	PanOSGatewaySelectionType		selection_type	about.labels.key et about.labels.value additional.fields.key et additional.fields.value.string_value
Temps de réponse SSL (response_time)	PanOSSSLResponseTime		response_time	about.labels.key et about.labels.value additional.fields.key et additional.fields.value.string_value
Priorité de la passerelle (priorité)	PanOSGatewayPriority		priorité	about.labels.key et about.labels.value additional.fields.key et additional.fields.value.string_value
Passerelles tentées (attempted_gateways)	PanOSAttemptedGateways		attempted_gateways	about.labels.key et about.labels.value additional.fields.key et additional.fields.value.string_value
Nom de la passerelle (passerelle)	PanOSAttemptedGateways		passerelle	about.labels.key et about.labels.value additional.fields.key et additional.fields.value.string_value
Hiérarchie des groupes d'appareils (dg_hier_level_1)			dg_hier_level_1	about.labels.key et about.labels.value additional.fields.key et additional.fields.value.string_value
Hiérarchie des groupes d'appareils (dg_hier_level_2)			dg_hier_level_2	about.labels.key et about.labels.value additional.fields.key et additional.fields.value.string_value
Hiérarchie des groupes d'appareils (dg_hier_level_3)			dg_hier_level_3	about.labels.key et about.labels.value additional.fields.key et additional.fields.value.string_value
Hiérarchie des groupes d'appareils (dg_hier_level_4)			dg_hier_level_4	about.labels.key et about.labels.value additional.fields.key et additional.fields.value.string_value
Nom du système virtuel (vsys_name)				principal.resource.name principal.resource.resource_type=VIRTUAL_MACHINE
Nom de l'appareil (device_name)				target.hostname
ID de système virtuel (vsys_id)				principal.resource.resource_type=VIRTUAL_MACHINE and principal.resource.product_object_id

Corrélation

Le tableau suivant répertorie les champs de journal du type de journal de corrélation et les champs UDM correspondants.

Champ CSV	Champ LEEF	Clé d'étiquette Google Security Operations	Champ UDM
Heure de génération (time_generated ou cef-formatted-time_generated)	startTime	generated_timestamp	metadata.event_timestamp
Adresse source (src)	src		principal.ip
Utilisateur source (srcuser)	SourceUser / usrName		principal.user.userid
Système virtuel (vsys)	VirtualSystem	vsys	about.labels.key et about.labels.value additional.fields.key et additional.fields.value.string_value
Catégorie (category)			security_result.category_details
Gravité (severity)	Gravité		security_result.severity et security_result.severity_details
Hiérarchie des groupes d'appareils niveau 1	DeviceGroupHierarchyL1		about.labels.key et about.labels.value additional.fields.key et additional.fields.value.string_value
Hiérarchie des groupes d'appareils niveau 2	DeviceGroupHierarchyL2		about.labels.key et about.labels.value additional.fields.key et additional.fields.value.string_value
Hiérarchie des groupes d'appareils niveau 3	DeviceGroupHierarchyL3		about.labels.key et about.labels.value additional.fields.key et additional.fields.value.string_value
Hiérarchie des groupes d'appareils de niveau 4	DeviceGroupHierarchyL4		about.labels.key et about.labels.value additional.fields.key et additional.fields.value.string_value
Nom du système virtuel (vsys_name)	vSrcName		principal.resource.name principal.resource.resource_type=VIRTUAL_MACHINE
Nom de l'appareil (device_name)	DeviceName		intermediary.hostname
ID de système virtuel (vsys_id)	VirtualSystemID		principal.resource.resource_type=VIRTUAL_MACHINE and principal.resource.product_object_id
Nom de l'objet (objectname)	Nom de l'objet		target.resource.name
ID de l'objet (object_id)	ObjectID		target.resource.product_object_id

Référence de mappage de champs: types de journaux par type d'événement UDM

Le tableau suivant répertorie les types de journaux du pare-feu Palo Alto Networks et les types d'événements UDM correspondants.

Type de journal	Type d'événement UDM
Trafic	NETWORK_CONNECTION
Menace	NETWORK_CONNECTION
Filtrage des URL	NETWORK_CONNECTION
WildFire	NETWORK_CONNECTION Les journaux d'envois WildFire sont un sous-type de type de journal des menaces et utilisent le même format syslog.
Filtrage des données	NETWORK_CONNECTION
Tunnel	NETWORK_CONNECTION
Config	SETTING_MODIFICATION/SETTING_CREATION/SETTING_DELETION/SETTING_UNCATEGORIZED La valeur du champ "Command (cmd)" détermine le mappage du type d'événement UDM. Si la valeur du champ cmd est "add" ou "clone", SETTING_CREATION est défini. Si la valeur du champ cmd est "delete", SETTING_DELETION est défini. Si la valeur du champ cmd est "edit", "move", "rename", "set" ou "commit", SETTING_MODIFICATION est défini. Si la valeur du champ cmd ne contient aucune valeur, SETTING_UNCATEGORIZED est défini.
Système	Si la valeur du sous-type est "dhcp", NETWORK_DHCP est défini. Si la valeur du sous-type est "auth", USER_LOGIN est défini. Si la valeur de la description est "connecté", USER_LOGIN est défini. Si la valeur de la description est "déconnecté", USER_LOGOUT est défini. Pour les autres valeurs du sous-type, GENERIC_EVENT est défini.
Correspondance HIP	NETWORK_CONNECTION
Balise IP	GENERIC_EVENT
User-ID	USER_LOGIN/USER_LOGOUT/USER_UNCATEGORIZED Si la valeur du sous-type est "login", USER_LOGIN est défini. Si la valeur du sous-type est "logout", USER_LOGOUT est défini. Si le sous-type ne contient aucune valeur, USER_UNCATEGORIZED est défini.
Déchiffrement	NETWORK_CONNECTION
Authentification	GENERIC_EVENT

Étape suivante

Ingestion de données dans Google Security Operations

Format de journal	Version de PAN-OS
CSV	10.1.3
CEF	10.0.0
LEEF	9.1.0