Questa pagina è stata tradotta dall'API Cloud Translation.

Raccogliere i log del firewall Palo Alto Networks

Supportato in:

Google secops SIEM

Panoramica

Questo documento descrive come configurare syslog e un forwarder Google Security Operations per raccogliere i log del firewall Palo Alto Networks. Questo documento spiega anche come i campi dei log del firewall Palo Alto Networks vengono mappati ai campi Unified Data Model (UDM) di Google Security Operations.

Per una panoramica sull'importazione dati in Google Security Operations, consulta Importazione dei dati in Google Security Operations.

Un'etichetta di importazione identifica il parser che normalizza i dati dei log non elaborati in formato UDM strutturato. Le informazioni contenute in questo documento si applicano al parser con l'etichetta di importazione PAN_FIREWALL.

Prima di iniziare

Assicurati che il prodotto firewall Palo Alto Networks sia implementato e configurato correttamente. Per istruzioni di configurazione dettagliate, consulta la documentazione PAN-OS.
Per comprendere i componenti di cui è stato eseguito il deployment per raccogliere i log del firewall Palo Alto Networks, esamina l'architettura di deployment. Ogni implementazione del cliente potrebbe differire da questa rappresentazione e potrebbe essere più complessa.

Il seguente diagramma mostra come configurare syslog su un firewall Palo Alto Networks e installare un forwarder Google Security Operations su un server Linux per inoltrare i dati di log a Google Security Operations. Il parser supporta i log scritti nei seguenti formati di dati: valori separati da virgole (CSV), Common Event Format (CEF) e Log Event Extended Format (LEEF).
Verifica i formati dei log e le versioni di PAN-OS supportati dal parser Google Security Operations. La tabella seguente elenca i formati dei log e le versioni di PAN-OS corrispondenti supportate dal parser di Google Security Operations:

Formato log Versione PAN-OS

CSV 10.1.3

CEF 10.0.0

LEEF 9.1.0
Verifica i tipi di log del firewall Palo Alto Networks supportati dal parser Google Security Operations. Il parser Google Security Operations supporta i seguenti tipi di log del firewall Palo Alto Networks:
- Traffico
- Minaccia
- Invii di WildFire
- Ispezione di tunnel
- Configurazione
- Sistema
- Corrispondenza HIP
- IP-Tag
- User-ID
- Decriptazione
- Autenticazione
- Filtro degli URL
- Filtro dei dati
- GlobalProtect
- Correlazione
- GTP
Per ulteriori informazioni sui tipi di log del firewall Palo Alto Networks, consulta Tipi di log PAN-OS.
Assicurati che tutti i sistemi nell'architettura di deployment siano configurati nel fuso orario UTC.
Prima di utilizzare il parser del firewall Palo Alto Networks, esamina le modifiche apportate ai mapping dei campi tra il parser precedente e quello attuale del firewall Palo Alto Networks. Nell'ambito della migrazione, assicurati che le regole, le ricerche, i dashboard o altri processi che dipendono dai campi originali utilizzino i campi aggiornati.

Ad esempio, nella versione precedente del parser, il campo log category è mappato al campo UDM security_result.description. Nell'attuale parser del firewall Palo Alto Networks, il campo log category viene mappato al campo UDM security_result.category_details. Se esegui la migrazione all'attuale parser firewall Palo Alto Networks e utilizzi il campo category nelle regole, devi modificare le regole in modo che utilizzino il campo UDM security_result.category_details del parser attuale.

Configura syslog e il programma di inoltro di Google Security Operations

Per configurare syslog e il forwarder Google Security Operations:

Per monitorare i log CSV, configura il profilo del server syslog. Per ulteriori informazioni, consulta Configurare il profilo del server syslog.

Quando configuri il profilo del server syslog, specifica "Predefinito" come formato log personalizzato.
Per monitorare i log CEF, configura il firewall Palo Alto Networks per inoltrare i log CEF. Per ulteriori informazioni, scarica la guida all'integrazione CEF di PAN-OS in formato PDF e consulta la sezione "Configurazione di Palo Alto Networks NGFW per l'output di eventi CEF".
Per monitorare i log LEEF, configura il profilo del server syslog. Per ulteriori informazioni, consulta Invio personalizzato dei log in formato LEEF.
Configura il forwarder Google Security Operations per inviare i log a Google Security Operations. Per maggiori informazioni, vedi Installare e configurare il forwarder su Linux. Di seguito è riportato un esempio di configurazione dell'agente di inoltro di Google Security Operations:
```
  - syslog:
      common:
        enabled: true
        data_type: PAN_FIREWALL
        batch_n_seconds: 10
        batch_n_bytes: 1048576
      tcp_address: 0.0.0.0:10518
      connection_timeout_sec: 60
```

Formati dei log del firewall Palo Alto Networks supportati

Il parser firewall Palo Alto Networks supporta i log in formato LEEF,CEF e CSV.

Log di esempio del firewall Palo Alto Networks supportato

LEEF

<14>Jan 22 02:20:19 device_host LEEF:1.0|Palo Alto Networks|PAN-OS Syslog Integration|10.2.12-h4|Microsoft MSOFFICE(52033)|ReceiveTime=2025/01/22 02:20:18|SerialNumber=01250100xxxx|cat=THREAT|Subtype=wildfire|devTime=Jan 22 2025 08:20:18 GMT|src=198.50.100.1|dst=198.50.100.2|srcPostNAT=198.50.100.3|dstPostNAT=198.50.100.4|RuleName=AZURE-US-NEW-CNF_Inbound_To_Azure-ALLOW|usrName=|SourceUser=|DestinationUser=|Application=smtp-base|VirtualSystem=vsys1|SourceZone=McD-Global-Zone|DestinationZone=Azure-Zone|IngressInterface=ae1.111|EgressInterface=ae2.409|LogForwardingProfile=Default-Traffic-Logging|SessionID=35331795|RepeatCount=1|srcPort=21578|dstPort=25|srcPostNATPort=0|dstPostNATPort=0|Flags=0x2000|proto=tcp|action=allow|Miscellaneous=\"......3...................xls\"|ThreatID=Microsoft MSOFFICE(52033)|URLCategory=malicious|sev=4|Severity=high|Direction=client-to-server|sequence=7462614601465681755|ActionFlags=0x8000000000000000|SourceLocation=198.50.100.1-198.50.100.255|DestinationLocation=United States|ContentType=|PCAP_ID=0|FileDigest=0ea04c99bf188c2e4207f60f92ca7c6f5088c7943ee63f45c50032bbd2bf7ea9|Cloud=demo.com|URLIndex=1|RequestMethod=|FileType=ms-office|Sender=sender@ab.myownpersonaldomain.com|Subject=\"............:.................................................................................-.........(Name)-2025-01-22...............:Y107202501220005, ............:........................, ...............:.........\"|Recipient=abc@demo.myownpersonaldomain.com|ReportID=117022282776|DeviceGroupHierarchyL1=143|DeviceGroupHierarchyL2=144|DeviceGroupHierarchyL3=39|DeviceGroupHierarchyL4=0|vSrcName=|DeviceName=device_host|SrcUUID=|DstUUID=|TunnelID=0|MonitorTag=|ParentSessionID=0|ParentStartTime=|TunnelType=N/A|ThreatCategory=N/A|ContentVer=WildFire-0

CEF

14>1 2024-04-04T16:21:56+02:00 FW-PERIMETRAL-AVG-01 - - - - CEF:0|Palo Alto Networks|PAN-OS|10.1.10-h2|end|TRAFFIC|1|src=198.51.100.1 dst=198.51.100.2 srcTranslatedAddress=198.51.100.3 dstTranslatedAddress=198.51.100.4 rule=FW_USER_NATS2_APP suser= duser= app=bittorrent vs=vsys1 sz=INSIDE dz=EXTERNAL InboundInterface=ae2.2266 OutboundInterface=ae1 lp=log_forwarding sid=2935823 cnt=1 spt=6881 dpt=51413 srcTranslatedPort=0 dstTranslatedPort=0 flags=0x7a proto=udp act=allow tbytes=475 in=150 out=325 pkt=2 pktReceived=1 pktSent=1 start=Apr 04 2024 14:21:56 GMT stime=1206 urlcat=any externalId=externalId reason=aged-out DGl1=11 DGl2=161 DGl3=0 DGl4=0 VsysName=STONESOFT dvchost=FW-PERIMETRAL-AVG-01 cat=from-policy ActionFlags=0x8000000000000000 srcUUID= dstUUID= TunnelID=0 MonitorTag= ParentSessionID=0 ParentStartTime= TunnelType=N/A SCTPAssocID=0 SCTPChunks=0 SCTPChunkSent=0 SCTPChunksRcv=0 RuleUUID=746c3eb6-3d51-4679-8438-bd0e00e170a8 HTTP2Con=0 LinkChange=0 PolicyID= LinkDetail= SDWANCluster= SDWANDevice= SDWANClustype= SDWANSite= DynamicUsrgrp= XFFIP= srcDevCat= srcDevProf= srcDevModel= srcDevVendor= srcDevOS= srcDevOSv= srcHostname= srcMac= dstDevCat= dstDevProf= dstDevModel= dstDevVendor= dstDevOS= dstDevOSv= dstHostname= dstMac= ContainerName= PODNamespace= PODName= srcEDL= dstEDL= GPHostID= EPSerial= srcDAG= dstDAG= HASessionOwner= TimeHighRes=2024-04-04T16:21:56.250+02:00 ASServiceType= ASServiceDiff="

CSV

1,2021/10/24 15:30:07,,CONFIG,0,2561,2021/10/24 15:30:07,198.51.100.0,,set,admin,Web,Succeeded, network virtual-router  VR1,,VR1  { ecmp { algorithm { ip-modulo ; } } protocol { bgp { routing-options { graceful-restart { enable yes; } } enable no; } rip { enable no; } ospf { enable no; } ospfv3 { enable no; } } routing-table { ip { static-route { vr1-log  { path-monitor { enable no; failure-condition any; hold-time 2; } nexthop { ip-address 198.51.100.0; } bfd { profile None; } interface ethernet1/1; metric 10; destination 0.0.0.0/0; route-table { unicast ; } } } } } interface [ ethernet1/1 ethernet1/2 ]; } ,7022390503849066572,0x0,0,0,0,0,,PA-VM,0,

Riferimento mappatura campi: campi dei log firewall PAN ai campi UDM

Questa sezione spiega come il parser mappa i campi dei log del firewall Palo Alto Networks ai campi degli eventi UDM di Google Security Operations per ogni tipo di log.

La chiave dell'etichetta Google Security Operations si riferisce al nome della chiave mappata al campo UDM Labels.key. Ad esempio, nel caso del campo "Virtual System", il nome del campo è "cs3" in formato CEF e "VirtualSystem" in formato LEEF. Il campo UDM "about.labels.key" contiene il valore "vsys" e il campo UDM "about.labels.value" contiene il valore di questo campo.

Alcuni nomi di campi CEF o LEEF non hanno un nome corrispondente ai nomi dei campi CSV. In questi casi, se aggiungi il tuo nome variabile nel formato log personalizzato nel profilo syslog, il parser non lo mappa al campo UDM.

Per il riferimento alla mappatura di ogni tipo di log, consulta le sezioni seguenti:

Sistema
Configurazione
Minaccia/incendio boschivo
Traffico
ID utente
HIP match
Tag IP
Decrittografia
Tunnel
Autenticazione
URL
Dati
GlobalProtect
Correlazione
GTP

Sistema

La tabella seguente elenca i campi di log del tipo di log di sistema e i relativi campi UDM.

Campo CSV	Campo CEF	Campo LEEF	Chiave dell'etichetta Google Security Operations	Campo UDM
Ora di ricezione (receive_time o cef-formatted-receive_time)	rt	devTime		metadata.collected_timestamp, metadata.event_timestamp (se "Genera ora" è assente)
Numero di serie (seriale)	deviceExternalId	SerialNumber		intermediary.asset.hardware.serial_number
Tipo (tipo)	type (intestazione)	gatto		metadata.product_event_type è impostato su "%{type} - %{subtype}".
Tipo di minaccia/contenuti (sottotipo)	sottotipo (intestazione)	Sottotipo		metadata.product_event_type è impostato su "%{type} - %{subtype}".
Ora generata (time_generated o cef-formatted-time_generated)				metadata.event_timestamp
Sistema virtuale (vsys)	cs3	VirtualSystem	vsys	about.labels.key e about.labels.value additional.fields.key e additional.fields.value.string_value
ID evento (eventid)	gatto		eventid	about.labels.key e about.labels.value additional.fields.key e additional.fields.value.string_value
Oggetto (oggetto)	fname	Nome del file	oggetto	about.labels.key e about.labels.value additional.fields.key e additional.fields.value.string_value
Modulo (modulo)	flexString2	Modulo	modulo	about.labels.key e about.labels.value additional.fields.key e additional.fields.value.string_value
Gravità (gravità)	$number-of-severity(header)	Gravità		security_result.severity e security_result.severity_details
Descrizione (opaca)	msg	msg		metadata.description
	principal_user_userid (questo campo viene estratto dal campo msg)			principal.user.userid
	principal_ip3 (questo campo viene estratto dal campo msg)			principal.ip
	Motivo (questo campo viene estratto dal campo msg)			security_result.description
	server_address (questo campo viene estratto dal campo msg).			target.ip
	server_profile (questo campo viene estratto dal campo msg)			additional.fields.key e additional.fields.value.string_value
Numero di sequenza (seqno)	externalId	sequenza		metadata.product_log_id
Flag azioni (actionflags)	PanOSActionFlags	ActionFlags	actionflags	about.labels.key e about.labels.value additional.fields.key e additional.fields.value.string_value
Gerarchia dei gruppi di dispositivi (dg_hier_level_1-dg_hier_level_4)	PanOSDGl1	DeviceGroupHierarchyL1	dg_hier_level_1	about.labels.key e about.labels.value additional.fields.key e additional.fields.value.string_value
Gerarchia del gruppo di dispositivi (dg_hier_level_2)	PanOSDGl2	DeviceGroupHierarchyL2	dg_hier_level_2	about.labels.key e about.labels.value additional.fields.key e additional.fields.value.string_value
Gerarchia del gruppo di dispositivi (dg_hier_level_3)	PanOSDGl3	DeviceGroupHierarchyL3	dg_hier_level_3	about.labels.key e about.labels.value additional.fields.key e additional.fields.value.string_value
Gerarchia del gruppo di dispositivi (dg_hier_level_4)	PanOSDGl4	DeviceGroupHierarchyL4	dg_hier_level_4	about.labels.key e about.labels.value additional.fields.key e additional.fields.value.string_value
Nome sistema virtuale (vsys_name)	PanOSVsysName	vSrcName		principal.resource.name principal.resource.resource_type=VIRTUAL_MACHINE
Nome dispositivo (device_name)	dvchost	DeviceName		intermediary.hostname
Timestamp ad alta risoluzione (high_res_timestamp)	anOSTimeGeneratedHighResolution			metadata.collected_timestamp, metadata.event_timestamp (se "Genera ora" è assente)

Configurazione

La tabella seguente elenca i campi di log del tipo di log di configurazione e i relativi campi UDM.

