Diese Seite wurde von der Cloud Translation API übersetzt.

Palo Alto Networks-Firewallprotokolle erfassen

Unterstützt in:

Google SecOps SIEM

Übersicht

In diesem Dokument wird beschrieben, wie Sie Syslog und einen Google Security Operations-Forwarder konfigurieren, um Firewall-Logs von Palo Alto Networks zu erfassen. In diesem Dokument wird auch erläutert, wie die Firewall-Logfelder von Palo Alto Networks den Feldern des Unified Data Model (UDM) von Google Security Operations zugeordnet werden.

Eine Übersicht über die Datenaufnahme in Google Security Operations finden Sie unter Datenaufnahme in Google Security Operations.

Ein Erfassungslabel identifiziert den Parser, der Logrohdaten in das strukturierte UDM-Format normalisiert. Die Informationen in diesem Dokument beziehen sich auf den Parser mit dem Aufnahme-Label „PAN_FIREWALL“.

Hinweise

Prüfen Sie, ob das Firewallprodukt von Palo Alto Networks richtig bereitgestellt und konfiguriert ist. Eine ausführliche Einrichtungsanleitung finden Sie in der PAN-OS-Dokumentation.
Sehen Sie sich die Bereitstellungsarchitektur an, um die Komponenten zu verstehen, die zum Erfassen von Palo Alto Networks-Firewall-Logs bereitgestellt werden. Die Bereitstellung bei jedem Kunden kann von dieser Darstellung abweichen und komplexer sein.

Das folgende Diagramm zeigt, wie Sie Syslog auf einer Palo Alto Networks-Firewall konfigurieren und einen Google Security Operations-Forwarder auf einem Linux-Server installieren, um Protokolldaten an Google Security Operations weiterzuleiten. Der Parser unterstützt Protokolle in den folgenden Datenformaten: CSV (Comma Separated Values), CEF (Common Event Format) und LEEF (Log Event Extended Format).
Prüfen Sie die Logformate und PAN-OS-Versionen, die vom Google Security Operations-Parser unterstützt werden. In der folgenden Tabelle sind die Logformate und die entsprechenden PAN-OS-Versionen aufgeführt, die vom Google Security Operations-Parser unterstützt werden:

Log format PAN-OS-Version

CSV 10.1.3

CEF 10.0.0

LEEF 9.1.0
Prüfen Sie die Palo Alto Networks-Firewall-Logtypen, die vom Google Security Operations-Parser unterstützt werden. Der Google Security Operations-Parser unterstützt die folgenden Palo Alto Networks-Firewall-Logtypen:
- Traffic
- Bedrohung
- WildFire-Beiträge
- Tunnelinspektion
- Konfiguration
- System
- Übereinstimmung mit dem HIP
- IP-Tag
- User-ID
- Entschlüsselung
- Authentifizierung
- URL-Filter
- Datenfilterung
- GlobalProtect
- Ergebnisse in Beziehung setzen
- GTP
Weitere Informationen zu den Palo Alto Networks-Firewall-Logtypen finden Sie unter PAN-OS-Logtypen.
Achten Sie darauf, dass alle Systeme in der Bereitstellungsarchitektur in der UTC-Zeitzone konfiguriert sind.
Bevor Sie den Palo Alto Networks-Firewallparser verwenden, sollten Sie sich die Änderungen bei den Feldzuordnungen zwischen dem vorherigen und dem aktuellen Palo Alto Networks-Firewallparser ansehen. Achten Sie im Rahmen der Migration darauf, dass für Regeln, Suchvorgänge, Dashboards oder andere Prozesse, die von den ursprünglichen Feldern abhängen, die aktualisierten Felder verwendet werden.

In der vorherigen Parserversion wird das Logfeld category beispielsweise dem UDM-Feld security_result.description zugeordnet. Im aktuellen Palo Alto Networks-Firewall-Parser wird das Logfeld category dem UDM-Feld security_result.category_details zugeordnet. Wenn Sie zur aktuellen Palo Alto Networks-Firewall migrieren und das Feld category in Ihren Regeln verwenden, müssen Sie die Regeln so ändern, dass das UDM-Feld security_result.category_details des aktuellen Parsers verwendet wird.

Syslog und den Google Security Operations-Forwarder konfigurieren

Führen Sie die folgenden Schritte aus, um Syslog und den Google Security Operations-Forwarder zu konfigurieren:

Wenn Sie CSV-Logs überwachen möchten, konfigurieren Sie das Syslog-Serverprofil. Weitere Informationen finden Sie unter Syslog-Serverprofil konfigurieren.

Wenn Sie das Syslog-Serverprofil konfigurieren, geben Sie „Default“ als benutzerdefiniertes Logformat an.
Wenn Sie CEF-Logs überwachen möchten, konfigurieren Sie die Palo Alto Networks-Firewall so, dass CEF-Logs weitergeleitet werden. Weitere Informationen finden Sie im PAN-OS CEF Integration Guide (PDF) im Abschnitt „Configuration of Palo Alto Networks NGFW to output CEF events“.
Konfigurieren Sie das Syslog-Serverprofil, um LEEF-Logs zu überwachen. Weitere Informationen finden Sie unter Benutzerdefinierte Logweiterleitung im LEEF-Format.
Konfigurieren Sie den Google Security Operations-Forwarder so, dass Logs an Google Security Operations gesendet werden. Weitere Informationen finden Sie unter Forwarder unter Linux installieren und konfigurieren. Das folgende Beispiel zeigt eine Google Security Operations-Forwarder-Konfiguration:
```
  - syslog:
      common:
        enabled: true
        data_type: PAN_FIREWALL
        batch_n_seconds: 10
        batch_n_bytes: 1048576
      tcp_address: 0.0.0.0:10518
      connection_timeout_sec: 60
```

Unterstützte Palo Alto Networks-Firewall-Logformate

Der Palo Alto Networks-Firewall-Parser unterstützt Logs im LEEF-, CEF- und CSV-Format.

Unterstützte Palo Alto Networks-Firewall-Beispiellogs

LEEF

<14>Jan 22 02:20:19 device_host LEEF:1.0|Palo Alto Networks|PAN-OS Syslog Integration|10.2.12-h4|Microsoft MSOFFICE(52033)|ReceiveTime=2025/01/22 02:20:18|SerialNumber=01250100xxxx|cat=THREAT|Subtype=wildfire|devTime=Jan 22 2025 08:20:18 GMT|src=198.50.100.1|dst=198.50.100.2|srcPostNAT=198.50.100.3|dstPostNAT=198.50.100.4|RuleName=AZURE-US-NEW-CNF_Inbound_To_Azure-ALLOW|usrName=|SourceUser=|DestinationUser=|Application=smtp-base|VirtualSystem=vsys1|SourceZone=McD-Global-Zone|DestinationZone=Azure-Zone|IngressInterface=ae1.111|EgressInterface=ae2.409|LogForwardingProfile=Default-Traffic-Logging|SessionID=35331795|RepeatCount=1|srcPort=21578|dstPort=25|srcPostNATPort=0|dstPostNATPort=0|Flags=0x2000|proto=tcp|action=allow|Miscellaneous=\"......3...................xls\"|ThreatID=Microsoft MSOFFICE(52033)|URLCategory=malicious|sev=4|Severity=high|Direction=client-to-server|sequence=7462614601465681755|ActionFlags=0x8000000000000000|SourceLocation=198.50.100.1-198.50.100.255|DestinationLocation=United States|ContentType=|PCAP_ID=0|FileDigest=0ea04c99bf188c2e4207f60f92ca7c6f5088c7943ee63f45c50032bbd2bf7ea9|Cloud=demo.com|URLIndex=1|RequestMethod=|FileType=ms-office|Sender=sender@ab.myownpersonaldomain.com|Subject=\"............:.................................................................................-.........(Name)-2025-01-22...............:Y107202501220005, ............:........................, ...............:.........\"|Recipient=abc@demo.myownpersonaldomain.com|ReportID=117022282776|DeviceGroupHierarchyL1=143|DeviceGroupHierarchyL2=144|DeviceGroupHierarchyL3=39|DeviceGroupHierarchyL4=0|vSrcName=|DeviceName=device_host|SrcUUID=|DstUUID=|TunnelID=0|MonitorTag=|ParentSessionID=0|ParentStartTime=|TunnelType=N/A|ThreatCategory=N/A|ContentVer=WildFire-0

CEF

14>1 2024-04-04T16:21:56+02:00 FW-PERIMETRAL-AVG-01 - - - - CEF:0|Palo Alto Networks|PAN-OS|10.1.10-h2|end|TRAFFIC|1|src=198.51.100.1 dst=198.51.100.2 srcTranslatedAddress=198.51.100.3 dstTranslatedAddress=198.51.100.4 rule=FW_USER_NATS2_APP suser= duser= app=bittorrent vs=vsys1 sz=INSIDE dz=EXTERNAL InboundInterface=ae2.2266 OutboundInterface=ae1 lp=log_forwarding sid=2935823 cnt=1 spt=6881 dpt=51413 srcTranslatedPort=0 dstTranslatedPort=0 flags=0x7a proto=udp act=allow tbytes=475 in=150 out=325 pkt=2 pktReceived=1 pktSent=1 start=Apr 04 2024 14:21:56 GMT stime=1206 urlcat=any externalId=externalId reason=aged-out DGl1=11 DGl2=161 DGl3=0 DGl4=0 VsysName=STONESOFT dvchost=FW-PERIMETRAL-AVG-01 cat=from-policy ActionFlags=0x8000000000000000 srcUUID= dstUUID= TunnelID=0 MonitorTag= ParentSessionID=0 ParentStartTime= TunnelType=N/A SCTPAssocID=0 SCTPChunks=0 SCTPChunkSent=0 SCTPChunksRcv=0 RuleUUID=746c3eb6-3d51-4679-8438-bd0e00e170a8 HTTP2Con=0 LinkChange=0 PolicyID= LinkDetail= SDWANCluster= SDWANDevice= SDWANClustype= SDWANSite= DynamicUsrgrp= XFFIP= srcDevCat= srcDevProf= srcDevModel= srcDevVendor= srcDevOS= srcDevOSv= srcHostname= srcMac= dstDevCat= dstDevProf= dstDevModel= dstDevVendor= dstDevOS= dstDevOSv= dstHostname= dstMac= ContainerName= PODNamespace= PODName= srcEDL= dstEDL= GPHostID= EPSerial= srcDAG= dstDAG= HASessionOwner= TimeHighRes=2024-04-04T16:21:56.250+02:00 ASServiceType= ASServiceDiff="

CSV

1,2021/10/24 15:30:07,,CONFIG,0,2561,2021/10/24 15:30:07,198.51.100.0,,set,admin,Web,Succeeded, network virtual-router  VR1,,VR1  { ecmp { algorithm { ip-modulo ; } } protocol { bgp { routing-options { graceful-restart { enable yes; } } enable no; } rip { enable no; } ospf { enable no; } ospfv3 { enable no; } } routing-table { ip { static-route { vr1-log  { path-monitor { enable no; failure-condition any; hold-time 2; } nexthop { ip-address 198.51.100.0; } bfd { profile None; } interface ethernet1/1; metric 10; destination 0.0.0.0/0; route-table { unicast ; } } } } } interface [ ethernet1/1 ethernet1/2 ]; } ,7022390503849066572,0x0,0,0,0,0,,PA-VM,0,

Referenz zur Feldzuordnung: PAN-Firewall-Logfelder zu UDM-Feldern

In diesem Abschnitt wird beschrieben, wie der Parser Palo Alto Networks-Firewall-Logfelder für jeden Logtyp Google Security Operations-UDM-Ereignisfeldern zuordnet.

Der Google Security Operations-Labelschlüssel bezieht sich auf den Namen des Schlüssels, der dem UDM-Feld „Labels.key“ zugeordnet ist. Beispiel: Für das Feld „Virtual System“ ist der Feldname im CEF-Format „cs3“ und im LEEF-Format „VirtualSystem“. Das UDM-Feld „about.labels.key“ enthält den Wert „vsys“ und das UDM-Feld „about.labels.value“ enthält den Wert dieses Felds.

Einige CEF- oder LEEF-Feldnamen haben keinen Namen, der den CSV-Feldnamen entspricht. Wenn Sie in solchen Fällen einen eigenen Variablennamen im benutzerdefinierten Logformat im Syslog-Profil hinzufügen, wird er vom Parser nicht dem UDM-Feld zugeordnet.

In den folgenden Abschnitten finden Sie eine Zuordnungsreferenz für jeden Logtyp:

System
Konfiguration
Bedrohung/Waldbrand
Traffic
Nutzer-ID
HIP-Abgleich
IP-Tag
Entschlüsselung
Tunnel
Authentifizierung
URL
Daten
GlobalProtect
Korrelation
GTP

System

In der folgenden Tabelle sind die Logfelder des Systemlogtyps und die entsprechenden UDM-Felder aufgeführt.

CSV-Feld	CEF-Feld	LEEF-Feld	Google Security Operations-Label-Schlüssel	UDM-Feld
Empfangszeit (receive_time oder cef-formatted-receive_time)	rt	devTime		metadata.collected_timestamp, metadata.event_timestamp (wenn „Generate Time“ fehlt)
Seriennummer	deviceExternalId	SerialNumber		intermediary.asset.hardware.serial_number
Typ (type)	Typ (Kopfzeile)	Katze		metadata.product_event_type ist auf „%{type} – %{subtype}“ festgelegt.
Bedrohungs-/Inhaltstyp (Untertyp)	Untertyp (Kopfzeile)	Subtyp		metadata.product_event_type ist auf „%{type} – %{subtype}“ festgelegt.
Erstellungszeit (time_generated oder cef-formatted-time_generated)				metadata.event_timestamp
Virtuelles System (vsys)	cs3	VirtualSystem	vsys	about.labels.key und about.labels.value additional.fields.key und additional.fields.value.string_value
Ereignis-ID (eventid)	Katze		eventid	about.labels.key und about.labels.value additional.fields.key und additional.fields.value.string_value
Objekt (object)	fname	Dateiname	Objekt	about.labels.key und about.labels.value additional.fields.key und additional.fields.value.string_value
Modul (module)	flexString2	Modul	module	about.labels.key und about.labels.value additional.fields.key und additional.fields.value.string_value
Schweregrad (severity)	$number-of-severity(header)	Schweregrad		security_result.severity und security_result.severity_details
Beschreibung (undurchsichtig)	msg	msg		metadata.description
	principal_user_userid (Dieses Feld wird aus dem Feld „msg“ extrahiert.)			principal.user.userid
	principal_ip3 (Dieses Feld wird aus dem Feld „msg“ extrahiert.)			principal.ip
	Grund (Dieses Feld wird aus dem Feld „msg“ extrahiert.)			security_result.description
	server_address (Dieses Feld wird aus dem Feld „msg“ extrahiert.)			target.ip
	server_profile (Dieses Feld wird aus dem Feld „msg“ extrahiert.)			additional.fields.key und additional.fields.value.string_value
Sequenznummer (seqno)	externalId	Sequenz		metadata.product_log_id
Aktions-Flags (actionflags)	PanOSActionFlags	ActionFlags	actionflags	about.labels.key und about.labels.value additional.fields.key und additional.fields.value.string_value
Gerätegruppenhierarchie (dg_hier_level_1 bis dg_hier_level_4)	PanOSDGl1	DeviceGroupHierarchyL1	dg_hier_level_1	about.labels.key und about.labels.value additional.fields.key und additional.fields.value.string_value
Gerätegruppenhierarchie (dg_hier_level_2)	PanOSDGl2	DeviceGroupHierarchyL2	dg_hier_level_2	about.labels.key und about.labels.value additional.fields.key und additional.fields.value.string_value
Hierarchie der Gerätegruppen (dg_hier_level_3)	PanOSDGl3	DeviceGroupHierarchyL3	dg_hier_level_3	about.labels.key und about.labels.value additional.fields.key und additional.fields.value.string_value
Gerätegruppenhierarchie (dg_hier_level_4)	PanOSDGl4	DeviceGroupHierarchyL4	dg_hier_level_4	about.labels.key und about.labels.value additional.fields.key und additional.fields.value.string_value
Name des virtuellen Systems (vsys_name)	PanOSVsysName	vSrcName		principal.resource.name principal.resource.resource_type=VIRTUAL_MACHINE
Gerätename (device_name)	dvchost	DeviceName		intermediary.hostname
Zeitstempel mit hoher Auflösung (high_res_timestamp)	anOSTimeGeneratedHighResolution			metadata.collected_timestamp, metadata.event_timestamp (wenn „Generate Time“ fehlt)

Konfiguration

In der folgenden Tabelle sind die Logfelder des Konfigurationslogtyps und die entsprechenden UDM-Felder aufgeführt.

