此页面由 Cloud Translation API 翻译。

收集 Palo Alto Networks 防火墙日志

支持的平台：

Google SecOps SIEM

概览

本文档介绍了如何配置 syslog 和 Google 安全运营转发器以收集 Palo Alto Networks 防火墙日志。本文档还介绍了 Palo Alto Networks 防火墙日志字段如何映射到 Google Security Operations Unified Data Model (UDM) 字段。

如需大致了解 Google Security Operations 数据注入，请参阅将数据注入到 Google Security Operations。

注入标签标识将原始日志数据标准化为结构化 UDM 格式的解析器。本文档中的信息适用于具有 PAN_FIREWALL 注入标签的解析器。

准备工作

如需了解用于收集 Palo Alto Networks 防火墙日志的部署组件，请查看部署架构。每个客户部署都可能与此表示法不同，并且可能更复杂。

下图展示了如何在 Palo Alto Networks 防火墙上配置 syslog，并在 Linux 服务器上安装 Google 安全运营转发器，以将日志数据转发到 Google 安全运营。该解析器支持以以下数据格式编写的日志：逗号分隔值 (CSV)、通用事件格式 (CEF) 和日志事件扩展格式 (LEEF)。
验证 Google Security Operations 解析器支持的日志格式和 PAN-OS 版本。下表列出了 Google 安全运营解析器支持的日志格式和相应的 PAN-OS 版本：

日志格式 PAN-OS 版本

CSV 10.1.3

CEF 10.0.0

LEEF 9.1.0
验证 Google Security Operations 解析器支持的 Palo Alto Networks 防火墙日志类型。Google 安全运维解析器支持以下 Palo Alto Networks 防火墙日志类型：
- 流量
- 威胁
- WildFire 提交内容
- 隧道检查
- 配置
- 系统
- HIP 匹配
- IP 代码
- User-ID
- 解密
- 身份验证
- 网址过滤
- 数据过滤
- GlobalProtect
- 相关性
如需详细了解 Palo Alto Networks 防火墙日志类型，请参阅 PAN-OS 日志类型。
确保部署架构中的所有系统都使用世界协调时间 (UTC) 时区进行配置。
在使用 Palo Alto Networks 防火墙解析器之前，请查看旧版解析器与当前 Palo Alto Networks 防火墙解析器之间的字段映射变更。在迁移过程中，请确保依赖于原始字段的规则、搜索、信息中心或其他进程使用更新后的字段。

例如，在旧版解析器中，category 日志字段会映射到 security_result.description UDM 字段。在当前的 Palo Alto Networks 防火墙解析器中，category 日志字段会映射到 security_result.category_details UDM 字段。如果您迁移到当前的 Palo Alto Networks 防火墙解析器并在规则中使用 category 字段，则需要修改规则以使用当前解析器的 security_result.category_details UDM 字段。

配置 syslog 和 Google Security Operations 转发器

如需配置 syslog 和 Google 安全运营转发器，请完成以下步骤：

如需监控 CSV 日志，请配置 syslog 服务器配置文件。如需了解详情，请参阅配置 Syslog 服务器配置文件。

配置 syslog 服务器配置文件时，请将“默认”指定为自定义日志格式。
如需监控 CEF 日志，请将 Palo Alto Networks 防火墙配置为转发 CEF 日志。如需了解详情，请下载 PAN-OS CEF 集成指南 PDF 文件，然后参阅“配置 Palo Alto Networks NGFW 以输出 CEF 事件”部分。
如需监控 LEEF 日志，请配置 syslog 服务器配置文件。如需了解详情，请参阅采用 LEEF 格式的自定义日志转发。
配置 Google Security Operations 转发器，以将日志发送到 Google Security Operations。如需了解详情，请参阅在 Linux 上安装和配置转发器。以下是 Google 安全运营转发器配置示例：
```
  - syslog:
      common:
        enabled: true
        data_type: PAN_FIREWALL
        batch_n_seconds: 10
        batch_n_bytes: 1048576
      tcp_address: 0.0.0.0:10518
      connection_timeout_sec: 60
```

字段映射参考信息：PAN 防火墙日志字段到 UDM 字段

本部分介绍解析器如何将 Palo Alto Networks 防火墙日志字段映射到每种日志类型的 Google 安全运营 UDM 事件字段。

Google Security Operations 标签键是指映射到 Labels.key UDM 字段的键的名称。例如，对于“虚拟系统”字段，字段名称采用 CEF 格式为“cs3”，采用 LEEF 格式为“VirtualSystem”。UDM 字段“about.labels.key”包含值“vsys”，UDM 字段“about.labels.value”包含该字段的值。

某些 CEF 或 LEEF 字段名称没有与 CSV 字段名称对应的名称。在这种情况下，如果您在 syslog 配置文件中以自定义日志格式添加自己的变量名称，解析器不会将其映射到 UDM 字段。

如需查看每种日志类型的映射参考，请参阅以下部分：

系统
配置
威胁/野火
流量
用户 ID
HIP 匹配
IP 代码
解密
隧道
Authentication
网址
数据
GlobalProtect
相关

系统

下表列出了系统日志类型的日志字段及其对应的 UDM 字段。

CSV 字段	CEF 字段	LEEF 字段	Google Security Operations 标签键	UDM 字段
接收时间（receive_time 或 cef-formatted-receive_time）	rt	devTime		metadata.collected_timestamp metadata.event_timestamp（如果“生成时间”不存在）
序列号 (serial)	deviceExternalId	SerialNumber		intermediary.asset.hardware.serial_number
类型 (type)	type（标头）	cat		metadata.product_event_type 设置为“%{type} - %{subtype}”。
威胁/内容类型（子类型）	子类型（标头）	子类型		metadata.product_event_type 设置为“%{type} - %{subtype}”。
生成时间（time_generated 或 cef-formatted-time_generated）				metadata.event_timestamp
虚拟系统 (vsys)	cs3	VirtualSystem	vsys	about.labels.key 和 about.labels.value additional.fields.key 和 additional.fields.value.string_value
事件 ID (eventid)	cat		eventid	about.labels.key 和 about.labels.value additional.fields.key 和 additional.fields.value.string_value
对象 (object)	fname	文件名	object	about.labels.key 和 about.labels.value additional.fields.key 和 additional.fields.value.string_value
模块 (module)	flexString2	模块	模块	about.labels.key 和 about.labels.value additional.fields.key 和 additional.fields.value.string_value
严重程度 (severity)	$number-of-severity(header)	严重程度		security_result.severity 和 security_result.severity_details
说明（不透明）	msg	msg		metadata.description
	principal_user_userid（此字段从 msg 字段中提取）			principal.user.userid
	principal_ip3（此字段从 msg 字段中提取）			principal.ip
	原因（此字段从 msg 字段中提取）			security_result.description
	server_address（此字段从 msg 字段中提取。）			target.ip
	server_profile（此字段从 msg 字段中提取。）			additional.fields.key 和 additional.fields.value.string_value
序列号 (seqno)	externalId	序列		metadata.product_log_id
操作标志 (actionflags)	PanOSActionFlags	ActionFlags	actionflags	about.labels.key 和 about.labels.value additional.fields.key 和 additional.fields.value.string_value
设备组层次结构（dg_hier_level_1 到 dg_hier_level_4）	PanOSDGl1	DeviceGroupHierarchyL1	dg_hier_level_1	about.labels.key 和 about.labels.value additional.fields.key 和 additional.fields.value.string_value
设备组层次结构 (dg_hier_level_2)	PanOSDGl2	DeviceGroupHierarchyL2	dg_hier_level_2	about.labels.key 和 about.labels.value additional.fields.key 和 additional.fields.value.string_value
设备组层次结构 (dg_hier_level_3)	PanOSDGl3	DeviceGroupHierarchyL3	dg_hier_level_3	about.labels.key 和 about.labels.value additional.fields.key 和 additional.fields.value.string_value
设备组层次结构 (dg_hier_level_4)	PanOSDGl4	DeviceGroupHierarchyL4	dg_hier_level_4	about.labels.key 和 about.labels.value additional.fields.key 和 additional.fields.value.string_value
虚拟系统名称 (vsys_name)	PanOSVsysName	vSrcName		principal.resource.name principal.resource.resource_type=VIRTUAL_MACHINE
设备名称 (device_name)	dvchost	DeviceName		intermediary.hostname
高分辨率时间戳 (high_res_timestamp)	anOSTimeGeneratedHighResolution			metadata.collected_timestamp metadata.event_timestamp（如果“生成时间”不存在）

配置

下表列出了配置日志类型的日志字段及其对应的 UDM 字段。

CSV 字段	CEF 字段	LEEF 字段	Google Security Operations 标签键	UDM 字段
接收时间（receive_time 或 cef-formatted-receive_time）	rt	devTime		metadata.collected_timestamp metadata.event_timestamp（如果“生成时间”不存在）
序列号 (serial)	deviceExternalId	SerialNumber		intermediary.asset.hardware.serial_number
类型 (type)	type（标头）	cat		metadata.product_event_type
威胁/内容类型（子类型）	子类型（标头）			metadata.product_event_type
生成时间（time_generated 或 cef-formatted-time_generated）				metadata.event_timestamp
主机 (host)	shost	src		principal.ip/hostname
虚拟系统 (vsys)	cs3	VirtualSystem	vsys	about.labels.key 和 about.labels.value additional.fields.key 和 additional.fields.value.string_value
命令 (cmd)	act	msg	cmd	metadata.description
管理员 (admin)	duser	usrName		principal.user.userid
客户端 (client)	destinationServiceName	客户端		principal.application
结果 (result)	签名 ID (Header)(reason)	结果		security_result.summary
配置路径 (path)	msg	ConfigurationPath		principal.process.command_line
更改前详情 (before_change_detail)	cs1	BeforeChangeDetail	before_change_detail	target.resource.attribute.labels.key/value
更改后详情 (after_change_detail)	cs2	AfterChangeDetail	after_change_detail	target.resource.attribute.labels.key/value
序列号 (seqno)	externalId	序列		metadata.product_log_id
操作标志 (actionflags)	PanOSActionFlags	ActionFlags	actionflags	about.labels.key 和 about.labels.value additional.fields.key 和 additional.fields.value.string_value
设备组层次结构（dg_hier_level_1 到 dg_hier_level_4）	PanOSDGl1	DeviceGroupHierarchyL1	dg_hier_level_1	about.labels.key 和 about.labels.value additional.fields.key 和 additional.fields.value.string_value
设备组层次结构 (dg_hier_level_2)	PanOSDGl2	DeviceGroupHierarchyL2	dg_hier_level_2	about.labels.key 和 about.labels.value additional.fields.key 和 additional.fields.value.string_value
设备组层次结构 (dg_hier_level_3)	PanOSDGl3	DeviceGroupHierarchyL3	dg_hier_level_3	about.labels.key 和 about.labels.value additional.fields.key 和 additional.fields.value.string_value
设备组层次结构 (dg_hier_level_4)	PanOSDGl4	DeviceGroupHierarchyL4	dg_hier_level_4	about.labels.key 和 about.labels.value additional.fields.key 和 additional.fields.value.string_value
虚拟系统名称 (vsys_name)	PanOSVsysName	vSrcName		principal.resource.name principal.resource.resource_type=VIRTUAL_MACHINE
设备名称 (device_name)	dvchost	DeviceName		intermediary.hostname
设备组 (dg_id)	PanOSFWDeviceGroup		dg_id	principal.asset.attribute.labels.key/value
审核意见 (comment)	PanOSPolicyAuditComment		评论	about.labels.key 和 about.labels.value additional.fields.key 和 additional.fields.value.string_value