Campo CSV	Campo CEF	Campo LEEF	Chiave dell'etichetta Google Security Operations	Campo UDM
Ora di ricezione (receive_time o cef-formatted-receive_time)	rt	devTime		metadata.collected_timestamp, metadata.event_timestamp (se "Genera ora" è assente)
Numero di serie (seriale)	deviceExternalId	SerialNumber		intermediary.asset.hardware.serial_number
Tipo (tipo)	type (intestazione)	gatto		metadata.product_event_type
Tipo di minaccia/contenuti (sottotipo)	sottotipo (intestazione)			metadata.product_event_type
Ora generata (time_generated o cef-formatted-time_generated)				metadata.event_timestamp
Host (host)	shost	src		principal.ip/hostname
Sistema virtuale (vsys)	cs3	VirtualSystem	vsys	about.labels.key e about.labels.value additional.fields.key e additional.fields.value.string_value
Comando (cmd)	atto	msg	cmd	metadata.description
Amministratore (admin)	duser	usrName		principal.user.userid
Client (client)	destinationServiceName	client		principal.application
Risultato (risultato)	ID firma (intestazione)(motivo)	Risultato		security_result.summary
Percorso di configurazione (percorso)	msg	ConfigurationPath		principal.process.command_line
Before Change Detail (before_change_detail)	cs1	BeforeChangeDetail	before_change_detail	target.resource.attribute.labels.key/value
After Change Detail (after_change_detail)	cs2	AfterChangeDetail	after_change_detail	target.resource.attribute.labels.key/value
Numero di sequenza (seqno)	externalId	sequenza		metadata.product_log_id
Flag azioni (actionflags)	PanOSActionFlags	ActionFlags	actionflags	about.labels.key e about.labels.value additional.fields.key e additional.fields.value.string_value
Gerarchia dei gruppi di dispositivi (dg_hier_level_1-dg_hier_level_4)	PanOSDGl1	DeviceGroupHierarchyL1	dg_hier_level_1	about.labels.key e about.labels.value additional.fields.key e additional.fields.value.string_value
Gerarchia del gruppo di dispositivi (dg_hier_level_2)	PanOSDGl2	DeviceGroupHierarchyL2	dg_hier_level_2	about.labels.key e about.labels.value additional.fields.key e additional.fields.value.string_value
Gerarchia del gruppo di dispositivi (dg_hier_level_3)	PanOSDGl3	DeviceGroupHierarchyL3	dg_hier_level_3	about.labels.key e about.labels.value additional.fields.key e additional.fields.value.string_value
Gerarchia del gruppo di dispositivi (dg_hier_level_4)	PanOSDGl4	DeviceGroupHierarchyL4	dg_hier_level_4	about.labels.key e about.labels.value additional.fields.key e additional.fields.value.string_value
Nome sistema virtuale (vsys_name)	PanOSVsysName	vSrcName		principal.resource.name principal.resource.resource_type=VIRTUAL_MACHINE
Nome dispositivo (device_name)	dvchost	DeviceName		intermediary.hostname
Gruppo di dispositivi (dg_id)	PanOSFWDeviceGroup		dg_id	principal.asset.attribute.labels.key/value
Commento di controllo (commento)	PanOSPolicyAuditComment		commento	about.labels.key e about.labels.value additional.fields.key e additional.fields.value.string_value
Gravità (gravità)	number-of-severity(header)			security_result.severity e security_result.severity_details

Minaccia/WildFire

La tabella seguente elenca i campi di log del tipo di log Threat/WildFire e i campi UDM corrispondenti.

Campo CSV	Campo CEF	Campo LEEF	Chiave dell'etichetta Google Security Operations	Campo UDM
Ora di ricezione (receive_time o cef-formatted-receive_time)	rt	devTime		metadata.collected_timestamp, metadata.event_timestamp (se "Genera ora" è assente)
Numero di serie	deviceExternalId	SerialNumber		intermediary.asset.hardware.serial_number
Tipo (tipo)	type (intestazione)	gatto		metadata.product_event_type
Tipo di minaccia/contenuti (sottotipo)	cat/subtype (intestazione)	Sottotipo		metadata.product_event_type
Genera ora (time_generated o cef-formatted-time_generated)				metadata.event_timestamp
Indirizzo di origine (src)	src	src		principal.ip
Indirizzo di destinazione (dst)	dst	dst		target.ip
IP di origine NAT (natsrc)	sourceTranslatedAddress	srcPostNAT		principal.nat_ip
IP di destinazione NAT (natdst)	destinationTranslatedAddress	dstPostNAT		target.nat_ip
Nome regola (rule)	cs1	RuleName		security_result.rule_name
Utente di origine (srcuser)	suser	SourceUser / usrName		principal.user.userid
Utente di destinazione (dstuser)	duser	DestinationUser		target.user.userid
Applicazione (app)	app	Applicazione		target.application
Sistema virtuale (vsys)	cs3	VirtualSystem	vsys	about.labels.key e about.labels.value additional.fields.key e additional.fields.value.string_value
Zona di origine (da)	cs4	SourceZone	da	principal.labels.key e principal.labels.value additional.fields.key e additional.fields.value.string_value
Zona di destinazione (a)	cs5	DestinationZone	a	target.labels.key e target.labels.value additional.fields.key e additional.fields.value.string_value
Interfaccia in entrata (inbound_if)	deviceInboundInterface	IngressInterface	inbound_if	principal.labels.key e principal.labels.value additional.fields.key e additional.fields.value.string_value
Interfaccia in uscita (outbound_if)	deviceOutboundInterface	EgressInterface	outbound_if	target.labels.key e target.labels.value additional.fields.key e additional.fields.value.string_value
Azione di log (logset)	cs6	LogForwardingProfile	logset	about.labels.key e about.labels.value additional.fields.key e additional.fields.value.string_value
ID sessione (sessionid)	cn1	SessionID		network.session_id
Ripeti conteggio (repeatcnt)	cnt	RepeatCount	repeatcnt	about.labels.key e about.labels.value additional.fields.key e additional.fields.value.string_value
Porta di origine (sport)	spt	srcPort		principal.port
Porta di destinazione (dport)	dpt	dstPort		target.port
Porta di origine NAT (natsport)	sourceTranslatedPort	srcPostNATPort		principal.nat_port
Porta di destinazione NAT (natdport)	destinationTranslatedPort	dstPostNATPort		target.nat_port
Flag (flags)	flexString1	Bandiere	flags	about.labels.key e about.labels.value additional.fields.key e additional.fields.value.string_value
Protocollo IP (proto)	proto	proto		network.ip_protocol
Azione (azione)	atto	azione		security_result.action_details security_result.action
URL/Nome file (varie)	richiesta	Vari		target.file.full_path (se il sottotipo è "file", "virus", "wildfire-virus" o "wildfire", il campo "misc" viene mappato a target.file.full_path) target.url (se il sottotipo è "url", il campo "misc" viene mappato su target.url e target.hostname) target.hostname (se il sottotipo è "spyware" o "vulnerability", il campo "misc" viene mappato a target.file.full_path e target.url)
Nome minaccia/contenuto (threatid)	gatto	ThreatID		security_result.threat_name
Categoria (categoria)	cs2	URLCategory		security_result.category_details
Gravità (gravità)	number-of-severity(header)	Gravità		security_result.severity e security_result.severity_details
Direzione (direction)	flexString2	Direzione		network.direction
Numero di sequenza (seqno)	externalId	sequenza		metadata.product_log_id
Flag azioni (actionflags)	PanOSActionFlags	ActionFlags	actionflags	about.labels.key e about.labels.value additional.fields.key e additional.fields.value.string_value
Paese di origine (srcloc)		SourceLocation		principal.location.country_or_region
Paese di destinazione (dstloc)		DestinationLocation		target.location.country_or_region
Tipo di contenuti (contenttype)		ContentType	contenttype	about.labels.key e about.labels.value additional.fields.key e additional.fields.value.string_value
ID PCAP (pcap_id)	fileId	PCAP_ID	pcap_id	about.labels.key e about.labels.value additional.fields.key e additional.fields.value.string_value
File Digest (filedigest)	fileHash	FileDigest		about.file.sha1/md5/sha256
Cloud (cloud)	filePath	Cloud	cloud	about.labels.key e about.labels.value additional.fields.key e additional.fields.value.string_value
Indice URL (url_idx)		URLIndex	url_idx	about.labels.key e about.labels.value additional.fields.key e additional.fields.value.string_value
User agent (user_agent)				network.http.user_agent
Tipo di file (filetype)	fileType	FileType		about.file.mime_type
X-Forwarded-For (xff)				principal.ip
Referer (referer)				network.http.referral_url
Mittente (mittente)	suid	Mittente		network.email.from
Oggetto (oggetto)	msg	Oggetto		network.email.subject
Destinatario (destinatario)	duid	Destinatario		network.email.to
ID report (reportid)	oldFileId	ReportID	reportid	about.labels.key e about.labels.value additional.fields.key e additional.fields.value.string_value
Gerarchia dei gruppi di dispositivi (dg_hier_level_1-dg_hier_level_4)	PanOSDGl1	DeviceGroupHierarchyL1	dg_hier_level_1	about.labels.key e about.labels.value additional.fields.key e additional.fields.value.string_value
Gerarchia del gruppo di dispositivi (dg_hier_level_2)	PanOSDGl2	DeviceGroupHierarchyL2	dg_hier_level_2	about.labels.key e about.labels.value additional.fields.key e additional.fields.value.string_value
Gerarchia del gruppo di dispositivi (dg_hier_level_3)	PanOSDGl3	DeviceGroupHierarchyL3	dg_hier_level_3	about.labels.key e about.labels.value additional.fields.key e additional.fields.value.string_value
Gerarchia del gruppo di dispositivi (dg_hier_level_4)	PanOSDGl4	DeviceGroupHierarchyL4	dg_hier_level_4	about.labels.key e about.labels.value additional.fields.key e additional.fields.value.string_value
Nome sistema virtuale (vsys_name)	PanOSVsysName	vSrcName		principal.resource.name principal.resource.resource_type=VIRTUAL_MACHINE
Nome dispositivo (device_name)	dvchost	DeviceName		intermediary.hostname
UUID VM di origine (src_uuid)	PanOSSrcUUID	SrcUUID		principal.user.product_object_id
UUID VM di destinazione (dst_uuid)	PanOSDstUUID	DstUUID		target.user.product_object_id
Metodo HTTP (http_method)		RequestMethod		network.http.method
ID tunnel/IMSI (tunnel_id/imsi)	PanOSTunnelID	TunnelID	tunnel_id/imsi	about.labels.key e about.labels.value additional.fields.key e additional.fields.value.string_value
Monitor Tag/IMEI (monitortag/imei)	PanOSMonitorTag	MonitorTag	monitortag/imei	about.labels.key e about.labels.value additional.fields.key e additional.fields.value.string_value
ID sessione principale (parent_session_id)	PanOSParentSessionID	ParentSessionID	parent_session_id	network.parent_session_id
Ora di inizio della sessione principale (parent_start_time)	PanOSParentStartTime	ParentStartTime	parent_start_time	about.labels.key e about.labels.value additional.fields.key e additional.fields.value.string_value
Tipo di tunnel (tunnel)	PanOSTunnelType	TunnelType	tunnel	about.labels.key e about.labels.value additional.fields.key e additional.fields.value.string_value
Categoria minaccia (thr_category)	PanOSThreatCategory	ThreatCategory	thr_category	security_result.detection_fields.key/value
Versione contenuto (contentver)	PanOSContentVer	ContentVer	contentver	about.labels.key e about.labels.value additional.fields.key e additional.fields.value.string_value
ID associazione SCTP (assoc_id)	PanOSAssocID		assoc_id	about.labels.key e about.labels.value additional.fields.key e additional.fields.value.string_value
ID protocollo payload (ppid)	PanOSPPID		ppid	about.labels.key e about.labels.value additional.fields.key e additional.fields.value.string_value
Intestazioni HTTP (http_headers)	PanOSHTTPHeader		http_headers	about.labels.key e about.labels.value additional.fields.key e additional.fields.value.string_value
Elenco categorie di URL (url_category_list)	PanOSURLCatList		url_category_list	about.labels.key e about.labels.value additional.fields.key e additional.fields.value.string_value
UUID regola (rule_uuid)	PanOSRuleUUID			security_result.rule_id
Connessione HTTP/2 (http2_connection)	PanOSHTTP2Con		http2_connection	about.labels.key e about.labels.value additional.fields.key e additional.fields.value.string_value
Nome gruppo di utenti dinamico (dynusergroup_name)	PanDynamicUsrgrp		dynusergroup_name	principal.labels.key e principal.labels.value additional.fields.key e additional.fields.value.string_value
Indirizzo XFF (xff_ip)	PanXFFIP			principal.ip
Categoria dispositivo di origine (src_category)	PanSrcDeviceCat		src_category	principal.labels.key e principal.labels.value additional.fields.key e additional.fields.value.string_value
Profilo del dispositivo di origine (src_profile)	PanSrcDeviceProf		src_profile	principal.labels.key e principal.labels.value additional.fields.key e additional.fields.value.string_value
Modello del dispositivo sorgente (src_model)	PanSrcDeviceModel		src_model	principal.labels.key e principal.labels.value additional.fields.key e additional.fields.value.string_value
Fornitore del dispositivo di origine (src_vendor)	PanSrcDeviceVendor		src_vendor	principal.labels.key e principal.labels.value additional.fields.key e additional.fields.value.string_value
Famiglia di sistemi operativi del dispositivo di origine (src_osfamily)	PanSrcDeviceOS		src_osfamily	principal.asset.platform_software.platform principal.labels.key e principal.labels.value additional.fields.key e additional.fields.value.string_value
Versione del sistema operativo del dispositivo di origine (src_osversion)	PanSrcDeviceOSv			principal.asset.software.version
Nome host di origine (src_host)	PanSrcHostname			principal.hostname
Indirizzo MAC di origine (src_mac)	PanSrcMac			principal.mac
Categoria dispositivo di destinazione (dst_category)	PanDstDeviceCat		dst_category	target.labels.key e target.labels.value additional.fields.key e additional.fields.value.string_value
Profilo del dispositivo di destinazione (dst_profile)	PanDstDeviceProf		dst_profile	target.labels.key e target.labels.value additional.fields.key e additional.fields.value.string_value
Modello del dispositivo di destinazione (dst_model)	PanDstDeviceModel		dst_model	target.labels.key e target.labels.value additional.fields.key e additional.fields.value.string_value
Fornitore del dispositivo di destinazione (dst_vendor)	PanDstDeviceVendor		dst_vendor	target.labels.key e target.labels.value additional.fields.key e additional.fields.value.string_value
Famiglia di sistemi operativi del dispositivo di destinazione (dst_osfamily)	PanDstDeviceOS		dst_osfamily	target.labels.key e target.labels.value additional.fields.key e additional.fields.value.string_value
Versione del sistema operativo del dispositivo di destinazione (dst_osversion)	PanDstDeviceOSv			target.asset.software.version
Nome host di destinazione (dst_host)	PanDstHostname			target.hostname
Indirizzo MAC di destinazione (dst_mac)	PanDstMac			target.mac
ID contenitore (container_id)	PanContainerName		container_id	about.labels.key e about.labels.value additional.fields.key e additional.fields.value.string_value
Spazio dei nomi POD (pod_namespace)	PanPODNamespace		pod_namespace	about.labels.key e about.labels.value additional.fields.key e additional.fields.value.string_value
Nome POD (pod_name)	PanPODName		pod_name	about.labels.key e about.labels.value additional.fields.key e additional.fields.value.string_value
Elenco dinamico esterno di origine (src_edl)	PanSrcEDL		src_edl	about.labels.key e about.labels.value additional.fields.key e additional.fields.value.string_value
Elenco dinamico esterno di destinazione (dst_edl)	PanDstEDL		dst_edl	about.labels.key e about.labels.value additional.fields.key e additional.fields.value.string_value
ID host (hostid)	PanGPHostID		hostid	about.labels.key e about.labels.value additional.fields.key e additional.fields.value.string_value
Numero di serie del dispositivo utente (serialnumber)	PanEPSerial			principal.asset.hardware.serial_number
Elenco di domini (domain_edl)	PanDomainEDL		domain_edl	about.labels.key e about.labels.value additional.fields.key e additional.fields.value.string_value
Gruppo di indirizzi dinamici di origine (src_dag)	PanSrcDAG			principal.group.group_display_name
Gruppo di indirizzi dinamici di destinazione (dst_dag)	PanDstDAG			target.group.group_display_name
Hash parziale (partial_hash)	PanPartialHash		partial_hash	about.labels.key e about.labels.value additional.fields.key e additional.fields.value.string_value
Timestamp ad alta risoluzione (high_res timestamp)	PanTimeHighRes		timestamp ad alta risoluzione	metadata.collected_timestamp, metadata.event_timestamp (se "Genera ora" è assente)
Motivo (motivo)	PanReasonFilteringAction		motivo	about.labels.key e about.labels.value additional.fields.key e additional.fields.value.string_value
Motivazione (giustificazione)	PanJustification		giustificazione	about.labels.key e about.labels.value additional.fields.key e additional.fields.value.string_value
Un tipo di servizio di sezione (nssai_sst)	PanASServiceType		nssai_sst	about.labels.key e about.labels.value additional.fields.key e additional.fields.value.string_value
Sottocategoria dell'applicazione (subcategory_of_app)			subcategory_of_app	about.labels.key e about.labels.value additional.fields.key e additional.fields.value.string_value
Categoria applicazione (category_of_app)			category_of_app	about.labels.key e about.labels.value additional.fields.key e additional.fields.value.string_value
Tecnologia dell'applicazione (technology_of_app)			technology_of_app	about.labels.key e about.labels.value additional.fields.key e additional.fields.value.string_value
Rischio applicazione (risk_of_app)			risk_of_app	about.labels.key e about.labels.value additional.fields.key e additional.fields.value.string_value
Caratteristica dell'applicazione (characteristic_of_app)			characteristic_of_app	about.labels.key e about.labels.value additional.fields.key e additional.fields.value.string_value
Container dell'applicazione (container_of_app)			container_of_app	about.labels.key e about.labels.value additional.fields.key e additional.fields.value.string_value
SaaS dell'applicazione (is_saas_of_app)			is_saas_of_app	about.labels.key e about.labels.value additional.fields.key e additional.fields.value.string_value
Stato sanzionato dell'applicazione (sanctioned_state_of_app)			sanctioned_state_of_app	about.labels.key e about.labels.value additional.fields.key e additional.fields.value.string_value