CSV-Feld	CEF-Feld	LEEF-Feld	Google Security Operations-Label-Schlüssel	UDM-Feld
Empfangszeit (receive_time oder cef-formatted-receive_time)	rt	devTime		metadata.collected_timestamp, metadata.event_timestamp (wenn „Generate Time“ fehlt)
Seriennummer	deviceExternalId	SerialNumber		intermediary.asset.hardware.serial_number
Typ (type)	Typ (Kopfzeile)	Katze		metadata.product_event_type
Bedrohungs-/Inhaltstyp (Untertyp)	Untertyp (Kopfzeile)			metadata.product_event_type
Erstellungszeit (time_generated oder cef-formatted-time_generated)				metadata.event_timestamp
Host (host)	shost	src		principal.ip/hostname
Virtuelles System (vsys)	cs3	VirtualSystem	vsys	about.labels.key und about.labels.value additional.fields.key und additional.fields.value.string_value
Befehl (cmd)	handeln	msg	CMD	metadata.description
Administrator (admin)	duser	usrName		principal.user.userid
Client (client)	destinationServiceName	Client		principal.application
Ergebnis (result)	Signatur-ID (Header)(reason)	Ergebnis		security_result.summary
Konfigurationspfad (path)	msg	ConfigurationPath		principal.process.command_line
Before Change Detail (before_change_detail)	cs1	BeforeChangeDetail	before_change_detail	target.resource.attribute.labels.key/value
After Change Detail (after_change_detail)	cs2	AfterChangeDetail	after_change_detail	target.resource.attribute.labels.key/value
Sequenznummer (seqno)	externalId	Sequenz		metadata.product_log_id
Aktions-Flags (actionflags)	PanOSActionFlags	ActionFlags	actionflags	about.labels.key und about.labels.value additional.fields.key und additional.fields.value.string_value
Gerätegruppenhierarchie (dg_hier_level_1 bis dg_hier_level_4)	PanOSDGl1	DeviceGroupHierarchyL1	dg_hier_level_1	about.labels.key und about.labels.value additional.fields.key und additional.fields.value.string_value
Gerätegruppenhierarchie (dg_hier_level_2)	PanOSDGl2	DeviceGroupHierarchyL2	dg_hier_level_2	about.labels.key und about.labels.value additional.fields.key und additional.fields.value.string_value
Hierarchie der Gerätegruppen (dg_hier_level_3)	PanOSDGl3	DeviceGroupHierarchyL3	dg_hier_level_3	about.labels.key und about.labels.value additional.fields.key und additional.fields.value.string_value
Gerätegruppenhierarchie (dg_hier_level_4)	PanOSDGl4	DeviceGroupHierarchyL4	dg_hier_level_4	about.labels.key und about.labels.value additional.fields.key und additional.fields.value.string_value
Name des virtuellen Systems (vsys_name)	PanOSVsysName	vSrcName		principal.resource.name principal.resource.resource_type=VIRTUAL_MACHINE
Gerätename (device_name)	dvchost	DeviceName		intermediary.hostname
Gerätegruppe (dg_id)	PanOSFWDeviceGroup		dg_id	principal.asset.attribute.labels.key/value
Audit-Kommentar (comment)	PanOSPolicyAuditComment		Kommentar	about.labels.key und about.labels.value additional.fields.key und additional.fields.value.string_value
Schweregrad (severity)	number-of-severity(header)			security_result.severity und security_result.severity_details

Threat/WildFire

In der folgenden Tabelle sind die Logfelder des Logtyps „Threat/WildFire“ und die entsprechenden UDM-Felder aufgeführt.

CSV-Feld	CEF-Feld	LEEF-Feld	Google Security Operations-Label-Schlüssel	UDM-Feld
Empfangszeit (receive_time oder cef-formatted-receive_time)	rt	devTime		metadata.collected_timestamp, metadata.event_timestamp (wenn „Generate Time“ fehlt)
Seriennummer	deviceExternalId	SerialNumber		intermediary.asset.hardware.serial_number
Typ (type)	Typ (Kopfzeile)	Katze		metadata.product_event_type
Bedrohungs-/Inhaltstyp (Untertyp)	cat/subtype (Header)	Subtyp		metadata.product_event_type
Generierungszeit (time_generated oder cef-formatted-time_generated)				metadata.event_timestamp
Quelladresse (src)	src	src		principal.ip
Zieladresse (dst)	dst	dst		target.ip
NAT-Quell-IP-Adresse (natsrc)	sourceTranslatedAddress	srcPostNAT		principal.nat_ip
NAT-Ziel-IP-Adresse (natdst)	destinationTranslatedAddress	dstPostNAT		target.nat_ip
Regelname (rule)	cs1	RuleName		security_result.rule_name
Quellnutzer (srcuser)	suser	SourceUser / usrName		principal.user.userid
Zielnutzer (dstuser)	duser	DestinationUser		target.user.userid
Anwendung (App)	App	Anwendung		target.application
Virtuelles System (vsys)	cs3	VirtualSystem	vsys	about.labels.key und about.labels.value additional.fields.key und additional.fields.value.string_value
Quellzone (von)	cs4	SourceZone	von	principal.labels.key und principal.labels.value additional.fields.key und additional.fields.value.string_value
Zielzone (bis)	cs5	DestinationZone	bis	target.labels.key und target.labels.value additional.fields.key und additional.fields.value.string_value
Eingangsschnittstelle (inbound_if)	deviceInboundInterface	IngressInterface	inbound_if	principal.labels.key und principal.labels.value additional.fields.key und additional.fields.value.string_value
Ausgangsschnittstelle (outbound_if)	deviceOutboundInterface	EgressInterface	outbound_if	target.labels.key und target.labels.value additional.fields.key und additional.fields.value.string_value
Aktion protokollieren (Logset)	cs6	LogForwardingProfile	logset	about.labels.key und about.labels.value additional.fields.key und additional.fields.value.string_value
Sitzungs-ID (sessionid)	cn1	SessionID		network.session_id
Anzahl der Wiederholungen (repeatcnt)	cnt	RepeatCount	repeatcnt	about.labels.key und about.labels.value additional.fields.key und additional.fields.value.string_value
Quellport (sport)	spt	srcPort		principal.port
Zielport (dport)	dpt	dstPort		target.port
NAT-Quellport (natsport)	sourceTranslatedPort	srcPostNATPort		principal.nat_port
NAT-Zielport (natdport)	destinationTranslatedPort	dstPostNATPort		target.nat_port
Flags (flags)	flexString1	Flags	flags	about.labels.key und about.labels.value additional.fields.key und additional.fields.value.string_value
IP-Protokoll (proto)	Proto	Proto		network.ip_protocol
Aktion (action)	handeln	Aktion		security_result.action_details security_result.action
URL/Dateiname (Sonstiges)	Anfrage	Sonstiges		target.file.full_path (wenn der Untertyp „file“, „virus“, „wildfire-virus“ oder „wildfire“ ist, wird das Feld „misc“ dem Feld „target.file.full_path“ zugeordnet) target.url (wenn der Untertyp „url“ ist, wird das Feld „misc“ target.url und target.hostname zugeordnet) target.hostname (wenn der Untertyp „spyware“ oder „vulnerability“ ist, wird das Feld „misc“ target.file.full_path und target.url zugeordnet)
Name der Bedrohung/des Inhalts (threatid)	Katze	ThreatID		security_result.threat_name
Kategorie (category)	cs2	URLCategory		security_result.category_details
Schweregrad (severity)	number-of-severity(header)	Schweregrad		security_result.severity und security_result.severity_details
Richtung (direction)	flexString2	Richtung		network.direction
Sequenznummer (seqno)	externalId	Sequenz		metadata.product_log_id
Aktions-Flags (actionflags)	PanOSActionFlags	ActionFlags	actionflags	about.labels.key und about.labels.value additional.fields.key und additional.fields.value.string_value
Quellland (srcloc)		SourceLocation		principal.location.country_or_region
Zielland (dstloc)		DestinationLocation		target.location.country_or_region
Inhaltstyp (contenttype)		ContentType	contenttype	about.labels.key und about.labels.value additional.fields.key und additional.fields.value.string_value
PCAP-ID (pcap_id)	fileId	PCAP_ID	pcap_id	about.labels.key und about.labels.value additional.fields.key und additional.fields.value.string_value
File Digest (filedigest)	fileHash	FileDigest		about.file.sha1/md5/sha256
Cloud (cloud)	filePath	Cloud	Cloud	about.labels.key und about.labels.value additional.fields.key und additional.fields.value.string_value
URL-Index (url_idx)		URLIndex	url_idx	about.labels.key und about.labels.value additional.fields.key und additional.fields.value.string_value
User-Agent (user_agent)				network.http.user_agent
Dateityp (filetype)	fileType	FileType		about.file.mime_type
X-Forwarded-For (xff)				principal.ip
Referrer (referer)				network.http.referral_url
Absender (sender)	suid	Absender		network.email.from
Betreff (Betreff)	msg	Betreff		network.email.subject
Empfänger (recipient)	duid	Empfänger		network.email.to
Berichts-ID (reportid)	oldFileId	ReportID	reportid	about.labels.key und about.labels.value additional.fields.key und additional.fields.value.string_value
Gerätegruppenhierarchie (dg_hier_level_1 bis dg_hier_level_4)	PanOSDGl1	DeviceGroupHierarchyL1	dg_hier_level_1	about.labels.key und about.labels.value additional.fields.key und additional.fields.value.string_value
Gerätegruppenhierarchie (dg_hier_level_2)	PanOSDGl2	DeviceGroupHierarchyL2	dg_hier_level_2	about.labels.key und about.labels.value additional.fields.key und additional.fields.value.string_value
Hierarchie der Gerätegruppen (dg_hier_level_3)	PanOSDGl3	DeviceGroupHierarchyL3	dg_hier_level_3	about.labels.key und about.labels.value additional.fields.key und additional.fields.value.string_value
Gerätegruppenhierarchie (dg_hier_level_4)	PanOSDGl4	DeviceGroupHierarchyL4	dg_hier_level_4	about.labels.key und about.labels.value additional.fields.key und additional.fields.value.string_value
Name des virtuellen Systems (vsys_name)	PanOSVsysName	vSrcName		principal.resource.name principal.resource.resource_type=VIRTUAL_MACHINE
Gerätename (device_name)	dvchost	DeviceName		intermediary.hostname
Quell-VM-UUID (src_uuid)	PanOSSrcUUID	SrcUUID		principal.user.product_object_id
UUID der Ziel-VM (dst_uuid)	PanOSDstUUID	DstUUID		target.user.product_object_id
HTTP-Methode (http_method)		RequestMethod		network.http.method
Tunnel-ID/IMSI (tunnel_id/imsi)	PanOSTunnelID	TunnelID	tunnel_id/imsi	about.labels.key und about.labels.value additional.fields.key und additional.fields.value.string_value
Monitor Tag/IMEI (monitortag/imei)	PanOSMonitorTag	MonitorTag	monitortag/imei	about.labels.key und about.labels.value additional.fields.key und additional.fields.value.string_value
ID der übergeordneten Sitzung (parent_session_id)	PanOSParentSessionID	ParentSessionID	parent_session_id	network.parent_session_id
Beginn der übergeordneten Sitzung (parent_start_time)	PanOSParentStartTime	ParentStartTime	parent_start_time	about.labels.key und about.labels.value additional.fields.key und additional.fields.value.string_value
Tunneltyp (tunnel)	PanOSTunnelType	TunnelType	Tunnel	about.labels.key und about.labels.value additional.fields.key und additional.fields.value.string_value
Bedrohungskategorie (thr_category)	PanOSThreatCategory	ThreatCategory	thr_category	security_result.detection_fields.key/value
Inhaltsversion (contentver)	PanOSContentVer	ContentVer	contentver	about.labels.key und about.labels.value additional.fields.key und additional.fields.value.string_value
SCTP-Verbindungs-ID (assoc_id)	PanOSAssocID		assoc_id	about.labels.key und about.labels.value additional.fields.key und additional.fields.value.string_value
Payload Protocol ID (ppid)	PanOSPPID		ppid	about.labels.key und about.labels.value additional.fields.key und additional.fields.value.string_value
HTTP-Header (http_headers)	PanOSHTTPHeader		http_headers	about.labels.key und about.labels.value additional.fields.key und additional.fields.value.string_value
Liste der URL-Kategorien (url_category_list)	PanOSURLCatList		url_category_list	about.labels.key und about.labels.value additional.fields.key und additional.fields.value.string_value
Regel-UUID (rule_uuid)	PanOSRuleUUID			security_result.rule_id
HTTP/2-Verbindung (http2_connection)	PanOSHTTP2Con		http2_connection	about.labels.key und about.labels.value additional.fields.key und additional.fields.value.string_value
Name der dynamischen Nutzergruppe (dynusergroup_name)	PanDynamicUsrgrp		dynusergroup_name	principal.labels.key und principal.labels.value additional.fields.key und additional.fields.value.string_value
XFF-Adresse (xff_ip)	PanXFFIP			principal.ip
Gerätekategorie der Quelle (src_category)	PanSrcDeviceCat		src_category	principal.labels.key und principal.labels.value additional.fields.key und additional.fields.value.string_value
Quellgeräteprofil (src_profile)	PanSrcDeviceProf		src_profile	principal.labels.key und principal.labels.value additional.fields.key und additional.fields.value.string_value
Quellgerätemodell (src_model)	PanSrcDeviceModel		src_model	principal.labels.key und principal.labels.value additional.fields.key und additional.fields.value.string_value
Anbieter des Quellgeräts (src_vendor)	PanSrcDeviceVendor		src_vendor	principal.labels.key und principal.labels.value additional.fields.key und additional.fields.value.string_value
Betriebssystemfamilie des Quellgeräts (src_osfamily)	PanSrcDeviceOS		src_osfamily	principal.asset.platform_software.platform principal.labels.key und principal.labels.value additional.fields.key und additional.fields.value.string_value
Betriebssystemversion des Quellgeräts (src_osversion)	PanSrcDeviceOSv			principal.asset.software.version
Quellhostname (src_host)	PanSrcHostname			principal.hostname
Quell-MAC-Adresse (src_mac)	PanSrcMac			principal.mac
Zielgerätekategorie (dst_category)	PanDstDeviceCat		dst_category	target.labels.key und target.labels.value additional.fields.key und additional.fields.value.string_value
Zielgeräteprofil (dst_profile)	PanDstDeviceProf		dst_profile	target.labels.key und target.labels.value additional.fields.key und additional.fields.value.string_value
Zielgerätemodell (dst_model)	PanDstDeviceModel		dst_model	target.labels.key und target.labels.value additional.fields.key und additional.fields.value.string_value
Anbieter des Zielgeräts (dst_vendor)	PanDstDeviceVendor		dst_vendor	target.labels.key und target.labels.value additional.fields.key und additional.fields.value.string_value
Betriebssystemfamilie des Zielgeräts (dst_osfamily)	PanDstDeviceOS		dst_osfamily	target.labels.key und target.labels.value additional.fields.key und additional.fields.value.string_value
Betriebssystemversion des Zielgeräts (dst_osversion)	PanDstDeviceOSv			target.asset.software.version
Ziel-Hostname (dst_host)	PanDstHostname			target.hostname
MAC-Zieladresse (dst_mac)	PanDstMac			target.mac
Container-ID (container_id)	PanContainerName		container_id	about.labels.key und about.labels.value additional.fields.key und additional.fields.value.string_value
POD-Namespace (pod_namespace)	PanPODNamespace		pod_namespace	about.labels.key und about.labels.value additional.fields.key und additional.fields.value.string_value
POD-Name (pod_name)	PanPODName		pod_name	about.labels.key und about.labels.value additional.fields.key und additional.fields.value.string_value
Externe dynamische Quellliste (src_edl)	PanSrcEDL		src_edl	about.labels.key und about.labels.value additional.fields.key und additional.fields.value.string_value
Dynamische Liste für externes Ziel (dst_edl)	PanDstEDL		dst_edl	about.labels.key und about.labels.value additional.fields.key und additional.fields.value.string_value
Host-ID (hostid)	PanGPHostID		hostid	about.labels.key und about.labels.value additional.fields.key und additional.fields.value.string_value
Seriennummer des Nutzergeräts (serialnumber)	PanEPSerial			principal.asset.hardware.serial_number
Domain-EDL (domain_edl)	PanDomainEDL		domain_edl	about.labels.key und about.labels.value additional.fields.key und additional.fields.value.string_value
Dynamische Quelladressengruppe (src_dag)	PanSrcDAG			principal.group.group_display_name
Dynamische Zieladressengruppe (dst_dag)	PanDstDAG			target.group.group_display_name
Teil-Hash (partial_hash)	PanPartialHash		partial_hash	about.labels.key und about.labels.value additional.fields.key und additional.fields.value.string_value
Zeitstempel mit hoher Auflösung (high_res timestamp)	PanTimeHighRes		Zeitstempel mit hoher Auflösung	metadata.collected_timestamp, metadata.event_timestamp (wenn „Generate Time“ fehlt)
Grund (reason)	PanReasonFilteringAction		reason	about.labels.key und about.labels.value additional.fields.key und additional.fields.value.string_value
Blocksatz (justification)	PanJustification		Begründung	about.labels.key und about.labels.value additional.fields.key und additional.fields.value.string_value
Ein Slice-Diensttyp (nssai_sst)	PanASServiceType		nssai_sst	about.labels.key und about.labels.value additional.fields.key und additional.fields.value.string_value
Unterkategorie der Anwendung (subcategory_of_app)			subcategory_of_app	about.labels.key und about.labels.value additional.fields.key und additional.fields.value.string_value
Anwendungskategorie (category_of_app)			category_of_app	about.labels.key und about.labels.value additional.fields.key und additional.fields.value.string_value
Anwendungstechnologie (technology_of_app)			technology_of_app	about.labels.key und about.labels.value additional.fields.key und additional.fields.value.string_value
Anwendungsrisiko (risk_of_app)			risk_of_app	about.labels.key und about.labels.value additional.fields.key und additional.fields.value.string_value
Anwendungsmerkmal (characteristic_of_app)			characteristic_of_app	about.labels.key und about.labels.value additional.fields.key und additional.fields.value.string_value
Anwendungscontainer (container_of_app)			container_of_app	about.labels.key und about.labels.value additional.fields.key und additional.fields.value.string_value
Application SaaS (is_saas_of_app)			is_saas_of_app	about.labels.key und about.labels.value additional.fields.key und additional.fields.value.string_value
Status der Genehmigung der Anwendung (sanctioned_state_of_app)			sanctioned_state_of_app	about.labels.key und about.labels.value additional.fields.key und additional.fields.value.string_value

Traffic

In der folgenden Tabelle sind die Logfelder des Traffic-Logtyps und die entsprechenden UDM-Felder aufgeführt.