威胁/WildFire

下表列出了 Threat/WildFire 日志类型的日志字段及其对应的 UDM 字段。

CSV 字段	CEF 字段	LEEF 字段	Google Security Operations 标签键	UDM 字段
接收时间（receive_time 或 cef-formatted-receive_time）	rt	devTime		metadata.collected_timestamp metadata.event_timestamp（如果“生成时间”不存在）
序列号 (serial #)	deviceExternalId	SerialNumber		intermediary.asset.hardware.serial_number
类型 (type)	type（标头）	cat		metadata.product_event_type
威胁/内容类型（子类型）	cat/subtype（标头）	子类型		metadata.product_event_type
生成时间（time_generated 或 cef-formatted-time_generated）				metadata.event_timestamp
来源地址 (src)	src	src		principal.ip
目的地地址 (dst)	dst	dst		target.ip
NAT 来源 IP (natsrc)	sourceTranslatedAddress	srcPostNAT		principal.nat_ip
NAT 目的地 IP (natdst)	destinationTranslatedAddress	dstPostNAT		target.nat_ip
规则名称 (rule)	cs1	RuleName		security_result.rule_name
源用户 (srcuser)	suser	SourceUser / usrName		principal.user.userid
目标用户 (dstuser)	duser	DestinationUser		target.user.userid
应用 (app)	应用	应用		target.application
虚拟系统 (vsys)	cs3	VirtualSystem	vsys	about.labels.key 和 about.labels.value additional.fields.key 和 additional.fields.value.string_value
来源可用区（起始）	cs4	SourceZone	发件人	principal.labels.key 和 principal.labels.value additional.fields.key 和 additional.fields.value.string_value
目标可用区（到）	cs5	DestinationZone	至	target.labels.key 和 target.labels.value additional.fields.key 和 additional.fields.value.string_value
入站接口 (inbound_if)	deviceInboundInterface	IngressInterface	inbound_if	principal.labels.key 和 principal.labels.value additional.fields.key 和 additional.fields.value.string_value
出站接口 (outbound_if)	deviceOutboundInterface	EgressInterface	outbound_if	target.labels.key 和 target.labels.value additional.fields.key 和 additional.fields.value.string_value
日志操作（日志集）	cs6	LogForwardingProfile	logset	about.labels.key 和 about.labels.value additional.fields.key 和 additional.fields.value.string_value
会话 ID (sessionid)	cn1	SessionID		network.session_id
重复计数 (repeatcnt)	cnt	RepeatCount	repeatcnt	about.labels.key 和 about.labels.value additional.fields.key 和 additional.fields.value.string_value
来源端口 (sport)	spt	srcPort		principal.port
目标端口 (dport)	dpt	dstPort		target.port
NAT 来源端口 (natsport)	sourceTranslatedPort	srcPostNATPort		principal.nat_port
NAT 目标端口 (natdport)	destinationTranslatedPort	dstPostNATPort		target.nat_port
标志 (flags)	flexString1	标志	flags	about.labels.key 和 about.labels.value additional.fields.key 和 additional.fields.value.string_value
IP 协议 (proto)	proto	proto		network.ip_protocol
操作 (action)	act	action		security_result.action_details security_result.action
网址/文件名（其他）	请求	其他		target.file.full_path（如果子类型为“file”“virus”“wildfire-virus”或“wildfire”，则“misc”字段会映射到 target.file.full_path） target.url（如果子类型为“url”，则“misc”字段会映射到 target.url 和 target.hostname） target.hostname（如果子类型为“间谍软件”或“漏洞”，则“misc”字段会映射到 target.file.full_path 和 target.url）
威胁/内容名称 (threatid)	cat	ThreatID		security_result.threat_name
类别 (category)	cs2	URLCategory		security_result.category_details
严重程度 (severity)	number-of-severity（标头）	严重程度		security_result.severity 和 security_result.severity_details
方向 (direction)	flexString2	方向		network.direction
序列号 (seqno)	externalId	序列		metadata.product_log_id
操作标志 (actionflags)	PanOSActionFlags	ActionFlags	actionflags	about.labels.key 和 about.labels.value additional.fields.key 和 additional.fields.value.string_value
来源国家/地区 (srcloc)		SourceLocation		principal.location.country_or_region
目的地国家/地区 (dstloc)		DestinationLocation		target.location.country_or_region
内容类型 (contenttype)		ContentType	contenttype	about.labels.key 和 about.labels.value additional.fields.key 和 additional.fields.value.string_value
PCAP ID (pcap_id)	fileId	PCAP_ID	pcap_id	about.labels.key 和 about.labels.value additional.fields.key 和 additional.fields.value.string_value
文件摘要 (filedigest)	fileHash	FileDigest		about.file.sha1/md5/sha256
云 (cloud)	filePath	Cloud	cloud	about.labels.key 和 about.labels.value additional.fields.key 和 additional.fields.value.string_value
网址索引 (url_idx)		URLIndex	url_idx	about.labels.key 和 about.labels.value additional.fields.key 和 additional.fields.value.string_value
用户代理 (user_agent)				network.http.user_agent
文件类型 (filetype)	fileType	FileType		about.file.mime_type
X-Forwarded-For (xff)				principal.ip
引荐来源网址 (referer)				network.http.referral_url
发件人 (sender)	suid	发件人		network.email.from
主题 (subject)	msg	主题		network.email.subject
收件人 (recipient)	duid	收件人		network.email.to
报告 ID (reportid)	oldFileId	ReportID	reportid	about.labels.key 和 about.labels.value additional.fields.key 和 additional.fields.value.string_value
设备组层次结构（dg_hier_level_1 到 dg_hier_level_4）	PanOSDGl1	DeviceGroupHierarchyL1	dg_hier_level_1	about.labels.key 和 about.labels.value additional.fields.key 和 additional.fields.value.string_value
设备组层次结构 (dg_hier_level_2)	PanOSDGl2	DeviceGroupHierarchyL2	dg_hier_level_2	about.labels.key 和 about.labels.value additional.fields.key 和 additional.fields.value.string_value
设备组层次结构 (dg_hier_level_3)	PanOSDGl3	DeviceGroupHierarchyL3	dg_hier_level_3	about.labels.key 和 about.labels.value additional.fields.key 和 additional.fields.value.string_value
设备组层次结构 (dg_hier_level_4)	PanOSDGl4	DeviceGroupHierarchyL4	dg_hier_level_4	about.labels.key 和 about.labels.value additional.fields.key 和 additional.fields.value.string_value
虚拟系统名称 (vsys_name)	PanOSVsysName	vSrcName		principal.resource.name principal.resource.resource_type=VIRTUAL_MACHINE
设备名称 (device_name)	dvchost	DeviceName		intermediary.hostname
来源虚拟机 UUID (src_uuid)	PanOSSrcUUID	SrcUUID		principal.user.product_object_id
目标虚拟机 UUID (dst_uuid)	PanOSDstUUID	DstUUID		target.user.product_object_id
HTTP 方法 (http_method)		RequestMethod		network.http.method
隧道 ID/IMSI (tunnel_id/imsi)	PanOSTunnelID	TunnelID	tunnel_id/imsi	about.labels.key 和 about.labels.value additional.fields.key 和 additional.fields.value.string_value
监控代码/IMEI (monitortag/imei)	PanOSMonitorTag	MonitorTag	monitortag/imei	about.labels.key 和 about.labels.value additional.fields.key 和 additional.fields.value.string_value
父级会话 ID (parent_session_id)	PanOSParentSessionID	ParentSessionID	parent_session_id	network.parent_session_id
父级会话开始时间 (parent_start_time)	PanOSParentStartTime	ParentStartTime	parent_start_time	about.labels.key 和 about.labels.value additional.fields.key 和 additional.fields.value.string_value
隧道类型（隧道）	PanOSTunnelType	TunnelType	隧道	about.labels.key 和 about.labels.value additional.fields.key 和 additional.fields.value.string_value
威胁类别 (thr_category)	PanOSThreatCategory	ThreatCategory	thr_category	security_result.detection_fields.key/value
内容版本 (contentver)	PanOSContentVer	ContentVer	contentver	about.labels.key 和 about.labels.value additional.fields.key 和 additional.fields.value.string_value
SCTP 关联 ID (assoc_id)	PanOSAssocID		assoc_id	about.labels.key 和 about.labels.value additional.fields.key 和 additional.fields.value.string_value
载荷协议 ID (ppid)	PanOSPPID		ppid	about.labels.key 和 about.labels.value additional.fields.key 和 additional.fields.value.string_value
HTTP 标头 (http_headers)	PanOSHTTPHeader		http_headers	about.labels.key 和 about.labels.value additional.fields.key 和 additional.fields.value.string_value
网址类别列表 (url_category_list)	PanOSURLCatList		url_category_list	about.labels.key 和 about.labels.value additional.fields.key 和 additional.fields.value.string_value
规则 UUID (rule_uuid)	PanOSRuleUUID			security_result.rule_id
HTTP/2 连接 (http2_connection)	PanOSHTTP2Con		http2_connection	about.labels.key 和 about.labels.value additional.fields.key 和 additional.fields.value.string_value
动态用户组名称 (dynusergroup_name)	PanDynamicUsrgrp		dynusergroup_name	principal.labels.key 和 principal.labels.value additional.fields.key 和 additional.fields.value.string_value
XFF 地址 (xff_ip)	PanXFFIP			principal.ip
来源设备类别 (src_category)	PanSrcDeviceCat		src_category	principal.labels.key 和 principal.labels.value additional.fields.key 和 additional.fields.value.string_value
来源设备配置文件 (src_profile)	PanSrcDeviceProf		src_profile	principal.labels.key 和 principal.labels.value additional.fields.key 和 additional.fields.value.string_value
来源设备型号 (src_model)	PanSrcDeviceModel		src_model	principal.labels.key 和 principal.labels.value additional.fields.key 和 additional.fields.value.string_value
来源设备供应商 (src_vendor)	PanSrcDeviceVendor		src_vendor	principal.labels.key 和 principal.labels.value additional.fields.key 和 additional.fields.value.string_value
来源设备操作系统系列 (src_osfamily)	PanSrcDeviceOS		src_osfamily	principal.asset.platform_software.platform principal.labels.key 和 principal.labels.value additional.fields.key 和 additional.fields.value.string_value
来源设备操作系统版本 (src_osversion)	PanSrcDeviceOSv			principal.asset.software.version
来源主机名 (src_host)	PanSrcHostname			principal.hostname
来源 MAC 地址 (src_mac)	PanSrcMac			principal.mac
目标设备类别 (dst_category)	PanDstDeviceCat		dst_category	target.labels.key 和 target.labels.value additional.fields.key 和 additional.fields.value.string_value
目标设备配置文件 (dst_profile)	PanDstDeviceProf		dst_profile	target.labels.key 和 target.labels.value additional.fields.key 和 additional.fields.value.string_value
目标设备型号 (dst_model)	PanDstDeviceModel		dst_model	target.labels.key 和 target.labels.value additional.fields.key 和 additional.fields.value.string_value
目标设备供应商 (dst_vendor)	PanDstDeviceVendor		dst_vendor	target.labels.key 和 target.labels.value additional.fields.key 和 additional.fields.value.string_value
目标设备操作系统系列 (dst_osfamily)	PanDstDeviceOS		dst_osfamily	target.labels.key 和 target.labels.value additional.fields.key 和 additional.fields.value.string_value
目标设备操作系统版本 (dst_osversion)	PanDstDeviceOSv			target.asset.software.version
目标主机名 (dst_host)	PanDstHostname			target.hostname
目的 MAC 地址 (dst_mac)	PanDstMac			target.mac
容器 ID (container_id)	PanContainerName		container_id	about.labels.key 和 about.labels.value additional.fields.key 和 additional.fields.value.string_value
POD 命名空间 (pod_namespace)	PanPODNamespace		pod_namespace	about.labels.key 和 about.labels.value additional.fields.key 和 additional.fields.value.string_value
Pod 名称 (pod_name)	PanPODName		pod_name	about.labels.key 和 about.labels.value additional.fields.key 和 additional.fields.value.string_value
来源外部动态列表 (src_edl)	PanSrcEDL		src_edl	about.labels.key 和 about.labels.value additional.fields.key 和 additional.fields.value.string_value
目的地外部动态列表 (dst_edl)	PanDstEDL		dst_edl	about.labels.key 和 about.labels.value additional.fields.key 和 additional.fields.value.string_value
主机 ID (hostid)	PanGPHostID		hostid	about.labels.key 和 about.labels.value additional.fields.key 和 additional.fields.value.string_value
用户设备序列号 (serialnumber)	PanEPSerial			principal.asset.hardware.serial_number
网域 EDL (domain_edl)	PanDomainEDL		domain_edl	about.labels.key 和 about.labels.value additional.fields.key 和 additional.fields.value.string_value
来源动态地址组 (src_dag)	PanSrcDAG			principal.group.group_display_name
目标动态地址组 (dst_dag)	PanDstDAG			target.group.group_display_name
部分哈希 (partial_hash)	PanPartialHash		partial_hash	about.labels.key 和 about.labels.value additional.fields.key 和 additional.fields.value.string_value
高分辨率时间戳 (high_res timestamp)	PanTimeHighRes		high_res timestamp	metadata.collected_timestamp metadata.event_timestamp（如果“生成时间”不存在）
原因 (reason)	PanReasonFilteringAction		原因	about.labels.key 和 about.labels.value additional.fields.key 和 additional.fields.value.string_value
正当理由 (justification)	PanJustification		正当理由	about.labels.key 和 about.labels.value additional.fields.key 和 additional.fields.value.string_value
Slice 服务类型 (nssai_sst)	PanASServiceType		nssai_sst	about.labels.key 和 about.labels.value additional.fields.key 和 additional.fields.value.string_value
应用子类别 (subcategory_of_app)			subcategory_of_app	about.labels.key 和 about.labels.value additional.fields.key 和 additional.fields.value.string_value
应用类别 (category_of_app)			category_of_app	about.labels.key 和 about.labels.value additional.fields.key 和 additional.fields.value.string_value
应用技术 (technology_of_app)			technology_of_app	about.labels.key 和 about.labels.value additional.fields.key 和 additional.fields.value.string_value
应用风险信号 (risk_of_app)			risk_of_app	about.labels.key 和 about.labels.value additional.fields.key 和 additional.fields.value.string_value
应用特征 (characteristic_of_app)			characteristic_of_app	about.labels.key 和 about.labels.value additional.fields.key 和 additional.fields.value.string_value
应用容器 (container_of_app)			container_of_app	about.labels.key 和 about.labels.value additional.fields.key 和 additional.fields.value.string_value
应用 SaaS (is_saas_of_app)			is_saas_of_app	about.labels.key 和 about.labels.value additional.fields.key 和 additional.fields.value.string_value
应用受制裁状态 (sanctioned_state_of_app)			sanctioned_state_of_app	about.labels.key 和 about.labels.value additional.fields.key 和 additional.fields.value.string_value