Traffico

La tabella seguente elenca i campi di log del tipo di log del traffico e i campi UDM corrispondenti.

Campo CSV	Campo CEF	Campo LEEF	Chiave dell'etichetta Google Security Operations	Campo UDM
Ora di ricezione (receive_time o cef-formatted-receive_time)	rt	devTime		metadata.collected_timestamp, metadata.event_timestamp (se "Genera ora" è assente)
Numero di serie (seriale)	deviceExternalId	SerialNumber		intermediary.asset.hardware.serial_number
Tipo (tipo)	type (intestazione)	cat/Type		metadata.product_event_type
Tipo di minaccia/contenuti (sottotipo)	sottotipo (intestazione)	Sottotipo		metadata.product_event_type
Ora generata (time_generated o cef-formatted-time_generated)	start			metadata.event_timestamp
Indirizzo di origine (src)	src	src		principal.ip
Indirizzo di destinazione (dst)	dst	dst		target.ip
IP di origine NAT (natsrc)	sourceTranslatedAddress	srcPostNAT		principal.nat_ip
IP di destinazione NAT (natdst)	destinationTranslatedAddress	dstPostNAT		target.nat_ip
Nome regola (rule)	cs1	RuleName		security_result.rule_name
Utente di origine (srcuser)	suser	SourceUser		principal.user.userid
Utente di destinazione (dstuser)	duser	DestinationUser		target.user.userid
Applicazione (app)	app	Applicazione		target.application
Sistema virtuale (vsys)	cs3	VirtualSystem	vsys	about.labels.key e about.labels.value additional.fields.key e additional.fields.value.string_value
Zona di origine (da)	cs4	SourceZone	da	principal.labels.key e principal.labels.value additional.fields.key e additional.fields.value.string_value
Zona di destinazione (a)	cs5	DestinationZone	a	target.labels.key e target.labels.value additional.fields.key e additional.fields.value.string_value
Interfaccia in entrata (inbound_if)	deviceInboundInterface	IngressInterface	inbound_if	principal.labels.key e principal.labels.value additional.fields.key e additional.fields.value.string_value
Interfaccia in uscita (outbound_if)	deviceOutboundInterface	EgressInterface	outbound_if	target.labels.key e target.labels.value additional.fields.key e additional.fields.value.string_value
Azione di log (logset)	cs6	LogForwardingProfile	logset	about.labels.key e about.labels.value additional.fields.key e additional.fields.value.string_value
ID sessione (sessionid)	cn1	SessionID		network.session_id
Ripeti conteggio (repeatcnt)	cnt	RepeatCount	repeatcnt	about.labels.key e about.labels.value additional.fields.key e additional.fields.value.string_value
Porta di origine (sport)	spt	srcPort		principal.port
Porta di destinazione (dport)	dpt	dstPort		target.port
Porta di origine NAT (natsport)	sourceTranslatedPort	srcPostNATPort		principal.nat_port
Porta di destinazione NAT (natdport)	destinationTranslatedPort	dstPostNATPort		target.nat_port
Flag (flags)	flexString1	Bandiere	flags	about.labels.key e about.labels.value additional.fields.key e additional.fields.value.string_value
Protocollo IP (proto)	proto	proto		network.ip_protocol
Azione (azione)	atto	azione		security_result.action_details security_result.action
Byte (byte)	flexNumber1	totalBytes	byte	about.labels.key e about.labels.value additional.fields.key e additional.fields.value.string_value
Byte inviati (bytes_sent)	in	srcBytes		network.sent_bytes
Byte ricevuti (bytes_received)	troppo complessi per essere capiti?	dstBytes		network.received_bytes
Pacchetti (pacchetti)	cn2	totalPackets	pacchetti	about.labels.key e about.labels.value additional.fields.key e additional.fields.value.string_value
Ora di inizio (inizio)		StartTime	start	about.labels.key e about.labels.value additional.fields.key e additional.fields.value.string_value
Tempo trascorso (trascorso)	cn3	ElapsedTime	trascorso	network.session_duration.seconds
Categoria (categoria)	cs2	URLCategory		security_result.category / security_result.category_details
Numero di sequenza (seqno)	externalId	sequenza		metadata.product_log_id
Flag azioni (actionflags)	PanOSActionFlags	ActionFlags	actionflags	about.labels.key e about.labels.value additional.fields.key e additional.fields.value.string_value
Paese di origine (srcloc)		SourceLocation		principal.location.country_or_region
Paese di destinazione (dstloc)		DestinationLocation		target.location.country_or_region
Pacchetti inviati (pkts_sent)	PanOSPacketsSent	srcPackets	pkts_sent	about.labels.key e about.labels.value additional.fields.key e additional.fields.value.string_value
Pacchetti ricevuti (pkts_received)	PanOSPacketsReceived	dstPackets	pkts_received	about.labels.key e about.labels.value additional.fields.key e additional.fields.value.string_value
Motivo di fine della sessione (session_end_reason)	motivo	SessionEndReason		security_result.summary
Gerarchia del gruppo di dispositivi 1 (dg_hier_level_1 a dg_hier_level_4)	PanOSDGl1	DeviceGroupHierarchyL1	dg_hier_level_1	about.labels.key e about.labels.value additional.fields.key e additional.fields.value.string_value
Gerarchia del gruppo di dispositivi 2 (dg_hier_level_2)	PanOSDGl2	DeviceGroupHierarchyL2	dg_hier_level_2	about.labels.key e about.labels.value additional.fields.key e additional.fields.value.string_value
Gerarchia del gruppo di dispositivi 3 (dg_hier_level_3)	PanOSDGl3	DeviceGroupHierarchyL3	dg_hier_level_3	about.labels.key e about.labels.value additional.fields.key e additional.fields.value.string_value
Gerarchia del gruppo di dispositivi (dg_hier_level_4)	PanOSDGl4	DeviceGroupHierarchyL4	dg_hier_level_4	about.labels.key e about.labels.value additional.fields.key e additional.fields.value.string_value
Nome sistema virtuale (vsys_name)	PanOSVsysName	vSrcName		principal.resource.name principal.resource.resource_type=VIRTUAL_MACHINE
Nome dispositivo (device_name)	dvchost	DeviceName		intermediary.hostname
Origine azione (action_source)	gatto	ActionSource	action_source	about.labels.key e about.labels.value additional.fields.key e additional.fields.value.string_value
UUID VM di origine (src_uuid)	PanOSSrcUUID	SrcUUID		principal.asset.product_object_id
UUID VM di destinazione (dst_uuid)	PanOSDstUUID	DstUUID		target.asset.product_object_id
ID tunnel/IMSI (tunnelid/imsi)	PanOSTunnelID	TunnelID	tunnelid/imsi	about.labels.key e about.labels.value additional.fields.key e additional.fields.value.string_value
Monitor Tag/IMEI (monitortag/imei)	PanOSMonitorTag	MonitorTag	monitortag/imei	about.labels.key e about.labels.value additional.fields.key e additional.fields.value.string_value
ID sessione principale (parent_session_id)	PanOSParentSessionID	ParentSessionID	parent_session_id	network.parent_session_id
Ora di inizio del genitore (parent_start_time)	PanOSParentStartTime	ParentStartTime	parent_start_time	about.labels.key e about.labels.value additional.fields.key e additional.fields.value.string_value
Tipo di tunnel (tunnel)	PanOSTunnelType	TunnelType	tunnel	about.labels.key e about.labels.value additional.fields.key e additional.fields.value.string_value
ID associazione SCTP (assoc_id)	PanOSSCTPAssocID		assoc_id	about.labels.key e about.labels.value additional.fields.key e additional.fields.value.string_value
Segmenti SCTP (chunk)	PanOSSCTPChunks		pezzi	about.labels.key e about.labels.value additional.fields.key e additional.fields.value.string_value
Segmenti SCTP inviati (chunks_sent)	PanOSSCTPChunkSent		chunks_sent	about.labels.key e about.labels.value additional.fields.key e additional.fields.value.string_value
Chunk SCTP ricevuti (chunks_received)	PanOSSCTPChunksRcv		chunks_received	about.labels.key e about.labels.value additional.fields.key e additional.fields.value.string_value
UUID regola (rule_uuid)	PanOSRuleUUID			security_result.rule_id
Connessione HTTP/2 (http2_connection)	PanOSHTTP2Con		http2_connection	about.labels.key e about.labels.value additional.fields.key e additional.fields.value.string_value
Conteggio flap app (link_change_count)	PanLinkChange		link_change_count	about.labels.key e about.labels.value additional.fields.key e additional.fields.value.string_value
ID policy (policy_id)	PanPolicyID		policy_id	about.labels.key e about.labels.value additional.fields.key e additional.fields.value.string_value
Interruttori di collegamento (link_switches)	PanLinkDetail		link_switches	about.labels.key e about.labels.value additional.fields.key e additional.fields.value.string_value
Cluster SD-WAN (sdwan_cluster)	PanSDWANCluster		sdwan_cluster	about.labels.key e about.labels.value additional.fields.key e additional.fields.value.string_value
Tipo di dispositivo SD-WAN (sdwan_device_type)	PanSDWANDevice		sdwan_device_type	about.labels.key e about.labels.value additional.fields.key e additional.fields.value.string_value
Tipo di cluster SD-WAN (sdwan_cluster_type)	PanSDWANClustype		sdwan_cluster_type	about.labels.key e about.labels.value additional.fields.key e additional.fields.value.string_value
Sito SD-WAN (sdwan_site)	PanSDWANSite		sdwan_site	about.labels.key e about.labels.value additional.fields.key e additional.fields.value.string_value
Nome gruppo di utenti dinamico (dynusergroup_name)	PanDynamicUsrgrp		dynusergroup_name	about.labels.key e about.labels.value additional.fields.key e additional.fields.value.string_value
Indirizzo XFF (xff_ip)	PanXFFIP			principal.ip
Categoria dispositivo di origine (src_category)	PanSrcDeviceCat		src_category	principal.labels.key e principal.labels.value additional.fields.key e additional.fields.value.string_value
Profilo del dispositivo di origine (src_profile)	PanSrcDeviceProf		src_profile	principal.labels.key e principal.labels.value additional.fields.key e additional.fields.value.string_value
Modello del dispositivo sorgente (src_model)	PanSrcDeviceModel		src_model	principal.labels.key e principal.labels.value additional.fields.key e additional.fields.value.string_value
Fornitore del dispositivo di origine (src_vendor)	PanSrcDeviceVendor		src_vendor	principal.labels.key e principal.labels.value additional.fields.key e additional.fields.value.string_value
Famiglia di sistemi operativi del dispositivo di origine (src_osfamily)	PanSrcDeviceOS			principal.asset.platform_software.platform principal.labels.key e principal.labels.value additional.fields.key e additional.fields.value.string_value
Versione del sistema operativo del dispositivo di origine (src_osversion)	PanSrcDeviceOSv			principal.asset.software.version
Nome host di origine (src_host)	PanSrcHostname			principal.hostname
Indirizzo MAC di origine (src_mac)	PanSrcMac			principal.mac
Categoria dispositivo di destinazione (dst_category)	PanDstDeviceCat		dst_category	target.labels.key e target.labels.value additional.fields.key e additional.fields.value.string_value
Profilo del dispositivo di destinazione (dst_profile)	PanDstDeviceProf		dst_profile	target.labels.key e target.labels.value additional.fields.key e additional.fields.value.string_value
Modello del dispositivo di destinazione (dst_model)	PanDstDeviceModel		dst_model	target.labels.key e target.labels.value additional.fields.key e additional.fields.value.string_value
Fornitore del dispositivo di destinazione (dst_vendor)	PanDstDeviceVendor		dst_vendor	target.labels.key e target.labels.value additional.fields.key e additional.fields.value.string_value
Famiglia di sistemi operativi del dispositivo di destinazione (dst_osfamily)	PanDstDeviceOS		dst_osfamily	target.labels.key e target.labels.value additional.fields.key e additional.fields.value.string_value
Versione del sistema operativo del dispositivo di destinazione (dst_osversion)	PanDstDeviceOSv			target.asset.software.version
Nome host di destinazione (dst_host)	PanDstHostname			target.hostname
Indirizzo MAC di destinazione (dst_mac)	PanDstMac			target.mac
ID contenitore (container_id)	PanContainerName		container_id	about.labels.key e about.labels.value additional.fields.key e additional.fields.value.string_value
Spazio dei nomi POD (pod_namespace)	PanPODNamespace		pod_namespace	about.labels.key e about.labels.value additional.fields.key e additional.fields.value.string_value
Nome POD (pod_name)	PanPODName		pod_name	about.labels.key e about.labels.value additional.fields.key e additional.fields.value.string_value
Elenco dinamico esterno di origine (src_edl)	PanSrcEDL		src_edl	principal.labels.key e principal.labels.value additional.fields.key e additional.fields.value.string_value
Elenco dinamico esterno di destinazione (dst_edl)	PanDstEDL		dst_edl	target.labels.key e target.labels.value additional.fields.key e additional.fields.value.string_value
ID host (hostid)	PanGPHostID		hostid	about.labels.key e about.labels.value additional.fields.key e additional.fields.value.string_value
Numero di serie del dispositivo utente (serialnumber)	PanEPSerial			principal.asset.hardware.serial_number
Gruppo di indirizzi dinamici di origine (src_dag)	PanSrcDAG			principal.group.group_display_name
Gruppo di indirizzi dinamici di destinazione (dst_dag)	PanDstDAG			target.group.group_display_name
Proprietario della sessione (session_owner)	PanHASessionOwner		session_owner	about.labels.key e about.labels.value additional.fields.key e additional.fields.value.string_value
Timestamp ad alta risoluzione (high_res_timestamp)	PanTimeHighRes			metadata.collected_timestamp, metadata.event_timestamp (se "Genera ora" è assente)
Un tipo di servizio di sezione (nsdsai_sst)	PanASServiceType		nsdsai_sst	about.labels.key e about.labels.value additional.fields.key e additional.fields.value.string_value
Un elemento distintivo della sezione (nsdsai_sd)	PanASServiceDiff		nsdsai_sd	about.labels.key e about.labels.value additional.fields.key e additional.fields.value.string_value
Sottocategoria dell'applicazione (subcategory_of_app)			subcategory_of_app	about.labels.key e about.labels.value additional.fields.key e additional.fields.value.string_value
Categoria applicazione (category_of_app)			category_of_app	about.labels.key e about.labels.value additional.fields.key e additional.fields.value.string_value
Tecnologia dell'applicazione (technology_of_app)			technology_of_app	about.labels.key e about.labels.value additional.fields.key e additional.fields.value.string_value
Rischio applicazione (risk_of_app)				security_result.severity
Caratteristica dell'applicazione (characteristic_of_app)			characteristic_of_app	about.labels.key e about.labels.value additional.fields.key e additional.fields.value.string_value
Container dell'applicazione (container_of_app)			container_of_app	about.labels.key e about.labels.value additional.fields.key e additional.fields.value.string_value
SaaS dell'applicazione (is_saas_of_app)			is_saas_of_app	about.labels.key e about.labels.value additional.fields.key e additional.fields.value.string_value
Stato sanzionato dell'applicazione (sanctioned_state_of_app)			sanctioned_state_of_app	about.labels.key e about.labels.value additional.fields.key e additional.fields.value.string_value
Sottocategoria dell'applicazione (subcategory_of_app)			subcategory_of_app1	about.labels.key e about.labels.value additional.fields.key e additional.fields.value.string_value
Gravità (gravità)	number-of-severity(header)			security_result.severity e security_result.severity_details