CSV-Feld	CEF-Feld	LEEF-Feld	Google Security Operations-Label-Schlüssel	UDM-Feld
Empfangszeit (receive_time oder cef-formatted-receive_time)	rt	devTime		metadata.collected_timestamp, metadata.event_timestamp (wenn „Generate Time“ fehlt)
Seriennummer	deviceExternalId	SerialNumber		intermediary.asset.hardware.serial_number
Typ (type)	Typ (Kopfzeile)	cat/Type		metadata.product_event_type
Bedrohungs-/Inhaltstyp (Untertyp)	Untertyp (Kopfzeile)	Subtyp		metadata.product_event_type
Erstellungszeit (time_generated oder cef-formatted-time_generated)	start			metadata.event_timestamp
Quelladresse (src)	src	src		principal.ip
Zieladresse (dst)	dst	dst		target.ip
NAT-Quell-IP-Adresse (natsrc)	sourceTranslatedAddress	srcPostNAT		principal.nat_ip
NAT-Ziel-IP-Adresse (natdst)	destinationTranslatedAddress	dstPostNAT		target.nat_ip
Regelname (rule)	cs1	RuleName		security_result.rule_name
Quellnutzer (srcuser)	suser	SourceUser		principal.user.userid
Zielnutzer (dstuser)	duser	DestinationUser		target.user.userid
Anwendung (App)	App	Anwendung		target.application
Virtuelles System (vsys)	cs3	VirtualSystem	vsys	about.labels.key und about.labels.value additional.fields.key und additional.fields.value.string_value
Quellzone (von)	cs4	SourceZone	von	principal.labels.key und principal.labels.value additional.fields.key und additional.fields.value.string_value
Zielzone (bis)	cs5	DestinationZone	bis	target.labels.key und target.labels.value additional.fields.key und additional.fields.value.string_value
Eingangsschnittstelle (inbound_if)	deviceInboundInterface	IngressInterface	inbound_if	principal.labels.key und principal.labels.value additional.fields.key und additional.fields.value.string_value
Ausgangsschnittstelle (outbound_if)	deviceOutboundInterface	EgressInterface	outbound_if	target.labels.key und target.labels.value additional.fields.key und additional.fields.value.string_value
Aktion protokollieren (Logset)	cs6	LogForwardingProfile	logset	about.labels.key und about.labels.value additional.fields.key und additional.fields.value.string_value
Sitzungs-ID (sessionid)	cn1	SessionID		network.session_id
Anzahl der Wiederholungen (repeatcnt)	cnt	RepeatCount	repeatcnt	about.labels.key und about.labels.value additional.fields.key und additional.fields.value.string_value
Quellport (sport)	spt	srcPort		principal.port
Zielport (dport)	dpt	dstPort		target.port
NAT-Quellport (natsport)	sourceTranslatedPort	srcPostNATPort		principal.nat_port
NAT-Zielport (natdport)	destinationTranslatedPort	dstPostNATPort		target.nat_port
Flags (flags)	flexString1	Flags	flags	about.labels.key und about.labels.value additional.fields.key und additional.fields.value.string_value
IP-Protokoll (proto)	Proto	Proto		network.ip_protocol
Aktion (action)	handeln	Aktion		security_result.action_details security_result.action
Byte (Byte)	flexNumber1	totalBytes	Byte	about.labels.key und about.labels.value additional.fields.key und additional.fields.value.string_value
Gesendete Byte (bytes_sent)	in	srcBytes		network.sent_bytes
Empfangene Byte (bytes_received)	out	dstBytes		network.received_bytes
Pakete (packets)	cn2	totalPackets	Pakete	about.labels.key und about.labels.value additional.fields.key und additional.fields.value.string_value
Beginn (start)		StartTime	start	about.labels.key und about.labels.value additional.fields.key und additional.fields.value.string_value
Verstrichene Zeit (elapsed)	cn3	ElapsedTime	verstrichen	network.session_duration.seconds
Kategorie (category)	cs2	URLCategory		security_result.category / security_result.category_details
Sequenznummer (seqno)	externalId	Sequenz		metadata.product_log_id
Aktions-Flags (actionflags)	PanOSActionFlags	ActionFlags	actionflags	about.labels.key und about.labels.value additional.fields.key und additional.fields.value.string_value
Quellland (srcloc)		SourceLocation		principal.location.country_or_region
Zielland (dstloc)		DestinationLocation		target.location.country_or_region
Gesendete Pakete (pkts_sent)	PanOSPacketsSent	srcPackets	pkts_sent	about.labels.key und about.labels.value additional.fields.key und additional.fields.value.string_value
Empfangene Pakete (pkts_received)	PanOSPacketsReceived	dstPackets	pkts_received	about.labels.key und about.labels.value additional.fields.key und additional.fields.value.string_value
Grund für das Ende der Sitzung (session_end_reason)	reason	SessionEndReason		security_result.summary
Gerätegruppenhierarchie1 (dg_hier_level_1 bis dg_hier_level_4)	PanOSDGl1	DeviceGroupHierarchyL1	dg_hier_level_1	about.labels.key und about.labels.value additional.fields.key und additional.fields.value.string_value
Gerätegruppenhierarchie2 (dg_hier_level_2)	PanOSDGl2	DeviceGroupHierarchyL2	dg_hier_level_2	about.labels.key und about.labels.value additional.fields.key und additional.fields.value.string_value
Gerätegruppenhierarchie 3 (dg_hier_level_3)	PanOSDGl3	DeviceGroupHierarchyL3	dg_hier_level_3	about.labels.key und about.labels.value additional.fields.key und additional.fields.value.string_value
Gerätegruppenhierarchie (dg_hier_level_4)	PanOSDGl4	DeviceGroupHierarchyL4	dg_hier_level_4	about.labels.key und about.labels.value additional.fields.key und additional.fields.value.string_value
Name des virtuellen Systems (vsys_name)	PanOSVsysName	vSrcName		principal.resource.name principal.resource.resource_type=VIRTUAL_MACHINE
Gerätename (device_name)	dvchost	DeviceName		intermediary.hostname
Aktionsquelle (action_source)	Katze	ActionSource	action_source	about.labels.key und about.labels.value additional.fields.key und additional.fields.value.string_value
Quell-VM-UUID (src_uuid)	PanOSSrcUUID	SrcUUID		principal.asset.product_object_id
UUID der Ziel-VM (dst_uuid)	PanOSDstUUID	DstUUID		target.asset.product_object_id
Tunnel-ID/IMSI (tunnelid/imsi)	PanOSTunnelID	TunnelID	tunnelid/imsi	about.labels.key und about.labels.value additional.fields.key und additional.fields.value.string_value
Monitor Tag/IMEI (monitortag/imei)	PanOSMonitorTag	MonitorTag	monitortag/imei	about.labels.key und about.labels.value additional.fields.key und additional.fields.value.string_value
ID der übergeordneten Sitzung (parent_session_id)	PanOSParentSessionID	ParentSessionID	parent_session_id	network.parent_session_id
Beginn des übergeordneten Ereignisses (parent_start_time)	PanOSParentStartTime	ParentStartTime	parent_start_time	about.labels.key und about.labels.value additional.fields.key und additional.fields.value.string_value
Tunneltyp (tunnel)	PanOSTunnelType	TunnelType	Tunnel	about.labels.key und about.labels.value additional.fields.key und additional.fields.value.string_value
SCTP-Verbindungs-ID (assoc_id)	PanOSSCTPAssocID		assoc_id	about.labels.key und about.labels.value additional.fields.key und additional.fields.value.string_value
SCTP-Chunks	PanOSSCTPChunks		Chunks	about.labels.key und about.labels.value additional.fields.key und additional.fields.value.string_value
Gesendete SCTP-Chunks (chunks_sent)	PanOSSCTPChunkSent		chunks_sent	about.labels.key und about.labels.value additional.fields.key und additional.fields.value.string_value
Empfangene SCTP-Chunks (chunks_received)	PanOSSCTPChunksRcv		chunks_received	about.labels.key und about.labels.value additional.fields.key und additional.fields.value.string_value
Regel-UUID (rule_uuid)	PanOSRuleUUID			security_result.rule_id
HTTP/2-Verbindung (http2_connection)	PanOSHTTP2Con		http2_connection	about.labels.key und about.labels.value additional.fields.key und additional.fields.value.string_value
Anzahl der App-Flips (link_change_count)	PanLinkChange		link_change_count	about.labels.key und about.labels.value additional.fields.key und additional.fields.value.string_value
Richtlinien-ID (policy_id)	PanPolicyID		policy_id	about.labels.key und about.labels.value additional.fields.key und additional.fields.value.string_value
Link-Schalter (link_switches)	PanLinkDetail		link_switches	about.labels.key und about.labels.value additional.fields.key und additional.fields.value.string_value
SD-WAN-Cluster (sdwan_cluster)	PanSDWANCluster		sdwan_cluster	about.labels.key und about.labels.value additional.fields.key und additional.fields.value.string_value
SD-WAN-Gerätetyp (sdwan_device_type)	PanSDWANDevice		sdwan_device_type	about.labels.key und about.labels.value additional.fields.key und additional.fields.value.string_value
SD-WAN-Clustertyp (sdwan_cluster_type)	PanSDWANClustype		sdwan_cluster_type	about.labels.key und about.labels.value additional.fields.key und additional.fields.value.string_value
SD-WAN-Standort (sdwan_site)	PanSDWANSite		sdwan_site	about.labels.key und about.labels.value additional.fields.key und additional.fields.value.string_value
Name der dynamischen Nutzergruppe (dynusergroup_name)	PanDynamicUsrgrp		dynusergroup_name	about.labels.key und about.labels.value additional.fields.key und additional.fields.value.string_value
XFF-Adresse (xff_ip)	PanXFFIP			principal.ip
Gerätekategorie der Quelle (src_category)	PanSrcDeviceCat		src_category	principal.labels.key und principal.labels.value additional.fields.key und additional.fields.value.string_value
Quellgeräteprofil (src_profile)	PanSrcDeviceProf		src_profile	principal.labels.key und principal.labels.value additional.fields.key und additional.fields.value.string_value
Quellgerätemodell (src_model)	PanSrcDeviceModel		src_model	principal.labels.key und principal.labels.value additional.fields.key und additional.fields.value.string_value
Anbieter des Quellgeräts (src_vendor)	PanSrcDeviceVendor		src_vendor	principal.labels.key und principal.labels.value additional.fields.key und additional.fields.value.string_value
Betriebssystemfamilie des Quellgeräts (src_osfamily)	PanSrcDeviceOS			principal.asset.platform_software.platform principal.labels.key und principal.labels.value additional.fields.key und additional.fields.value.string_value
Betriebssystemversion des Quellgeräts (src_osversion)	PanSrcDeviceOSv			principal.asset.software.version
Quellhostname (src_host)	PanSrcHostname			principal.hostname
Quell-MAC-Adresse (src_mac)	PanSrcMac			principal.mac
Zielgerätekategorie (dst_category)	PanDstDeviceCat		dst_category	target.labels.key und target.labels.value additional.fields.key und additional.fields.value.string_value
Zielgeräteprofil (dst_profile)	PanDstDeviceProf		dst_profile	target.labels.key und target.labels.value additional.fields.key und additional.fields.value.string_value
Zielgerätemodell (dst_model)	PanDstDeviceModel		dst_model	target.labels.key und target.labels.value additional.fields.key und additional.fields.value.string_value
Anbieter des Zielgeräts (dst_vendor)	PanDstDeviceVendor		dst_vendor	target.labels.key und target.labels.value additional.fields.key und additional.fields.value.string_value
Betriebssystemfamilie des Zielgeräts (dst_osfamily)	PanDstDeviceOS		dst_osfamily	target.labels.key und target.labels.value additional.fields.key und additional.fields.value.string_value
Betriebssystemversion des Zielgeräts (dst_osversion)	PanDstDeviceOSv			target.asset.software.version
Ziel-Hostname (dst_host)	PanDstHostname			target.hostname
MAC-Zieladresse (dst_mac)	PanDstMac			target.mac
Container-ID (container_id)	PanContainerName		container_id	about.labels.key und about.labels.value additional.fields.key und additional.fields.value.string_value
POD-Namespace (pod_namespace)	PanPODNamespace		pod_namespace	about.labels.key und about.labels.value additional.fields.key und additional.fields.value.string_value
POD-Name (pod_name)	PanPODName		pod_name	about.labels.key und about.labels.value additional.fields.key und additional.fields.value.string_value
Externe dynamische Quellliste (src_edl)	PanSrcEDL		src_edl	principal.labels.key und principal.labels.value additional.fields.key und additional.fields.value.string_value
Dynamische Liste für externes Ziel (dst_edl)	PanDstEDL		dst_edl	target.labels.key und target.labels.value additional.fields.key und additional.fields.value.string_value
Host-ID (hostid)	PanGPHostID		hostid	about.labels.key und about.labels.value additional.fields.key und additional.fields.value.string_value
Seriennummer des Nutzergeräts (serialnumber)	PanEPSerial			principal.asset.hardware.serial_number
Dynamische Quelladressengruppe (src_dag)	PanSrcDAG			principal.group.group_display_name
Dynamische Zieladressengruppe (dst_dag)	PanDstDAG			target.group.group_display_name
Sitzungsinhaber (session_owner)	PanHASessionOwner		session_owner	about.labels.key und about.labels.value additional.fields.key und additional.fields.value.string_value
Zeitstempel mit hoher Auflösung (high_res_timestamp)	PanTimeHighRes			metadata.collected_timestamp, metadata.event_timestamp (wenn „Generate Time“ fehlt)
Ein Slice-Diensttyp (nsdsai_sst)	PanASServiceType		nsdsai_sst	about.labels.key und about.labels.value additional.fields.key und additional.fields.value.string_value
Slice-Unterscheidungsmerkmal (nsdsai_sd)	PanASServiceDiff		nsdsai_sd	about.labels.key und about.labels.value additional.fields.key und additional.fields.value.string_value
Unterkategorie der Anwendung (subcategory_of_app)			subcategory_of_app	about.labels.key und about.labels.value additional.fields.key und additional.fields.value.string_value
Anwendungskategorie (category_of_app)			category_of_app	about.labels.key und about.labels.value additional.fields.key und additional.fields.value.string_value
Anwendungstechnologie (technology_of_app)			technology_of_app	about.labels.key und about.labels.value additional.fields.key und additional.fields.value.string_value
Anwendungsrisiko (risk_of_app)				security_result.severity
Anwendungsmerkmal (characteristic_of_app)			characteristic_of_app	about.labels.key und about.labels.value additional.fields.key und additional.fields.value.string_value
Anwendungscontainer (container_of_app)			container_of_app	about.labels.key und about.labels.value additional.fields.key und additional.fields.value.string_value
Application SaaS (is_saas_of_app)			is_saas_of_app	about.labels.key und about.labels.value additional.fields.key und additional.fields.value.string_value
Status der Genehmigung der Anwendung (sanctioned_state_of_app)			sanctioned_state_of_app	about.labels.key und about.labels.value additional.fields.key und additional.fields.value.string_value
Unterkategorie der Anwendung (subcategory_of_app)			subcategory_of_app1	about.labels.key und about.labels.value additional.fields.key und additional.fields.value.string_value
Schweregrad (severity)	number-of-severity(header)			security_result.severity und security_result.severity_details

User-ID

In der folgenden Tabelle sind die Logfelder des Logtyps „user-id“ und die entsprechenden UDM-Felder aufgeführt.