流量

下表列出了流量日志类型的日志字段及其对应的 UDM 字段。

CSV 字段	CEF 字段	LEEF 字段	Google Security Operations 标签键	UDM 字段
接收时间（receive_time 或 cef-formatted-receive_time）	rt	devTime		metadata.collected_timestamp metadata.event_timestamp（如果“生成时间”不存在）
序列号 (serial)	deviceExternalId	SerialNumber		intermediary.asset.hardware.serial_number
类型 (type)	type（标头）	cat/Type		metadata.product_event_type
威胁/内容类型（子类型）	子类型（标头）	子类型		metadata.product_event_type
生成时间（time_generated 或 cef-formatted-time_generated）	开始			metadata.event_timestamp
来源地址 (src)	src	src		principal.ip
目的地地址 (dst)	dst	dst		target.ip
NAT 来源 IP (natsrc)	sourceTranslatedAddress	srcPostNAT		principal.nat_ip
NAT 目的地 IP (natdst)	destinationTranslatedAddress	dstPostNAT		target.nat_ip
规则名称 (rule)	cs1	RuleName		security_result.rule_name
源用户 (srcuser)	suser	SourceUser		principal.user.userid
目标用户 (dstuser)	duser	DestinationUser		target.user.userid
应用 (app)	应用	应用		target.application
虚拟系统 (vsys)	cs3	VirtualSystem	vsys	about.labels.key 和 about.labels.value additional.fields.key 和 additional.fields.value.string_value
来源可用区（起始）	cs4	SourceZone	发件人	principal.labels.key 和 principal.labels.value additional.fields.key 和 additional.fields.value.string_value
目标可用区（到）	cs5	DestinationZone	至	target.labels.key 和 target.labels.value additional.fields.key 和 additional.fields.value.string_value
入站接口 (inbound_if)	deviceInboundInterface	IngressInterface	inbound_if	principal.labels.key 和 principal.labels.value additional.fields.key 和 additional.fields.value.string_value
出站接口 (outbound_if)	deviceOutboundInterface	EgressInterface	outbound_if	target.labels.key 和 target.labels.value additional.fields.key 和 additional.fields.value.string_value
日志操作（日志集）	cs6	LogForwardingProfile	logset	about.labels.key 和 about.labels.value additional.fields.key 和 additional.fields.value.string_value
会话 ID (sessionid)	cn1	SessionID		network.session_id
重复计数 (repeatcnt)	cnt	RepeatCount	repeatcnt	about.labels.key 和 about.labels.value additional.fields.key 和 additional.fields.value.string_value
来源端口 (sport)	spt	srcPort		principal.port
目标端口 (dport)	dpt	dstPort		target.port
NAT 来源端口 (natsport)	sourceTranslatedPort	srcPostNATPort		principal.nat_port
NAT 目标端口 (natdport)	destinationTranslatedPort	dstPostNATPort		target.nat_port
标志 (flags)	flexString1	标志	flags	about.labels.key 和 about.labels.value additional.fields.key 和 additional.fields.value.string_value
IP 协议 (proto)	proto	proto		network.ip_protocol
操作 (action)	act	action		security_result.action_details security_result.action
字节 (bytes)	flexNumber1	totalBytes	字节	about.labels.key 和 about.labels.value additional.fields.key 和 additional.fields.value.string_value
发送的字节数 (bytes_sent)	在	srcBytes		network.sent_bytes
接收的字节数 (bytes_received)	out	dstBytes		network.received_bytes
数据包 (packets)	cn2	totalPackets	数据包	about.labels.key 和 about.labels.value additional.fields.key 和 additional.fields.value.string_value
开始时间 (start)		StartTime	开始	about.labels.key 和 about.labels.value additional.fields.key 和 additional.fields.value.string_value
已用时间 (elapsed)	cn3	ElapsedTime	已用时	network.session_duration.seconds
类别 (category)	cs2	URLCategory		security_result.category / security_result.category_details
序列号 (seqno)	externalId	序列		metadata.product_log_id
操作标志 (actionflags)	PanOSActionFlags	ActionFlags	actionflags	about.labels.key 和 about.labels.value additional.fields.key 和 additional.fields.value.string_value
来源国家/地区 (srcloc)		SourceLocation		principal.location.country_or_region
目的地国家/地区 (dstloc)		DestinationLocation		target.location.country_or_region
发送的数据包数量 (pkts_sent)	PanOSPacketsSent	srcPackets	pkts_sent	about.labels.key 和 about.labels.value additional.fields.key 和 additional.fields.value.string_value
已收到的数据包数量 (pkts_received)	PanOSPacketsReceived	dstPackets	pkts_received	about.labels.key 和 about.labels.value additional.fields.key 和 additional.fields.value.string_value
会话结束原因 (session_end_reason)	原因	SessionEndReason		security_result.summary
设备组层次结构 1（dg_hier_level_1 到 dg_hier_level_4）	PanOSDGl1	DeviceGroupHierarchyL1	dg_hier_level_1	about.labels.key 和 about.labels.value additional.fields.key 和 additional.fields.value.string_value
设备组层次结构 2 (dg_hier_level_2)	PanOSDGl2	DeviceGroupHierarchyL2	dg_hier_level_2	about.labels.key 和 about.labels.value additional.fields.key 和 additional.fields.value.string_value
设备组层次结构 3 (dg_hier_level_3)	PanOSDGl3	DeviceGroupHierarchyL3	dg_hier_level_3	about.labels.key 和 about.labels.value additional.fields.key 和 additional.fields.value.string_value
设备组层次结构 (dg_hier_level_4)	PanOSDGl4	DeviceGroupHierarchyL4	dg_hier_level_4	about.labels.key 和 about.labels.value additional.fields.key 和 additional.fields.value.string_value
虚拟系统名称 (vsys_name)	PanOSVsysName	vSrcName		principal.resource.name principal.resource.resource_type=VIRTUAL_MACHINE
设备名称 (device_name)	dvchost	DeviceName		intermediary.hostname
操作来源 (action_source)	cat	ActionSource	action_source	about.labels.key 和 about.labels.value additional.fields.key 和 additional.fields.value.string_value
来源虚拟机 UUID (src_uuid)	PanOSSrcUUID	SrcUUID		principal.asset.product_object_id
目标虚拟机 UUID (dst_uuid)	PanOSDstUUID	DstUUID		target.asset.product_object_id
隧道 ID/IMSI (tunnelid/imsi)	PanOSTunnelID	TunnelID	tunnelid/imsi	about.labels.key 和 about.labels.value additional.fields.key 和 additional.fields.value.string_value
监控代码/IMEI (monitortag/imei)	PanOSMonitorTag	MonitorTag	monitortag/imei	about.labels.key 和 about.labels.value additional.fields.key 和 additional.fields.value.string_value
父级会话 ID (parent_session_id)	PanOSParentSessionID	ParentSessionID	parent_session_id	network.parent_session_id
父级开始时间 (parent_start_time)	PanOSParentStartTime	ParentStartTime	parent_start_time	about.labels.key 和 about.labels.value additional.fields.key 和 additional.fields.value.string_value
隧道类型（隧道）	PanOSTunnelType	TunnelType	隧道	about.labels.key 和 about.labels.value additional.fields.key 和 additional.fields.value.string_value
SCTP 关联 ID (assoc_id)	PanOSSCTPAssocID		assoc_id	about.labels.key 和 about.labels.value additional.fields.key 和 additional.fields.value.string_value
SCTP 数据块 (chunk)	PanOSSCTPChunks		分块	about.labels.key 和 about.labels.value additional.fields.key 和 additional.fields.value.string_value
发送的 SCTP 数据块 (chunks_sent)	PanOSSCTPChunkSent		chunks_sent	about.labels.key 和 about.labels.value additional.fields.key 和 additional.fields.value.string_value
接收的 SCTP 数据块数 (chunks_received)	PanOSSCTPChunksRcv		chunks_received	about.labels.key 和 about.labels.value additional.fields.key 和 additional.fields.value.string_value
规则 UUID (rule_uuid)	PanOSRuleUUID			security_result.rule_id
HTTP/2 连接 (http2_connection)	PanOSHTTP2Con		http2_connection	about.labels.key 和 about.labels.value additional.fields.key 和 additional.fields.value.string_value
应用翻转次数 (link_change_count)	PanLinkChange		link_change_count	about.labels.key 和 about.labels.value additional.fields.key 和 additional.fields.value.string_value
政策 ID (policy_id)	PanPolicyID		policy_id	about.labels.key 和 about.labels.value additional.fields.key 和 additional.fields.value.string_value
关联开关 (link_switches)	PanLinkDetail		link_switches	about.labels.key 和 about.labels.value additional.fields.key 和 additional.fields.value.string_value
SD-WAN 集群 (sdwan_cluster)	PanSDWANCluster		sdwan_cluster	about.labels.key 和 about.labels.value additional.fields.key 和 additional.fields.value.string_value
SD-WAN 设备类型 (sdwan_device_type)	PanSDWANDevice		sdwan_device_type	about.labels.key 和 about.labels.value additional.fields.key 和 additional.fields.value.string_value
SD-WAN 集群类型 (sdwan_cluster_type)	PanSDWANClustype		sdwan_cluster_type	about.labels.key 和 about.labels.value additional.fields.key 和 additional.fields.value.string_value
SD-WAN 站点 (sdwan_site)	PanSDWANSite		sdwan_site	about.labels.key 和 about.labels.value additional.fields.key 和 additional.fields.value.string_value
动态用户组名称 (dynusergroup_name)	PanDynamicUsrgrp		dynusergroup_name	about.labels.key 和 about.labels.value additional.fields.key 和 additional.fields.value.string_value
XFF 地址 (xff_ip)	PanXFFIP			principal.ip
来源设备类别 (src_category)	PanSrcDeviceCat		src_category	principal.labels.key 和 principal.labels.value additional.fields.key 和 additional.fields.value.string_value
来源设备配置文件 (src_profile)	PanSrcDeviceProf		src_profile	principal.labels.key 和 principal.labels.value additional.fields.key 和 additional.fields.value.string_value
来源设备型号 (src_model)	PanSrcDeviceModel		src_model	principal.labels.key 和 principal.labels.value additional.fields.key 和 additional.fields.value.string_value
来源设备供应商 (src_vendor)	PanSrcDeviceVendor		src_vendor	principal.labels.key 和 principal.labels.value additional.fields.key 和 additional.fields.value.string_value
来源设备操作系统系列 (src_osfamily)	PanSrcDeviceOS			principal.asset.platform_software.platform principal.labels.key 和 principal.labels.value additional.fields.key 和 additional.fields.value.string_value
来源设备操作系统版本 (src_osversion)	PanSrcDeviceOSv			principal.asset.software.version
来源主机名 (src_host)	PanSrcHostname			principal.hostname
来源 MAC 地址 (src_mac)	PanSrcMac			principal.mac
目标设备类别 (dst_category)	PanDstDeviceCat		dst_category	target.labels.key 和 target.labels.value additional.fields.key 和 additional.fields.value.string_value
目标设备配置文件 (dst_profile)	PanDstDeviceProf		dst_profile	target.labels.key 和 target.labels.value additional.fields.key 和 additional.fields.value.string_value
目标设备型号 (dst_model)	PanDstDeviceModel		dst_model	target.labels.key 和 target.labels.value additional.fields.key 和 additional.fields.value.string_value
目标设备供应商 (dst_vendor)	PanDstDeviceVendor		dst_vendor	target.labels.key 和 target.labels.value additional.fields.key 和 additional.fields.value.string_value
目标设备操作系统系列 (dst_osfamily)	PanDstDeviceOS		dst_osfamily	target.labels.key 和 target.labels.value additional.fields.key 和 additional.fields.value.string_value
目标设备操作系统版本 (dst_osversion)	PanDstDeviceOSv			target.asset.software.version
目标主机名 (dst_host)	PanDstHostname			target.hostname
目的 MAC 地址 (dst_mac)	PanDstMac			target.mac
容器 ID (container_id)	PanContainerName		container_id	about.labels.key 和 about.labels.value additional.fields.key 和 additional.fields.value.string_value
POD 命名空间 (pod_namespace)	PanPODNamespace		pod_namespace	about.labels.key 和 about.labels.value additional.fields.key 和 additional.fields.value.string_value
Pod 名称 (pod_name)	PanPODName		pod_name	about.labels.key 和 about.labels.value additional.fields.key 和 additional.fields.value.string_value
来源外部动态列表 (src_edl)	PanSrcEDL		src_edl	principal.labels.key 和 principal.labels.value additional.fields.key 和 additional.fields.value.string_value
目的地外部动态列表 (dst_edl)	PanDstEDL		dst_edl	target.labels.key 和 target.labels.value additional.fields.key 和 additional.fields.value.string_value
主机 ID (hostid)	PanGPHostID		hostid	about.labels.key 和 about.labels.value additional.fields.key 和 additional.fields.value.string_value
用户设备序列号 (serialnumber)	PanEPSerial			principal.asset.hardware.serial_number
来源动态地址组 (src_dag)	PanSrcDAG			principal.group.group_display_name
目标动态地址组 (dst_dag)	PanDstDAG			target.group.group_display_name
会话所有者 (session_owner)	PanHASessionOwner		session_owner	about.labels.key 和 about.labels.value additional.fields.key 和 additional.fields.value.string_value
高分辨率时间戳 (high_res_timestamp)	PanTimeHighRes			metadata.collected_timestamp metadata.event_timestamp（如果“生成时间”不存在）
Slice 服务类型 (nsdsai_sst)	PanASServiceType		nsdsai_sst	about.labels.key 和 about.labels.value additional.fields.key 和 additional.fields.value.string_value
Slice 差异化参数 (nsdsai_sd)	PanASServiceDiff		nsdsai_sd	about.labels.key 和 about.labels.value additional.fields.key 和 additional.fields.value.string_value
应用子类别 (subcategory_of_app)			subcategory_of_app	about.labels.key 和 about.labels.value additional.fields.key 和 additional.fields.value.string_value
应用类别 (category_of_app)			category_of_app	about.labels.key 和 about.labels.value additional.fields.key 和 additional.fields.value.string_value
应用技术 (technology_of_app)			technology_of_app	about.labels.key 和 about.labels.value additional.fields.key 和 additional.fields.value.string_value
应用风险信号 (risk_of_app)				security_result.severity
应用特征 (characteristic_of_app)			characteristic_of_app	about.labels.key 和 about.labels.value additional.fields.key 和 additional.fields.value.string_value
应用容器 (container_of_app)			container_of_app	about.labels.key 和 about.labels.value additional.fields.key 和 additional.fields.value.string_value
应用 SaaS (is_saas_of_app)			is_saas_of_app	about.labels.key 和 about.labels.value additional.fields.key 和 additional.fields.value.string_value
应用受制裁状态 (sanctioned_state_of_app)			sanctioned_state_of_app	about.labels.key 和 about.labels.value additional.fields.key 和 additional.fields.value.string_value
应用子类别 (subcategory_of_app)			subcategory_of_app1	about.labels.key 和 about.labels.value additional.fields.key 和 additional.fields.value.string_value

User-ID

下表列出了“用户 ID”日志类型的日志字段及其对应的 UDM 字段。

CSV 字段	CEF 字段	LEEF 字段	Google Security Operations 标签键	UDM 字段
接收时间（receive_time 或 cef-formatted-receive_time）	rt	devTime		metadata.collected_timestamp metadata.event_timestamp（如果“生成时间”不存在）
序列号 (serial)	deviceExternalId	SerialNumber		intermediary.asset.hardware.serial_number
类型 (type)	type（标头）	cat		metadata.product_event_type
威胁/内容类型（子类型）	子类型（标头）	子类型		metadata.product_event_type
生成时间（time_generated 或 cef-formatted-time_generated）				metadata.event_timestamp
虚拟系统 (vsys)	cs3	VirtualSystem	vsys	about.labels.key 和 about.labels.value additional.fields.key 和 additional.fields.value.string_value
来源 IP (ip)	src	src		principal.ip
用户 (user)	duser	usrName		target.user.userid target.administrative_domain target.user.email_addresses
数据源名称 (datasourcename)	cs4	DataSourceName	datasourcename	principal.labels.key 和 principal.labels.value additional.fields.key 和 additional.fields.value.string_value
事件 ID (eventid)		EventID	eventid	about.labels.key 和 about.labels.value additional.fields.key 和 additional.fields.value.string_value
重复计数 (repeatcnt)	cnt	RepeatCount	repeatcnt	about.labels.key 和 about.labels.value additional.fields.key 和 additional.fields.value.string_value
超时阈值 (timeout)	cn3	TimeoutThreshold	超时	about.labels.key 和 about.labels.value additional.fields.key 和 additional.fields.value.string_value
来源端口 (beginport)	spt	srcPort		principal.port
目标端口 (endport)	dpt	dstPort		target.port
数据源 (datasource)	cs5	DataSource	datasource	principal.labels.key 和 principal.labels.value additional.fields.key 和 additional.fields.value.string_value
数据源类型 (datasourcetype)	cs6	DataSourceType	datasourcetype	principal.labels.key 和 principal.labels.value additional.fields.key 和 additional.fields.value.string_value
序列号 (seqno)	externalId	序列		metadata.product_log_id
操作标志 (actionflags)	PanOSActionFlags	ActionFlags	actionflags	about.labels.key 和 about.labels.value additional.fields.key 和 additional.fields.value.string_value
设备组层次结构 (dg_hier_level_1)	PanOSDGl1	DeviceGroupHierarchyL1	dg_hier_level_1	about.labels.key 和 about.labels.value additional.fields.key 和 additional.fields.value.string_value
设备组层次结构 (dg_hier_level_2)	PanOSDGl2	DeviceGroupHierarchyL2	dg_hier_level_2	about.labels.key 和 about.labels.value additional.fields.key 和 additional.fields.value.string_value
设备组层次结构 (dg_hier_level_3)	PanOSDGl3	DeviceGroupHierarchyL3	dg_hier_level_3	about.labels.key 和 about.labels.value additional.fields.key 和 additional.fields.value.string_value
设备组层次结构 (dg_hier_level_4)	PanOSDGl4	DeviceGroupHierarchyL4	dg_hier_level_4	about.labels.key 和 about.labels.value additional.fields.key 和 additional.fields.value.string_value
虚拟系统名称 (vsys_name)	PanOSVsysName	vSrcName		principal.resource.name principal.resource.resource_type=VIRTUAL_MACHINE
设备名称 (device_name)	dvchost	DeviceName		intermediary.hostname
虚拟系统 ID (vsys_id)	cn2	VirtualSystemID		principal.resource.resource_type=VIRTUAL_MACHINE and principal.resource.product_object_id
因素类型 (factortype)	cs1	FactorType	factortype	about.labels.key 和 about.labels.value additional.fields.key 和 additional.fields.value.string_value
因子完成时间 (factorcompletiontime)	结束	FactorCompletionTime	factorcompletiontime	about.labels.key 和 about.labels.value additional.fields.key 和 additional.fields.value.string_value
因子编号 (factorno)	cn1	FactorNumber	factorno	about.labels.key 和 about.labels.value additional.fields.key 和 additional.fields.value.string_value
用户群组标志 (ugflags)	PanOSUGFlags		ugflags	about.labels.key 和 about.labels.value additional.fields.key 和 additional.fields.value.string_value
按来源划分的用户数 (userbysource)	PanOSUserBySource			principal.user.userid principal.administrative_domain principal.user.email_addresses
高分辨率时间戳 (high_res timestamp)	PanOSTimeGeneratedHighResolution			metadata.collected_timestamp metadata.event_timestamp（如果“生成时间”不存在）