User-ID

La tabella seguente elenca i campi di log del tipo di log user-id e i relativi campi UDM.

Campo CSV	Campo CEF	Campo LEEF	Chiave dell'etichetta Google Security Operations	Campo UDM
Ora di ricezione (receive_time o cef-formatted-receive_time)	rt	devTime		metadata.collected_timestamp, metadata.event_timestamp (se "Genera ora" è assente)
Numero di serie (seriale)	deviceExternalId	SerialNumber		intermediary.asset.hardware.serial_number
Tipo (tipo)	type (intestazione)	gatto		metadata.product_event_type
Tipo di minaccia/contenuti (sottotipo)	sottotipo (intestazione)	Sottotipo		metadata.product_event_type
Ora generata (time_generated o cef-formatted-time_generated)				metadata.event_timestamp
Sistema virtuale (vsys)	cs3	VirtualSystem	vsys	about.labels.key e about.labels.value additional.fields.key e additional.fields.value.string_value
IP di origine (ip)	src	src		principal.ip
Utente (utente)	duser	usrName		target.user.userid target.administrative_domain target.user.email_addresses
Nome origine dati (datasourcename)	cs4	DataSourceName	datasourcename	principal.labels.key e principal.labels.value additional.fields.key e additional.fields.value.string_value
ID evento (eventid)		EventID	eventid	about.labels.key e about.labels.value additional.fields.key e additional.fields.value.string_value
Ripeti conteggio (repeatcnt)	cnt	RepeatCount	repeatcnt	about.labels.key e about.labels.value additional.fields.key e additional.fields.value.string_value
Soglia di timeout	cn3	TimeoutThreshold	timeout	about.labels.key e about.labels.value additional.fields.key e additional.fields.value.string_value
Porta di origine (beginport)	spt	srcPort		principal.port
Porta di destinazione (endport)	dpt	dstPort		target.port
Origine dati	cs5	DataSource	origine dati	principal.labels.key e principal.labels.value additional.fields.key e additional.fields.value.string_value
Tipo di origine dati (datasourcetype)	cs6	DataSourceType	datasourcetype	principal.labels.key e principal.labels.value additional.fields.key e additional.fields.value.string_value
Numero di sequenza (seqno)	externalId	sequenza		metadata.product_log_id
Flag azioni (actionflags)	PanOSActionFlags	ActionFlags	actionflags	about.labels.key e about.labels.value additional.fields.key e additional.fields.value.string_value
Gerarchia del gruppo di dispositivi (dg_hier_level_1)	PanOSDGl1	DeviceGroupHierarchyL1	dg_hier_level_1	about.labels.key e about.labels.value additional.fields.key e additional.fields.value.string_value
Gerarchia del gruppo di dispositivi (dg_hier_level_2)	PanOSDGl2	DeviceGroupHierarchyL2	dg_hier_level_2	about.labels.key e about.labels.value additional.fields.key e additional.fields.value.string_value
Gerarchia del gruppo di dispositivi (dg_hier_level_3)	PanOSDGl3	DeviceGroupHierarchyL3	dg_hier_level_3	about.labels.key e about.labels.value additional.fields.key e additional.fields.value.string_value
Gerarchia del gruppo di dispositivi (dg_hier_level_4)	PanOSDGl4	DeviceGroupHierarchyL4	dg_hier_level_4	about.labels.key e about.labels.value additional.fields.key e additional.fields.value.string_value
Nome sistema virtuale (vsys_name)	PanOSVsysName	vSrcName		principal.resource.name principal.resource.resource_type=VIRTUAL_MACHINE
Nome dispositivo (device_name)	dvchost	DeviceName		intermediary.hostname
ID sistema virtuale (vsys_id)	cn2	VirtualSystemID		principal.resource.resource_type=VIRTUAL_MACHINE and principal.resource.product_object_id
Tipo di fattore (factortype)	cs1	FactorType	factortype	about.labels.key e about.labels.value additional.fields.key e additional.fields.value.string_value
Tempo di completamento del fattore (factorcompletiontime)	end	FactorCompletionTime	factorcompletiontime	about.labels.key e about.labels.value additional.fields.key e additional.fields.value.string_value
Numero fattore (factorno)	cn1	FactorNumber	factorno	about.labels.key e about.labels.value additional.fields.key e additional.fields.value.string_value
Flag dei gruppi utente (ugflags)	PanOSUGFlags		ugflags	about.labels.key e about.labels.value additional.fields.key e additional.fields.value.string_value
Utente per sorgente (userbysource)	PanOSUserBySource			principal.user.userid principal.administrative_domain principal.user.email_addresses
Timestamp ad alta risoluzione (high_res timestamp)	PanOSTimeGeneratedHighResolution			metadata.collected_timestamp, metadata.event_timestamp (se "Genera ora" è assente)
Gravità (gravità)	number-of-severity(header)			security_result.severity e security_result.severity_details

Corrispondenza HIP

La seguente tabella elenca i campi di log del tipo di log di corrispondenza HIP e i relativi campi UDM.

Campo CSV	Campo CEF	Campo LEEF	Chiave dell'etichetta Google Security Operations	Campo UDM
Ora di ricezione (receive_time o cef-formatted-receive_time)	rt	devTime		metadata.collected_timestamp, metadata.event_timestamp (se "Genera ora" è assente)
Numero di serie (seriale)	deviceExternalId	SerialNumber		intermediary.asset.hardware.serial_number
Tipo (tipo)	type (intestazione)	gatto		metadata.product_event_type
Tipo di minaccia/contenuti (sottotipo)	sottotipo (intestazione)	Sottotipo
Ora generata (time_generated o cef-formatted-time_generated)	start	startTime		metadata.event_timestamp
Utente di origine (srcuser)	suser	usrName		principal.user.userid
Sistema virtuale (vsys)	cs3	VirtualSystem	vsys	about.labels.key e about.labels.value additional.fields.key e additional.fields.value.string_value
Nome macchina (machinename)	shost	identHostName		principal.hostname
Sistema operativo	cs2	Sistema operativo		principal.asset.platform_software.platform
Indirizzo di origine (src)	src	identsrc		principal.ip
HIP (matchname)	gatto	HIP	matchname	about.labels.key e about.labels.value additional.fields.key e additional.fields.value.string_value
Ripeti conteggio (repeatcnt)	cnt	RepeatCount	repeatcnt	about.labels.key e about.labels.value additional.fields.key e additional.fields.value.string_value
Tipo di HIP (matchtype)	ID classe evento dispositivo (intestazione)	HIPType	matchtype	about.labels.key e about.labels.value additional.fields.key e additional.fields.value.string_value
Numero di sequenza (seqno)	externalId	sequenza		metadata.product_log_id
Flag azioni (actionflags)	PanOSActionFlags	ActionFlags	actionflags	about.labels.key e about.labels.value additional.fields.key e additional.fields.value.string_value
Gerarchia del gruppo di dispositivi (dg_hier_level_1)	PanOSDGl1	DeviceGroupHierarchyL1	dg_hier_level_1	about.labels.key e about.labels.value additional.fields.key e additional.fields.value.string_value
Gerarchia del gruppo di dispositivi (dg_hier_level_2)	PanOSDGl2	DeviceGroupHierarchyL2	dg_hier_level_2	about.labels.key e about.labels.value additional.fields.key e additional.fields.value.string_value
Gerarchia del gruppo di dispositivi (dg_hier_level_3)	PanOSDGl3	DeviceGroupHierarchyL3	dg_hier_level_3	about.labels.key e about.labels.value additional.fields.key e additional.fields.value.string_value
Gerarchia del gruppo di dispositivi (dg_hier_level_4)	PanOSDGl4	DeviceGroupHierarchyL4	dg_hier_level_4	about.labels.key e about.labels.value additional.fields.key e additional.fields.value.string_value
Nome sistema virtuale (vsys_name)	PanOSVsysName	vSrcName		principal.resource.name principal.resource.resource_type=VIRTUAL_MACHINE
Nome dispositivo (device_name)	dvchost	DeviceName		intermediary.hostname
ID sistema virtuale (vsys_id)	cn2	VirtualSystemID		principal.resource.resource_type=VIRTUAL_MACHINE and principal.resource.product_object_id
Indirizzo di sistema IPv6 (srcipv6)	c6a2	srcipv6		principal.asset.ip
ID host (hostid)	PanOSHostID			principal.asset.product_object_id
Numero di serie del dispositivo utente (serialnumber)	PanOSEndpointSerialNumber			principal.asset.hardware.serial_number
Indirizzo MAC del dispositivo (mac)	PanOSEndpointMac			principal.asset.mac
Timestamp ad alta risoluzione (high_res_timestamp)	PanOSTimeGeneratedHighResolution			metadata.collected_timestamp, metadata.event_timestamp (se "Genera ora" è assente)
Gravità (gravità)	number-of-severity(header)			security_result.severity e security_result.severity_details

Tag IP

La tabella seguente elenca i campi di log del tipo di log tag IP e i campi UDM corrispondenti.