CSV-Feld	CEF-Feld	LEEF-Feld	Google Security Operations-Label-Schlüssel	UDM-Feld
Empfangszeit (receive_time oder cef-formatted-receive_time)	rt	devTime		metadata.collected_timestamp, metadata.event_timestamp (wenn „Generate Time“ fehlt)
Seriennummer	deviceExternalId	SerialNumber		intermediary.asset.hardware.serial_number
Typ (type)	Typ (Kopfzeile)	Katze		metadata.product_event_type
Bedrohungs-/Inhaltstyp (Untertyp)	Untertyp (Kopfzeile)	Subtyp		metadata.product_event_type
Erstellungszeit (time_generated oder cef-formatted-time_generated)				metadata.event_timestamp
Virtuelles System (vsys)	cs3	VirtualSystem	vsys	about.labels.key und about.labels.value additional.fields.key und additional.fields.value.string_value
Quell-IP-Adresse (ip)	src	src		principal.ip
Nutzer (user)	duser	usrName		target.user.userid target.administrative_domain target.user.email_addresses
Name der Datenquelle (datasourcename)	cs4	DataSourceName	datasourcename	principal.labels.key und principal.labels.value additional.fields.key und additional.fields.value.string_value
Ereignis-ID (eventid)		EventID	eventid	about.labels.key und about.labels.value additional.fields.key und additional.fields.value.string_value
Anzahl der Wiederholungen (repeatcnt)	cnt	RepeatCount	repeatcnt	about.labels.key und about.labels.value additional.fields.key und additional.fields.value.string_value
Grenzwert für Zeitüberschreitung (timeout)	cn3	TimeoutThreshold	Zeitüberschreitung	about.labels.key und about.labels.value additional.fields.key und additional.fields.value.string_value
Quellport (beginport)	spt	srcPort		principal.port
Zielport (Endport)	dpt	dstPort		target.port
Datenquelle (datasource)	cs5	DataSource	Datenquelle	principal.labels.key und principal.labels.value additional.fields.key und additional.fields.value.string_value
Typ der Datenquelle (datasourcetype)	cs6	DataSourceType	datasourcetype	principal.labels.key und principal.labels.value additional.fields.key und additional.fields.value.string_value
Sequenznummer (seqno)	externalId	Sequenz		metadata.product_log_id
Aktions-Flags (actionflags)	PanOSActionFlags	ActionFlags	actionflags	about.labels.key und about.labels.value additional.fields.key und additional.fields.value.string_value
Hierarchie der Gerätegruppen (dg_hier_level_1)	PanOSDGl1	DeviceGroupHierarchyL1	dg_hier_level_1	about.labels.key und about.labels.value additional.fields.key und additional.fields.value.string_value
Gerätegruppenhierarchie (dg_hier_level_2)	PanOSDGl2	DeviceGroupHierarchyL2	dg_hier_level_2	about.labels.key und about.labels.value additional.fields.key und additional.fields.value.string_value
Hierarchie der Gerätegruppen (dg_hier_level_3)	PanOSDGl3	DeviceGroupHierarchyL3	dg_hier_level_3	about.labels.key und about.labels.value additional.fields.key und additional.fields.value.string_value
Gerätegruppenhierarchie (dg_hier_level_4)	PanOSDGl4	DeviceGroupHierarchyL4	dg_hier_level_4	about.labels.key und about.labels.value additional.fields.key und additional.fields.value.string_value
Name des virtuellen Systems (vsys_name)	PanOSVsysName	vSrcName		principal.resource.name principal.resource.resource_type=VIRTUAL_MACHINE
Gerätename (device_name)	dvchost	DeviceName		intermediary.hostname
ID des virtuellen Systems (vsys_id)	cn2	VirtualSystemID		principal.resource.resource_type=VIRTUAL_MACHINE und principal.resource.product_object_id
Faktortyp (factortype)	cs1	FactorType	factortype	about.labels.key und about.labels.value additional.fields.key und additional.fields.value.string_value
Faktor „Abschlusszeit“ (factorcompletiontime)	Ende	FactorCompletionTime	factorcompletiontime	about.labels.key und about.labels.value additional.fields.key und additional.fields.value.string_value
Faktornummer (factorno)	cn1	FactorNumber	factorno	about.labels.key und about.labels.value additional.fields.key und additional.fields.value.string_value
Nutzergruppen-Flags (ugflags)	PanOSUGFlags		ugflags	about.labels.key und about.labels.value additional.fields.key und additional.fields.value.string_value
Nutzer nach Quelle (userbysource)	PanOSUserBySource			principal.user.userid principal.administrative_domain principal.user.email_addresses
Zeitstempel mit hoher Auflösung (high_res timestamp)	PanOSTimeGeneratedHighResolution			metadata.collected_timestamp, metadata.event_timestamp (wenn „Generate Time“ fehlt)
Schweregrad (severity)	number-of-severity(header)			security_result.severity und security_result.severity_details

Übereinstimmung mit dem HIP

In der folgenden Tabelle sind die Logfelder des Logtyps „HIP-Abgleich“ und die entsprechenden UDM-Felder aufgeführt.

CSV-Feld	CEF-Feld	LEEF-Feld	Google Security Operations-Label-Schlüssel	UDM-Feld
Empfangszeit (receive_time oder cef-formatted-receive_time)	rt	devTime		metadata.collected_timestamp, metadata.event_timestamp (wenn „Generate Time“ fehlt)
Seriennummer	deviceExternalId	SerialNumber		intermediary.asset.hardware.serial_number
Typ (type)	Typ (Kopfzeile)	Katze		metadata.product_event_type
Bedrohungs-/Inhaltstyp (Untertyp)	Untertyp (Kopfzeile)	Subtyp
Erstellungszeit (time_generated oder cef-formatted-time_generated)	start	startTime		metadata.event_timestamp
Quellnutzer (srcuser)	suser	usrName		principal.user.userid
Virtuelles System (vsys)	cs3	VirtualSystem	vsys	about.labels.key und about.labels.value additional.fields.key und additional.fields.value.string_value
Computername (machinename)	shost	identHostName		principal.hostname
Betriebssystem	cs2	Betriebssystem		principal.asset.platform_software.platform
Quelladresse (src)	src	identsrc		principal.ip
HIP (matchname)	Katze	HIP	matchname	about.labels.key und about.labels.value additional.fields.key und additional.fields.value.string_value
Anzahl der Wiederholungen (repeatcnt)	cnt	RepeatCount	repeatcnt	about.labels.key und about.labels.value additional.fields.key und additional.fields.value.string_value
HIP-Typ (matchtype)	Geräteereignisklassen-ID (Header)	HIPType	matchtype	about.labels.key und about.labels.value additional.fields.key und additional.fields.value.string_value
Sequenznummer (seqno)	externalId	Sequenz		metadata.product_log_id
Aktions-Flags (actionflags)	PanOSActionFlags	ActionFlags	actionflags	about.labels.key und about.labels.value additional.fields.key und additional.fields.value.string_value
Hierarchie der Gerätegruppen (dg_hier_level_1)	PanOSDGl1	DeviceGroupHierarchyL1	dg_hier_level_1	about.labels.key und about.labels.value additional.fields.key und additional.fields.value.string_value
Gerätegruppenhierarchie (dg_hier_level_2)	PanOSDGl2	DeviceGroupHierarchyL2	dg_hier_level_2	about.labels.key und about.labels.value additional.fields.key und additional.fields.value.string_value
Hierarchie der Gerätegruppen (dg_hier_level_3)	PanOSDGl3	DeviceGroupHierarchyL3	dg_hier_level_3	about.labels.key und about.labels.value additional.fields.key und additional.fields.value.string_value
Gerätegruppenhierarchie (dg_hier_level_4)	PanOSDGl4	DeviceGroupHierarchyL4	dg_hier_level_4	about.labels.key und about.labels.value additional.fields.key und additional.fields.value.string_value
Name des virtuellen Systems (vsys_name)	PanOSVsysName	vSrcName		principal.resource.name principal.resource.resource_type=VIRTUAL_MACHINE
Gerätename (device_name)	dvchost	DeviceName		intermediary.hostname
ID des virtuellen Systems (vsys_id)	cn2	VirtualSystemID		principal.resource.resource_type=VIRTUAL_MACHINE und principal.resource.product_object_id
IPv6-Systemadresse (srcipv6)	c6a2	srcipv6		principal.asset.ip
Host-ID (hostid)	PanOSHostID			principal.asset.product_object_id
Seriennummer des Nutzergeräts (serialnumber)	PanOSEndpointSerialNumber			principal.asset.hardware.serial_number
MAC-Adresse des Geräts (mac)	PanOSEndpointMac			principal.asset.mac
Zeitstempel mit hoher Auflösung (high_res_timestamp)	PanOSTimeGeneratedHighResolution			metadata.collected_timestamp, metadata.event_timestamp (wenn „Generate Time“ fehlt)
Schweregrad (severity)	number-of-severity(header)			security_result.severity und security_result.severity_details

IP-Tag

In der folgenden Tabelle sind die Logfelder des Logtyps „IP-Tag“ und die entsprechenden UDM-Felder aufgeführt.

CSV-Feld	CEF-Feld	LEEF-Feld	Google Security Operations-Label-Schlüssel	UDM-Feld
Empfangszeit (receive_time oder cef-formatted-receive_time)	rt	devTime		metadata.collected_timestamp, metadata.event_timestamp (wenn „Generate Time“ fehlt)
Seriennummer	deviceExternalId	SerialNumber		intermediary.asset.hardware.serial_number
Typ (type)	Typ (Kopfzeile)	Katze		metadata.product_event_type
Bedrohungs-/Inhaltstyp (Untertyp)	Untertyp (Kopfzeile)	Subtyp		metadata.product_event_type
Erstellungszeit (time_generated oder cef-formatted-time_generated)		GenerateTime		metadata.event_timestamp
Virtuelles System (vsys)	cs3	VirtualSystem	vsys	about.labels.key und about.labels.value additional.fields.key und additional.fields.value.string_value
Quell-IP-Adresse (ip)	src	src		principal.ip
Tag-Name (tag_name)	PanOSTagName	TagName	tag_name	principal.labels.key und principal.labels.value additional.fields.key und additional.fields.value.string_value
Ereignis-ID (event_id)	PanOSEventID	EventID	event_id	about.labels.key und about.labels.value additional.fields.key und additional.fields.value.string_value
Anzahl der Wiederholungen (repeatcnt)	cnt	RepeatCount	repeatcnt	about.labels.key und about.labels.value additional.fields.key und additional.fields.value.string_value
Zeitlimit (timeout)	PanOSTimeout	TimeoutThreshold	Zeitüberschreitung	about.labels.key und about.labels.value additional.fields.key und additional.fields.value.string_value
Name der Datenquelle (datasourcename)	PanOSDataSourceName	DataSourceName	datasourcename	principal.labels.key und principal.labels.value additional.fields.key und additional.fields.value.string_value
Typ der Datenquelle (datasource_type)	PanOSDataSourceType	DataSource	datasource_type	principal.labels.key und principal.labels.value additional.fields.key und additional.fields.value.string_value
Untertyp der Datenquelle (datasource_subtype)	PanOSDataSourceSubType	DataSourceType	datasource_subtype	principal.labels.key und principal.labels.value additional.fields.key und additional.fields.value.string_value
Sequenznummer (seqno)	externalId	Sequenz		metadata.product_log_id
Aktions-Flags (actionflags)	PanOSActionFlags	ActionFlags	actionflags	about.labels.key und about.labels.value additional.fields.key und additional.fields.value.string_value
Hierarchie der Gerätegruppen (dg_hier_level_1)	PanOSDGl1	DeviceGroupHierarchyL1	dg_hier_level_1	about.labels.key und about.labels.value additional.fields.key und additional.fields.value.string_value
Gerätegruppenhierarchie (dg_hier_level_2)	PanOSDGl2	DeviceGroupHierarchyL2	dg_hier_level_2	about.labels.key und about.labels.value additional.fields.key und additional.fields.value.string_value
Hierarchie der Gerätegruppen (dg_hier_level_3)	PanOSDGl3	DeviceGroupHierarchyL3	dg_hier_level_3	about.labels.key und about.labels.value additional.fields.key und additional.fields.value.string_value
Gerätegruppenhierarchie (dg_hier_level_4)	PanOSDGl4	DeviceGroupHierarchyL4	dg_hier_level_4	about.labels.key und about.labels.value additional.fields.key und additional.fields.value.string_value
Name des virtuellen Systems (vsys_name)	PanOsVsysName	vSrcName		principal.resource.name principal.resource.resource_type=VIRTUAL_MACHINE
Gerätename (device_name)	dvchost	DeviceName		intermediary.hostname
ID des virtuellen Systems (vsys_id)	cn2	VirtualSystemID		principal.resource.resource_type=VIRTUAL_MACHINE und principal.resource.product_object_id
Zeitstempel mit hoher Auflösung (high_res timestamp)	PanOSTimeGeneratedHighResolution			metadata.collected_timestamp, metadata.event_timestamp (wenn „Generate Time“ fehlt)
Schweregrad (severity)	number-of-severity(header)			security_result.severity und security_result.severity_details

Entschlüsselung

In der folgenden Tabelle sind die Logfelder des Entschlüsselungslogtyps und die entsprechenden UDM-Felder aufgeführt.