HIP 匹配

下表列出了 HIP 匹配日志类型的日志字段及其对应的 UDM 字段。

CSV 字段	CEF 字段	LEEF 字段	Google Security Operations 标签键	UDM 字段
接收时间（receive_time 或 cef-formatted-receive_time）	rt	devTime		metadata.collected_timestamp metadata.event_timestamp（如果“生成时间”不存在）
序列号 (serial)	deviceExternalId	SerialNumber		intermediary.asset.hardware.serial_number
类型 (type)	type（标头）	cat		metadata.product_event_type
威胁/内容类型（子类型）	子类型（标头）	子类型
生成时间（time_generated 或 cef-formatted-time_generated）	开始	startTime		metadata.event_timestamp
源用户 (srcuser)	suser	usrName		principal.user.userid
虚拟系统 (vsys)	cs3	VirtualSystem	vsys	about.labels.key 和 about.labels.value additional.fields.key 和 additional.fields.value.string_value
机器名称 (machinename)	shost	identHostName		principal.hostname
操作系统 (OS)	cs2	操作系统		principal.asset.platform_software.platform
来源地址 (src)	src	identsrc		principal.ip
HIP（matchname）	cat	HIP	matchname	about.labels.key 和 about.labels.value additional.fields.key 和 additional.fields.value.string_value
重复计数 (repeatcnt)	cnt	RepeatCount	repeatcnt	about.labels.key 和 about.labels.value additional.fields.key 和 additional.fields.value.string_value
HIP 类型 (matchtype)	设备事件类 ID（标头）	HIPType	matchtype	about.labels.key 和 about.labels.value additional.fields.key 和 additional.fields.value.string_value
序列号 (seqno)	externalId	序列		metadata.product_log_id
操作标志 (actionflags)	PanOSActionFlags	ActionFlags	actionflags	about.labels.key 和 about.labels.value additional.fields.key 和 additional.fields.value.string_value
设备组层次结构 (dg_hier_level_1)	PanOSDGl1	DeviceGroupHierarchyL1	dg_hier_level_1	about.labels.key 和 about.labels.value additional.fields.key 和 additional.fields.value.string_value
设备组层次结构 (dg_hier_level_2)	PanOSDGl2	DeviceGroupHierarchyL2	dg_hier_level_2	about.labels.key 和 about.labels.value additional.fields.key 和 additional.fields.value.string_value
设备组层次结构 (dg_hier_level_3)	PanOSDGl3	DeviceGroupHierarchyL3	dg_hier_level_3	about.labels.key 和 about.labels.value additional.fields.key 和 additional.fields.value.string_value
设备组层次结构 (dg_hier_level_4)	PanOSDGl4	DeviceGroupHierarchyL4	dg_hier_level_4	about.labels.key 和 about.labels.value additional.fields.key 和 additional.fields.value.string_value
虚拟系统名称 (vsys_name)	PanOSVsysName	vSrcName		principal.resource.name principal.resource.resource_type=VIRTUAL_MACHINE
设备名称 (device_name)	dvchost	DeviceName		intermediary.hostname
虚拟系统 ID (vsys_id)	cn2	VirtualSystemID		principal.resource.resource_type=VIRTUAL_MACHINE and principal.resource.product_object_id
IPv6 系统地址 (srcipv6)	c6a2	srcipv6		principal.asset.ip
主机 ID (hostid)	PanOSHostID			principal.asset.product_object_id
用户设备序列号 (serialnumber)	PanOSEndpointSerialNumber			principal.asset.hardware.serial_number
设备 MAC 地址 (mac)	PanOSEndpointMac			principal.asset.mac
高分辨率时间戳 (high_res_timestamp)	PanOSTimeGeneratedHighResolution			metadata.collected_timestamp metadata.event_timestamp（如果“生成时间”不存在）

IP 代码

下表列出了 IP 代码日志类型的日志字段及其对应的 UDM 字段。

CSV 字段	CEF 字段	LEEF 字段	Google Security Operations 标签键	UDM 字段
接收时间（receive_time 或 cef-formatted-receive_time）	rt	devTime		metadata.collected_timestamp metadata.event_timestamp（如果“生成时间”不存在）
序列号 (serial)	deviceExternalId	SerialNumber		intermediary.asset.hardware.serial_number
类型 (type)	type（标头）	cat		metadata.product_event_type
威胁/内容类型（子类型）	子类型（标头）	子类型		metadata.product_event_type
生成时间（time_generated 或 cef-formatted-time_generated）		GenerateTime		metadata.event_timestamp
虚拟系统 (vsys)	cs3	VirtualSystem	vsys	about.labels.key 和 about.labels.value additional.fields.key 和 additional.fields.value.string_value
来源 IP (ip)	src	src		principal.ip
代码名称 (tag_name)	PanOSTagName	TagName	tag_name	principal.labels.key 和 principal.labels.value additional.fields.key 和 additional.fields.value.string_value
事件 ID (event_id)	PanOSEventID	EventID	event_id	about.labels.key 和 about.labels.value additional.fields.key 和 additional.fields.value.string_value
重复计数 (repeatcnt)	cnt	RepeatCount	repeatcnt	about.labels.key 和 about.labels.value additional.fields.key 和 additional.fields.value.string_value
超时 (timeout)	PanOSTimeout	TimeoutThreshold	超时	about.labels.key 和 about.labels.value additional.fields.key 和 additional.fields.value.string_value
数据源名称 (datasourcename)	PanOSDataSourceName	DataSourceName	datasourcename	principal.labels.key 和 principal.labels.value additional.fields.key 和 additional.fields.value.string_value
数据源类型 (datasource_type)	PanOSDataSourceType	DataSource	datasource_type	principal.labels.key 和 principal.labels.value additional.fields.key 和 additional.fields.value.string_value
数据源子类型 (datasource_subtype)	PanOSDataSourceSubType	DataSourceType	datasource_subtype	principal.labels.key 和 principal.labels.value additional.fields.key 和 additional.fields.value.string_value
序列号 (seqno)	externalId	序列		metadata.product_log_id
操作标志 (actionflags)	PanOSActionFlags	ActionFlags	actionflags	about.labels.key 和 about.labels.value additional.fields.key 和 additional.fields.value.string_value
设备组层次结构 (dg_hier_level_1)	PanOSDGl1	DeviceGroupHierarchyL1	dg_hier_level_1	about.labels.key 和 about.labels.value additional.fields.key 和 additional.fields.value.string_value
设备组层次结构 (dg_hier_level_2)	PanOSDGl2	DeviceGroupHierarchyL2	dg_hier_level_2	about.labels.key 和 about.labels.value additional.fields.key 和 additional.fields.value.string_value
设备组层次结构 (dg_hier_level_3)	PanOSDGl3	DeviceGroupHierarchyL3	dg_hier_level_3	about.labels.key 和 about.labels.value additional.fields.key 和 additional.fields.value.string_value
设备组层次结构 (dg_hier_level_4)	PanOSDGl4	DeviceGroupHierarchyL4	dg_hier_level_4	about.labels.key 和 about.labels.value additional.fields.key 和 additional.fields.value.string_value
虚拟系统名称 (vsys_name)	PanOsVsysName	vSrcName		principal.resource.name principal.resource.resource_type=VIRTUAL_MACHINE
设备名称 (device_name)	dvchost	DeviceName		intermediary.hostname
虚拟系统 ID (vsys_id)	cn2	VirtualSystemID		principal.resource.resource_type=VIRTUAL_MACHINE and principal.resource.product_object_id
高分辨率时间戳 (high_res timestamp)	PanOSTimeGeneratedHighResolution			metadata.collected_timestamp metadata.event_timestamp（如果“生成时间”不存在）

解密

下表列出了解密日志类型的日志字段及其对应的 UDM 字段。

CSV 字段	CEF 字段	LEEF 字段	Google Security Operations 标签键	UDM 字段
接收时间（receive_time 或 cef-formatted-receive_time）	rt			metadata.collected_timestamp metadata.event_timestamp（如果“生成时间”不存在）
序列号 (serial)	PanOSDeviceSN			intermediary.asset.hardware.serial_number
类型 (type)	type（标头）			metadata.product_event_type
威胁/内容类型（子类型）	子类型（标头）			metadata.product_event_type
配置版本 (config_ver)	PanOSConfigVersion		config_ver	about.labels.key 和 about.labels.value additional.fields.key 和 additional.fields.value.string_value
生成时间 (time_generated)	PanOSLogTimeStamp			metadata.event_timestamp
来源地址 (src)	src			principal.ip
目的地地址 (dst)	dst			target.ip
NAT 来源 IP (natsrc)	sourceTranslatedAddress			principa.nat_ip
NAT 目的地 IP (natdst)	destinationTranslatedAddress			target.nat_ip
规则 (rule)	cs1			security_result.rule_name
源用户 (srcuser)	suser			principal.user.userid
目标用户 (dstuser)	duser			target.user.userid
应用 (app)	应用			target.application
虚拟系统 (vsys)	cs3		vsys	about.labels.key 和 about.labels.value additional.fields.key 和 additional.fields.value.string_value
来源可用区（起始）	cs4		来自	principal.labels.key 和 principal.labels.value additional.fields.key 和 additional.fields.value.string_value
目标可用区（到）	cs5		至	target.labels.key 和 target.labels.value additional.fields.key 和 additional.fields.value.string_value
入站接口 (inbound_if)	deviceInboundInterface		inbound_if	principal.labels.key 和 principal.labels.value additional.fields.key 和 additional.fields.value.string_value
出站接口 (outbound_if)	deviceOutboundInterface		outbound_if	target.labels.key 和 target.labels.value additional.fields.key 和 additional.fields.value.string_value
日志操作（日志集）	cs6		logset	about.labels.key 和 about.labels.value additional.fields.key 和 additional.fields.value.string_value
记录的时间 (time_received)	PanOSTimeReceivedManagementPlane			-
会话 ID (sessionid)	cn1			network.session_id
重复计数 (repeatcnt)	PanOSCountOfRepeats/RepeatCount		repeatcnt	about.labels.key 和 about.labels.value additional.fields.key 和 additional.fields.value.string_value
来源端口 (sport)	spt			principal.port
目标端口 (dport)	dpt			target.port
NAT 来源端口 (natsport)	sourceTranslatedPort			principal.nat_port
NAT 目标端口 (natdport)	destinationTranslatedPort			target.nat_port
标志 (flags)	flexString1		flags	about.labels.key 和 about.labels.value additional.fields.key 和 additional.fields.value.string_value
IP 协议 (proto)	proto			network.ip_protocol
操作 (action)	act			security_result.action_details security_result.action
隧道 (tunnel)	PanOSTunnel		隧道	about.labels.key 和 about.labels.value additional.fields.key 和 additional.fields.value.string_value
来源虚拟机 UUID (src_uuid)	PanOSSourceUUID			principal.asset.asset_id
目标虚拟机 UUID (dst_uuid)	PanOSDestinationUUID			target.asset.asset_id
规则的 UUID (rule_uuid)	PanOSRuleUUID			security_result.rule_id
客户端到防火墙的阶段 (hs_stage_c2f)	PanOSClientToFirewall		hs_stage_c2f	about.labels.key 和 about.labels.value additional.fields.key 和 additional.fields.value.string_value
防火墙到服务器的阶段 (hs_stage_f2s)	PanOSFirewallToServer		hs_stage_f2s	about.labels.key 和 about.labels.value additional.fields.key 和 additional.fields.value.string_value
TLS 版本 (tls_version)	PanOSTLSVersion			network.tls.version
密钥交换算法 (tls_keyxchg)	PanOSTLSKeyExchange		tls_keyxchg	about.labels.key 和 about.labels.value additional.fields.key 和 additional.fields.value.string_value
加密算法 (tls_enc)	PanOSTLSEncryptionAlgorithm		tls_enc	about.labels.key 和 about.labels.value additional.fields.key 和 additional.fields.value.string_value
哈希算法 (tls_auth)	PanOSTLSAuth		tls_auth	about.labels.key 和 about.labels.value additional.fields.key 和 additional.fields.value.string_value
政策名称 (policy_name)	PanOSPolicyName		policy_name	about.labels.key 和 about.labels.value additional.fields.key 和 additional.fields.value.string_value
椭圆曲线 (ec_curve)	PanOSEllipticCurve			network.tls.curve
错误索引 (err_index)	PanOSErrorIndex		err_index	about.labels.key 和 about.labels.value additional.fields.key 和 additional.fields.value.string_value
根状态 (root_status)	PanOSRootStatus		root_status	about.labels.key 和 about.labels.value additional.fields.key 和 additional.fields.value.string_value
链状态 (chain_status)	PanOSChainStatus		chain_status	about.labels.key 和 about.labels.value additional.fields.key 和 additional.fields.value.string_value
代理类型 (proxy_type)	PanOSProxyType		proxy_type	about.labels.key 和 about.labels.value additional.fields.key 和 additional.fields.value.string_value
证书序列号 (cert_serial)	PanOSCertificateSerial			network.tls.server.certificate.serial
证书指纹 (fingerprint)	PanOSFingerprint			network.tls.server.certificate.md5/sha1/sha256
证书开始日期 (notbefore)	PanOSTimeNotBefore			network.tls.server.certificate.not_before
证书结束日期（不晚于）	PanOSTimeNotAfter			network.tls.server.certificate.not_after
证书版本 (cert_ver)	PanOSCertificateVersion			network.tls.server.certificate.version
证书大小 (cert_size)	PanOSCertificateSize		cert_size	about.labels.key 和 about.labels.value additional.fields.key 和 additional.fields.value.string_value
通用名称长度 (cn_len)	PanOSCommonNameLength		cn_len	about.labels.key 和 about.labels.value additional.fields.key 和 additional.fields.value.string_value
颁发机构通用名称长度 (issuer_len)	PanOSIssuerNameLength		issuer_len	about.labels.key 和 about.labels.value additional.fields.key 和 additional.fields.value.string_value
根通用名称长度 (rootcn_len)	PanOSRootCNLength		rootcn_len	about.labels.key 和 about.labels.value additional.fields.key 和 additional.fields.value.string_value
SNI 长度 (sni_len)	PanOSSNILength		sni_len	about.labels.key 和 about.labels.value additional.fields.key 和 additional.fields.value.string_value
证书标志 (cert_flags)	PanOSCertificateFlags		cert_flags	about.labels.key 和 about.labels.value additional.fields.key 和 additional.fields.value.string_value
主题通用名称 (cn)	PanOSCommonName		cn	about.labels.key 和 about.labels.value additional.fields.key 和 additional.fields.value.string_value
发卡机构通用名称 (issuer_cn)	PanOSIssuerCommonName			network.tls.server.certificate.issuer
根通用名称 (root_cn)	PanOSRootCommonName		root_cn	about.labels.key 和 about.labels.value additional.fields.key 和 additional.fields.value.string_value
服务器名称指示 (sni)				network.tls.client.server_name
错误 (error)	PanOSErrorMessage		错误	about.labels.key 和 about.labels.value additional.fields.key 和 additional.fields.value.string_value
容器 ID (container_id)	PanOSContainerID		container_id	about.labels.key 和 about.labels.value additional.fields.key 和 additional.fields.value.string_value
POD 命名空间 (pod_namespace)	PanOSContainerNameSpace		pod_namespace	about.labels.key 和 about.labels.value additional.fields.key 和 additional.fields.value.string_value
Pod 名称 (pod_name)	PanOSContainerName		pod_name	about.labels.key 和 about.labels.value additional.fields.key 和 additional.fields.value.string_value
来源外部动态列表 (src_edl)	PanOSSourceEDL		src_edl	principal.labels.key 和 principal.labels.value additional.fields.key 和 additional.fields.value.string_value
目的地外部动态列表 (dst_edl)	PanOSDestinationEDL		dst_edl	target.labels.key 和 target.labels.value additional.fields.key 和 additional.fields.value.string_value
来源动态地址组 (src_dag)	PanOSSourceDynamicAddressGroup			principal.group.group_display_name
目标动态地址组 (dst_dag)	PanOSDestinationDynamicAddressGroup			target.group.group_display_name
高分辨率时间戳 (high_res_timestamp)	PanOSTimeGeneratedHighResolution			metadata.collected_timestamp metadata.event_timestamp（如果“生成时间”不存在）
来源设备类别 (src_category)	PanOSSourceDeviceCategory		src_category	principal.labels.key 和 principal.labels.value additional.fields.key 和 additional.fields.value.string_value
来源设备配置文件 (src_profile)	PanOSSourceDeviceProfile		src_profile	principal.labels.key 和 principal.labels.value additional.fields.key 和 additional.fields.value.string_value
来源设备型号 (src_model)	PanOSSourceDeviceModel		src_model	principal.labels.key 和 principal.labels.value additional.fields.key 和 additional.fields.value.string_value
来源设备供应商 (src_vendor)	PanOSSourceDeviceVendor		src_vendor	principal.labels.key 和 principal.labels.value additional.fields.key 和 additional.fields.value.string_value
来源设备操作系统系列 (src_osfamily)	PanOSSourceDeviceOSFamily			principal.asset.platform_software.platform principal.labels.key 和 principal.labels.value
来源设备操作系统版本 (src_osversion)	PanOSSourceDeviceOSVersion			principal.asset.software.version
来源主机名 (src_host)	PanOSSourceDeviceHost			principal.hostname
来源 MAC 地址 (src_mac)	PanOSSourceDeviceMac			principal.mac
目标设备类别 (dst_category)	PanOSDestinationDeviceCategory		dst_category	target.labels.key 和 target.labels.value additional.fields.key 和 additional.fields.value.string_value
目标设备配置文件 (dst_profile)	PanOSDestinationDeviceProfile		dst_profile	target.labels.key 和 target.labels.value additional.fields.key 和 additional.fields.value.string_value
目标设备型号 (dst_model)	PanOSDestinationDeviceModel		dst_model	target.labels.key 和 target.labels.value additional.fields.key 和 additional.fields.value.string_value
目标设备供应商 (dst_vendor)	PanOSDestinationDeviceVendor		dst_vendor	target.labels.key 和 target.labels.value additional.fields.key 和 additional.fields.value.string_value
目标设备操作系统系列 (dst_osfamily)	PanOSDestinationDeviceOSFamily		dst_osfamily	target.labels.key 和 target.labels.value additional.fields.key 和 additional.fields.value.string_value
目标设备操作系统版本 (dst_osversion)	PanOSDestinationDeviceOSVersion			target.asset.software.version
目标主机名 (dst_host)	PanOSDestinationDeviceHost			target.hostname
目的 MAC 地址 (dst_mac)	PanOSDestinationDeviceMac			target.mac
序列号 (seqno)	PanOSLogTypeSeqNo			metadata.product_log_id
操作标志 (actionflags)	PanOSActionFlags		actionflags	about.labels.key 和 about.labels.value additional.fields.key 和 additional.fields.value.string_value
设备组层次结构 (dg_hier_level_1)		DeviceGroupHierarchyL1	dg_hier_level_1	about.labels.key 和 about.labels.value additional.fields.key 和 additional.fields.value.string_value
设备组层次结构 (dg_hier_level_2)		DeviceGroupHierarchyL2	dg_hier_level_2	about.labels.key 和 about.labels.value additional.fields.key 和 additional.fields.value.string_value
设备组层次结构 (dg_hier_level_3)		DeviceGroupHierarchyL3	dg_hier_level_3	about.labels.key 和 about.labels.value additional.fields.key 和 additional.fields.value.string_value
设备组层次结构 (dg_hier_level_4)		DeviceGroupHierarchyL4	dg_hier_level_4	about.labels.key 和 about.labels.value additional.fields.key 和 additional.fields.value.string_value
虚拟系统名称 (vsys_name)				principal.resource.name principal.resource.resource_type=VIRTUAL_MACHINE
设备名称 (device_name)				intermediary.hostname
虚拟系统 ID (vsys_id)				principal.resource.resource_type=VIRTUAL_MACHINE and principal.resource.product_object_id
应用子类别 (subcategory_of_app)			subcategory_of_app	about.labels.key 和 about.labels.value additional.fields.key 和 additional.fields.value.string_value
应用类别 (category_of_app)			category_of_app	about.labels.key 和 about.labels.value additional.fields.key 和 additional.fields.value.string_value
应用技术 (technology_of_app)			technology_of_app	about.labels.key 和 about.labels.value additional.fields.key 和 additional.fields.value.string_value
应用风险信号 (risk_of_app)				security_result.severity
应用特征 (characteristic_of_app)			characteristic_of_app	about.labels.key 和 about.labels.value additional.fields.key 和 additional.fields.value.string_value
应用容器 (container_of_app)			container_of_app	about.labels.key 和 about.labels.value additional.fields.key 和 additional.fields.value.string_value
应用 SaaS (is_saas_of_app)			is_saas_of_app	about.labels.key 和 about.labels.value additional.fields.key 和 additional.fields.value.string_value
应用受制裁状态 (sanctioned_state_of_app)			sanctioned_state_of_app	about.labels.key 和 about.labels.value additional.fields.key 和 additional.fields.value.string_value