Campo CSV	Campo CEF	Campo LEEF	Chiave dell'etichetta Google Security Operations	Campo UDM
Ora di ricezione (receive_time o cef-formatted-receive_time)	rt	devTime		metadata.collected_timestamp, metadata.event_timestamp (se "Genera ora" è assente)
Numero di serie (seriale)	deviceExternalId	SerialNumber		intermediary.asset.hardware.serial_number
Tipo (tipo)	type (intestazione)	gatto		metadata.product_event_type
Tipo di minaccia/contenuti (sottotipo)	sottotipo (intestazione)	Sottotipo		metadata.product_event_type
Ora generata (time_generated o cef-formatted-time_generated)		GenerateTime		metadata.event_timestamp
Sistema virtuale (vsys)	cs3	VirtualSystem	vsys	about.labels.key e about.labels.value additional.fields.key e additional.fields.value.string_value
IP di origine (ip)	src	src		principal.ip
Nome tag (tag_name)	PanOSTagName	TagName	tag_name	principal.labels.key e principal.labels.value additional.fields.key e additional.fields.value.string_value
ID evento (event_id)	PanOSEventID	EventID	event_id	about.labels.key e about.labels.value additional.fields.key e additional.fields.value.string_value
Ripeti conteggio (repeatcnt)	cnt	RepeatCount	repeatcnt	about.labels.key e about.labels.value additional.fields.key e additional.fields.value.string_value
Timeout (timeout)	PanOSTimeout	TimeoutThreshold	timeout	about.labels.key e about.labels.value additional.fields.key e additional.fields.value.string_value
Nome origine dati (datasourcename)	PanOSDataSourceName	DataSourceName	datasourcename	principal.labels.key e principal.labels.value additional.fields.key e additional.fields.value.string_value
Tipo di origine dati (datasource_type)	PanOSDataSourceType	DataSource	datasource_type	principal.labels.key e principal.labels.value additional.fields.key e additional.fields.value.string_value
Sottotipo di origine dati (datasource_subtype)	PanOSDataSourceSubType	DataSourceType	datasource_subtype	principal.labels.key e principal.labels.value additional.fields.key e additional.fields.value.string_value
Numero di sequenza (seqno)	externalId	sequenza		metadata.product_log_id
Flag azioni (actionflags)	PanOSActionFlags	ActionFlags	actionflags	about.labels.key e about.labels.value additional.fields.key e additional.fields.value.string_value
Gerarchia del gruppo di dispositivi (dg_hier_level_1)	PanOSDGl1	DeviceGroupHierarchyL1	dg_hier_level_1	about.labels.key e about.labels.value additional.fields.key e additional.fields.value.string_value
Gerarchia del gruppo di dispositivi (dg_hier_level_2)	PanOSDGl2	DeviceGroupHierarchyL2	dg_hier_level_2	about.labels.key e about.labels.value additional.fields.key e additional.fields.value.string_value
Gerarchia del gruppo di dispositivi (dg_hier_level_3)	PanOSDGl3	DeviceGroupHierarchyL3	dg_hier_level_3	about.labels.key e about.labels.value additional.fields.key e additional.fields.value.string_value
Gerarchia del gruppo di dispositivi (dg_hier_level_4)	PanOSDGl4	DeviceGroupHierarchyL4	dg_hier_level_4	about.labels.key e about.labels.value additional.fields.key e additional.fields.value.string_value
Nome sistema virtuale (vsys_name)	PanOsVsysName	vSrcName		principal.resource.name principal.resource.resource_type=VIRTUAL_MACHINE
Nome dispositivo (device_name)	dvchost	DeviceName		intermediary.hostname
ID sistema virtuale (vsys_id)	cn2	VirtualSystemID		principal.resource.resource_type=VIRTUAL_MACHINE and principal.resource.product_object_id
Timestamp ad alta risoluzione (high_res timestamp)	PanOSTimeGeneratedHighResolution			metadata.collected_timestamp, metadata.event_timestamp (se "Genera ora" è assente)
Gravità (gravità)	number-of-severity(header)			security_result.severity e security_result.severity_details

Decriptazione

La tabella seguente elenca i campi di log del tipo di log di decriptografia e i relativi campi UDM.

Campo CSV	Campo CEF	Campo LEEF	Chiave dell'etichetta Google Security Operations	Campo UDM
Ora di ricezione (receive_time o cef-formatted-receive_time)	rt			metadata.collected_timestamp, metadata.event_timestamp (se "Genera ora" è assente)
Numero di serie (seriale)	PanOSDeviceSN			intermediary.asset.hardware.serial_number
Tipo (tipo)	type (intestazione)			metadata.product_event_type
Tipo di minaccia/contenuti (sottotipo)	sottotipo (intestazione)			metadata.product_event_type
Versione configurazione (config_ver)	PanOSConfigVersion		config_ver	about.labels.key e about.labels.value additional.fields.key e additional.fields.value.string_value
Genera ora (time_generated)	PanOSLogTimeStamp			metadata.event_timestamp
Indirizzo di origine (src)	src			principal.ip
Indirizzo di destinazione (dst)	dst			target.ip
IP di origine NAT (natsrc)	sourceTranslatedAddress			principa.nat_ip
IP di destinazione NAT (natdst)	destinationTranslatedAddress			target.nat_ip
Rule (regola)	cs1			security_result.rule_name
Utente di origine (srcuser)	suser			principal.user.userid
Utente di destinazione (dstuser)	duser			target.user.userid
Applicazione (app)	app			target.application
Sistema virtuale (vsys)	cs3		vsys	about.labels.key e about.labels.value additional.fields.key e additional.fields.value.string_value
Zona di origine (da)	cs4		da	principal.labels.key e principal.labels.value additional.fields.key e additional.fields.value.string_value
Zona di destinazione (a)	cs5		a	target.labels.key e target.labels.value additional.fields.key e additional.fields.value.string_value
Interfaccia in entrata (inbound_if)	deviceInboundInterface		inbound_if	principal.labels.key e principal.labels.value additional.fields.key e additional.fields.value.string_value
Interfaccia in uscita (outbound_if)	deviceOutboundInterface		outbound_if	target.labels.key e target.labels.value additional.fields.key e additional.fields.value.string_value
Azione di log (logset)	cs6		logset	about.labels.key e about.labels.value additional.fields.key e additional.fields.value.string_value
Orario log (time_received)	PanOSTimeReceivedManagementPlane			-
ID sessione (sessionid)	cn1			network.session_id
Ripeti conteggio (repeatcnt)	PanOSCountOfRepeats/RepeatCount		repeatcnt	about.labels.key e about.labels.value additional.fields.key e additional.fields.value.string_value
Porta di origine (sport)	spt			principal.port
Porta di destinazione (dport)	dpt			target.port
Porta di origine NAT (natsport)	sourceTranslatedPort			principal.nat_port
Porta di destinazione NAT (natdport)	destinationTranslatedPort			target.nat_port
Flag (flags)	flexString1		flags	about.labels.key e about.labels.value additional.fields.key e additional.fields.value.string_value
Protocollo IP (proto)	proto			network.ip_protocol
Azione (azione)	atto			security_result.action_details security_result.action
Tunnel (tunnel)	PanOSTunnel		tunnel	about.labels.key e about.labels.value additional.fields.key e additional.fields.value.string_value
UUID VM di origine (src_uuid)	PanOSSourceUUID			principal.asset.asset_id
UUID VM di destinazione (dst_uuid)	PanOSDestinationUUID			target.asset.asset_id
UUID per la regola (rule_uuid)	PanOSRuleUUID			security_result.rule_id
Stage for Client to Firewall (hs_stage_c2f)	PanOSClientToFirewall		hs_stage_c2f	about.labels.key e about.labels.value additional.fields.key e additional.fields.value.string_value
Stage for Firewall to Server (hs_stage_f2s)	PanOSFirewallToServer		hs_stage_f2s	about.labels.key e about.labels.value additional.fields.key e additional.fields.value.string_value
Versione TLS (tls_version)	PanOSTLSVersion			network.tls.version
Algoritmo di scambio di chiavi (tls_keyxchg)	PanOSTLSKeyExchange		tls_keyxchg	about.labels.key e about.labels.value additional.fields.key e additional.fields.value.string_value
Algoritmo di crittografia (tls_enc)	PanOSTLSEncryptionAlgorithm		tls_enc	about.labels.key e about.labels.value additional.fields.key e additional.fields.value.string_value
Algoritmo di hash (tls_auth)	PanOSTLSAuth		tls_auth	about.labels.key e about.labels.value additional.fields.key e additional.fields.value.string_value
Nome della policy (policy_name)	PanOSPolicyName		policy_name	about.labels.key e about.labels.value additional.fields.key e additional.fields.value.string_value
Curva ellittica (ec_curve)	PanOSEllipticCurve			network.tls.curve
Indice di errori (err_index)	PanOSErrorIndex		err_index	about.labels.key e about.labels.value additional.fields.key e additional.fields.value.string_value
Stato root (root_status)	PanOSRootStatus		root_status	about.labels.key e about.labels.value additional.fields.key e additional.fields.value.string_value
Stato della catena (chain_status)	PanOSChainStatus		chain_status	about.labels.key e about.labels.value additional.fields.key e additional.fields.value.string_value
Tipo di proxy (proxy_type)	PanOSProxyType		proxy_type	about.labels.key e about.labels.value additional.fields.key e additional.fields.value.string_value
Numero di serie del certificato (cert_serial)	PanOSCertificateSerial			network.tls.server.certificate.serial
Impronta digitale certificato	PanOSFingerprint			network.tls.server.certificate.md5/sha1/sha256
Data di inizio del certificato (notbefore)	PanOSTimeNotBefore			network.tls.server.certificate.not_before
Data di fine validità del certificato (notafter)	PanOSTimeNotAfter			network.tls.server.certificate.not_after
Versione del certificato (cert_ver)	PanOSCertificateVersion			network.tls.server.certificate.version
Dimensioni certificato (cert_size)	PanOSCertificateSize		cert_size	about.labels.key e about.labels.value additional.fields.key e additional.fields.value.string_value
Lunghezza del nome comune (cn_len)	PanOSCommonNameLength		cn_len	about.labels.key e about.labels.value additional.fields.key e additional.fields.value.string_value
Lunghezza nome comune emittente (issuer_len)	PanOSIssuerNameLength		issuer_len	about.labels.key e about.labels.value additional.fields.key e additional.fields.value.string_value
Lunghezza nome comune radice (rootcn_len)	PanOSRootCNLength		rootcn_len	about.labels.key e about.labels.value additional.fields.key e additional.fields.value.string_value
Lunghezza snippet (sni_len)	PanOSSNILength		sni_len	about.labels.key e about.labels.value additional.fields.key e additional.fields.value.string_value
Flag del certificato (cert_flags)	PanOSCertificateFlags		cert_flags	about.labels.key e about.labels.value additional.fields.key e additional.fields.value.string_value
Nome comune del soggetto (cn)	PanOSCommonName		cn	about.labels.key e about.labels.value additional.fields.key e additional.fields.value.string_value
Nome comune dell'emittente (issuer_cn)	PanOSIssuerCommonName			network.tls.server.certificate.issuer
Nome comune della radice (root_cn)	PanOSRootCommonName		root_cn	about.labels.key e about.labels.value additional.fields.key e additional.fields.value.string_value
Server Name Indication (sni)				network.tls.client.server_name
Errore (errore)	PanOSErrorMessage		errore	about.labels.key e about.labels.value additional.fields.key e additional.fields.value.string_value
ID contenitore (container_id)	PanOSContainerID		container_id	about.labels.key e about.labels.value additional.fields.key e additional.fields.value.string_value
Spazio dei nomi POD (pod_namespace)	PanOSContainerNameSpace		pod_namespace	about.labels.key e about.labels.value additional.fields.key e additional.fields.value.string_value
Nome POD (pod_name)	PanOSContainerName		pod_name	about.labels.key e about.labels.value additional.fields.key e additional.fields.value.string_value
Elenco dinamico esterno di origine (src_edl)	PanOSSourceEDL		src_edl	principal.labels.key e principal.labels.value additional.fields.key e additional.fields.value.string_value
Elenco dinamico esterno di destinazione (dst_edl)	PanOSDestinationEDL		dst_edl	target.labels.key e target.labels.value additional.fields.key e additional.fields.value.string_value
Gruppo di indirizzi dinamici di origine (src_dag)	PanOSSourceDynamicAddressGroup			principal.group.group_display_name
Gruppo di indirizzi dinamici di destinazione (dst_dag)	PanOSDestinationDynamicAddressGroup			target.group.group_display_name
Timestamp ad alta risoluzione (high_res_timestamp)	PanOSTimeGeneratedHighResolution			metadata.collected_timestamp, metadata.event_timestamp (se "Genera ora" è assente)
Categoria dispositivo di origine (src_category)	PanOSSourceDeviceCategory		src_category	principal.labels.key e principal.labels.value additional.fields.key e additional.fields.value.string_value
Profilo del dispositivo di origine (src_profile)	PanOSSourceDeviceProfile		src_profile	principal.labels.key e principal.labels.value additional.fields.key e additional.fields.value.string_value
Modello del dispositivo sorgente (src_model)	PanOSSourceDeviceModel		src_model	principal.labels.key e principal.labels.value additional.fields.key e additional.fields.value.string_value
Fornitore del dispositivo di origine (src_vendor)	PanOSSourceDeviceVendor		src_vendor	principal.labels.key e principal.labels.value additional.fields.key e additional.fields.value.string_value
Famiglia di sistemi operativi del dispositivo di origine (src_osfamily)	PanOSSourceDeviceOSFamily			principal.asset.platform_software.platform principal.labels.key e principal.labels.value
Versione del sistema operativo del dispositivo di origine (src_osversion)	PanOSSourceDeviceOSVersion			principal.asset.software.version
Nome host di origine (src_host)	PanOSSourceDeviceHost			principal.hostname
Indirizzo MAC di origine (src_mac)	PanOSSourceDeviceMac			principal.mac
Categoria dispositivo di destinazione (dst_category)	PanOSDestinationDeviceCategory		dst_category	target.labels.key e target.labels.value additional.fields.key e additional.fields.value.string_value
Profilo del dispositivo di destinazione (dst_profile)	PanOSDestinationDeviceProfile		dst_profile	target.labels.key e target.labels.value additional.fields.key e additional.fields.value.string_value
Modello del dispositivo di destinazione (dst_model)	PanOSDestinationDeviceModel		dst_model	target.labels.key e target.labels.value additional.fields.key e additional.fields.value.string_value
Fornitore del dispositivo di destinazione (dst_vendor)	PanOSDestinationDeviceVendor		dst_vendor	target.labels.key e target.labels.value additional.fields.key e additional.fields.value.string_value
Famiglia di sistemi operativi del dispositivo di destinazione (dst_osfamily)	PanOSDestinationDeviceOSFamily		dst_osfamily	target.labels.key e target.labels.value additional.fields.key e additional.fields.value.string_value
Versione del sistema operativo del dispositivo di destinazione (dst_osversion)	PanOSDestinationDeviceOSVersion			target.asset.software.version
Nome host di destinazione (dst_host)	PanOSDestinationDeviceHost			target.hostname
Indirizzo MAC di destinazione (dst_mac)	PanOSDestinationDeviceMac			target.mac
Numero di sequenza (seqno)	PanOSLogTypeSeqNo			metadata.product_log_id
Flag azioni (actionflags)	PanOSActionFlags		actionflags	about.labels.key e about.labels.value additional.fields.key e additional.fields.value.string_value
Gerarchia del gruppo di dispositivi (dg_hier_level_1)		DeviceGroupHierarchyL1	dg_hier_level_1	about.labels.key e about.labels.value additional.fields.key e additional.fields.value.string_value
Gerarchia del gruppo di dispositivi (dg_hier_level_2)		DeviceGroupHierarchyL2	dg_hier_level_2	about.labels.key e about.labels.value additional.fields.key e additional.fields.value.string_value
Gerarchia del gruppo di dispositivi (dg_hier_level_3)		DeviceGroupHierarchyL3	dg_hier_level_3	about.labels.key e about.labels.value additional.fields.key e additional.fields.value.string_value
Gerarchia del gruppo di dispositivi (dg_hier_level_4)		DeviceGroupHierarchyL4	dg_hier_level_4	about.labels.key e about.labels.value additional.fields.key e additional.fields.value.string_value
Nome sistema virtuale (vsys_name)				principal.resource.name principal.resource.resource_type=VIRTUAL_MACHINE
Nome dispositivo (device_name)				intermediary.hostname
ID sistema virtuale (vsys_id)				principal.resource.resource_type=VIRTUAL_MACHINE and principal.resource.product_object_id
Sottocategoria dell'applicazione (subcategory_of_app)			subcategory_of_app	about.labels.key e about.labels.value additional.fields.key e additional.fields.value.string_value
Categoria applicazione (category_of_app)			category_of_app	about.labels.key e about.labels.value additional.fields.key e additional.fields.value.string_value
Tecnologia dell'applicazione (technology_of_app)			technology_of_app	about.labels.key e about.labels.value additional.fields.key e additional.fields.value.string_value
Rischio applicazione (risk_of_app)				security_result.severity
Caratteristica dell'applicazione (characteristic_of_app)			characteristic_of_app	about.labels.key e about.labels.value additional.fields.key e additional.fields.value.string_value
Container dell'applicazione (container_of_app)			container_of_app	about.labels.key e about.labels.value additional.fields.key e additional.fields.value.string_value
SaaS dell'applicazione (is_saas_of_app)			is_saas_of_app	about.labels.key e about.labels.value additional.fields.key e additional.fields.value.string_value
Stato sanzionato dell'applicazione (sanctioned_state_of_app)			sanctioned_state_of_app	about.labels.key e about.labels.value additional.fields.key e additional.fields.value.string_value
Gravità (gravità)	number-of-severity(header)			security_result.severity e security_result.severity_details