CSV-Feld	CEF-Feld	LEEF-Feld	Google Security Operations-Label-Schlüssel	UDM-Feld
Empfangszeit (receive_time oder cef-formatted-receive_time)	rt			metadata.collected_timestamp, metadata.event_timestamp (wenn „Generate Time“ fehlt)
Seriennummer	PanOSDeviceSN			intermediary.asset.hardware.serial_number
Typ (type)	Typ (Kopfzeile)			metadata.product_event_type
Bedrohungs-/Inhaltstyp (Untertyp)	Untertyp (Kopfzeile)			metadata.product_event_type
Konfigurationsversion (config_ver)	PanOSConfigVersion		config_ver	about.labels.key und about.labels.value additional.fields.key und additional.fields.value.string_value
Erstellungszeit (time_generated)	PanOSLogTimeStamp			metadata.event_timestamp
Quelladresse (src)	src			principal.ip
Zieladresse (dst)	dst			target.ip
NAT-Quell-IP-Adresse (natsrc)	sourceTranslatedAddress			principa.nat_ip
NAT-Ziel-IP-Adresse (natdst)	destinationTranslatedAddress			target.nat_ip
Regel (rule)	cs1			security_result.rule_name
Quellnutzer (srcuser)	suser			principal.user.userid
Zielnutzer (dstuser)	duser			target.user.userid
Anwendung (App)	App			target.application
Virtuelles System (vsys)	cs3		vsys	about.labels.key und about.labels.value additional.fields.key und additional.fields.value.string_value
Quellzone (von)	cs4		von	principal.labels.key und principal.labels.value additional.fields.key und additional.fields.value.string_value
Zielzone (bis)	cs5		bis	target.labels.key und target.labels.value additional.fields.key und additional.fields.value.string_value
Eingangsschnittstelle (inbound_if)	deviceInboundInterface		inbound_if	principal.labels.key und principal.labels.value additional.fields.key und additional.fields.value.string_value
Ausgangsschnittstelle (outbound_if)	deviceOutboundInterface		outbound_if	target.labels.key und target.labels.value additional.fields.key und additional.fields.value.string_value
Aktion protokollieren (Logset)	cs6		logset	about.labels.key und about.labels.value additional.fields.key und additional.fields.value.string_value
Protokollierte Zeit (time_received)	PanOSTimeReceivedManagementPlane			-
Sitzungs-ID (sessionid)	cn1			network.session_id
Anzahl der Wiederholungen (repeatcnt)	PanOSCountOfRepeats/RepeatCount		repeatcnt	about.labels.key und about.labels.value additional.fields.key und additional.fields.value.string_value
Quellport (sport)	spt			principal.port
Zielport (dport)	dpt			target.port
NAT-Quellport (natsport)	sourceTranslatedPort			principal.nat_port
NAT-Zielport (natdport)	destinationTranslatedPort			target.nat_port
Flags (flags)	flexString1		flags	about.labels.key und about.labels.value additional.fields.key und additional.fields.value.string_value
IP-Protokoll (proto)	Proto			network.ip_protocol
Aktion (action)	handeln			security_result.action_details security_result.action
Tunnel (tunnel)	PanOSTunnel		Tunnel	about.labels.key und about.labels.value additional.fields.key und additional.fields.value.string_value
Quell-VM-UUID (src_uuid)	PanOSSourceUUID			principal.asset.asset_id
UUID der Ziel-VM (dst_uuid)	PanOSDestinationUUID			target.asset.asset_id
UUID für Regel (rule_uuid)	PanOSRuleUUID			security_result.rule_id
Phase für Client zu Firewall (hs_stage_c2f)	PanOSClientToFirewall		hs_stage_c2f	about.labels.key und about.labels.value additional.fields.key und additional.fields.value.string_value
Phase für Firewall-zu-Server (hs_stage_f2s)	PanOSFirewallToServer		hs_stage_f2s	about.labels.key und about.labels.value additional.fields.key und additional.fields.value.string_value
TLS-Version (tls_version)	PanOSTLSVersion			network.tls.version
Algorithmus für Schlüsselaustausch (tls_keyxchg)	PanOSTLSKeyExchange		tls_keyxchg	about.labels.key und about.labels.value additional.fields.key und additional.fields.value.string_value
Verschlüsselungsalgorithmus (tls_enc)	PanOSTLSEncryptionAlgorithm		tls_enc	about.labels.key und about.labels.value additional.fields.key und additional.fields.value.string_value
Hash-Algorithmus (tls_auth)	PanOSTLSAuth		tls_auth	about.labels.key und about.labels.value additional.fields.key und additional.fields.value.string_value
Richtlinienname (policy_name)	PanOSPolicyName		policy_name	about.labels.key und about.labels.value additional.fields.key und additional.fields.value.string_value
Elliptische Kurve (ec_curve)	PanOSEllipticCurve			network.tls.curve
Fehlerindex (err_index)	PanOSErrorIndex		err_index	about.labels.key und about.labels.value additional.fields.key und additional.fields.value.string_value
Root-Status (root_status)	PanOSRootStatus		root_status	about.labels.key und about.labels.value additional.fields.key und additional.fields.value.string_value
Kettenstatus (chain_status)	PanOSChainStatus		chain_status	about.labels.key und about.labels.value additional.fields.key und additional.fields.value.string_value
Proxytyp (proxy_type)	PanOSProxyType		proxy_type	about.labels.key und about.labels.value additional.fields.key und additional.fields.value.string_value
Seriennummer des Zertifikats (cert_serial)	PanOSCertificateSerial			network.tls.server.certificate.serial
Zertifikat-Fingerabdruck (fingerprint)	PanOSFingerprint			network.tls.server.certificate.md5/sha1/sha256
Zertifikatsstartdatum (notbefore)	PanOSTimeNotBefore			network.tls.server.certificate.not_before
Enddatum des Zertifikats (notafter)	PanOSTimeNotAfter			network.tls.server.certificate.not_after
Zertifikatsversion (cert_ver)	PanOSCertificateVersion			network.tls.server.certificate.version
Zertifikatsgröße (cert_size)	PanOSCertificateSize		cert_size	about.labels.key und about.labels.value additional.fields.key und additional.fields.value.string_value
Länge des allgemeinen Namens (cn_len)	PanOSCommonNameLength		cn_len	about.labels.key und about.labels.value additional.fields.key und additional.fields.value.string_value
Länge des allgemeinen Namens des Ausstellers (issuer_len)	PanOSIssuerNameLength		issuer_len	about.labels.key und about.labels.value additional.fields.key und additional.fields.value.string_value
Länge des gemeinsamen Namens des Root-Zertifikats (rootcn_len)	PanOSRootCNLength		rootcn_len	about.labels.key und about.labels.value additional.fields.key und additional.fields.value.string_value
SNI-Länge (sni_len)	PanOSSNILength		sni_len	about.labels.key und about.labels.value additional.fields.key und additional.fields.value.string_value
Zertifikats-Flags (cert_flags)	PanOSCertificateFlags		cert_flags	about.labels.key und about.labels.value additional.fields.key und additional.fields.value.string_value
Allgemeiner Name des Inhabers (cn)	PanOSCommonName		cn	about.labels.key und about.labels.value additional.fields.key und additional.fields.value.string_value
Allgemeiner Name des Ausstellers (issuer_cn)	PanOSIssuerCommonName			network.tls.server.certificate.issuer
Allgemeiner Name des Root-Zertifikats (root_cn)	PanOSRootCommonName		root_cn	about.labels.key und about.labels.value additional.fields.key und additional.fields.value.string_value
Server Name Indication (sni)				network.tls.client.server_name
Fehler (error)	PanOSErrorMessage		Fehler	about.labels.key und about.labels.value additional.fields.key und additional.fields.value.string_value
Container-ID (container_id)	PanOSContainerID		container_id	about.labels.key und about.labels.value additional.fields.key und additional.fields.value.string_value
POD-Namespace (pod_namespace)	PanOSContainerNameSpace		pod_namespace	about.labels.key und about.labels.value additional.fields.key und additional.fields.value.string_value
POD-Name (pod_name)	PanOSContainerName		pod_name	about.labels.key und about.labels.value additional.fields.key und additional.fields.value.string_value
Externe dynamische Quellliste (src_edl)	PanOSSourceEDL		src_edl	principal.labels.key und principal.labels.value additional.fields.key und additional.fields.value.string_value
Dynamische Liste für externes Ziel (dst_edl)	PanOSDestinationEDL		dst_edl	target.labels.key und target.labels.value additional.fields.key und additional.fields.value.string_value
Dynamische Quelladressengruppe (src_dag)	PanOSSourceDynamicAddressGroup			principal.group.group_display_name
Dynamische Zieladressengruppe (dst_dag)	PanOSDestinationDynamicAddressGroup			target.group.group_display_name
Zeitstempel mit hoher Auflösung (high_res_timestamp)	PanOSTimeGeneratedHighResolution			metadata.collected_timestamp, metadata.event_timestamp (wenn „Generate Time“ fehlt)
Gerätekategorie der Quelle (src_category)	PanOSSourceDeviceCategory		src_category	principal.labels.key und principal.labels.value additional.fields.key und additional.fields.value.string_value
Quellgeräteprofil (src_profile)	PanOSSourceDeviceProfile		src_profile	principal.labels.key und principal.labels.value additional.fields.key und additional.fields.value.string_value
Quellgerätemodell (src_model)	PanOSSourceDeviceModel		src_model	principal.labels.key und principal.labels.value additional.fields.key und additional.fields.value.string_value
Anbieter des Quellgeräts (src_vendor)	PanOSSourceDeviceVendor		src_vendor	principal.labels.key und principal.labels.value additional.fields.key und additional.fields.value.string_value
Betriebssystemfamilie des Quellgeräts (src_osfamily)	PanOSSourceDeviceOSFamily			principal.asset.platform_software.platform principal.labels.key und principal.labels.value
Betriebssystemversion des Quellgeräts (src_osversion)	PanOSSourceDeviceOSVersion			principal.asset.software.version
Quellhostname (src_host)	PanOSSourceDeviceHost			principal.hostname
Quell-MAC-Adresse (src_mac)	PanOSSourceDeviceMac			principal.mac
Zielgerätekategorie (dst_category)	PanOSDestinationDeviceCategory		dst_category	target.labels.key und target.labels.value additional.fields.key und additional.fields.value.string_value
Zielgeräteprofil (dst_profile)	PanOSDestinationDeviceProfile		dst_profile	target.labels.key und target.labels.value additional.fields.key und additional.fields.value.string_value
Zielgerätemodell (dst_model)	PanOSDestinationDeviceModel		dst_model	target.labels.key und target.labels.value additional.fields.key und additional.fields.value.string_value
Anbieter des Zielgeräts (dst_vendor)	PanOSDestinationDeviceVendor		dst_vendor	target.labels.key und target.labels.value additional.fields.key und additional.fields.value.string_value
Betriebssystemfamilie des Zielgeräts (dst_osfamily)	PanOSDestinationDeviceOSFamily		dst_osfamily	target.labels.key und target.labels.value additional.fields.key und additional.fields.value.string_value
Betriebssystemversion des Zielgeräts (dst_osversion)	PanOSDestinationDeviceOSVersion			target.asset.software.version
Ziel-Hostname (dst_host)	PanOSDestinationDeviceHost			target.hostname
MAC-Zieladresse (dst_mac)	PanOSDestinationDeviceMac			target.mac
Sequenznummer (seqno)	PanOSLogTypeSeqNo			metadata.product_log_id
Aktions-Flags (actionflags)	PanOSActionFlags		actionflags	about.labels.key und about.labels.value additional.fields.key und additional.fields.value.string_value
Hierarchie der Gerätegruppen (dg_hier_level_1)		DeviceGroupHierarchyL1	dg_hier_level_1	about.labels.key und about.labels.value additional.fields.key und additional.fields.value.string_value
Gerätegruppenhierarchie (dg_hier_level_2)		DeviceGroupHierarchyL2	dg_hier_level_2	about.labels.key und about.labels.value additional.fields.key und additional.fields.value.string_value
Hierarchie der Gerätegruppen (dg_hier_level_3)		DeviceGroupHierarchyL3	dg_hier_level_3	about.labels.key und about.labels.value additional.fields.key und additional.fields.value.string_value
Gerätegruppenhierarchie (dg_hier_level_4)		DeviceGroupHierarchyL4	dg_hier_level_4	about.labels.key und about.labels.value additional.fields.key und additional.fields.value.string_value
Name des virtuellen Systems (vsys_name)				principal.resource.name principal.resource.resource_type=VIRTUAL_MACHINE
Gerätename (device_name)				intermediary.hostname
ID des virtuellen Systems (vsys_id)				principal.resource.resource_type=VIRTUAL_MACHINE und principal.resource.product_object_id
Unterkategorie der Anwendung (subcategory_of_app)			subcategory_of_app	about.labels.key und about.labels.value additional.fields.key und additional.fields.value.string_value
Anwendungskategorie (category_of_app)			category_of_app	about.labels.key und about.labels.value additional.fields.key und additional.fields.value.string_value
Anwendungstechnologie (technology_of_app)			technology_of_app	about.labels.key und about.labels.value additional.fields.key und additional.fields.value.string_value
Anwendungsrisiko (risk_of_app)				security_result.severity
Anwendungsmerkmal (characteristic_of_app)			characteristic_of_app	about.labels.key und about.labels.value additional.fields.key und additional.fields.value.string_value
Anwendungscontainer (container_of_app)			container_of_app	about.labels.key und about.labels.value additional.fields.key und additional.fields.value.string_value
Application SaaS (is_saas_of_app)			is_saas_of_app	about.labels.key und about.labels.value additional.fields.key und additional.fields.value.string_value
Status der Genehmigung der Anwendung (sanctioned_state_of_app)			sanctioned_state_of_app	about.labels.key und about.labels.value additional.fields.key und additional.fields.value.string_value
Schweregrad (severity)	number-of-severity(header)			security_result.severity und security_result.severity_details

Tunnel

In der folgenden Tabelle sind die Logfelder des Tunnel-Logtyps und die entsprechenden UDM-Felder aufgeführt.

CSV-Feld	CEF-Feld	LEEF-Feld	Google Security Operations-Label-Schlüssel	UDM-Feld
Empfangszeit (receive_time oder cef-formatted-receive_time)	rt	devTime		metadata.collected_timestamp, metadata.event_timestamp (wenn „Generate Time“ fehlt)
Seriennummer	deviceExternalId	SerialNumber		intermediary.asset.hardware.serial_number
Typ (type)	Typ (Kopfzeile)	Katze		metadata.product_event_type
Bedrohungs-/Inhaltstyp (Untertyp)	Untertyp (Kopfzeile)	Subtyp		metadata.product_event_type
Erstellungszeit (time_generated oder cef-formatted-time_generated)				metadata.event_timestamp
Quelladresse (src)	src	src		principal.ip
Zieladresse (dst)	dst	dst		target.ip
NAT-Quell-IP-Adresse (natsrc)	sourceTranslatedAddress	srcPostNAT		principal.nat_ip
NAT-Ziel-IP-Adresse (natdst)	destinationTranslatedAddress	dstPostNAT		target.nat_ip
Regelname (rule)	cs1	RuleName		security_result.rule_name
Quellnutzer (srcuser)	suser	SourceUser / usrName		principal.user.userid
Zielnutzer (dstuser)	duser	DestinationUser		target.user.userid
Anwendung (App)	App	Anwendung		network.application_protocol
Virtuelles System (vsys)	cs3	VirtualSystem	vsys	about.labels.key und about.labels.value additional.fields.key und additional.fields.value.string_value
Quellzone (von)	cs4	SourceZone	von	principal.labels.key und principal.labels.value additional.fields.key und additional.fields.value.string_value
Zielzone (bis)	cs5	DestinationZone	bis	target.labels.key und target.labels.value additional.fields.key und additional.fields.value.string_value
Eingangsschnittstelle (inbound_if)	deviceInboundInterface	IngressInterface	inbound_if	principal.labels.key und principal.labels.value additional.fields.key und additional.fields.value.string_value
Ausgangsschnittstelle (outbound_if)	deviceOutboundInterface	EgressInterface	outbound_if	target.labels.key und target.labels.value additional.fields.key und additional.fields.value.string_value
Aktion protokollieren (Logset)	cs6	LogForwardingProfile	logset	about.labels.key und about.labels.value additional.fields.key und additional.fields.value.string_value
Sitzungs-ID (sessionid)	cn1	SessionID		network.session_id
Anzahl der Wiederholungen (repeatcnt)	cnt	RepeatCount	repeatcnt	about.labels.key und about.labels.value additional.fields.key und additional.fields.value.string_value
Quellport (sport)	spt	srcPort		principal.port
Zielport (dport)	dpt	dstPort		target.port
NAT-Quellport (natsport)	sourceTranslatedPort	srcPostNATPort		principal.nat_port
NAT-Zielport (natdport)	destinationTranslatedPort	dstPostNATPort		target.nat_port
Flags (flags)	flexString1	Flags	flags	about.labels.key und about.labels.value additional.fields.key und additional.fields.value.string_value
IP-Protokoll (proto)	Proto	Proto		network.ip_protocol
Aktion (action)	handeln	Aktion		security_result.action_details security_result.action
Schweregrad (severity)	number-of-severity(header)			security_result.severity und security_result.severity_details
Sequenznummer (seqno)	externalId	Sequenz		metadata.product_log_id
Aktions-Flags (actionflags)	PanOSActionFlags	ActionFlags	actionflags	about.labels.key und about.labels.value additional.fields.key und additional.fields.value.string_value
Quellort (srcloc)				principal.location.country_or_region
Zielort (dstloc)				target.location.country_or_region
Hierarchie der Gerätegruppen (dg_hier_level_1)	PanOSDGl1	DeviceGroupHierarchyL1	dg_hier_level_1	about.labels.key und about.labels.value additional.fields.key und additional.fields.value.string_value
Gerätegruppenhierarchie (dg_hier_level_2)	PanOSDGl2	DeviceGroupHierarchyL2	dg_hier_level_2	about.labels.key und about.labels.value additional.fields.key und additional.fields.value.string_value
Hierarchie der Gerätegruppen (dg_hier_level_3)	PanOSDGl3	DeviceGroupHierarchyL3	dg_hier_level_3	about.labels.key und about.labels.value additional.fields.key und additional.fields.value.string_value
Gerätegruppenhierarchie (dg_hier_level_4)	PanOSDGl4	DeviceGroupHierarchyL4	dg_hier_level_4	about.labels.key und about.labels.value additional.fields.key und additional.fields.value.string_value
Name des virtuellen Systems (vsys_name)	PanOSVsysName	vSrcName		principal.resource.name principal.resource.resource_type=VIRTUAL_MACHINE
Gerätename (device_name)	dvchost	DeviceName		intermediary.hostname
Tunnel-ID (tunnelid)	PanOSTunnelID	TunnelID	tunnelid	about.labels.key und about.labels.value additional.fields.key und additional.fields.value.string_value
Monitor-Tag (monitortag)	PanOSMonitorTag	MonitorTag	monitortag	about.labels.key und about.labels.value additional.fields.key und additional.fields.value.string_value
ID der übergeordneten Sitzung (parent_session_id)	PanOSParentSessionID	ParentSessionID	parent_session_id	network.parent_session_id
Beginn des übergeordneten Ereignisses (parent_start_time)	PanOSParentStartTime	ParentStartTime	parent_start_time	about.labels.key und about.labels.value additional.fields.key und additional.fields.value.string_value
Tunneltyp (tunnel)	cs2	TunnelType	Tunnel	about.labels.key und about.labels.value additional.fields.key und additional.fields.value.string_value
Byte (Byte)	flexNumber1	totalBytes	Byte	about.labels.key und about.labels.value additional.fields.key und additional.fields.value.string_value
Gesendete Byte (bytes_sent)	in	srcBytes		network.sent_bytes
Empfangene Byte (bytes_received)	out	dstBytes		network.received_bytes
Pakete (packets)	cn2	totalPackets	Pakete	about.labels.key und about.labels.value additional.fields.key und additional.fields.value.string_value
Gesendete Pakete (pkts_sent)	PanOSPacketsSent	srcPackets	pkts_sent	about.labels.key und about.labels.value additional.fields.key und additional.fields.value.string_value
Empfangene Pakete (pkts_received)	PanOSPacketsReceived	dstPackets	pkts_received	about.labels.key und about.labels.value additional.fields.key und additional.fields.value.string_value
Maximale Kapselung (max_encap)	flexNumber2	MaximumEncapsulation	max_encap	about.labels.key und about.labels.value additional.fields.key und additional.fields.value.string_value
Unbekanntes Protokoll (unknown_proto)	cfp1	UnknownProtocol	unknown_proto	about.labels.key und about.labels.value additional.fields.key und additional.fields.value.string_value
Strikte Prüfung (strict_check)	cfp2	StrictChecking	strict_check	about.labels.key und about.labels.value additional.fields.key und additional.fields.value.string_value
Tunnel-Fragment (tunnel_fragment)	PanOSTunnelFragment	TunnelFragment	tunnel_fragment	about.labels.key und about.labels.value additional.fields.key und additional.fields.value.string_value
Erstellte Sitzungen (sessions_created)	cfp3	SessionsCreated	sessions_created	about.labels.key und about.labels.value additional.fields.key und additional.fields.value.string_value
Geschlossene Sitzungen (sessions_closed)	cfp4	SessionsClosed	sessions_closed	about.labels.key und about.labels.value additional.fields.key und additional.fields.value.string_value
Grund für das Ende der Sitzung (session_end_reason)	reason	SessionEndReason		security_result.summary
Aktionsquelle (action_source)	Katze	ActionSource	action_source	about.labels.key und about.labels.value additional.fields.key und additional.fields.value.string_value
Beginn (start)		startTime	start	about.labels.key und about.labels.value additional.fields.key und additional.fields.value.string_value
Verstrichene Zeit (elapsed)	cn3	ElapsedTime	verstrichen	network.session_duration.seconds
Tunnel Inspection Rule (tunnel_insp_rule)	PanOSTunneInspectionRule			security_result.rule_name = "Tunnel Inspection Rule: %{PanOSTunnelInspectionRule}"
Remote-Nutzer-IP (remote_user_ip)	PanOSRmtUserIP			target.ip
Remote-Nutzer-ID (remote_user_id)	PanOSRmtUserID		remote_user_id	target.labels.key und target.labels.value additional.fields.key und additional.fields.value.string_value
UUID der Sicherheitsregel (rule_uuid)	PanOSRuleUUID			security_result.rule_id
PCAP-ID (pcap_id)	PanOSPcapID		pcap_id	about.labels.key und about.labels.value additional.fields.key und additional.fields.value.string_value
Name der dynamischen Nutzergruppe (dynusergroup_name)	PanDynamicUsrgrp			principal.group.group_display_name
Externe dynamische Quellliste (src_edl)	PanOSSourceEDL		src_edl	principal.labels.key und principal.labels.value additional.fields.key und additional.fields.value.string_value
Dynamische Liste für externes Ziel (dst_edl)	PanOSDestinationEDL		dst_edl	target.labels.key und target.labels.value additional.fields.key und additional.fields.value.string_value
Zeitstempel mit hoher Auflösung (high_res timestamp)	PanOSTimeGeneratedHighResolution			metadata.collected_timestamp, metadata.event_timestamp (wenn „Generate Time“ fehlt)
Slice-Unterscheidungsmerkmal (nssai_sd)			nssai_sd	about.labels.key und about.labels.value additional.fields.key und additional.fields.value.string_value
Ein Slice-Diensttyp (nssai_sd)			nssai_sd1	about.labels.key und about.labels.value additional.fields.key und additional.fields.value.string_value
PDU-Sitzungs-ID (pdu_session_id)			pdu_session_id	about.labels.key und about.labels.value additional.fields.key und additional.fields.value.string_value
Unterkategorie der Anwendung (subcategory_of_app)			subcategory_of_app	about.labels.key und about.labels.value additional.fields.key und additional.fields.value.string_value
Anwendungskategorie (category_of_app)			category_of_app	about.labels.key und about.labels.value additional.fields.key und additional.fields.value.string_value
Anwendungstechnologie (technology_of_app)			technology_of_app	about.labels.key und about.labels.value additional.fields.key und additional.fields.value.string_value
Anwendungsrisiko (risk_of_app)			risk_of_app	about.labels.key und about.labels.value additional.fields.key und additional.fields.value.string_value
Anwendungsmerkmal (characteristic_of_app)			characteristic_of_app	about.labels.key und about.labels.value additional.fields.key und additional.fields.value.string_value
Anwendungscontainer (container_of_app)			container_of_app	about.labels.key und about.labels.value additional.fields.key und additional.fields.value.string_value
Application SaaS (is_saas_of_app)			is_saas_of_app	about.labels.key und about.labels.value additional.fields.key und additional.fields.value.string_value
Status der Genehmigung der Anwendung (sanctioned_state_of_app)			sanctioned_state_of_app	about.labels.key und about.labels.value additional.fields.key und additional.fields.value.string_value

Authentifizierung

In der folgenden Tabelle sind die Logfelder des Authentifizierungslogtyps und die entsprechenden UDM-Felder aufgeführt.