隧道

下表列出了隧道日志类型的日志字段及其对应的 UDM 字段。

CSV 字段	CEF 字段	LEEF 字段	Google Security Operations 标签键	UDM 字段
接收时间（receive_time 或 cef-formatted-receive_time）	rt	devTime		metadata.collected_timestamp metadata.event_timestamp（如果“生成时间”不存在）
序列号 (serial)	deviceExternalId	SerialNumber		intermediary.asset.hardware.serial_number
类型 (type)	type（标头）	cat		metadata.product_event_type
威胁/内容类型（子类型）	子类型（标头）	子类型		metadata.product_event_type
生成时间（time_generated 或 cef-formatted-time_generated）				metadata.event_timestamp
来源地址 (src)	src	src		principal.ip
目的地地址 (dst)	dst	dst		target.ip
NAT 来源 IP (natsrc)	sourceTranslatedAddress	srcPostNAT		principal.nat_ip
NAT 目的地 IP (natdst)	destinationTranslatedAddress	dstPostNAT		target.nat_ip
规则名称 (rule)	cs1	RuleName		security_result.rule_name
源用户 (srcuser)	suser	SourceUser / usrName		principal.user.userid
目标用户 (dstuser)	duser	DestinationUser		target.user.userid
应用 (app)	应用	应用		network.application_protocol
虚拟系统 (vsys)	cs3	VirtualSystem	vsys	about.labels.key 和 about.labels.value additional.fields.key 和 additional.fields.value.string_value
来源可用区（起始）	cs4	SourceZone	发件人	principal.labels.key 和 principal.labels.value additional.fields.key 和 additional.fields.value.string_value
目标可用区（到）	cs5	DestinationZone	至	target.labels.key 和 target.labels.value additional.fields.key 和 additional.fields.value.string_value
入站接口 (inbound_if)	deviceInboundInterface	IngressInterface	inbound_if	principal.labels.key 和 principal.labels.value additional.fields.key 和 additional.fields.value.string_value
出站接口 (outbound_if)	deviceOutboundInterface	EgressInterface	outbound_if	target.labels.key 和 target.labels.value additional.fields.key 和 additional.fields.value.string_value
日志操作（日志集）	cs6	LogForwardingProfile	logset	about.labels.key 和 about.labels.value additional.fields.key 和 additional.fields.value.string_value
会话 ID (sessionid)	cn1	SessionID		network.session_id
重复计数 (repeatcnt)	cnt	RepeatCount	repeatcnt	about.labels.key 和 about.labels.value additional.fields.key 和 additional.fields.value.string_value
来源端口 (sport)	spt	srcPort		principal.port
目标端口 (dport)	dpt	dstPort		target.port
NAT 来源端口 (natsport)	sourceTranslatedPort	srcPostNATPort		principal.nat_port
NAT 目标端口 (natdport)	destinationTranslatedPort	dstPostNATPort		target.nat_port
标志 (flags)	flexString1	标志	flags	about.labels.key 和 about.labels.value additional.fields.key 和 additional.fields.value.string_value
IP 协议 (proto)	proto	proto		network.ip_protocol
操作 (action)	act	action		security_result.action_details security_result.action
严重程度 (severity)				security_result.severity 和 security_result.severity_details
序列号 (seqno)	externalId	序列		metadata.product_log_id
操作标志 (actionflags)	PanOSActionFlags	ActionFlags	actionflags	about.labels.key 和 about.labels.value additional.fields.key 和 additional.fields.value.string_value
来源位置 (srcloc)				principal.location.country_or_region
目的地位置 (dstloc)				target.location.country_or_region
设备组层次结构 (dg_hier_level_1)	PanOSDGl1	DeviceGroupHierarchyL1	dg_hier_level_1	about.labels.key 和 about.labels.value additional.fields.key 和 additional.fields.value.string_value
设备组层次结构 (dg_hier_level_2)	PanOSDGl2	DeviceGroupHierarchyL2	dg_hier_level_2	about.labels.key 和 about.labels.value additional.fields.key 和 additional.fields.value.string_value
设备组层次结构 (dg_hier_level_3)	PanOSDGl3	DeviceGroupHierarchyL3	dg_hier_level_3	about.labels.key 和 about.labels.value additional.fields.key 和 additional.fields.value.string_value
设备组层次结构 (dg_hier_level_4)	PanOSDGl4	DeviceGroupHierarchyL4	dg_hier_level_4	about.labels.key 和 about.labels.value additional.fields.key 和 additional.fields.value.string_value
虚拟系统名称 (vsys_name)	PanOSVsysName	vSrcName		principal.resource.name principal.resource.resource_type=VIRTUAL_MACHINE
设备名称 (device_name)	dvchost	DeviceName		intermediary.hostname
隧道 ID (tunnelid)	PanOSTunnelID	TunnelID	tunnelid	about.labels.key 和 about.labels.value additional.fields.key 和 additional.fields.value.string_value
监控代码 (monitortag)	PanOSMonitorTag	MonitorTag	monitortag	about.labels.key 和 about.labels.value additional.fields.key 和 additional.fields.value.string_value
父级会话 ID (parent_session_id)	PanOSParentSessionID	ParentSessionID	parent_session_id	network.parent_session_id
父级开始时间 (parent_start_time)	PanOSParentStartTime	ParentStartTime	parent_start_time	about.labels.key 和 about.labels.value additional.fields.key 和 additional.fields.value.string_value
隧道类型（隧道）	cs2	TunnelType	隧道	about.labels.key 和 about.labels.value additional.fields.key 和 additional.fields.value.string_value
字节 (bytes)	flexNumber1	totalBytes	字节	about.labels.key 和 about.labels.value additional.fields.key 和 additional.fields.value.string_value
发送的字节数 (bytes_sent)	在	srcBytes		network.sent_bytes
接收的字节数 (bytes_received)	out	dstBytes		network.received_bytes
数据包 (packets)	cn2	totalPackets	数据包	about.labels.key 和 about.labels.value additional.fields.key 和 additional.fields.value.string_value
发送的数据包数量 (pkts_sent)	PanOSPacketsSent	srcPackets	pkts_sent	about.labels.key 和 about.labels.value additional.fields.key 和 additional.fields.value.string_value
已收到的数据包数量 (pkts_received)	PanOSPacketsReceived	dstPackets	pkts_received	about.labels.key 和 about.labels.value additional.fields.key 和 additional.fields.value.string_value
最大封装 (max_encap)	flexNumber2	MaximumEncapsulation	max_encap	about.labels.key 和 about.labels.value additional.fields.key 和 additional.fields.value.string_value
未知协议 (unknown_proto)	cfp1	UnknownProtocol	unknown_proto	about.labels.key 和 about.labels.value additional.fields.key 和 additional.fields.value.string_value
严格检查 (strict_check)	cfp2	StrictChecking	strict_check	about.labels.key 和 about.labels.value additional.fields.key 和 additional.fields.value.string_value
隧道 fragment (tunnel_fragment)	PanOSTunnelFragment	TunnelFragment	tunnel_fragment	about.labels.key 和 about.labels.value additional.fields.key 和 additional.fields.value.string_value
创建的会话数 (sessions_created)	cfp3	SessionsCreated	sessions_created	about.labels.key 和 about.labels.value additional.fields.key 和 additional.fields.value.string_value
已关闭的会话数 (sessions_closed)	cfp4	SessionsClosed	sessions_closed	about.labels.key 和 about.labels.value additional.fields.key 和 additional.fields.value.string_value
会话结束原因 (session_end_reason)	原因	SessionEndReason		security_result.summary
操作来源 (action_source)	cat	ActionSource	action_source	about.labels.key 和 about.labels.value additional.fields.key 和 additional.fields.value.string_value
开始时间 (start)		startTime	开始	about.labels.key 和 about.labels.value additional.fields.key 和 additional.fields.value.string_value
已用时间 (elapsed)	cn3	ElapsedTime	已用时	network.session_duration.seconds
隧道检查规则 (tunnel_insp_rule)	PanOSTunneInspectionRule			security_result.rule_name = "Tunnel Inspection Rule: %{PanOSTunnelInspectionRule}"
远程用户 IP (remote_user_ip)	PanOSRmtUserIP			target.ip
远程用户 ID (remote_user_id)	PanOSRmtUserID		remote_user_id	target.labels.key 和 target.labels.value additional.fields.key 和 additional.fields.value.string_value
安全规则 UUID (rule_uuid)	PanOSRuleUUID			security_result.rule_id
PCAP ID (pcap_id)	PanOSPcapID		pcap_id	about.labels.key 和 about.labels.value additional.fields.key 和 additional.fields.value.string_value
动态用户组名称 (dynusergroup_name)	PanDynamicUsrgrp			principal.group.group_display_name
来源外部动态列表 (src_edl)	PanOSSourceEDL		src_edl	principal.labels.key 和 principal.labels.value additional.fields.key 和 additional.fields.value.string_value
目的地外部动态列表 (dst_edl)	PanOSDestinationEDL		dst_edl	target.labels.key 和 target.labels.value additional.fields.key 和 additional.fields.value.string_value
高分辨率时间戳 (high_res timestamp)	PanOSTimeGeneratedHighResolution			metadata.collected_timestamp metadata.event_timestamp（如果“生成时间”不存在）
Slice 差异化参数 (nssai_sd)			nssai_sd	about.labels.key 和 about.labels.value additional.fields.key 和 additional.fields.value.string_value
Slice 服务类型 (nssai_sd)			nssai_sd1	about.labels.key 和 about.labels.value additional.fields.key 和 additional.fields.value.string_value
PDU 会话 ID (pdu_session_id)			pdu_session_id	about.labels.key 和 about.labels.value additional.fields.key 和 additional.fields.value.string_value
应用子类别 (subcategory_of_app)			subcategory_of_app	about.labels.key 和 about.labels.value additional.fields.key 和 additional.fields.value.string_value
应用类别 (category_of_app)			category_of_app	about.labels.key 和 about.labels.value additional.fields.key 和 additional.fields.value.string_value
应用技术 (technology_of_app)			technology_of_app	about.labels.key 和 about.labels.value additional.fields.key 和 additional.fields.value.string_value
应用风险信号 (risk_of_app)			risk_of_app	about.labels.key 和 about.labels.value additional.fields.key 和 additional.fields.value.string_value
应用特征 (characteristic_of_app)			characteristic_of_app	about.labels.key 和 about.labels.value additional.fields.key 和 additional.fields.value.string_value
应用容器 (container_of_app)			container_of_app	about.labels.key 和 about.labels.value additional.fields.key 和 additional.fields.value.string_value
应用 SaaS (is_saas_of_app)			is_saas_of_app	about.labels.key 和 about.labels.value additional.fields.key 和 additional.fields.value.string_value
应用受制裁状态 (sanctioned_state_of_app)			sanctioned_state_of_app	about.labels.key 和 about.labels.value additional.fields.key 和 additional.fields.value.string_value