Tunnel

La seguente tabella elenca i campi di log del tipo di log del tunnel e i relativi campi UDM.

Campo CSV	Campo CEF	Campo LEEF	Chiave dell'etichetta Google Security Operations	Campo UDM
Ora di ricezione (receive_time o cef-formatted-receive_time)	rt	devTime		metadata.collected_timestamp, metadata.event_timestamp (se "Genera ora" è assente)
Numero di serie (seriale)	deviceExternalId	SerialNumber		intermediary.asset.hardware.serial_number
Tipo (tipo)	type (intestazione)	gatto		metadata.product_event_type
Tipo di minaccia/contenuti (sottotipo)	sottotipo (intestazione)	Sottotipo		metadata.product_event_type
Ora generata (time_generated o cef-formatted-time_generated)				metadata.event_timestamp
Indirizzo di origine (src)	src	src		principal.ip
Indirizzo di destinazione (dst)	dst	dst		target.ip
IP di origine NAT (natsrc)	sourceTranslatedAddress	srcPostNAT		principal.nat_ip
IP di destinazione NAT (natdst)	destinationTranslatedAddress	dstPostNAT		target.nat_ip
Nome regola (rule)	cs1	RuleName		security_result.rule_name
Utente di origine (srcuser)	suser	SourceUser / usrName		principal.user.userid
Utente di destinazione (dstuser)	duser	DestinationUser		target.user.userid
Applicazione (app)	app	Applicazione		network.application_protocol
Sistema virtuale (vsys)	cs3	VirtualSystem	vsys	about.labels.key e about.labels.value additional.fields.key e additional.fields.value.string_value
Zona di origine (da)	cs4	SourceZone	da	principal.labels.key e principal.labels.value additional.fields.key e additional.fields.value.string_value
Zona di destinazione (a)	cs5	DestinationZone	a	target.labels.key e target.labels.value additional.fields.key e additional.fields.value.string_value
Interfaccia in entrata (inbound_if)	deviceInboundInterface	IngressInterface	inbound_if	principal.labels.key e principal.labels.value additional.fields.key e additional.fields.value.string_value
Interfaccia in uscita (outbound_if)	deviceOutboundInterface	EgressInterface	outbound_if	target.labels.key e target.labels.value additional.fields.key e additional.fields.value.string_value
Azione di log (logset)	cs6	LogForwardingProfile	logset	about.labels.key e about.labels.value additional.fields.key e additional.fields.value.string_value
ID sessione (sessionid)	cn1	SessionID		network.session_id
Ripeti conteggio (repeatcnt)	cnt	RepeatCount	repeatcnt	about.labels.key e about.labels.value additional.fields.key e additional.fields.value.string_value
Porta di origine (sport)	spt	srcPort		principal.port
Porta di destinazione (dport)	dpt	dstPort		target.port
Porta di origine NAT (natsport)	sourceTranslatedPort	srcPostNATPort		principal.nat_port
Porta di destinazione NAT (natdport)	destinationTranslatedPort	dstPostNATPort		target.nat_port
Flag (flags)	flexString1	Bandiere	flags	about.labels.key e about.labels.value additional.fields.key e additional.fields.value.string_value
Protocollo IP (proto)	proto	proto		network.ip_protocol
Azione (azione)	atto	azione		security_result.action_details security_result.action
Gravità (gravità)	number-of-severity(header)			security_result.severity e security_result.severity_details
Numero di sequenza (seqno)	externalId	sequenza		metadata.product_log_id
Flag azioni (actionflags)	PanOSActionFlags	ActionFlags	actionflags	about.labels.key e about.labels.value additional.fields.key e additional.fields.value.string_value
Posizione di origine (srcloc)				principal.location.country_or_region
Località di destinazione (dstloc)				target.location.country_or_region
Gerarchia del gruppo di dispositivi (dg_hier_level_1)	PanOSDGl1	DeviceGroupHierarchyL1	dg_hier_level_1	about.labels.key e about.labels.value additional.fields.key e additional.fields.value.string_value
Gerarchia del gruppo di dispositivi (dg_hier_level_2)	PanOSDGl2	DeviceGroupHierarchyL2	dg_hier_level_2	about.labels.key e about.labels.value additional.fields.key e additional.fields.value.string_value
Gerarchia del gruppo di dispositivi (dg_hier_level_3)	PanOSDGl3	DeviceGroupHierarchyL3	dg_hier_level_3	about.labels.key e about.labels.value additional.fields.key e additional.fields.value.string_value
Gerarchia del gruppo di dispositivi (dg_hier_level_4)	PanOSDGl4	DeviceGroupHierarchyL4	dg_hier_level_4	about.labels.key e about.labels.value additional.fields.key e additional.fields.value.string_value
Nome sistema virtuale (vsys_name)	PanOSVsysName	vSrcName		principal.resource.name principal.resource.resource_type=VIRTUAL_MACHINE
Nome dispositivo (device_name)	dvchost	DeviceName		intermediary.hostname
ID tunnel (tunnelid)	PanOSTunnelID	TunnelID	tunnelid	about.labels.key e about.labels.value additional.fields.key e additional.fields.value.string_value
Monitor Tag (monitortag)	PanOSMonitorTag	MonitorTag	monitortag	about.labels.key e about.labels.value additional.fields.key e additional.fields.value.string_value
ID sessione principale (parent_session_id)	PanOSParentSessionID	ParentSessionID	parent_session_id	network.parent_session_id
Ora di inizio del genitore (parent_start_time)	PanOSParentStartTime	ParentStartTime	parent_start_time	about.labels.key e about.labels.value additional.fields.key e additional.fields.value.string_value
Tipo di tunnel (tunnel)	cs2	TunnelType	tunnel	about.labels.key e about.labels.value additional.fields.key e additional.fields.value.string_value
Byte (byte)	flexNumber1	totalBytes	byte	about.labels.key e about.labels.value additional.fields.key e additional.fields.value.string_value
Byte inviati (bytes_sent)	in	srcBytes		network.sent_bytes
Byte ricevuti (bytes_received)	troppo complessi per essere capiti?	dstBytes		network.received_bytes
Pacchetti (pacchetti)	cn2	totalPackets	pacchetti	about.labels.key e about.labels.value additional.fields.key e additional.fields.value.string_value
Pacchetti inviati (pkts_sent)	PanOSPacketsSent	srcPackets	pkts_sent	about.labels.key e about.labels.value additional.fields.key e additional.fields.value.string_value
Pacchetti ricevuti (pkts_received)	PanOSPacketsReceived	dstPackets	pkts_received	about.labels.key e about.labels.value additional.fields.key e additional.fields.value.string_value
Incapsulamento massimo (max_encap)	flexNumber2	MaximumEncapsulation	max_encap	about.labels.key e about.labels.value additional.fields.key e additional.fields.value.string_value
Protocollo sconosciuto (unknown_proto)	cfp1	UnknownProtocol	unknown_proto	about.labels.key e about.labels.value additional.fields.key e additional.fields.value.string_value
Controllo rigoroso (strict_check)	cfp2	StrictChecking	strict_check	about.labels.key e about.labels.value additional.fields.key e additional.fields.value.string_value
Frammento tunnel (tunnel_fragment)	PanOSTunnelFragment	TunnelFragment	tunnel_fragment	about.labels.key e about.labels.value additional.fields.key e additional.fields.value.string_value
Sessioni create (sessions_created)	cfp3	SessionsCreated	sessions_created	about.labels.key e about.labels.value additional.fields.key e additional.fields.value.string_value
Sessioni chiuse (sessions_closed)	cfp4	SessionsClosed	sessions_closed	about.labels.key e about.labels.value additional.fields.key e additional.fields.value.string_value
Motivo di fine della sessione (session_end_reason)	motivo	SessionEndReason		security_result.summary
Origine azione (action_source)	gatto	ActionSource	action_source	about.labels.key e about.labels.value additional.fields.key e additional.fields.value.string_value
Ora di inizio (inizio)		startTime	start	about.labels.key e about.labels.value additional.fields.key e additional.fields.value.string_value
Tempo trascorso (trascorso)	cn3	ElapsedTime	trascorso	network.session_duration.seconds
Regola di ispezione del tunnel (tunnel_insp_rule)	PanOSTunneInspectionRule			security_result.rule_name = "Tunnel Inspection Rule: %{PanOSTunnelInspectionRule}"
IP utente remoto (remote_user_ip)	PanOSRmtUserIP			target.ip
ID utente remoto (remote_user_id)	PanOSRmtUserID		remote_user_id	target.labels.key e target.labels.value additional.fields.key e additional.fields.value.string_value
UUID della regola di sicurezza (rule_uuid)	PanOSRuleUUID			security_result.rule_id
ID PCAP (pcap_id)	PanOSPcapID		pcap_id	about.labels.key e about.labels.value additional.fields.key e additional.fields.value.string_value
Nome gruppo di utenti dinamico (dynusergroup_name)	PanDynamicUsrgrp			principal.group.group_display_name
Elenco dinamico esterno di origine (src_edl)	PanOSSourceEDL		src_edl	principal.labels.key e principal.labels.value additional.fields.key e additional.fields.value.string_value
Elenco dinamico esterno di destinazione (dst_edl)	PanOSDestinationEDL		dst_edl	target.labels.key e target.labels.value additional.fields.key e additional.fields.value.string_value
Timestamp ad alta risoluzione (high_res timestamp)	PanOSTimeGeneratedHighResolution			metadata.collected_timestamp, metadata.event_timestamp (se "Genera ora" è assente)
Un elemento distintivo della sezione (nssai_sd)			nssai_sd	about.labels.key e about.labels.value additional.fields.key e additional.fields.value.string_value
Un tipo di servizio di sezione (nssai_sd)			nssai_sd1	about.labels.key e about.labels.value additional.fields.key e additional.fields.value.string_value
ID sessione PDU (pdu_session_id)			pdu_session_id	about.labels.key e about.labels.value additional.fields.key e additional.fields.value.string_value
Sottocategoria dell'applicazione (subcategory_of_app)			subcategory_of_app	about.labels.key e about.labels.value additional.fields.key e additional.fields.value.string_value
Categoria applicazione (category_of_app)			category_of_app	about.labels.key e about.labels.value additional.fields.key e additional.fields.value.string_value
Tecnologia dell'applicazione (technology_of_app)			technology_of_app	about.labels.key e about.labels.value additional.fields.key e additional.fields.value.string_value
Rischio applicazione (risk_of_app)			risk_of_app	about.labels.key e about.labels.value additional.fields.key e additional.fields.value.string_value
Caratteristica dell'applicazione (characteristic_of_app)			characteristic_of_app	about.labels.key e about.labels.value additional.fields.key e additional.fields.value.string_value
Container dell'applicazione (container_of_app)			container_of_app	about.labels.key e about.labels.value additional.fields.key e additional.fields.value.string_value
SaaS dell'applicazione (is_saas_of_app)			is_saas_of_app	about.labels.key e about.labels.value additional.fields.key e additional.fields.value.string_value
Stato sanzionato dell'applicazione (sanctioned_state_of_app)			sanctioned_state_of_app	about.labels.key e about.labels.value additional.fields.key e additional.fields.value.string_value

Autenticazione

La tabella seguente elenca i campi di log del tipo di log di autenticazione e i relativi campi UDM.