CSV-Feld	CEF-Feld	LEEF-Feld	Google Security Operations-Label-Schlüssel	UDM-Feld
Empfangszeit (receive_time oder cef-formatted-receive_time)	rt	devTime		metadata.collected_timestamp, metadata.event_timestamp (wenn „Generate Time“ fehlt)
Seriennummer	deviceExternalId	SerialNumber		intermediary.asset.hardware.serial_number
Typ (type)	Typ (Kopfzeile)	Katze		metadata.product_event_type
Bedrohungs-/Inhaltstyp (Untertyp)	Untertyp (Kopfzeile)	Subtyp		metadata.product_event_type
Erstellungszeit (time_generated oder cef-formatted-time_generated)				metadata.event_timestamp
Virtuelles System (vsys)	cs3	VirtualSystem	vsys	about.labels.key und about.labels.value additional.fields.key und additional.fields.value.string_value
Quell-IP-Adresse (ip)	src	src		principal.ip
Nutzer (user)	duser	usrName		target.user.userid
Nutzer normalisieren (normalize_user)	cs2	NormalizeUser		target.user.user_display_name
Objekt (object)	fname	ObjectName	Objekt	about.labels.key und about.labels.value additional.fields.key und additional.fields.value.string_value
Authentifizierungsrichtlinie (authpolicy)	cs4	AuthPolicy	authpolicy	about.labels.key und about.labels.value additional.fields.key und additional.fields.value.string_value
Anzahl der Wiederholungen (repeatcnt)	cnt	RepeatCount	repeatcnt	about.labels.key und about.labels.value additional.fields.key und additional.fields.value.string_value
Authentifizierungs-ID (authid)	cn2	AuthenticationID	authid	about.labels.key und about.labels.value additional.fields.key und additional.fields.value.string_value
Anbieter (vendor)	flexString2	Lieferant	vendor	about.labels.key und about.labels.value additional.fields.key und additional.fields.value.string_value
Aktion protokollieren (Logset)	cs6	LogForwardingProfile	logset	about.labels.key und about.labels.value additional.fields.key und additional.fields.value.string_value
Serverprofil (serverprofile)	cs1	ServerProfile	serverprofile	about.labels.key und about.labels.value additional.fields.key und additional.fields.value.string_value
Beschreibung (absteigend)	PanOSDesc	AdditionalAuthInfo		security_result.description
Clienttyp (clienttype)	cs5	ClientType	clienttype	about.labels.key und about.labels.value additional.fields.key und additional.fields.value.string_value
Ereignistyp (event)	msg	msg		extensions.auth.auth_details
Faktornummer (factorno)	cn1	FactorNumber	factorno	about.labels.key und about.labels.value additional.fields.key und additional.fields.value.string_value
Sequenznummer (seqno)	externalId	Sequenz		metadata.product_log_id
Aktions-Flags (actionflags)	PanOSActionFlags	ActionFlags	actionflags	about.labels.key und about.labels.value additional.fields.key und additional.fields.value.string_value
Hierarchie der Gerätegruppen (dg_hier_level_1)	PanOSDGl1	DeviceGroupHierarchyL1	dg_hier_level_1	about.labels.key und about.labels.value additional.fields.key und additional.fields.value.string_value
Gerätegruppenhierarchie (dg_hier_level_2)	PanOSDGl2	DeviceGroupHierarchyL2	dg_hier_level_2	about.labels.key und about.labels.value additional.fields.key und additional.fields.value.string_value
Hierarchie der Gerätegruppen (dg_hier_level_3)	PanOSDGl3	DeviceGroupHierarchyL3	dg_hier_level_3	about.labels.key und about.labels.value additional.fields.key und additional.fields.value.string_value
Gerätegruppenhierarchie (dg_hier_level_4)	PanOSDGl4	DeviceGroupHierarchyL4	dg_hier_level_4	about.labels.key und about.labels.value additional.fields.key und additional.fields.value.string_value
Name des virtuellen Systems (vsys_name)	PanOSVsysName	vSrcName		principal.resource.name principal.resource.resource_type=VIRTUAL_MACHINE
Gerätename (device_name)	dvchost	DeviceName		intermediary.hostname
ID des virtuellen Systems (vsys_id)				principal.resource.resource_type=VIRTUAL_MACHINE und principal.resource.product_object_id
Authentifizierungsprotokoll (authproto)			authproto	about.labels.key und about.labels.value additional.fields.key und additional.fields.value.string_value
UUID für Regel (rule_uuid)	PanOSRuleUUID/RuleUUID			security_result.rule_id
Zeitstempel mit hoher Auflösung (high_res_timestamp)	PanOSTimeGeneratedHighResolution			metadata.collected_timestamp, metadata.event_timestamp (wenn „Generate Time“ fehlt)
Gerätekategorie der Quelle (src_category)	PanOSSourceDeviceCategory		src_category	principal.labels.key und principal.labels.value additional.fields.key und additional.fields.value.string_value
Quellgeräteprofil (src_profile)	PanOSSourceDeviceProfile		src_profile	principal.labels.key und principal.labels.value additional.fields.key und additional.fields.value.string_value
Quellgerätemodell (src_model)	PanOSSourceDeviceModel		src_model	principal.labels.key und principal.labels.value additional.fields.key und additional.fields.value.string_value
Anbieter des Quellgeräts (src_vendor)	PanOSSourceDeviceVendor		src_vendor	principal.labels.key und principal.labels.value additional.fields.key und additional.fields.value.string_value
Betriebssystemfamilie des Quellgeräts (src_osfamily)	PanOSSourceDeviceOSFamily			principal.asset.platform_software.platform principal.labels.key und principal.labels.value additional.fields.key und additional.fields.value.string_value
Betriebssystemversion des Quellgeräts (src_osversion)	PanOSSourceDeviceOSVersion			principal.asset.software.version
Quellhostname (src_host)	PanOSSourceHostname			principal.hostname
Quell-MAC-Adresse (src_mac)	PanOSSourceMac			principal.asset.mac
Region (region)	PanOSTrafficOriginRegion			principal.location.country_or_region
User-Agent (user_agent)	PanOSHTTPUserAgent			network.http.user_agent
Sitzungs-ID(sessionid)	PanOSTrafficSessionID			network.session_id
Schweregrad (severity)	number-of-severity(header)			security_result.severity und security_result.severity_details

URL

In der folgenden Tabelle sind die Logfelder des URL-Logtyps und die entsprechenden UDM-Felder aufgeführt.

CSV-Feld	CEF-Feld	LEEF-Feld	Google Security Operations-Label-Schlüssel	UDM-Feld
Empfangszeit (cef-formatted-receive_time)	rt	devTime		metadata.collected_timestamp, metadata.event_timestamp (wenn „Generate Time“ fehlt)
Seriennummer (serial)	deviceExternalId	SerialNumber		intermediary.asset.hardware.serial_number
Typ (type)	Typ (Kopfzeile)	Katze		metadata.product_event_type
Bedrohungs-/Inhaltstyp (Untertyp)	Untertyp (Kopfzeile)	Subtyp		metadata.product_event_type
Generierungszeit				metadata.event_timestamp
Quelladresse (src)	src	src		principal.ip
Zieladresse (dst)	dst	dst		target.ip
NAT-Quell-IP-Adresse (natsrc)	sourceTranslatedAddress	srcPostNAT		principal.nat_ip
NAT-Ziel-IP-Adresse (natdst)	destinationTranslatedAddress	dstPostNAT		target.nat_ip
Regel (rule)	cs1	RuleName		security_result.rule_name
Quellnutzer (srcuser)	suser	SourceUser		principal.user.userid
Zielnutzer (dstuser)	duser	DestinationUser		target.user.userid
Anwendung (App)	App	Anwendung		network.application_protocol
Virtuelles System (vsys)	cs3	VirtualSystem	vsys	about.labels.key und about.labels.value additional.fields.key und additional.fields.value.string_value
Quellzone (von)	cs4	SourceZone	von	principal.labels.key und principal.labels.value additional.fields.key und additional.fields.value.string_value
Zielzone (bis)	cs5	DestinationZone	bis	target.labels.key und target.labels.value additional.fields.key und additional.fields.value.string_value
Eingangsschnittstelle (inbound_if)	deviceInboundInterface	IngressInterface	inbound_if	principal.labels.key und principal.labels.value additional.fields.key und additional.fields.value.string_value
Ausgangsschnittstelle (outbound_if)	deviceOutboundInterface	EgressInterface	outbound_if	target.labels.key und target.labels.value additional.fields.key und additional.fields.value.string_value
Aktion protokollieren (Logset)	cs6	LogForwardingProfile	logset	about.labels.key und about.labels.value additional.fields.key und additional.fields.value.string_value
Zeit der Protokollierung			time_logged	about.labels.key und about.labels.value additional.fields.key und additional.fields.value.string_value
Sitzungs-ID (sessionid)	cn1	SessionID		network.session_id
Anzahl der Wiederholungen (repeatcnt)	cnt	RepeatCount	repeatcnt	about.labels.key und about.labels.value additional.fields.key und additional.fields.value.string_value
Quellport (sport)	spt	srcPort		principal.port
Zielport (dport)	dpt	dstPort		target.port
NAT-Quellport (natsport)	sourceTranslatedPort	srcPostNATPort		principal.nat_port
NAT-Zielport (natdport)	destinationTranslatedPort	dstPostNATPort		target.nat_port
Flags (flags)	flexString1	Flags	flags	about.labels.key und about.labels.value additional.fields.key und additional.fields.value.string_value
IP-Protokoll (proto)	Proto	Proto		network.ip_protocol
Aktion (action)	handeln	Aktion		security_result.action_details security_result.action
URL/Dateiname (Sonstiges)		Sonstiges		target.file.full_path target.url
Name der Bedrohung/des Inhalts (threatid)	Katze	ThreatID		security_result.threat_id
Kategorie (category)	cs2	URLCategory	Kategorie	about.labels.key und about.labels.value additional.fields.key und additional.fields.value.string_value
Schweregrad (severity)	number-of-severity (Header)	Schweregrad		security_result.severity security_result.severity_details
Richtung (direction)	flexString2	Richtung		network.direction
Sequenznummer (seqno)	externalId	Sequenz		metadata.product_log_id
Aktions-Flags (actionflags)	PanOSActionFlags	ActionFlags	actionflags	about.labels.key und about.labels.value additional.fields.key und additional.fields.value.string_value
Quellland (srcloc)		SourceLocation		principal.location.country_or_region
Zielland (dstloc)		DestinationLocation		target.location.country_or_region
contenttype (contenttype)	requestContext	ContentType	contenttype	about.labels.key und about.labels.value additional.fields.key und additional.fields.value.string_value
pcap_id (pcap_id)	fileId	PCAP_ID	pcap_id	about.labels.key und about.labels.value additional.fields.key und additional.fields.value.string_value
filedigest (filedigest)		FileDigest		about.file.sha1/md5/sha256
cloud (cloud)		Cloud	Cloud	about.labels.key und about.labels.value additional.fields.key und additional.fields.value.string_value
url_idx (url_idx)		URLIndex	url_idx	about.labels.key und about.labels.value additional.fields.key und additional.fields.value.string_value
user_agent (user_agent)	requestClientApplication	User-Agent		network.http.user_agent
Dateityp (filetype)				about.file.mime_type
xff (xff)	PanOSXForwarderfor	identSrc	xff	about.labels.key und about.labels.value additional.fields.key und additional.fields.value.string_value
Referrer (referer)	PanOSReferer	Verwiesen von:		network.http.referral_url
Absender (sender)				network.email.from
Betreff (subject)		Betreff		network.email.subject
Empfänger (recipient)				network.email.to
reportid (reportid)			reportid	about.labels.key und about.labels.value additional.fields.key und additional.fields.value.string_value
DG Hierarchy Level 1 (dg_hier_level_1)	PanOSDGl1	DeviceGroupHierarchyL1	dg_hier_level_1	about.labels.key und about.labels.value additional.fields.key und additional.fields.value.string_value
DG Hierarchy Level 2 (dg_hier_level_2)	PanOSDGl2	DeviceGroupHierarchyL2	dg_hier_level_2	about.labels.key und about.labels.value additional.fields.key und additional.fields.value.string_value
Demand Gen-Hierarchieebene 3 (dg_hier_level_3)	PanOSDGl3	DeviceGroupHierarchyL3	dg_hier_level_3	about.labels.key und about.labels.value additional.fields.key und additional.fields.value.string_value
Demand Gen-Hierarchieebene 4 (dg_hier_level_4)	PanOSDGl4	DeviceGroupHierarchyL4	dg_hier_level_4	about.labels.key und about.labels.value additional.fields.key und additional.fields.value.string_value
Name des virtuellen Systems (vsys_name)	PanOSVsysName	vSrcName		principal.resource.name principal.resource.resource_type=VIRTUAL_MACHINE
Gerätename (device_name)	dvchost	DeviceName		intermediary.hostname
file_url (file_url)				about.url
Quell-VM-UUID (src_uuid)		SrcUUID		principal.asset.asset_id
UUID der Ziel-VM (dst_uuid)		DstUUID		target.asset.asset_id
http_method (http_method)	requestMethod	RequestMethod		network.http.method
Tunnel-ID/IMSI (tunnelid)	PanOSTunnelID	TunnelID	tunnelid	about.labels.key und about.labels.value additional.fields.key und additional.fields.value.string_value
Monitor-Tag/IMEI (monitortag)	PanOSMonitorTag	MonitorTag	monitortag	about.labels.key und about.labels.value additional.fields.key und additional.fields.value.string_value
ID der übergeordneten Sitzung (parent_session_id)	PanOSParentSessionID	ParentSessionID	parent_session_id	network.parent_session_id
Beginn der übergeordneten Sitzung (parent_start_time)	PanOSParentStartTime	ParentStartTime	parent_start_time	about.labels.key und about.labels.value additional.fields.key und additional.fields.value.string_value
Tunnel (tunnel)	PanOSTunnelType	TunnelType	Tunnel	about.labels.key und about.labels.value additional.fields.key und additional.fields.value.string_value
thr_category (thr_category)	PanOSThreatCategory	ThreatCategory	thr_category	security_result.detection_fields.key/value
contentver (contentver)	PanOSContentVer	ContentVer	contentver	about.labels.key und about.labels.value additional.fields.key und additional.fields.value.string_value
sig_flags (sig_flags)			sig_flags	about.labels.key und about.labels.value additional.fields.key und additional.fields.value.string_value
SCTP-Verbindungs-ID (assoc_id)	PanOSAssocID		assoc_id	about.labels.key und about.labels.value additional.fields.key und additional.fields.value.string_value
Payload Protocol ID (ppid)	PanOSPPID		ppid	about.labels.key und about.labels.value additional.fields.key und additional.fields.value.string_value
http_headers (http_headers)	PanOSHTTPHeader		http_headers	about.labels.key und about.labels.value additional.fields.key und additional.fields.value.string_value
Liste der URL-Kategorien (url_category_list)	PanOSURLCatList		url_category_list	about.labels.key und about.labels.value additional.fields.key und additional.fields.value.string_value
UUID für Regel (rule_uuid)	PanOSRuleUUID		rule_uuid	about.labels.key und about.labels.value additional.fields.key und additional.fields.value.string_value
HTTP/2-Verbindung (http2_connection)	PanOSHTTP2Con		http2_connection	about.labels.key und about.labels.value additional.fields.key und additional.fields.value.string_value
dynusergroup_name (dynusergroup_name)	PanDynamicUsrgrp		dynusergroup_name	about.labels.key und about.labels.value additional.fields.key und additional.fields.value.string_value
XFF-Adresse (xff_ip)	PanXFFIP			principal.ip
Gerätekategorie der Quelle (src_category)	PanSrcDeviceCat		src_category	principal.labels.key und principal.labels.value additional.fields.key und additional.fields.value.string_value
Quellgeräteprofil (src_profile)	PanSrcDeviceProf		src_profile	principal.labels.key und principal.labels.value additional.fields.key und additional.fields.value.string_value
Quellgerätemodell (src_model)	PanSrcDeviceModel		src_model	principal.labels.key und principal.labels.value additional.fields.key und additional.fields.value.string_value
Anbieter des Quellgeräts (src_vendor)	PanSrcDeviceVendor		src_vendor	principal.labels.key und principal.labels.value additional.fields.key und additional.fields.value.string_value
Betriebssystemfamilie des Quellgeräts (src_osfamily)	PanSrcDeviceOS			principal.asset.platform_software.platform principal.labels.key und principal.labels.value additional.fields.key und additional.fields.value.string_value
Betriebssystemversion des Quellgeräts (src_osversion)	PanSrcDeviceOSv			principal.asset.software.version
Quellhostname (src_host)	PanSrcHostname		src_host	principal.labels.key und principal.labels.value additional.fields.key und additional.fields.value.string_value
Quell-MAC-Adresse (src_mac)	PanSrcMac			principal.mac
Zielgerätekategorie (dst_category)	PanDstDeviceCat		dst_category	target.labels.key und target.labels.value additional.fields.key und additional.fields.value.string_value
Zielgeräteprofil (dst_profile)	PanDstDeviceProf		dst_profile	target.labels.key und target.labels.value additional.fields.key und additional.fields.value.string_value
Zielgerätemodell (dst_model)	PanDstDeviceModel		dst_model	target.labels.key und target.labels.value additional.fields.key und additional.fields.value.string_value
Anbieter des Zielgeräts (dst_vendor)	PanDstDeviceVendor		dst_vendor	target.labels.key und target.labels.value additional.fields.key und additional.fields.value.string_value
Betriebssystemfamilie des Zielgeräts (dst_osfamily)	PanDstDeviceOS			target.asset.platform_software.platform target.labels.key und target.labels.value
Betriebssystemversion des Zielgeräts (dst_osversion)	PanDstDeviceOSv			target.asset.software.version
Ziel-Hostname (dst_host)	PanPODNamespace			target.hostname
MAC-Zieladresse (dst_mac)	PanDstMac			target.mac
Container-ID (container_id)	PanContainerName		container_id	about.labels.key und about.labels.value additional.fields.key und additional.fields.value.string_value
POD-Namespace (pod_namespace)	PanPODNamespace		pod_namespace	about.labels.key und about.labels.value additional.fields.key und additional.fields.value.string_value
POD-Name (pod_name)	PanPODName		pod_name	about.labels.key und about.labels.value additional.fields.key und additional.fields.value.string_value
Externe dynamische Quellliste (src_edl)	PanSrcEDL		src_edl	principal.labels.key und principal.labels.value additional.fields.key und additional.fields.value.string_value
Dynamische Liste für externes Ziel (dst_edl)	PanDstEDL		dst_edl	target.labels.key und target.labels.value additional.fields.key und additional.fields.value.string_value
Host-ID (hostid)	PanGPHostID		hostid	about.labels.key und about.labels.value additional.fields.key und additional.fields.value.string_value
Seriennummer (serialnumber)	PanEPSerial			principal.asset.hardware.serial_number
domain_edl (domain_edl)	PanDomainEDL		domain_edl	about.labels.key und about.labels.value additional.fields.key und additional.fields.value.string_value
Dynamische Quelladressengruppe (src_dag)	PanSrcDAG			principal.group.group_display_name
Dynamische Zieladressengruppe (dst_dag)	PanDstDAG			target.group.group_display_name
partial_hash (partial_hash)	PanPartialHash		partial_hash	about.labels.key und about.labels.value additional.fields.key und additional.fields.value.string_value
Zeitstempel mit hoher Auflösung (high_res_timestamp)	PanTimeHighRes			metadata.collected_timestamp, metadata.event_timestamp (wenn „Generate Time“ fehlt)
Grund (reason)	PanReasonFilteringAction		reason	about.labels.key und about.labels.value additional.fields.key und additional.fields.value.string_value
Blocksatz (justification)	PanJustification		Begründung	about.labels.key und about.labels.value additional.fields.key und additional.fields.value.string_value
nssai_sst (nssai_sst)	PanASServiceType		nssai_sst	about.labels.key und about.labels.value additional.fields.key und additional.fields.value.string_value
Unterkategorie der App (subcategory_of_app)			subcategory_of_app	about.labels.key und about.labels.value additional.fields.key und additional.fields.value.string_value
App-Kategorie (category_of_app)			category_of_app	about.labels.key und about.labels.value additional.fields.key und additional.fields.value.string_value
Technologie der App (technology_of_app)			technology_of_app	about.labels.key und about.labels.value additional.fields.key und additional.fields.value.string_value
Risiko der App (risk_of_app)			risk_of_app	about.labels.key und about.labels.value additional.fields.key und additional.fields.value.string_value
Merkmal der App (characteristic_of_app)			characteristic_of_app	about.labels.key und about.labels.value additional.fields.key und additional.fields.value.string_value
Container der App (container_of_app)			container_of_app	about.labels.key und about.labels.value additional.fields.key und additional.fields.value.string_value
Getunnelte App (tunneled_app)			tunneled_app	about.labels.key und about.labels.value additional.fields.key und additional.fields.value.string_value
SaaS der App (is_saas_of_app)			is_saas_of_app	about.labels.key und about.labels.value additional.fields.key und additional.fields.value.string_value
Genehmigter Status der App (sanctioned_state_of_app)			sanctioned_state_of_app	about.labels.key und about.labels.value additional.fields.key und additional.fields.value.string_value