身份验证

下表列出了身份验证日志类型的日志字段及其对应的 UDM 字段。

CSV 字段	CEF 字段	LEEF 字段	Google Security Operations 标签键	UDM 字段
接收时间（receive_time 或 cef-formatted-receive_time）	rt	devTime		metadata.collected_timestamp metadata.event_timestamp（如果“生成时间”不存在）
序列号 (serial)	deviceExternalId	SerialNumber		intermediary.asset.hardware.serial_number
类型 (type)	type（标头）	cat		metadata.product_event_type
威胁/内容类型（子类型）	子类型（标头）	子类型		metadata.product_event_type
生成时间（time_generated 或 cef-formatted-time_generated）				metadata.event_timestamp
虚拟系统 (vsys)	cs3	VirtualSystem	vsys	about.labels.key 和 about.labels.value additional.fields.key 和 additional.fields.value.string_value
来源 IP (ip)	src	src		principal.ip
用户 (user)	duser	usrName		target.user.userid
归一化用户 (normalize_user)	cs2	NormalizeUser		target.user.user_display_name
对象 (object)	fname	ObjectName	object	about.labels.key 和 about.labels.value additional.fields.key 和 additional.fields.value.string_value
身份验证政策 (authpolicy)	cs4	AuthPolicy	authpolicy	about.labels.key 和 about.labels.value additional.fields.key 和 additional.fields.value.string_value
重复计数 (repeatcnt)	cnt	RepeatCount	repeatcnt	about.labels.key 和 about.labels.value additional.fields.key 和 additional.fields.value.string_value
身份验证 ID (authid)	cn2	AuthenticationID	authid	about.labels.key 和 about.labels.value additional.fields.key 和 additional.fields.value.string_value
供应商 (vendor)	flexString2	供应商	供应商	about.labels.key 和 about.labels.value additional.fields.key 和 additional.fields.value.string_value
日志操作（日志集）	cs6	LogForwardingProfile	logset	about.labels.key 和 about.labels.value additional.fields.key 和 additional.fields.value.string_value
服务器配置文件 (serverprofile)	cs1	ServerProfile	serverprofile	about.labels.key 和 about.labels.value additional.fields.key 和 additional.fields.value.string_value
说明（降序）	PanOSDesc	AdditionalAuthInfo		security_result.description
客户端类型 (clienttype)	cs5	ClientType	clienttype	about.labels.key 和 about.labels.value additional.fields.key 和 additional.fields.value.string_value
事件类型 (event)	msg	msg		extensions.auth.auth_details
因子编号 (factorno)	cn1	FactorNumber	factorno	about.labels.key 和 about.labels.value additional.fields.key 和 additional.fields.value.string_value
序列号 (seqno)	externalId	序列		metadata.product_log_id
操作标志 (actionflags)	PanOSActionFlags	ActionFlags	actionflags	about.labels.key 和 about.labels.value additional.fields.key 和 additional.fields.value.string_value
设备组层次结构 (dg_hier_level_1)	PanOSDGl1	DeviceGroupHierarchyL1	dg_hier_level_1	about.labels.key 和 about.labels.value additional.fields.key 和 additional.fields.value.string_value
设备组层次结构 (dg_hier_level_2)	PanOSDGl2	DeviceGroupHierarchyL2	dg_hier_level_2	about.labels.key 和 about.labels.value additional.fields.key 和 additional.fields.value.string_value
设备组层次结构 (dg_hier_level_3)	PanOSDGl3	DeviceGroupHierarchyL3	dg_hier_level_3	about.labels.key 和 about.labels.value additional.fields.key 和 additional.fields.value.string_value
设备组层次结构 (dg_hier_level_4)	PanOSDGl4	DeviceGroupHierarchyL4	dg_hier_level_4	about.labels.key 和 about.labels.value additional.fields.key 和 additional.fields.value.string_value
虚拟系统名称 (vsys_name)	PanOSVsysName	vSrcName		principal.resource.name principal.resource.resource_type=VIRTUAL_MACHINE
设备名称 (device_name)	dvchost	DeviceName		intermediary.hostname
虚拟系统 ID (vsys_id)				principal.resource.resource_type=VIRTUAL_MACHINE and principal.resource.product_object_id
身份验证协议 (authproto)			authproto	about.labels.key 和 about.labels.value additional.fields.key 和 additional.fields.value.string_value
规则的 UUID (rule_uuid)	PanOSRuleUUID/RuleUUID			security_result.rule_id
高分辨率时间戳 (high_res_timestamp)	PanOSTimeGeneratedHighResolution			metadata.collected_timestamp metadata.event_timestamp（如果“生成时间”不存在）
来源设备类别 (src_category)	PanOSSourceDeviceCategory		src_category	principal.labels.key 和 principal.labels.value additional.fields.key 和 additional.fields.value.string_value
来源设备配置文件 (src_profile)	PanOSSourceDeviceProfile		src_profile	principal.labels.key 和 principal.labels.value additional.fields.key 和 additional.fields.value.string_value
来源设备型号 (src_model)	PanOSSourceDeviceModel		src_model	principal.labels.key 和 principal.labels.value additional.fields.key 和 additional.fields.value.string_value
来源设备供应商 (src_vendor)	PanOSSourceDeviceVendor		src_vendor	principal.labels.key 和 principal.labels.value additional.fields.key 和 additional.fields.value.string_value
来源设备操作系统系列 (src_osfamily)	PanOSSourceDeviceOSFamily			principal.asset.platform_software.platform principal.labels.key 和 principal.labels.value additional.fields.key 和 additional.fields.value.string_value
来源设备操作系统版本 (src_osversion)	PanOSSourceDeviceOSVersion			principal.asset.software.version
来源主机名 (src_host)	PanOSSourceHostname			principal.hostname
来源 MAC 地址 (src_mac)	PanOSSourceMac			principal.asset.mac
区域 (region)	PanOSTrafficOriginRegion			principal.location.country_or_region
用户代理 (user_agent)	PanOSHTTPUserAgent			network.http.user_agent
会话 ID(sessionid)	PanOSTrafficSessionID			network.session_id

网址

下表列出了网址日志类型的日志字段及其对应的 UDM 字段。

CSV 字段	CEF 字段	LEEF 字段	Google Security Operations 标签键	UDM 字段
接收时间 (cef-formatted-receive_time)	rt	devTime		metadata.collected_timestamp metadata.event_timestamp（如果“生成时间”不存在）
序列号 (serial)	deviceExternalId	SerialNumber		intermediary.asset.hardware.serial_number
类型 (type)	type（标头）	cat		metadata.product_event_type
威胁/内容类型（子类型）	子类型（标头）	子类型		metadata.product_event_type
生成时间				metadata.event_timestamp
来源地址 (src)	src	src		principal.ip
目的地地址 (dst)	dst	dst		target.ip
NAT 来源 IP (natsrc)	sourceTranslatedAddress	srcPostNAT		principal.nat_ip
NAT 目的地 IP (natdst)	destinationTranslatedAddress	dstPostNAT		target.nat_ip
规则 (rule)	cs1	RuleName		security_result.rule_name
源用户 (srcuser)	suser	SourceUser		principal.user.userid
目标用户 (dstuser)	duser	DestinationUser		target.user.userid
应用 (app)	应用	应用		network.application_protocol
虚拟系统 (vsys)	cs3	VirtualSystem	vsys	about.labels.key 和 about.labels.value additional.fields.key 和 additional.fields.value.string_value
来源可用区（起始）	cs4	SourceZone	发件人	principal.labels.key 和 principal.labels.value additional.fields.key 和 additional.fields.value.string_value
目标可用区（到）	cs5	DestinationZone	至	target.labels.key 和 target.labels.value additional.fields.key 和 additional.fields.value.string_value
入站接口 (inbound_if)	deviceInboundInterface	IngressInterface	inbound_if	principal.labels.key 和 principal.labels.value additional.fields.key 和 additional.fields.value.string_value
出站接口 (outbound_if)	deviceOutboundInterface	EgressInterface	outbound_if	target.labels.key 和 target.labels.value additional.fields.key 和 additional.fields.value.string_value
日志操作（日志集）	cs6	LogForwardingProfile	logset	about.labels.key 和 about.labels.value additional.fields.key 和 additional.fields.value.string_value
记录的时间			time_logged	about.labels.key 和 about.labels.value additional.fields.key 和 additional.fields.value.string_value
会话 ID (sessionid)	cn1	SessionID		network.session_id
重复计数 (repeatcnt)	cnt	RepeatCount	repeatcnt	about.labels.key 和 about.labels.value additional.fields.key 和 additional.fields.value.string_value
来源端口 (sport)	spt	srcPort		principal.port
目标端口 (dport)	dpt	dstPort		target.port
NAT 来源端口 (natsport)	sourceTranslatedPort	srcPostNATPort		principal.nat_port
NAT 目标端口 (natdport)	destinationTranslatedPort	dstPostNATPort		target.nat_port
标志 (flags)	flexString1	标志	flags	about.labels.key 和 about.labels.value additional.fields.key 和 additional.fields.value.string_value
IP 协议 (proto)	proto	proto		network.ip_protocol
操作 (action)	act	action		security_result.action_details security_result.action
网址/文件名（其他）		其他		target.file.full_path target.url
威胁/内容名称 (threatid)	cat	ThreatID		security_result.threat_id
类别 (category)	cs2	URLCategory	category	about.labels.key 和 about.labels.value additional.fields.key 和 additional.fields.value.string_value
严重程度 (severity)	number-of-severity（标题）	严重程度		security_result.severity security_result.severity_details
方向 (direction)	flexString2	方向		network.direction
序列号 (seqno)	externalId	序列		metadata.product_log_id
操作标志 (actionflags)	PanOSActionFlags	ActionFlags	actionflags	about.labels.key 和 about.labels.value additional.fields.key 和 additional.fields.value.string_value
来源国家/地区 (srcloc)		SourceLocation		principal.location.country_or_region
目的地国家/地区 (dstloc)		DestinationLocation		target.location.country_or_region
contenttype (contenttype)	requestContext	ContentType	contenttype	about.labels.key 和 about.labels.value additional.fields.key 和 additional.fields.value.string_value
pcap_id (pcap_id)	fileId	PCAP_ID	pcap_id	about.labels.key 和 about.labels.value additional.fields.key 和 additional.fields.value.string_value
filedigest (filedigest)		FileDigest		about.file.sha1/md5/sha256
云 (cloud)		Cloud	cloud	about.labels.key 和 about.labels.value additional.fields.key 和 additional.fields.value.string_value
url_idx (url_idx)		URLIndex	url_idx	about.labels.key 和 about.labels.value additional.fields.key 和 additional.fields.value.string_value
user_agent (user_agent)	requestClientApplication	UserAgent		network.http.user_agent
filetype (filetype)				about.file.mime_type
xff (xff)	PanOSXForwarderfor	identSrc	xff	about.labels.key 和 about.labels.value additional.fields.key 和 additional.fields.value.string_value
引荐来源网址 (referer)	PanOSReferer	引荐来源网址		network.http.referral_url
发件人 (sender)				network.email.from
主题 (subject)		主题		network.email.subject
收件人 (recipient)				network.email.to
reportid (reportid)			reportid	about.labels.key 和 about.labels.value additional.fields.key 和 additional.fields.value.string_value
DG 层次结构第 1 级 (dg_hier_level_1)	PanOSDGl1	DeviceGroupHierarchyL1	dg_hier_level_1	about.labels.key 和 about.labels.value additional.fields.key 和 additional.fields.value.string_value
DG 层次结构级别 2 (dg_hier_level_2)	PanOSDGl2	DeviceGroupHierarchyL2	dg_hier_level_2	about.labels.key 和 about.labels.value additional.fields.key 和 additional.fields.value.string_value
DG 层次结构第 3 级 (dg_hier_level_3)	PanOSDGl3	DeviceGroupHierarchyL3	dg_hier_level_3	about.labels.key 和 about.labels.value additional.fields.key 和 additional.fields.value.string_value
DG 层次结构第 4 级 (dg_hier_level_4)	PanOSDGl4	DeviceGroupHierarchyL4	dg_hier_level_4	about.labels.key 和 about.labels.value additional.fields.key 和 additional.fields.value.string_value
虚拟系统名称 (vsys_name)	PanOSVsysName	vSrcName		principal.resource.name principal.resource.resource_type=VIRTUAL_MACHINE
设备名称 (device_name)	dvchost	DeviceName		intermediary.hostname
file_url (file_url)				about.url
来源虚拟机 UUID (src_uuid)		SrcUUID		principal.asset.asset_id
目标虚拟机 UUID (dst_uuid)		DstUUID		target.asset.asset_id
http_method (http_method)	requestMethod	RequestMethod		network.http.method
隧道 ID/IMSI (tunnelid)	PanOSTunnelID	TunnelID	tunnelid	about.labels.key 和 about.labels.value additional.fields.key 和 additional.fields.value.string_value
监控代码/IMEI (monitortag)	PanOSMonitorTag	MonitorTag	monitortag	about.labels.key 和 about.labels.value additional.fields.key 和 additional.fields.value.string_value
父级会话 ID (parent_session_id)	PanOSParentSessionID	ParentSessionID	parent_session_id	network.parent_session_id
父级会话开始时间 (parent_start_time)	PanOSParentStartTime	ParentStartTime	parent_start_time	about.labels.key 和 about.labels.value additional.fields.key 和 additional.fields.value.string_value
隧道 (tunnel)	PanOSTunnelType	TunnelType	隧道	about.labels.key 和 about.labels.value additional.fields.key 和 additional.fields.value.string_value
thr_category (thr_category)	PanOSThreatCategory	ThreatCategory	thr_category	security_result.detection_fields.key/value
contentver (contentver)	PanOSContentVer	ContentVer	contentver	about.labels.key 和 about.labels.value additional.fields.key 和 additional.fields.value.string_value
sig_flags (sig_flags)			sig_flags	about.labels.key 和 about.labels.value additional.fields.key 和 additional.fields.value.string_value
SCTP 关联 ID (assoc_id)	PanOSAssocID		assoc_id	about.labels.key 和 about.labels.value additional.fields.key 和 additional.fields.value.string_value
载荷协议 ID (ppid)	PanOSPPID		ppid	about.labels.key 和 about.labels.value additional.fields.key 和 additional.fields.value.string_value
http_headers (http_headers)	PanOSHTTPHeader		http_headers	about.labels.key 和 about.labels.value additional.fields.key 和 additional.fields.value.string_value
网址类别列表 (url_category_list)	PanOSURLCatList		url_category_list	about.labels.key 和 about.labels.value additional.fields.key 和 additional.fields.value.string_value
规则的 UUID (rule_uuid)	PanOSRuleUUID		rule_uuid	about.labels.key 和 about.labels.value additional.fields.key 和 additional.fields.value.string_value
HTTP/2 连接 (http2_connection)	PanOSHTTP2Con		http2_connection	about.labels.key 和 about.labels.value additional.fields.key 和 additional.fields.value.string_value
dynusergroup_name (dynusergroup_name)	PanDynamicUsrgrp		dynusergroup_name	about.labels.key 和 about.labels.value additional.fields.key 和 additional.fields.value.string_value
XFF 地址 (xff_ip)	PanXFFIP			principal.ip
来源设备类别 (src_category)	PanSrcDeviceCat		src_category	principal.labels.key 和 principal.labels.value additional.fields.key 和 additional.fields.value.string_value
来源设备配置文件 (src_profile)	PanSrcDeviceProf		src_profile	principal.labels.key 和 principal.labels.value additional.fields.key 和 additional.fields.value.string_value
来源设备型号 (src_model)	PanSrcDeviceModel		src_model	principal.labels.key 和 principal.labels.value additional.fields.key 和 additional.fields.value.string_value
来源设备供应商 (src_vendor)	PanSrcDeviceVendor		src_vendor	principal.labels.key 和 principal.labels.value additional.fields.key 和 additional.fields.value.string_value
来源设备操作系统系列 (src_osfamily)	PanSrcDeviceOS			principal.asset.platform_software.platform principal.labels.key 和 principal.labels.value additional.fields.key 和 additional.fields.value.string_value
来源设备操作系统版本 (src_osversion)	PanSrcDeviceOSv			principal.asset.software.version
来源主机名 (src_host)	PanSrcHostname		src_host	principal.labels.key 和 principal.labels.value additional.fields.key 和 additional.fields.value.string_value
来源 MAC 地址 (src_mac)	PanSrcMac			principal.mac
目标设备类别 (dst_category)	PanDstDeviceCat		dst_category	target.labels.key 和 target.labels.value additional.fields.key 和 additional.fields.value.string_value
目标设备配置文件 (dst_profile)	PanDstDeviceProf		dst_profile	target.labels.key 和 target.labels.value additional.fields.key 和 additional.fields.value.string_value
目标设备型号 (dst_model)	PanDstDeviceModel		dst_model	target.labels.key 和 target.labels.value additional.fields.key 和 additional.fields.value.string_value
目标设备供应商 (dst_vendor)	PanDstDeviceVendor		dst_vendor	target.labels.key 和 target.labels.value additional.fields.key 和 additional.fields.value.string_value
目标设备操作系统系列 (dst_osfamily)	PanDstDeviceOS			target.asset.platform_software.platform target.labels.key 和 target.labels.value
目标设备操作系统版本 (dst_osversion)	PanDstDeviceOSv			target.asset.software.version
目标主机名 (dst_host)	PanPODNamespace			target.hostname
目的地 MAC 地址 (dst_mac)	PanDstMac			target.mac
容器 ID (container_id)	PanContainerName		container_id	about.labels.key 和 about.labels.value additional.fields.key 和 additional.fields.value.string_value
POD 命名空间 (pod_namespace)	PanPODNamespace		pod_namespace	about.labels.key 和 about.labels.value additional.fields.key 和 additional.fields.value.string_value
Pod 名称 (pod_name)	PanPODName		pod_name	about.labels.key 和 about.labels.value additional.fields.key 和 additional.fields.value.string_value
来源外部动态列表 (src_edl)	PanSrcEDL		src_edl	principal.labels.key 和 principal.labels.value additional.fields.key 和 additional.fields.value.string_value
目的地外部动态列表 (dst_edl)	PanDstEDL		dst_edl	target.labels.key 和 target.labels.value additional.fields.key 和 additional.fields.value.string_value
主机 ID (hostid)	PanGPHostID		hostid	about.labels.key 和 about.labels.value additional.fields.key 和 additional.fields.value.string_value
序列号 (serialnumber)	PanEPSerial			principal.asset.hardware.serial_number
domain_edl (domain_edl)	PanDomainEDL		domain_edl	about.labels.key 和 about.labels.value additional.fields.key 和 additional.fields.value.string_value
来源动态地址组 (src_dag)	PanSrcDAG			principal.group.group_display_name
目标动态地址组 (dst_dag)	PanDstDAG			target.group.group_display_name
partial_hash (partial_hash)	PanPartialHash		partial_hash	about.labels.key 和 about.labels.value additional.fields.key 和 additional.fields.value.string_value
高分辨率时间戳 (high_res_timestamp)	PanTimeHighRes			metadata.collected_timestamp metadata.event_timestamp（如果“生成时间”不存在）
原因 (reason)	PanReasonFilteringAction		原因	about.labels.key 和 about.labels.value additional.fields.key 和 additional.fields.value.string_value
对齐方式 (justification)	PanJustification		正当理由	about.labels.key 和 about.labels.value additional.fields.key 和 additional.fields.value.string_value
nssai_sst (nssai_sst)	PanASServiceType		nssai_sst	about.labels.key 和 about.labels.value additional.fields.key 和 additional.fields.value.string_value
应用的子类别 (subcategory_of_app)			subcategory_of_app	about.labels.key 和 about.labels.value additional.fields.key 和 additional.fields.value.string_value
应用类别 (category_of_app)			category_of_app	about.labels.key 和 about.labels.value additional.fields.key 和 additional.fields.value.string_value
应用的技术 (technology_of_app)			technology_of_app	about.labels.key 和 about.labels.value additional.fields.key 和 additional.fields.value.string_value
应用风险信号 (risk_of_app)			risk_of_app	about.labels.key 和 about.labels.value additional.fields.key 和 additional.fields.value.string_value
应用的特征 (characteristic_of_app)			characteristic_of_app	about.labels.key 和 about.labels.value additional.fields.key 和 additional.fields.value.string_value
应用的容器 (container_of_app)			container_of_app	about.labels.key 和 about.labels.value additional.fields.key 和 additional.fields.value.string_value
隧道应用 (tunneled_app)			tunneled_app	about.labels.key 和 about.labels.value additional.fields.key 和 additional.fields.value.string_value
应用的 SaaS 属性 (is_saas_of_app)			is_saas_of_app	about.labels.key 和 about.labels.value additional.fields.key 和 additional.fields.value.string_value
应用的受制裁状态 (sanctioned_state_of_app)			sanctioned_state_of_app	about.labels.key 和 about.labels.value additional.fields.key 和 additional.fields.value.string_value