Campo CSV	Campo CEF	Campo LEEF	Chiave dell'etichetta Google Security Operations	Campo UDM
Ora di ricezione (receive_time o cef-formatted-receive_time)	rt	devTime		metadata.collected_timestamp, metadata.event_timestamp (se "Genera ora" è assente)
Numero di serie (seriale)	deviceExternalId	SerialNumber		intermediary.asset.hardware.serial_number
Tipo (tipo)	type (intestazione)	gatto		metadata.product_event_type
Tipo di minaccia/contenuti (sottotipo)	sottotipo (intestazione)	Sottotipo		metadata.product_event_type
Ora generata (time_generated o cef-formatted-time_generated)				metadata.event_timestamp
Sistema virtuale (vsys)	cs3	VirtualSystem	vsys	about.labels.key e about.labels.value additional.fields.key e additional.fields.value.string_value
IP di origine (ip)	src	src		principal.ip
Utente (utente)	duser	usrName		target.user.userid
Normalizza utente (normalize_user)	cs2	NormalizeUser		target.user.user_display_name
Oggetto (oggetto)	fname	ObjectName	oggetto	about.labels.key e about.labels.value additional.fields.key e additional.fields.value.string_value
Policy di autenticazione (authpolicy)	cs4	AuthPolicy	authpolicy	about.labels.key e about.labels.value additional.fields.key e additional.fields.value.string_value
Ripeti conteggio (repeatcnt)	cnt	RepeatCount	repeatcnt	about.labels.key e about.labels.value additional.fields.key e additional.fields.value.string_value
ID autenticazione (authid)	cn2	AuthenticationID	authid	about.labels.key e about.labels.value additional.fields.key e additional.fields.value.string_value
Fornitore (vendor)	flexString2	Fornitore	vendor	about.labels.key e about.labels.value additional.fields.key e additional.fields.value.string_value
Azione di log (logset)	cs6	LogForwardingProfile	logset	about.labels.key e about.labels.value additional.fields.key e additional.fields.value.string_value
Profilo server (serverprofile)	cs1	ServerProfile	serverprofile	about.labels.key e about.labels.value additional.fields.key e additional.fields.value.string_value
Descrizione (ordine decrescente)	PanOSDesc	AdditionalAuthInfo		security_result.description
Tipo di client (clienttype)	cs5	ClientType	clienttype	about.labels.key e about.labels.value additional.fields.key e additional.fields.value.string_value
Tipo di evento (evento)	msg	msg		extensions.auth.auth_details
Numero fattore (factorno)	cn1	FactorNumber	factorno	about.labels.key e about.labels.value additional.fields.key e additional.fields.value.string_value
Numero di sequenza (seqno)	externalId	sequenza		metadata.product_log_id
Flag azioni (actionflags)	PanOSActionFlags	ActionFlags	actionflags	about.labels.key e about.labels.value additional.fields.key e additional.fields.value.string_value
Gerarchia del gruppo di dispositivi (dg_hier_level_1)	PanOSDGl1	DeviceGroupHierarchyL1	dg_hier_level_1	about.labels.key e about.labels.value additional.fields.key e additional.fields.value.string_value
Gerarchia del gruppo di dispositivi (dg_hier_level_2)	PanOSDGl2	DeviceGroupHierarchyL2	dg_hier_level_2	about.labels.key e about.labels.value additional.fields.key e additional.fields.value.string_value
Gerarchia del gruppo di dispositivi (dg_hier_level_3)	PanOSDGl3	DeviceGroupHierarchyL3	dg_hier_level_3	about.labels.key e about.labels.value additional.fields.key e additional.fields.value.string_value
Gerarchia del gruppo di dispositivi (dg_hier_level_4)	PanOSDGl4	DeviceGroupHierarchyL4	dg_hier_level_4	about.labels.key e about.labels.value additional.fields.key e additional.fields.value.string_value
Nome sistema virtuale (vsys_name)	PanOSVsysName	vSrcName		principal.resource.name principal.resource.resource_type=VIRTUAL_MACHINE
Nome dispositivo (device_name)	dvchost	DeviceName		intermediary.hostname
ID sistema virtuale (vsys_id)				principal.resource.resource_type=VIRTUAL_MACHINE and principal.resource.product_object_id
Authentication Protocol (authproto)			authproto	about.labels.key e about.labels.value additional.fields.key e additional.fields.value.string_value
UUID per la regola (rule_uuid)	PanOSRuleUUID/RuleUUID			security_result.rule_id
Timestamp ad alta risoluzione (high_res _timestamp)	PanOSTimeGeneratedHighResolution			metadata.collected_timestamp, metadata.event_timestamp (se "Genera ora" è assente)
Categoria dispositivo di origine (src_category)	PanOSSourceDeviceCategory		src_category	principal.labels.key e principal.labels.value additional.fields.key e additional.fields.value.string_value
Profilo del dispositivo di origine (src_profile)	PanOSSourceDeviceProfile		src_profile	principal.labels.key e principal.labels.value additional.fields.key e additional.fields.value.string_value
Modello del dispositivo sorgente (src_model)	PanOSSourceDeviceModel		src_model	principal.labels.key e principal.labels.value additional.fields.key e additional.fields.value.string_value
Fornitore del dispositivo di origine (src_vendor)	PanOSSourceDeviceVendor		src_vendor	principal.labels.key e principal.labels.value additional.fields.key e additional.fields.value.string_value
Famiglia di sistemi operativi del dispositivo di origine (src_osfamily)	PanOSSourceDeviceOSFamily			principal.asset.platform_software.platform principal.labels.key e principal.labels.value additional.fields.key e additional.fields.value.string_value
Versione del sistema operativo del dispositivo di origine (src_osversion)	PanOSSourceDeviceOSVersion			principal.asset.software.version
Nome host di origine (src_host)	PanOSSourceHostname			principal.hostname
Indirizzo MAC di origine (src_mac)	PanOSSourceMac			principal.asset.mac
Regione (regione)	PanOSTrafficOriginRegion			principal.location.country_or_region
User agent (user_agent)	PanOSHTTPUserAgent			network.http.user_agent
ID sessione(sessionid)	PanOSTrafficSessionID			network.session_id
Gravità (gravità)	number-of-severity(header)			security_result.severity e security_result.severity_details

URL

La seguente tabella elenca i campi di log del tipo di log URL e i relativi campi UDM.