Daten

In der folgenden Tabelle sind die Logfelder des Datensatztyps „Datenlog“ und die entsprechenden UDM-Felder aufgeführt.

CSV-Feld	CEF-Feld	LEEF-Feld	Google Security Operations-Label-Schlüssel	UDM-Feld
Empfangszeit (cef-formatted-receive_time)	rt	devTime		metadata.collected_timestamp, metadata.event_timestamp (wenn „Generate Time“ fehlt)
Seriennummer (serial)	deviceExternalId	SerialNumber		intermediary.asset.hardware.serial_number
Typ (type)	Typ (Kopfzeile)	Katze		metadata.product_event_type
Bedrohungs-/Inhaltstyp (Untertyp)	Untertyp (Kopfzeile)	Subtyp		metadata.product_event_type
Generierungszeit				metadata.event_timestamp
Quelladresse (src)	src	src		principal.ip
Zieladresse (dst)	dst	dst		target.ip
NAT-Quell-IP-Adresse (natsrc)	sourceTranslatedAddress	srcPostNAT		principal.nat_ip
NAT-Ziel-IP-Adresse (natdst)	destinationTranslatedAddress	dstPostNAT		target.nat_ip
Regel (rule)	cs1	RuleName		security_result.rule_name
Quellnutzer (srcuser)	suser	SourceUser		principal.user.userid
Zielnutzer (dstuser)	duser	DestinationUser		target.user.userid
Anwendung (App)	App	Anwendung		network.application_protocol
Virtuelles System (vsys)	cs3	VirtualSystem	vsys	about.labels.key und about.labels.value additional.fields.key und additional.fields.value.string_value
Quellzone (von)	cs4	SourceZone	von	principal.labels.key und principal.labels.value additional.fields.key und additional.fields.value.string_value
Zielzone (bis)	cs5	DestinationZone	bis	target.labels.key und target.labels.value additional.fields.key und additional.fields.value.string_value
Eingangsschnittstelle (inbound_if)	deviceInboundInterface	IngressInterface	inbound_if	principal.labels.key und principal.labels.value additional.fields.key und additional.fields.value.string_value
Ausgangsschnittstelle (outbound_if)	deviceOutboundInterface	EgressInterface	outbound_if	target.labels.key und target.labels.value additional.fields.key und additional.fields.value.string_value
Aktion protokollieren (Logset)	cs6	LogForwardingProfile	logset	about.labels.key und about.labels.value additional.fields.key und additional.fields.value.string_value
Zeit der Protokollierung			time_logged	about.labels.key und about.labels.value additional.fields.key und additional.fields.value.string_value
Sitzungs-ID (sessionid)	cn1	SessionID		network.session_id
Anzahl der Wiederholungen (repeatcnt)	cnt	RepeatCount	repeatcnt	about.labels.key und about.labels.value additional.fields.key und additional.fields.value.string_value
Quellport (sport)	spt	srcPort		principal.port
Zielport (dport)	dpt	dstPort		target.port
NAT-Quellport (natsport)	sourceTranslatedPort	srcPostNATPort		principal.nat_port
NAT-Zielport (natdport)	destinationTranslatedPort	dstPostNATPort		target.nat_port
Flags (flags)	flexString1	Flags	flags	about.labels.key und about.labels.value additional.fields.key und additional.fields.value.string_value
IP-Protokoll (proto)	Proto	Proto		network.ip_protocol
Aktion (action)	handeln	Aktion		security_result.action_details security_result.action
URL/Dateiname (Sonstiges)		Sonstiges		target.file.full_path target.url
Name der Bedrohung/des Inhalts (threatid)	Katze	ThreatID		security_result.threat_id
Kategorie (category)	cs2	URLCategory	Kategorie	about.labels.key und about.labels.value additional.fields.key und additional.fields.value.string_value
Schweregrad (severity)	number-of-severity (Header)	Schweregrad		security_result.severity security_result.severity_details
Richtung (direction)	flexString2	Richtung		network.direction
Sequenznummer (seqno)	externalId	Sequenz		metadata.product_log_id
Aktions-Flags (actionflags)	PanOSActionFlags	ActionFlags	actionflags	about.labels.key und about.labels.value additional.fields.key und additional.fields.value.string_value
Quellland (srcloc)		SourceLocation		principal.location.country_or_region
Zielland (dstloc)		DestinationLocation		target.location.country_or_region
contenttype (contenttype)		ContentType	contenttype	about.labels.key und about.labels.value additional.fields.key und additional.fields.value.string_value
pcap_id (pcap_id)	fileId	PCAP_ID	pcap_id	about.labels.key und about.labels.value additional.fields.key und additional.fields.value.string_value
filedigest (filedigest)		FileDigest		about.file.sha1/md5/sha256
cloud (cloud)		Cloud	Cloud	about.labels.key und about.labels.value additional.fields.key und additional.fields.value.string_value
url_idx (url_idx)		URLIndex	url_idx	about.labels.key und about.labels.value additional.fields.key und additional.fields.value.string_value
user_agent (user_agent)				network.http.user_agent
Dateityp (filetype)				about.file.mime_type
xff (xff)			xff	about.labels.key und about.labels.value additional.fields.key und additional.fields.value.string_value
Referrer (referer)				network.http.referral_url
Absender (sender)				network.email.from
Betreff (subject)		Betreff		network.email.subject
Empfänger (recipient)				network.email.to
reportid (reportid)			reportid	about.labels.key und about.labels.value additional.fields.key und additional.fields.value.string_value
DG Hierarchy Level 1 (dg_hier_level_1)	PanOSDGl1	DeviceGroupHierarchyL1	dg_hier_level_1	about.labels.key und about.labels.value additional.fields.key und additional.fields.value.string_value
DG Hierarchy Level 2 (dg_hier_level_2)	PanOSDGl2	DeviceGroupHierarchyL2	dg_hier_level_2	about.labels.key und about.labels.value additional.fields.key und additional.fields.value.string_value
Demand Gen-Hierarchieebene 3 (dg_hier_level_3)	PanOSDGl3	DeviceGroupHierarchyL3	dg_hier_level_3	about.labels.key und about.labels.value additional.fields.key und additional.fields.value.string_value
Demand Gen-Hierarchieebene 4 (dg_hier_level_4)	PanOSDGl4	DeviceGroupHierarchyL4	dg_hier_level_4	about.labels.key und about.labels.value additional.fields.key und additional.fields.value.string_value
Name des virtuellen Systems (vsys_name)	PanOSVsysName	vSrcName		principal.resource.name principal.resource.resource_type=VIRTUAL_MACHINE
Gerätename (device_name)	dvchost	DeviceName		intermediary.hostname
file_url (file_url)				about.url
Quell-VM-UUID (src_uuid)		SrcUUID		principal.asset.asset_id
UUID der Ziel-VM (dst_uuid)		DstUUID		target.asset.asset_id
http_method (http_method)		RequestMethod		network.http.method
Tunnel-ID/IMSI (tunnelid)	PanOSTunnelID	TunnelID	tunnelid	about.labels.key und about.labels.value additional.fields.key und additional.fields.value.string_value
Monitor-Tag/IMEI (monitortag)	PanOSMonitorTag	MonitorTag	monitortag	about.labels.key und about.labels.value additional.fields.key und additional.fields.value.string_value
ID der übergeordneten Sitzung (parent_session_id)	PanOSParentSessionID	ParentSessionID	parent_session_id	network.parent_session_id
Beginn der übergeordneten Sitzung (parent_start_time)	PanOSParentStartTime	ParentStartTime	parent_start_time	about.labels.key und about.labels.value additional.fields.key und additional.fields.value.string_value
Tunnel (tunnel)	PanOSTunnelType	TunnelType	Tunnel	about.labels.key und about.labels.value additional.fields.key und additional.fields.value.string_value
thr_category (thr_category)	PanOSThreatCategory	ThreatCategory	thr_category	security_result.detection_fields.key/value
contentver (contentver)	PanOSContentVer	ContentVer	contentver	about.labels.key und about.labels.value additional.fields.key und additional.fields.value.string_value
sig_flags (sig_flags)			sig_flags	about.labels.key und about.labels.value additional.fields.key und additional.fields.value.string_value
SCTP-Verbindungs-ID (assoc_id)	PanOSAssocID		assoc_id	about.labels.key und about.labels.value additional.fields.key und additional.fields.value.string_value
Payload Protocol ID (ppid)	PanOSPPID		ppid	about.labels.key und about.labels.value additional.fields.key und additional.fields.value.string_value
http_headers (http_headers)	PanOSHTTPHeader		http_headers	about.labels.key und about.labels.value additional.fields.key und additional.fields.value.string_value
Liste der URL-Kategorien (url_category_list)			url_category_list	about.labels.key und about.labels.value additional.fields.key und additional.fields.value.string_value
UUID für Regel (rule_uuid)	PanOSRuleUUID		rule_uuid	about.labels.key und about.labels.value additional.fields.key und additional.fields.value.string_value
HTTP/2-Verbindung (http2_connection)			http2_connection	about.labels.key und about.labels.value additional.fields.key und additional.fields.value.string_value
dynusergroup_name (dynusergroup_name)			dynusergroup_name	principal.labels.key und principal.labels.value additional.fields.key und additional.fields.value.string_value
XFF-Adresse (xff_ip)				principal.ip
Gerätekategorie der Quelle (src_category)			src_category	principal.labels.key und principal.labels.value additional.fields.key und additional.fields.value.string_value
Quellgeräteprofil (src_profile)			src_profile	principal.labels.key und principal.labels.value additional.fields.key und additional.fields.value.string_value
Quellgerätemodell (src_model)			src_model	principal.labels.key und principal.labels.value additional.fields.key und additional.fields.value.string_value
Anbieter des Quellgeräts (src_vendor)			src_vendor	principal.labels.key und principal.labels.value additional.fields.key und additional.fields.value.string_value
Betriebssystemfamilie des Quellgeräts (src_osfamily)				principal.asset.platform_software.platform principal.labels.key und principal.labels.value additional.fields.key und additional.fields.value.string_value
Betriebssystemversion des Quellgeräts (src_osversion)				principal.asset.software.version
Quellhostname (src_host)			src_host	principal.labels.key und principal.labels.value additional.fields.key und additional.fields.value.string_value
Quell-MAC-Adresse (src_mac)				principal.mac
Zielgerätekategorie (dst_category)			dst_category	target.labels.key und target.labels.value additional.fields.key und additional.fields.value.string_value
Zielgeräteprofil (dst_profile)			dst_profile	target.labels.key und target.labels.value additional.fields.key und additional.fields.value.string_value
Zielgerätemodell (dst_model)			dst_model	target.labels.key und target.labels.value additional.fields.key und additional.fields.value.string_value
Anbieter des Zielgeräts (dst_vendor)			dst_vendor	target.labels.key und target.labels.value additional.fields.key und additional.fields.value.string_value
Betriebssystemfamilie des Zielgeräts (dst_osfamily)				target.asset.platform_software.platform target.labels.key und target.labels.value
Betriebssystemversion des Zielgeräts (dst_osversion)				target.asset.software.version
Ziel-Hostname (dst_host)				target.hostname
MAC-Zieladresse (dst_mac)				target.mac
Container-ID (container_id)			container_id	about.labels.key und about.labels.value additional.fields.key und additional.fields.value.string_value
POD-Namespace (pod_namespace)			pod_namespace	about.labels.key und about.labels.value additional.fields.key und additional.fields.value.string_value
POD-Name (pod_name)			pod_name	about.labels.key und about.labels.value additional.fields.key und additional.fields.value.string_value
Externe dynamische Quellliste (src_edl)			src_edl	principal.labels.key und principal.labels.value additional.fields.key und additional.fields.value.string_value
Dynamische Liste für externes Ziel (dst_edl)			dst_edl	target.labels.key und target.labels.value additional.fields.key und additional.fields.value.string_value
Host-ID (hostid)			hostid	about.labels.key und about.labels.value additional.fields.key und additional.fields.value.string_value
Seriennummer (serialnumber)				principal.asset.hardware.serial_number
domain_edl (domain_edl)			domain_edl	about.labels.key und about.labels.value additional.fields.key und additional.fields.value.string_value
Dynamische Quelladressengruppe (src_dag)				principal.group.group_display_name
Dynamische Zieladressengruppe (dst_dag)				target.group.group_display_name
partial_hash (partial_hash)			partial_hash	about.labels.key und about.labels.value additional.fields.key und additional.fields.value.string_value
Zeitstempel mit hoher Auflösung (high_res_timestamp)				metadata.collected_timestamp, metadata.event_timestamp (wenn „Generate Time“ fehlt)
Grund (reason)			reason	about.labels.key und about.labels.value additional.fields.key und additional.fields.value.string_value
Blocksatz (justification)			Begründung	about.labels.key und about.labels.value additional.fields.key und additional.fields.value.string_value
nssai_sst (nssai_sst)			nssai_sst	about.labels.key und about.labels.value additional.fields.key und additional.fields.value.string_value
Unterkategorie der App (subcategory_of_app)			subcategory_of_app	about.labels.key und about.labels.value additional.fields.key und additional.fields.value.string_value
App-Kategorie (category_of_app)			category_of_app	about.labels.key und about.labels.value additional.fields.key und additional.fields.value.string_value
Technologie der App (technology_of_app)			technology_of_app	about.labels.key und about.labels.value additional.fields.key und additional.fields.value.string_value
Risiko der App (risk_of_app)			risk_of_app	about.labels.key und about.labels.value additional.fields.key und additional.fields.value.string_value
Merkmal der App (characteristic_of_app)			characteristic_of_app	about.labels.key und about.labels.value additional.fields.key und additional.fields.value.string_value
Container der App (container_of_app)			container_of_app	about.labels.key und about.labels.value additional.fields.key und additional.fields.value.string_value
Getunnelte App (tunneled_app)			tunneled_app	about.labels.key und about.labels.value additional.fields.key und additional.fields.value.string_value
SaaS der App (is_saas_of_app)			is_saas_of_app	about.labels.key und about.labels.value additional.fields.key und additional.fields.value.string_value
Genehmigter Status der App (sanctioned_state_of_app)			sanctioned_state_of_app	about.labels.key und about.labels.value additional.fields.key und additional.fields.value.string_value

GlobalProtect

In der folgenden Tabelle sind die Logfelder des GlobalProtect-Logtyps und die entsprechenden UDM-Felder aufgeführt.