数据

下表列出了数据日志类型的日志字段及其对应的 UDM 字段。

CSV 字段	CEF 字段	LEEF 字段	Google Security Operations 标签键	UDM 字段
接收时间 (cef-formatted-receive_time)	rt	devTime		metadata.collected_timestamp metadata.event_timestamp（如果“生成时间”不存在）
序列号 (serial)	deviceExternalId	SerialNumber		intermediary.asset.hardware.serial_number
类型 (type)	type（标头）	cat		metadata.product_event_type
威胁/内容类型（子类型）	子类型（标头）	子类型		metadata.product_event_type
生成时间				metadata.event_timestamp
来源地址 (src)	src	src		principal.ip
目的地地址 (dst)	dst	dst		target.ip
NAT 来源 IP (natsrc)	sourceTranslatedAddress	srcPostNAT		principal.nat_ip
NAT 目的地 IP (natdst)	destinationTranslatedAddress	dstPostNAT		target.nat_ip
规则 (rule)	cs1	RuleName		security_result.rule_name
源用户 (srcuser)	suser	SourceUser		principal.user.userid
目标用户 (dstuser)	duser	DestinationUser		target.user.userid
应用 (app)	应用	应用		network.application_protocol
虚拟系统 (vsys)	cs3	VirtualSystem	vsys	about.labels.key 和 about.labels.value additional.fields.key 和 additional.fields.value.string_value
来源可用区（起始）	cs4	SourceZone	发件人	principal.labels.key 和 principal.labels.value additional.fields.key 和 additional.fields.value.string_value
目标可用区（到）	cs5	DestinationZone	至	target.labels.key 和 target.labels.value additional.fields.key 和 additional.fields.value.string_value
入站接口 (inbound_if)	deviceInboundInterface	IngressInterface	inbound_if	principal.labels.key 和 principal.labels.value additional.fields.key 和 additional.fields.value.string_value
出站接口 (outbound_if)	deviceOutboundInterface	EgressInterface	outbound_if	target.labels.key 和 target.labels.value additional.fields.key 和 additional.fields.value.string_value
日志操作（日志集）	cs6	LogForwardingProfile	logset	about.labels.key 和 about.labels.value additional.fields.key 和 additional.fields.value.string_value
记录的时间			time_logged	about.labels.key 和 about.labels.value additional.fields.key 和 additional.fields.value.string_value
会话 ID (sessionid)	cn1	SessionID		network.session_id
重复计数 (repeatcnt)	cnt	RepeatCount	repeatcnt	about.labels.key 和 about.labels.value additional.fields.key 和 additional.fields.value.string_value
来源端口 (sport)	spt	srcPort		principal.port
目标端口 (dport)	dpt	dstPort		target.port
NAT 来源端口 (natsport)	sourceTranslatedPort	srcPostNATPort		principal.nat_port
NAT 目标端口 (natdport)	destinationTranslatedPort	dstPostNATPort		target.nat_port
标志 (flags)	flexString1	标志	flags	about.labels.key 和 about.labels.value additional.fields.key 和 additional.fields.value.string_value
IP 协议 (proto)	proto	proto		network.ip_protocol
操作 (action)	act	action		security_result.action_details security_result.action
网址/文件名（其他）		其他		target.file.full_path target.url
威胁/内容名称 (threatid)	cat	ThreatID		security_result.threat_id
类别 (category)	cs2	URLCategory	category	about.labels.key 和 about.labels.value additional.fields.key 和 additional.fields.value.string_value
严重程度 (severity)	number-of-severity（标题）	严重程度		security_result.severity security_result.severity_details
方向 (direction)	flexString2	方向		network.direction
序列号 (seqno)	externalId	序列		metadata.product_log_id
操作标志 (actionflags)	PanOSActionFlags	ActionFlags	actionflags	about.labels.key 和 about.labels.value additional.fields.key 和 additional.fields.value.string_value
来源国家/地区 (srcloc)		SourceLocation		principal.location.country_or_region
目的地国家/地区 (dstloc)		DestinationLocation		target.location.country_or_region
contenttype (contenttype)		ContentType	contenttype	about.labels.key 和 about.labels.value additional.fields.key 和 additional.fields.value.string_value
pcap_id (pcap_id)	fileId	PCAP_ID	pcap_id	about.labels.key 和 about.labels.value additional.fields.key 和 additional.fields.value.string_value
filedigest (filedigest)		FileDigest		about.file.sha1/md5/sha256
云 (cloud)		Cloud	cloud	about.labels.key 和 about.labels.value additional.fields.key 和 additional.fields.value.string_value
url_idx (url_idx)		URLIndex	url_idx	about.labels.key 和 about.labels.value additional.fields.key 和 additional.fields.value.string_value
user_agent (user_agent)				network.http.user_agent
filetype (filetype)				about.file.mime_type
xff (xff)			xff	about.labels.key 和 about.labels.value additional.fields.key 和 additional.fields.value.string_value
引荐来源网址 (referer)				network.http.referral_url
发件人 (sender)				network.email.from
主题 (subject)		主题		network.email.subject
收件人 (recipient)				network.email.to
reportid (reportid)			reportid	about.labels.key 和 about.labels.value additional.fields.key 和 additional.fields.value.string_value
DG 层次结构第 1 级 (dg_hier_level_1)	PanOSDGl1	DeviceGroupHierarchyL1	dg_hier_level_1	about.labels.key 和 about.labels.value additional.fields.key 和 additional.fields.value.string_value
DG 层次结构级别 2 (dg_hier_level_2)	PanOSDGl2	DeviceGroupHierarchyL2	dg_hier_level_2	about.labels.key 和 about.labels.value additional.fields.key 和 additional.fields.value.string_value
DG 层次结构第 3 级 (dg_hier_level_3)	PanOSDGl3	DeviceGroupHierarchyL3	dg_hier_level_3	about.labels.key 和 about.labels.value additional.fields.key 和 additional.fields.value.string_value
DG 层次结构第 4 级 (dg_hier_level_4)	PanOSDGl4	DeviceGroupHierarchyL4	dg_hier_level_4	about.labels.key 和 about.labels.value additional.fields.key 和 additional.fields.value.string_value
虚拟系统名称 (vsys_name)	PanOSVsysName	vSrcName		principal.resource.name principal.resource.resource_type=VIRTUAL_MACHINE
设备名称 (device_name)	dvchost	DeviceName		intermediary.hostname
file_url (file_url)				about.url
来源虚拟机 UUID (src_uuid)		SrcUUID		principal.asset.asset_id
目标虚拟机 UUID (dst_uuid)		DstUUID		target.asset.asset_id
http_method (http_method)		RequestMethod		network.http.method
隧道 ID/IMSI (tunnelid)	PanOSTunnelID	TunnelID	tunnelid	about.labels.key 和 about.labels.value additional.fields.key 和 additional.fields.value.string_value
监控代码/IMEI (monitortag)	PanOSMonitorTag	MonitorTag	monitortag	about.labels.key 和 about.labels.value additional.fields.key 和 additional.fields.value.string_value
父级会话 ID (parent_session_id)	PanOSParentSessionID	ParentSessionID	parent_session_id	network.parent_session_id
父级会话开始时间 (parent_start_time)	PanOSParentStartTime	ParentStartTime	parent_start_time	about.labels.key 和 about.labels.value additional.fields.key 和 additional.fields.value.string_value
隧道 (tunnel)	PanOSTunnelType	TunnelType	隧道	about.labels.key 和 about.labels.value additional.fields.key 和 additional.fields.value.string_value
thr_category (thr_category)	PanOSThreatCategory	ThreatCategory	thr_category	security_result.detection_fields.key/value
contentver (contentver)	PanOSContentVer	ContentVer	contentver	about.labels.key 和 about.labels.value additional.fields.key 和 additional.fields.value.string_value
sig_flags (sig_flags)			sig_flags	about.labels.key 和 about.labels.value additional.fields.key 和 additional.fields.value.string_value
SCTP 关联 ID (assoc_id)	PanOSAssocID		assoc_id	about.labels.key 和 about.labels.value additional.fields.key 和 additional.fields.value.string_value
载荷协议 ID (ppid)	PanOSPPID		ppid	about.labels.key 和 about.labels.value additional.fields.key 和 additional.fields.value.string_value
http_headers (http_headers)	PanOSHTTPHeader		http_headers	about.labels.key 和 about.labels.value additional.fields.key 和 additional.fields.value.string_value
网址类别列表 (url_category_list)			url_category_list	about.labels.key 和 about.labels.value additional.fields.key 和 additional.fields.value.string_value
规则的 UUID (rule_uuid)	PanOSRuleUUID		rule_uuid	about.labels.key 和 about.labels.value additional.fields.key 和 additional.fields.value.string_value
HTTP/2 连接 (http2_connection)			http2_connection	about.labels.key 和 about.labels.value additional.fields.key 和 additional.fields.value.string_value
dynusergroup_name (dynusergroup_name)			dynusergroup_name	principal.labels.key 和 principal.labels.value additional.fields.key 和 additional.fields.value.string_value
XFF 地址 (xff_ip)				principal.ip
来源设备类别 (src_category)			src_category	principal.labels.key 和 principal.labels.value additional.fields.key 和 additional.fields.value.string_value
来源设备配置文件 (src_profile)			src_profile	principal.labels.key 和 principal.labels.value additional.fields.key 和 additional.fields.value.string_value
来源设备型号 (src_model)			src_model	principal.labels.key 和 principal.labels.value additional.fields.key 和 additional.fields.value.string_value
来源设备供应商 (src_vendor)			src_vendor	principal.labels.key 和 principal.labels.value additional.fields.key 和 additional.fields.value.string_value
来源设备操作系统系列 (src_osfamily)				principal.asset.platform_software.platform principal.labels.key 和 principal.labels.value additional.fields.key 和 additional.fields.value.string_value
来源设备操作系统版本 (src_osversion)				principal.asset.software.version
来源主机名 (src_host)			src_host	principal.labels.key 和 principal.labels.value additional.fields.key 和 additional.fields.value.string_value
来源 MAC 地址 (src_mac)				principal.mac
目标设备类别 (dst_category)			dst_category	target.labels.key 和 target.labels.value additional.fields.key 和 additional.fields.value.string_value
目标设备配置文件 (dst_profile)			dst_profile	target.labels.key 和 target.labels.value additional.fields.key 和 additional.fields.value.string_value
目标设备型号 (dst_model)			dst_model	target.labels.key 和 target.labels.value additional.fields.key 和 additional.fields.value.string_value
目标设备供应商 (dst_vendor)			dst_vendor	target.labels.key 和 target.labels.value additional.fields.key 和 additional.fields.value.string_value
目标设备操作系统系列 (dst_osfamily)				target.asset.platform_software.platform target.labels.key 和 target.labels.value
目标设备操作系统版本 (dst_osversion)				target.asset.software.version
目标主机名 (dst_host)				target.hostname
目的地 MAC 地址 (dst_mac)				target.mac
容器 ID (container_id)			container_id	about.labels.key 和 about.labels.value additional.fields.key 和 additional.fields.value.string_value
POD 命名空间 (pod_namespace)			pod_namespace	about.labels.key 和 about.labels.value additional.fields.key 和 additional.fields.value.string_value
Pod 名称 (pod_name)			pod_name	about.labels.key 和 about.labels.value additional.fields.key 和 additional.fields.value.string_value
来源外部动态列表 (src_edl)			src_edl	principal.labels.key 和 principal.labels.value additional.fields.key 和 additional.fields.value.string_value
目的地外部动态列表 (dst_edl)			dst_edl	target.labels.key 和 target.labels.value additional.fields.key 和 additional.fields.value.string_value
主机 ID (hostid)			hostid	about.labels.key 和 about.labels.value additional.fields.key 和 additional.fields.value.string_value
序列号 (serialnumber)				principal.asset.hardware.serial_number
domain_edl (domain_edl)			domain_edl	about.labels.key 和 about.labels.value additional.fields.key 和 additional.fields.value.string_value
来源动态地址组 (src_dag)				principal.group.group_display_name
目标动态地址组 (dst_dag)				target.group.group_display_name
partial_hash (partial_hash)			partial_hash	about.labels.key 和 about.labels.value additional.fields.key 和 additional.fields.value.string_value
高分辨率时间戳 (high_res_timestamp)				metadata.collected_timestamp metadata.event_timestamp（如果“生成时间”不存在）
原因 (reason)			原因	about.labels.key 和 about.labels.value additional.fields.key 和 additional.fields.value.string_value
对齐方式 (justification)			正当理由	about.labels.key 和 about.labels.value additional.fields.key 和 additional.fields.value.string_value
nssai_sst (nssai_sst)			nssai_sst	about.labels.key 和 about.labels.value additional.fields.key 和 additional.fields.value.string_value
应用的子类别 (subcategory_of_app)			subcategory_of_app	about.labels.key 和 about.labels.value additional.fields.key 和 additional.fields.value.string_value
应用类别 (category_of_app)			category_of_app	about.labels.key 和 about.labels.value additional.fields.key 和 additional.fields.value.string_value
应用的技术 (technology_of_app)			technology_of_app	about.labels.key 和 about.labels.value additional.fields.key 和 additional.fields.value.string_value
应用风险信号 (risk_of_app)			risk_of_app	about.labels.key 和 about.labels.value additional.fields.key 和 additional.fields.value.string_value
应用的特征 (characteristic_of_app)			characteristic_of_app	about.labels.key 和 about.labels.value additional.fields.key 和 additional.fields.value.string_value
应用的容器 (container_of_app)			container_of_app	about.labels.key 和 about.labels.value additional.fields.key 和 additional.fields.value.string_value
隧道应用 (tunneled_app)			tunneled_app	about.labels.key 和 about.labels.value additional.fields.key 和 additional.fields.value.string_value
应用的 SaaS 属性 (is_saas_of_app)			is_saas_of_app	about.labels.key 和 about.labels.value additional.fields.key 和 additional.fields.value.string_value
应用的受制裁状态 (sanctioned_state_of_app)			sanctioned_state_of_app	about.labels.key 和 about.labels.value additional.fields.key 和 additional.fields.value.string_value