CSV-Feld	CEF-Feld	LEEF-Feld	Google Security Operations-Label-Schlüssel	UDM-Feld
Empfangszeit (receive_time)	rt		received_time	metadata.event_timestamp
Seriennummer (serial)	PanOSDeviceSN		intermediary_asset_hardware_serial_number	intermediary.asset.hardware.serial_number
Typ (type)	Typ (Kopfzeile)			metadata.product_event_type
Bedrohungs-/Inhaltstyp (Untertyp)	Untertyp (Kopfzeile)	Subtyp		metadata.product_event_type
Erstellungszeit (time_generated)	PanOSLogTimeStamp		generated_timestamp	metadata.event_timestamp
Virtuelles System (vsys)	PanOSVirtualSystem		vsys	about.labels.key und about.labels.value additional.fields.key und additional.fields.value.string_value
Ereignis-ID (eventid)	PanOSEventID		event_id	about.labels.key und about.labels.value additional.fields.key und additional.fields.value.string_value
Phase (stage)	PanOSStage		Phase	about.labels.key und about.labels.value additional.fields.key und additional.fields.value.string_value
Authentifizierungsmethode (auth_method)	PanOSAuthMethod		extension_auth_auth_details	extensions.auth.auth_details
Tunneltyp (tunnel_type)	PanOSTunnelType		Tunnel	about.labels.key und about.labels.value additional.fields.key und additional.fields.value.string_value
Quellnutzer (srcuser)	PanOSSourceUserName		src_user	principal.user.email_address principal.user.userid principal.administrative_domain
Quellregion (srcregion)	PanOSSourceRegion		src_region	principal.location.country_or_region
Computername (machinename)	PanOSEndpointDeviceName		machine_name	principal.hostname
Öffentliche IP-Adresse (public_ip)	PanOSPublicIPv4			principal.nat_ip
Öffentliches IPv6 (public_ipv6)	PanOSPublicIPv6			principal.nat_ip
Private IP-Adresse (private_ip)	PanOSPrivateIPv4			principal.ip
Private IPv6-Adresse (private_ipv6)	PanOSPrivateIPv6			principal.ip
Host-ID (hostid)	PanOSHostID		hostid	principal.asset.asset_id
Seriennummer (serialnumber)	PanOSDeviceSN			principal.asset.hardware.serial_number
Clientversion (client_ver)	PanOSGlobalProtectClientVersion		client_ver	about.labels.key und about.labels.value additional.fields.key und additional.fields.value.string_value
Clientbetriebssystem (client_os)	PanOSEndpointOSType			principal.asset.platform_software.platform(enum)
Client-Betriebssystemversion (client_os_ver)	PanOSEndpointOSVersion			principal.asset.platform_software.platform_version
Anzahl der Wiederholungen (repeatcnt)	PanOSCountOfRepeats		repeatcnt	about.labels.key und about.labels.value additional.fields.key und additional.fields.value.string_value
Grund (reason)	PanOSQuarantineReason			security_result.summary
Fehler (error)	PanOSConnectionError		Fehler	security_result.description
Beschreibung (undurchsichtig)	PanOSDescription			security_result.description
Status (status)	PanOSEventStatus		Status	about.labels.key und about.labels.value additional.fields.key und additional.fields.value.string_value
Standort (location)	PanOSGPGatewayLocation			target.location.country_or_region
Anmeldedauer (login_duration)	PanOSLoginDuration			network.session_duration
Verbindungsmethode (connect_method)	PanOSConnectionMethod		connect_method	about.labels.key und about.labels.value additional.fields.key und additional.fields.value.string_value
Fehlercode (error_code)	PanOSConnectionErrorID		error_code	about.labels.key und about.labels.value additional.fields.key und additional.fields.value.string_value
Portal (portal)	PanOSPortal		Portal	about.labels.key und about.labels.value additional.fields.key und additional.fields.value.string_value
Sequenznummer (seqno)	PanOSSequenceNo			metadata.product_log_id
Aktions-Flags (actionflags)	PanOSActionFlags		actionflags	about.labels.key und about.labels.value additional.fields.key und additional.fields.value.string_value
Zeitstempel mit hoher Auflösung (high_res_timestamp)	anOSTimeGeneratedHighResolution			metadata.collected_timestamp, metadata.event_timestamp (wenn „Generate Time“ fehlt)
Methode zur Gateway-Auswahl (selection_type)	PanOSGatewaySelectionType		selection_type	about.labels.key und about.labels.value additional.fields.key und additional.fields.value.string_value
SSL-Reaktionszeit (response_time)	PanOSSSLResponseTime		response_time	about.labels.key und about.labels.value additional.fields.key und additional.fields.value.string_value
Gateway-Priorität (priority)	PanOSGatewayPriority		Priorität	about.labels.key und about.labels.value additional.fields.key und additional.fields.value.string_value
Versuchte Gateways (attempted_gateways)	PanOSAttemptedGateways		attempted_gateways	about.labels.key und about.labels.value additional.fields.key und additional.fields.value.string_value
Gateway-Name (gateway)	PanOSAttemptedGateways		Gateway	about.labels.key und about.labels.value additional.fields.key und additional.fields.value.string_value
Hierarchie der Gerätegruppen (dg_hier_level_1)			dg_hier_level_1	about.labels.key und about.labels.value additional.fields.key und additional.fields.value.string_value
Gerätegruppenhierarchie (dg_hier_level_2)			dg_hier_level_2	about.labels.key und about.labels.value additional.fields.key und additional.fields.value.string_value
Hierarchie der Gerätegruppen (dg_hier_level_3)			dg_hier_level_3	about.labels.key und about.labels.value additional.fields.key und additional.fields.value.string_value
Gerätegruppenhierarchie (dg_hier_level_4)			dg_hier_level_4	about.labels.key und about.labels.value additional.fields.key und additional.fields.value.string_value
Name des virtuellen Systems (vsys_name)				principal.resource.name principal.resource.resource_type=VIRTUAL_MACHINE
Gerätename (device_name)				target.hostname
ID des virtuellen Systems (vsys_id)				principal.resource.resource_type=VIRTUAL_MACHINE und principal.resource.product_object_id
Schweregrad (severity)	number-of-severity(header)			security_result.severity und security_result.severity_details

Ergebnisse in Beziehung setzen

In der folgenden Tabelle sind die Logfelder des Typs „Korrelation“ und die entsprechenden UDM-Felder aufgeführt.

CSV-Feld	LEEF-Feld	Google Security Operations-Label-Schlüssel	UDM-Feld
Erstellungszeit (time_generated oder cef-formatted-time_generated)	startTime	generated_timestamp	metadata.event_timestamp
Quelladresse (src)	src		principal.ip
Quellnutzer (srcuser)	SourceUser / usrName		principal.user.userid
Virtuelles System (vsys)	VirtualSystem	vsys	about.labels.key und about.labels.value additional.fields.key und additional.fields.value.string_value
Kategorie (category)			security_result.category_details
Schweregrad (severity)	Schweregrad		security_result.severity und security_result.severity_details
Gerätegruppenhierarchie – Ebene 1	DeviceGroupHierarchyL1		about.labels.key und about.labels.value additional.fields.key und additional.fields.value.string_value
Gerätegruppenhierarchie – Stufe 2	DeviceGroupHierarchyL2		about.labels.key und about.labels.value additional.fields.key und additional.fields.value.string_value
Gerätegruppenhierarchie – Ebene 3	DeviceGroupHierarchyL3		about.labels.key und about.labels.value additional.fields.key und additional.fields.value.string_value
Gerätegruppenhierarchie – Ebene 4	DeviceGroupHierarchyL4		about.labels.key und about.labels.value additional.fields.key und additional.fields.value.string_value
Name des virtuellen Systems (vsys_name)	vSrcName		principal.resource.name principal.resource.resource_type=VIRTUAL_MACHINE
Gerätename (device_name)	DeviceName		intermediary.hostname
ID des virtuellen Systems (vsys_id)	VirtualSystemID		principal.resource.resource_type=VIRTUAL_MACHINE und principal.resource.product_object_id
Objektname (objectname)	ObjectName		target.resource.name
Objekt-ID (object_id)	ObjectID		target.resource.product_object_id

GTP

In der folgenden Tabelle sind die Logfelder des Logtyps „gtp“ und die entsprechenden UDM-Felder aufgeführt.

CSV-Feld	Google Security Operations-Label-Schlüssel	UDM-Feld
Empfangszeit (receive_time oder cef-formatted-receive_time)		metadata.collected_timestamp, metadata.event_timestamp (wenn „Generate Time“ fehlt)
Seriennummer		intermediary.asset.hardware.serial_number
Typ (type)		metadata.product_event_type
Bedrohungs-/Inhaltstyp (Untertyp)		metadata.product_event_type
Erstellungszeit (time_generated oder cef-formatted-time_generated)		metadata.event_timestamp
Quelladresse (src)		principal.ip
Zieladresse (dst)		target.ip
Regelname (rule)		security_result.rule_name
Anwendung (App)		network.application_protocol
Virtuelles System (vsys)	vsys	about.labels.key und about.labels.value additional.fields.key und additional.fields.value.string_value
Quellzone (von)	von	principal.labels.key und principal.labels.value additional.fields.key und additional.fields.value.string_value
Zielzone (bis)	bis	target.labels.key und target.labels.value additional.fields.key und additional.fields.value.string_value
Eingangsschnittstelle (inbound_if)	inbound_if	principal.labels.key und principal.labels.value additional.fields.key und additional.fields.value.string_value
Ausgangsschnittstelle (outbound_if)	outbound_if	target.labels.key und target.labels.value additional.fields.key und additional.fields.value.string_value
Aktion protokollieren (Logset)	logset	about.labels.key und about.labels.value additional.fields.key und additional.fields.value.string_value
Sitzungs-ID (sessionid)		network.session_id
Quellport (sport)		principal.port
Zielport (dport)		target.port
IP-Protokoll (proto)		network.ip_protocol
Aktion (action)		security_result.action_details security_result.action
GTP-Ereignistyp (event_type)	gtp_event_type	additional.fields.key und additional.fields.value.string_value
MSISDN (msisdn)	msisdn	additional.fields.key und additional.fields.value.string_value
Name des Zugangspunkts (APN)	apn	additional.fields.key und additional.fields.value.string_value
Radio Access Technology (RAT)	Ratte	additional.fields.key und additional.fields.value.string_value
GTP-Nachrichtentyp (msg_type)	gtp_msg_type	additional.fields.key und additional.fields.value.string_value
End-IP-Adresse (end_ip_adr)		principal.ip
Tunnelendpunkt-ID1 (teid1)	teid1	additional.fields.key und additional.fields.value.string_value
Tunnelendpunkt-ID2 (teid2)	teid2	additional.fields.key und additional.fields.value.string_value
GTP-Schnittstelle (gtp_interface)	gtp_interface	additional.fields.key und additional.fields.value.string_value
GTP-Ursache (cause_code)	gtp_cause_code	additional.fields.key und additional.fields.value.string_value
Schweregrad (severity)		security_result.severity und security_result.severity_details
MCC des Serving Network (mcc)	mcc	additional.fields.key und additional.fields.value.string_value
MNC des Bereitstellungsnetzwerks (mnc)	mnc	additional.fields.key und additional.fields.value.string_value
Vorwahl (area_code)	area_code	additional.fields.key und additional.fields.value.string_value
Zellen-ID (cell_id)	cell_id	additional.fields.key und additional.fields.value.string_value
GTP-Ereigniscode (event_code)	event_code	additional.fields.key und additional.fields.value.string_value
Quellort (srcloc)		principal.location.country_or_region
Zielort (dstloc)		target.location.country_or_region
Tunnel-ID/IMSI (imsi)	tunnelid	about.labels.key und about.labels.value additional.fields.key und additional.fields.value.string_value
Monitor Tag/IMEI (imei)	monitortag	about.labels.key und about.labels.value additional.fields.key und additional.fields.value.string_value
Beginn (start)	start	about.labels.key und about.labels.value additional.fields.key und additional.fields.value.string_value
Verstrichene Zeit (elapsed)		network.session_duration.seconds
Tunnel Inspection RuleTunnel (tunnel_insp_rule)	tunnel_insp_rule	security_result.detection_fields.key/value
Remote-Nutzer-IP (remote_user_ip)		target.ip
Remote-Nutzer-ID (remote_user_id)	remote_user_id	target.labels.key und target.labels.value additional.fields.key und additional.fields.value.string_value
UUID für Regel (rule_uuid)		security_result.rule_id
PCAP-ID (pcap_id)	pcap_id	about.labels.key und about.labels.value additional.fields.key und additional.fields.value.string_value
Zeitstempel mit hoher Auflösung (high_res_timestamp)		metadata.collected_timestamp, metadata.event_timestamp (wenn „Generate Time“ fehlt)
Ein Slice-Diensttyp (nsdsai_sst)	nsdsai_sst	about.labels.key und about.labels.value additional.fields.key und additional.fields.value.string_value
Slice-Unterscheidungsmerkmal (nsdsai_sd)	nsdsai_sd	about.labels.key und about.labels.value additional.fields.key und additional.fields.value.string_value
Unterkategorie der Anwendung (subcategory_of_app)	subcategory_of_app	about.labels.key und about.labels.value additional.fields.key und additional.fields.value.string_value
Anwendungskategorie (category_of_app)	category_of_app	about.labels.key und about.labels.value additional.fields.key und additional.fields.value.string_value
Anwendungstechnologie (technology_of_app)	technology_of_app	about.labels.key und about.labels.value additional.fields.key und additional.fields.value.string_value
Anwendungsrisiko (risk_of_app)	risk_of_app	about.labels.key und about.labels.value additional.fields.key und additional.fields.value.string_value
Anwendungsmerkmal (characteristic_of_app)	characteristic_of_app	about.labels.key und about.labels.value additional.fields.key und additional.fields.value.string_value
Anwendungscontainer (container_of_app)	container_of_app	about.labels.key und about.labels.value additional.fields.key und additional.fields.value.string_value
Application SaaS (is_saas_of_app)	is_saas_of_app	about.labels.key und about.labels.value additional.fields.key und additional.fields.value.string_value
Status der Genehmigung der Anwendung (sanctioned_state_of_app)	sanctioned_state_of_app	about.labels.key und about.labels.value additional.fields.key und additional.fields.value.string_value

Feldzuordnung – Referenz: Protokolltypen zu UDM-Ereignistyp

In der folgenden Tabelle sind die Palo Alto Networks-Firewall-Logtypen und die entsprechenden UDM-Ereignistypen aufgeführt.

Logtyp	UDM-Ereignistyp
Traffic	NETWORK_CONNECTION
Bedrohung	NETWORK_CONNECTION
URL-Filter	NETWORK_CONNECTION
WildFire	NETWORK_CONNECTION WildFire-Übermittlungsprotokolle sind ein Untertyp des Threat-Protokolltyps und verwenden dasselbe Syslog-Format.
Datenfilterung	NETWORK_CONNECTION
Tunnel	NETWORK_CONNECTION
GTP	NETWORK_CONNECTION
Konfiguration	SETTING_MODIFICATION/SETTING_CREATION/SETTING_DELETION/SETTING_UNCATEGORIZED Der Wert des Felds „Befehl (cmd)“ bestimmt die Zuordnung des UDM-Ereignistyps. Wenn der Wert des Felds „cmd“ „add“ oder „clone“ ist, wird „SETTING_CREATION“ festgelegt. Wenn der Wert des Felds „cmd“ „delete“ ist, wird „SETTING_DELETION“ festgelegt. Wenn der Wert des Felds „cmd“ „edit“, „move“, „rename“, „set“ oder „commit“ ist, wird SETTING_MODIFICATION festgelegt. Wenn der Wert des Felds „cmd“ keine Werte enthält, wird SETTING_UNCATEGORIZED festgelegt.
System	Wenn der Untertypwert „dhcp“ ist, wird NETWORK_DHCP festgelegt. Wenn der Untertypwert „auth“ ist, wird USER_LOGIN festgelegt. Wenn der Beschreibungswert „logged in“ lautet, wird USER_LOGIN festgelegt. Wenn der Wert der Beschreibung „logged out“ lautet, wird USER_LOGOUT festgelegt. Für andere Werte des Subtyps wird GENERIC_EVENT festgelegt.
HIP-Abgleich	NETWORK_CONNECTION
IP-Tag	GENERIC_EVENT
User-ID	USER_LOGIN/USER_LOGOUT/USER_UNCATEGORIZED Wenn der Untertypwert „login“ ist, wird USER_LOGIN festgelegt. Wenn der Untertypwert „logout“ ist, wird USER_LOGOUT festgelegt. Wenn der Untertyp keinen Wert enthält, wird USER_UNCATEGORIZED festgelegt.
Entschlüsselung	NETWORK_CONNECTION
Authentifizierung	GENERIC_EVENT

Nächste Schritte

Datenaufnahme in Google Security Operations

Benötigen Sie weitere Hilfe? Antworten von Community-Mitgliedern und Google SecOps-Experten erhalten

Log format	PAN-OS-Version
CSV	10.1.3
CEF	10.0.0
LEEF	9.1.0