GlobalProtect

下表列出了 GlobalProtect 日志类型的日志字段及其对应的 UDM 字段。

CSV 字段	CEF 字段	LEEF 字段	Google Security Operations 标签键	UDM 字段
接收时间 (receive_time)	rt		received_time	metadata.event_timestamp
序列号 (serial)	PanOSDeviceSN		intermediary_asset_hardware_serial_number	intermediary.asset.hardware.serial_number
类型 (type)	type（标头）			metadata.product_event_type
威胁/内容类型（子类型）	子类型（标头）	子类型		metadata.product_event_type
生成时间 (time_generated)	PanOSLogTimeStamp		generated_timestamp	metadata.event_timestamp
虚拟系统 (vsys)	PanOSVirtualSystem		vsys	about.labels.key 和 about.labels.value additional.fields.key 和 additional.fields.value.string_value
事件 ID (eventid)	PanOSEventID		event_id	about.labels.key 和 about.labels.value additional.fields.key 和 additional.fields.value.string_value
阶段 (stage)	PanOSStage		阶段	about.labels.key 和 about.labels.value additional.fields.key 和 additional.fields.value.string_value
身份验证方法 (auth_method)	PanOSAuthMethod		extension_auth_auth_details	extensions.auth.auth_details
隧道类型 (tunnel_type)	PanOSTunnelType		隧道	about.labels.key 和 about.labels.value additional.fields.key 和 additional.fields.value.string_value
源用户 (srcuser)	PanOSSourceUserName		src_user	principal.user.email_address principal.user.userid principal.administrative_domain
来源区域 (srcregion)	PanOSSourceRegion		src_region	principal.location.country_or_region
机器名称 (machinename)	PanOSEndpointDeviceName		machine_name	principal.hostname
公共 IP (public_ip)	PanOSPublicIPv4			principal.nat_ip
公共 IPv6 (public_ipv6)	PanOSPublicIPv6			principal.nat_ip
专用 IP (private_ip)	PanOSPrivateIPv4			principal.ip
专用 IPv6 (private_ipv6)	PanOSPrivateIPv6			principal.ip
主机 ID (hostid)	PanOSHostID		hostid	principal.asset.asset_id
序列号 (serialnumber)	PanOSDeviceSN			principal.asset.hardware.serial_number
客户端版本 (client_ver)	PanOSGlobalProtectClientVersion		client_ver	about.labels.key 和 about.labels.value additional.fields.key 和 additional.fields.value.string_value
客户端操作系统 (client_os)	PanOSEndpointOSType			principal.asset.platform_software.platform(enum)
客户端操作系统版本 (client_os_ver)	PanOSEndpointOSVersion			principal.asset.platform_software.platform_version
重复计数 (repeatcnt)	PanOSCountOfRepeats		repeatcnt	about.labels.key 和 about.labels.value additional.fields.key 和 additional.fields.value.string_value
原因 (reason)	PanOSQuarantineReason			security_result.summary
错误 (error)	PanOSConnectionError		错误	security_result.description
说明（不透明）	PanOSDescription			security_result.description
状态 (status)	PanOSEventStatus		状态	about.labels.key 和 about.labels.value additional.fields.key 和 additional.fields.value.string_value
位置 (location)	PanOSGPGatewayLocation			target.location.country_or_region
登录时长 (login_duration)	PanOSLoginDuration			network.session_duration
连接方法 (connect_method)	PanOSConnectionMethod		connect_method	about.labels.key 和 about.labels.value additional.fields.key 和 additional.fields.value.string_value
错误代码 (error_code)	PanOSConnectionErrorID		error_code	about.labels.key 和 about.labels.value additional.fields.key 和 additional.fields.value.string_value
门户 (portal)	PanOSPortal		门户	about.labels.key 和 about.labels.value additional.fields.key 和 additional.fields.value.string_value
序列号 (seqno)	PanOSSequenceNo			metadata.product_log_id
操作标志 (actionflags)	PanOSActionFlags		actionflags	about.labels.key 和 about.labels.value additional.fields.key 和 additional.fields.value.string_value
高分辨率时间戳 (high_res_timestamp)	anOSTimeGeneratedHighResolution			metadata.collected_timestamp metadata.event_timestamp（如果“生成时间”不存在）
网关选择方法 (selection_type)	PanOSGatewaySelectionType		selection_type	about.labels.key 和 about.labels.value additional.fields.key 和 additional.fields.value.string_value
SSL 响应时间 (response_time)	PanOSSSLResponseTime		response_time	about.labels.key 和 about.labels.value additional.fields.key 和 additional.fields.value.string_value
网关优先级 (priority)	PanOSGatewayPriority		优先级	about.labels.key 和 about.labels.value additional.fields.key 和 additional.fields.value.string_value
尝试过的网关 (attempted_gateways)	PanOSAttemptedGateways		attempted_gateways	about.labels.key 和 about.labels.value additional.fields.key 和 additional.fields.value.string_value
网关名称 (gateway)	PanOSAttemptedGateways		网关	about.labels.key 和 about.labels.value additional.fields.key 和 additional.fields.value.string_value
设备组层次结构 (dg_hier_level_1)			dg_hier_level_1	about.labels.key 和 about.labels.value additional.fields.key 和 additional.fields.value.string_value
设备组层次结构 (dg_hier_level_2)			dg_hier_level_2	about.labels.key 和 about.labels.value additional.fields.key 和 additional.fields.value.string_value
设备组层次结构 (dg_hier_level_3)			dg_hier_level_3	about.labels.key 和 about.labels.value additional.fields.key 和 additional.fields.value.string_value
设备组层次结构 (dg_hier_level_4)			dg_hier_level_4	about.labels.key 和 about.labels.value additional.fields.key 和 additional.fields.value.string_value
虚拟系统名称 (vsys_name)				principal.resource.name principal.resource.resource_type=VIRTUAL_MACHINE
设备名称 (device_name)				target.hostname
虚拟系统 ID (vsys_id)				principal.resource.resource_type=VIRTUAL_MACHINE and principal.resource.product_object_id

CSV 字段	LEEF 字段	Google Security Operations 标签键	UDM 字段
生成时间（time_generated 或 cef-formatted-time_generated）	startTime	generated_timestamp	metadata.event_timestamp
来源地址 (src)	src		principal.ip
源用户 (srcuser)	SourceUser / usrName		principal.user.userid
虚拟系统 (vsys)	VirtualSystem	vsys	about.labels.key 和 about.labels.value additional.fields.key 和 additional.fields.value.string_value
类别 (category)			security_result.category_details
严重程度 (severity)	严重程度		security_result.severity 和 security_result.severity_details
设备组层次结构第 1 级	DeviceGroupHierarchyL1		about.labels.key 和 about.labels.value additional.fields.key 和 additional.fields.value.string_value
设备组层次结构级别 2	DeviceGroupHierarchyL2		about.labels.key 和 about.labels.value additional.fields.key 和 additional.fields.value.string_value
设备组层次结构级别 3	DeviceGroupHierarchyL3		about.labels.key 和 about.labels.value additional.fields.key 和 additional.fields.value.string_value
设备组层次结构级别 4	DeviceGroupHierarchyL4		about.labels.key 和 about.labels.value additional.fields.key 和 additional.fields.value.string_value
虚拟系统名称 (vsys_name)	vSrcName		principal.resource.name principal.resource.resource_type=VIRTUAL_MACHINE
设备名称 (device_name)	DeviceName		intermediary.hostname
虚拟系统 ID (vsys_id)	VirtualSystemID		principal.resource.resource_type=VIRTUAL_MACHINE and principal.resource.product_object_id
对象名称 (objectname)	ObjectName		target.resource.name
对象 ID (object_id)	ObjectID		target.resource.product_object_id

字段映射参考信息：日志类型到 UDM 事件类型

下表列出了 Palo Alto Networks 防火墙日志类型及其对应的 UDM 事件类型。

日志类型	UDM 事件类型
流量	NETWORK_CONNECTION
威胁	NETWORK_CONNECTION
网址过滤	NETWORK_CONNECTION
WildFire	NETWORK_CONNECTION WildFire 提交日志是威胁日志类型的子类型，并使用相同的 syslog 格式。
数据过滤	NETWORK_CONNECTION
隧道	NETWORK_CONNECTION
配置	SETTING_MODIFICATION/SETTING_CREATION/SETTING_DELETION/SETTING_UNCATEGORIZED “Command (cmd)”字段的值决定了 UDM 事件类型映射。如果 cmd 字段值为 add 或 clone，则设置 SETTING_CREATION。如果 cmd 字段值为 delete，则设置 SETTING_DELETION。如果 cmd 字段值为“edit”“move”“rename”“set”或“commit”，则设置 SETTING_MODIFICATION。如果 cmd 字段值不包含任何值，则设置 SETTING_UNCATEGORIZED。
系统	如果子类型值为“dhcp”，则系统会设置 NETWORK_DHCP。如果子类型值为“auth”，则设置 USER_LOGIN。如果说明值为“已登录”，则设置 USER_LOGIN。如果说明值为“已退出”，则设置 USER_LOGOUT。对于子类型的其他值，系统会设置 GENERIC_EVENT。
HIP 匹配	NETWORK_CONNECTION
IP 代码	GENERIC_EVENT
User-ID	USER_LOGIN/USER_LOGOUT/USER_UNCATEGORIZED 如果子类型值为“login”，则设置 USER_LOGIN。如果子类型值为“logout”，则设置 USER_LOGOUT。如果子类型不包含任何值，则设置 USER_UNCATEGORIZED。
解密	NETWORK_CONNECTION
Authentication	GENERIC_EVENT

后续步骤

将数据提取到 Google Security Operations

日志格式	PAN-OS 版本
CSV	10.1.3
CEF	10.0.0
LEEF	9.1.0