Campo CSV	Campo CEF	Campo LEEF	Chiave dell'etichetta Google Security Operations	Campo UDM
Ora di ricezione (cef-formatted-receive_time)	rt	devTime		metadata.collected_timestamp, metadata.event_timestamp (se "Genera ora" è assente)
N. di serie (seriale)	deviceExternalId	SerialNumber		intermediary.asset.hardware.serial_number
Tipo (tipo)	type (intestazione)	gatto		metadata.product_event_type
Tipo di minaccia/contenuti (sottotipo)	sottotipo (intestazione)	Sottotipo		metadata.product_event_type
Genera ora				metadata.event_timestamp
Indirizzo di origine (src)	src	src		principal.ip
Indirizzo di destinazione (dst)	dst	dst		target.ip
IP di origine NAT (natsrc)	sourceTranslatedAddress	srcPostNAT		principal.nat_ip
IP di destinazione NAT (natdst)	destinationTranslatedAddress	dstPostNAT		target.nat_ip
Rule (regola)	cs1	RuleName		security_result.rule_name
Utente di origine (srcuser)	suser	SourceUser		principal.user.userid
Utente di destinazione (dstuser)	duser	DestinationUser		target.user.userid
Applicazione (app)	app	Applicazione		network.application_protocol
Sistema virtuale (vsys)	cs3	VirtualSystem	vsys	about.labels.key e about.labels.value additional.fields.key e additional.fields.value.string_value
Zona di origine (da)	cs4	SourceZone	da	principal.labels.key e principal.labels.value additional.fields.key e additional.fields.value.string_value
Zona di destinazione (a)	cs5	DestinationZone	a	target.labels.key e target.labels.value additional.fields.key e additional.fields.value.string_value
Interfaccia in entrata (inbound_if)	deviceInboundInterface	IngressInterface	inbound_if	principal.labels.key e principal.labels.value additional.fields.key e additional.fields.value.string_value
Interfaccia in uscita (outbound_if)	deviceOutboundInterface	EgressInterface	outbound_if	target.labels.key e target.labels.value additional.fields.key e additional.fields.value.string_value
Azione di log (logset)	cs6	LogForwardingProfile	logset	about.labels.key e about.labels.value additional.fields.key e additional.fields.value.string_value
Tempo registrato			time_logged	about.labels.key e about.labels.value additional.fields.key e additional.fields.value.string_value
ID sessione (sessionid)	cn1	SessionID		network.session_id
Ripeti conteggio (repeatcnt)	cnt	RepeatCount	repeatcnt	about.labels.key e about.labels.value additional.fields.key e additional.fields.value.string_value
Porta di origine (sport)	spt	srcPort		principal.port
Porta di destinazione (dport)	dpt	dstPort		target.port
Porta di origine NAT (natsport)	sourceTranslatedPort	srcPostNATPort		principal.nat_port
Porta di destinazione NAT (natdport)	destinationTranslatedPort	dstPostNATPort		target.nat_port
Flag (flags)	flexString1	Bandiere	flags	about.labels.key e about.labels.value additional.fields.key e additional.fields.value.string_value
Protocollo IP (proto)	proto	proto		network.ip_protocol
Azione (azione)	atto	azione		security_result.action_details security_result.action
URL/Nome file (varie)		Vari		target.file.full_path target.url
Nome minaccia/contenuto (threatid)	gatto	ThreatID		security_result.threat_id
Categoria (categoria)	cs2	URLCategory	categoria	about.labels.key e about.labels.value additional.fields.key e additional.fields.value.string_value
Gravità (gravità)	number-of-severity (intestazione)	Gravità		security_result.severity security_result.severity_details
Direzione (direction)	flexString2	Direzione		network.direction
Numero di sequenza (seqno)	externalId	sequenza		metadata.product_log_id
Flag azioni (actionflags)	PanOSActionFlags	ActionFlags	actionflags	about.labels.key e about.labels.value additional.fields.key e additional.fields.value.string_value
Paese di origine (srcloc)		SourceLocation		principal.location.country_or_region
Paese di destinazione (dstloc)		DestinationLocation		target.location.country_or_region
contenttype (contenttype)	requestContext	ContentType	contenttype	about.labels.key e about.labels.value additional.fields.key e additional.fields.value.string_value
pcap_id (pcap_id)	fileId	PCAP_ID	pcap_id	about.labels.key e about.labels.value additional.fields.key e additional.fields.value.string_value
filedigest (filedigest)		FileDigest		about.file.sha1/md5/sha256
cloud (cloud)		Cloud	cloud	about.labels.key e about.labels.value additional.fields.key e additional.fields.value.string_value
url_idx (url_idx)		URLIndex	url_idx	about.labels.key e about.labels.value additional.fields.key e additional.fields.value.string_value
user_agent (user_agent)	requestClientApplication	UserAgent		network.http.user_agent
filetype (filetype)				about.file.mime_type
xff (xff)	PanOSXForwarderfor	identSrc	xff	about.labels.key e about.labels.value additional.fields.key e additional.fields.value.string_value
referrer (referer)	PanOSReferer	Referer		network.http.referral_url
mittente (sender)				network.email.from
oggetto (oggetto)		Oggetto		network.email.subject
destinatario (destinatario)				network.email.to
reportid (reportid)			reportid	about.labels.key e about.labels.value additional.fields.key e additional.fields.value.string_value
Livello 1 della gerarchia DG (dg_hier_level_1)	PanOSDGl1	DeviceGroupHierarchyL1	dg_hier_level_1	about.labels.key e about.labels.value additional.fields.key e additional.fields.value.string_value
Livello 2 della gerarchia DG (dg_hier_level_2)	PanOSDGl2	DeviceGroupHierarchyL2	dg_hier_level_2	about.labels.key e about.labels.value additional.fields.key e additional.fields.value.string_value
Livello 3 della gerarchia DG (dg_hier_level_3)	PanOSDGl3	DeviceGroupHierarchyL3	dg_hier_level_3	about.labels.key e about.labels.value additional.fields.key e additional.fields.value.string_value
Livello 4 della gerarchia DG (dg_hier_level_4)	PanOSDGl4	DeviceGroupHierarchyL4	dg_hier_level_4	about.labels.key e about.labels.value additional.fields.key e additional.fields.value.string_value
Nome sistema virtuale (vsys_name)	PanOSVsysName	vSrcName		principal.resource.name principal.resource.resource_type=VIRTUAL_MACHINE
Nome dispositivo (device_name)	dvchost	DeviceName		intermediary.hostname
file_url (file_url)				about.url
UUID VM di origine (src_uuid)		SrcUUID		principal.asset.asset_id
UUID VM di destinazione (dst_uuid)		DstUUID		target.asset.asset_id
http_method (http_method)	requestMethod	RequestMethod		network.http.method
ID tunnel/IMSI (tunnelid)	PanOSTunnelID	TunnelID	tunnelid	about.labels.key e about.labels.value additional.fields.key e additional.fields.value.string_value
Monitor Tag/IMEI (monitortag)	PanOSMonitorTag	MonitorTag	monitortag	about.labels.key e about.labels.value additional.fields.key e additional.fields.value.string_value
ID sessione principale (parent_session_id)	PanOSParentSessionID	ParentSessionID	parent_session_id	network.parent_session_id
Ora di inizio della sessione principale (parent_start_time)	PanOSParentStartTime	ParentStartTime	parent_start_time	about.labels.key e about.labels.value additional.fields.key e additional.fields.value.string_value
Tunnel (tunnel)	PanOSTunnelType	TunnelType	tunnel	about.labels.key e about.labels.value additional.fields.key e additional.fields.value.string_value
thr_category (thr_category)	PanOSThreatCategory	ThreatCategory	thr_category	security_result.detection_fields.key/value
contentver (contentver)	PanOSContentVer	ContentVer	contentver	about.labels.key e about.labels.value additional.fields.key e additional.fields.value.string_value
sig_flags (sig_flags)			sig_flags	about.labels.key e about.labels.value additional.fields.key e additional.fields.value.string_value
ID associazione SCTP (assoc_id)	PanOSAssocID		assoc_id	about.labels.key e about.labels.value additional.fields.key e additional.fields.value.string_value
ID protocollo payload (ppid)	PanOSPPID		ppid	about.labels.key e about.labels.value additional.fields.key e additional.fields.value.string_value
http_headers (http_headers)	PanOSHTTPHeader		http_headers	about.labels.key e about.labels.value additional.fields.key e additional.fields.value.string_value
Elenco categorie di URL (url_category_list)	PanOSURLCatList		url_category_list	about.labels.key e about.labels.value additional.fields.key e additional.fields.value.string_value
UUID per la regola (rule_uuid)	PanOSRuleUUID		rule_uuid	about.labels.key e about.labels.value additional.fields.key e additional.fields.value.string_value
Connessione HTTP/2 (http2_connection)	PanOSHTTP2Con		http2_connection	about.labels.key e about.labels.value additional.fields.key e additional.fields.value.string_value
dynusergroup_name (dynusergroup_name)	PanDynamicUsrgrp		dynusergroup_name	about.labels.key e about.labels.value additional.fields.key e additional.fields.value.string_value
Indirizzo XFF (xff_ip)	PanXFFIP			principal.ip
Categoria dispositivo di origine (src_category)	PanSrcDeviceCat		src_category	principal.labels.key e principal.labels.value additional.fields.key e additional.fields.value.string_value
Profilo del dispositivo di origine (src_profile)	PanSrcDeviceProf		src_profile	principal.labels.key e principal.labels.value additional.fields.key e additional.fields.value.string_value
Modello del dispositivo sorgente (src_model)	PanSrcDeviceModel		src_model	principal.labels.key e principal.labels.value additional.fields.key e additional.fields.value.string_value
Fornitore del dispositivo di origine (src_vendor)	PanSrcDeviceVendor		src_vendor	principal.labels.key e principal.labels.value additional.fields.key e additional.fields.value.string_value
Famiglia di sistemi operativi del dispositivo di origine (src_osfamily)	PanSrcDeviceOS			principal.asset.platform_software.platform principal.labels.key e principal.labels.value additional.fields.key e additional.fields.value.string_value
Versione del sistema operativo del dispositivo di origine (src_osversion)	PanSrcDeviceOSv			principal.asset.software.version
Nome host di origine (src_host)	PanSrcHostname		src_host	principal.labels.key e principal.labels.value additional.fields.key e additional.fields.value.string_value
Indirizzo MAC di origine (src_mac)	PanSrcMac			principal.mac
Categoria dispositivo di destinazione (dst_category)	PanDstDeviceCat		dst_category	target.labels.key e target.labels.value additional.fields.key e additional.fields.value.string_value
Profilo del dispositivo di destinazione (dst_profile)	PanDstDeviceProf		dst_profile	target.labels.key e target.labels.value additional.fields.key e additional.fields.value.string_value
Modello del dispositivo di destinazione (dst_model)	PanDstDeviceModel		dst_model	target.labels.key e target.labels.value additional.fields.key e additional.fields.value.string_value
Fornitore del dispositivo di destinazione (dst_vendor)	PanDstDeviceVendor		dst_vendor	target.labels.key e target.labels.value additional.fields.key e additional.fields.value.string_value
Famiglia di sistemi operativi del dispositivo di destinazione (dst_osfamily)	PanDstDeviceOS			target.asset.platform_software.platform target.labels.key e target.labels.value
Versione del sistema operativo del dispositivo di destinazione (dst_osversion)	PanDstDeviceOSv			target.asset.software.version
Nome host di destinazione (dst_host)	PanPODNamespace			target.hostname
Indirizzo MAC di destinazione (dst_mac)	PanDstMac			target.mac
ID contenitore (container_id)	PanContainerName		container_id	about.labels.key e about.labels.value additional.fields.key e additional.fields.value.string_value
Spazio dei nomi POD (pod_namespace)	PanPODNamespace		pod_namespace	about.labels.key e about.labels.value additional.fields.key e additional.fields.value.string_value
Nome POD (pod_name)	PanPODName		pod_name	about.labels.key e about.labels.value additional.fields.key e additional.fields.value.string_value
Elenco dinamico esterno di origine (src_edl)	PanSrcEDL		src_edl	principal.labels.key e principal.labels.value additional.fields.key e additional.fields.value.string_value
Elenco dinamico esterno di destinazione (dst_edl)	PanDstEDL		dst_edl	target.labels.key e target.labels.value additional.fields.key e additional.fields.value.string_value
ID host (hostid)	PanGPHostID		hostid	about.labels.key e about.labels.value additional.fields.key e additional.fields.value.string_value
Numero di serie (serialnumber)	PanEPSerial			principal.asset.hardware.serial_number
domain_edl (domain_edl)	PanDomainEDL		domain_edl	about.labels.key e about.labels.value additional.fields.key e additional.fields.value.string_value
Gruppo di indirizzi dinamici di origine (src_dag)	PanSrcDAG			principal.group.group_display_name
Gruppo di indirizzi dinamici di destinazione (dst_dag)	PanDstDAG			target.group.group_display_name
partial_hash (partial_hash)	PanPartialHash		partial_hash	about.labels.key e about.labels.value additional.fields.key e additional.fields.value.string_value
Timestamp ad alta risoluzione (high_res_timestamp)	PanTimeHighRes			metadata.collected_timestamp, metadata.event_timestamp (se "Genera ora" è assente)
Motivo (motivo)	PanReasonFilteringAction		motivo	about.labels.key e about.labels.value additional.fields.key e additional.fields.value.string_value
motivazione (giustificazione)	PanJustification		giustificazione	about.labels.key e about.labels.value additional.fields.key e additional.fields.value.string_value
nssai_sst (nssai_sst)	PanASServiceType		nssai_sst	about.labels.key e about.labels.value additional.fields.key e additional.fields.value.string_value
Sottocategoria dell'app (subcategory_of_app)			subcategory_of_app	about.labels.key e about.labels.value additional.fields.key e additional.fields.value.string_value
Categoria di app (category_of_app)			category_of_app	about.labels.key e about.labels.value additional.fields.key e additional.fields.value.string_value
Tecnologia dell'app (technology_of_app)			technology_of_app	about.labels.key e about.labels.value additional.fields.key e additional.fields.value.string_value
Rischio app (risk_of_app)			risk_of_app	about.labels.key e about.labels.value additional.fields.key e additional.fields.value.string_value
Caratteristica dell'app (characteristic_of_app)			characteristic_of_app	about.labels.key e about.labels.value additional.fields.key e additional.fields.value.string_value
Container dell'app (container_of_app)			container_of_app	about.labels.key e about.labels.value additional.fields.key e additional.fields.value.string_value
App con tunnel (tunneled_app)			tunneled_app	about.labels.key e about.labels.value additional.fields.key e additional.fields.value.string_value
SaaS dell'app (is_saas_of_app)			is_saas_of_app	about.labels.key e about.labels.value additional.fields.key e additional.fields.value.string_value
Stato sanzionato dell'app (sanctioned_state_of_app)			sanctioned_state_of_app	about.labels.key e about.labels.value additional.fields.key e additional.fields.value.string_value

Dati

La tabella seguente elenca i campi di log del tipo di log dei dati e i campi UDM corrispondenti.

Campo CSV	Campo CEF	Campo LEEF	Chiave dell'etichetta Google Security Operations	Campo UDM
Ora di ricezione (cef-formatted-receive_time)	rt	devTime		metadata.collected_timestamp, metadata.event_timestamp (se "Genera ora" è assente)
N. di serie (seriale)	deviceExternalId	SerialNumber		intermediary.asset.hardware.serial_number
Tipo (tipo)	type (intestazione)	gatto		metadata.product_event_type
Tipo di minaccia/contenuti (sottotipo)	sottotipo (intestazione)	Sottotipo		metadata.product_event_type
Genera ora				metadata.event_timestamp
Indirizzo di origine (src)	src	src		principal.ip
Indirizzo di destinazione (dst)	dst	dst		target.ip
IP di origine NAT (natsrc)	sourceTranslatedAddress	srcPostNAT		principal.nat_ip
IP di destinazione NAT (natdst)	destinationTranslatedAddress	dstPostNAT		target.nat_ip
Rule (regola)	cs1	RuleName		security_result.rule_name
Utente di origine (srcuser)	suser	SourceUser		principal.user.userid
Utente di destinazione (dstuser)	duser	DestinationUser		target.user.userid
Applicazione (app)	app	Applicazione		network.application_protocol
Sistema virtuale (vsys)	cs3	VirtualSystem	vsys	about.labels.key e about.labels.value additional.fields.key e additional.fields.value.string_value
Zona di origine (da)	cs4	SourceZone	da	principal.labels.key e principal.labels.value additional.fields.key e additional.fields.value.string_value
Zona di destinazione (a)	cs5	DestinationZone	a	target.labels.key e target.labels.value additional.fields.key e additional.fields.value.string_value
Interfaccia in entrata (inbound_if)	deviceInboundInterface	IngressInterface	inbound_if	principal.labels.key e principal.labels.value additional.fields.key e additional.fields.value.string_value
Interfaccia in uscita (outbound_if)	deviceOutboundInterface	EgressInterface	outbound_if	target.labels.key e target.labels.value additional.fields.key e additional.fields.value.string_value
Azione di log (logset)	cs6	LogForwardingProfile	logset	about.labels.key e about.labels.value additional.fields.key e additional.fields.value.string_value
Tempo registrato			time_logged	about.labels.key e about.labels.value additional.fields.key e additional.fields.value.string_value
ID sessione (sessionid)	cn1	SessionID		network.session_id
Ripeti conteggio (repeatcnt)	cnt	RepeatCount	repeatcnt	about.labels.key e about.labels.value additional.fields.key e additional.fields.value.string_value
Porta di origine (sport)	spt	srcPort		principal.port
Porta di destinazione (dport)	dpt	dstPort		target.port
Porta di origine NAT (natsport)	sourceTranslatedPort	srcPostNATPort		principal.nat_port
Porta di destinazione NAT (natdport)	destinationTranslatedPort	dstPostNATPort		target.nat_port
Flag (flags)	flexString1	Bandiere	flags	about.labels.key e about.labels.value additional.fields.key e additional.fields.value.string_value
Protocollo IP (proto)	proto	proto		network.ip_protocol
Azione (azione)	atto	azione		security_result.action_details security_result.action
URL/Nome file (varie)		Vari		target.file.full_path target.url
Nome minaccia/contenuto (threatid)	gatto	ThreatID		security_result.threat_id
Categoria (categoria)	cs2	URLCategory	categoria	about.labels.key e about.labels.value additional.fields.key e additional.fields.value.string_value
Gravità (gravità)	number-of-severity (intestazione)	Gravità		security_result.severity security_result.severity_details
Direzione (direction)	flexString2	Direzione		network.direction
Numero di sequenza (seqno)	externalId	sequenza		metadata.product_log_id
Flag azioni (actionflags)	PanOSActionFlags	ActionFlags	actionflags	about.labels.key e about.labels.value additional.fields.key e additional.fields.value.string_value
Paese di origine (srcloc)		SourceLocation		principal.location.country_or_region
Paese di destinazione (dstloc)		DestinationLocation		target.location.country_or_region
contenttype (contenttype)		ContentType	contenttype	about.labels.key e about.labels.value additional.fields.key e additional.fields.value.string_value
pcap_id (pcap_id)	fileId	PCAP_ID	pcap_id	about.labels.key e about.labels.value additional.fields.key e additional.fields.value.string_value
filedigest (filedigest)		FileDigest		about.file.sha1/md5/sha256
cloud (cloud)		Cloud	cloud	about.labels.key e about.labels.value additional.fields.key e additional.fields.value.string_value
url_idx (url_idx)		URLIndex	url_idx	about.labels.key e about.labels.value additional.fields.key e additional.fields.value.string_value
user_agent (user_agent)				network.http.user_agent
filetype (filetype)				about.file.mime_type
xff (xff)			xff	about.labels.key e about.labels.value additional.fields.key e additional.fields.value.string_value
referrer (referer)				network.http.referral_url
mittente (sender)				network.email.from
oggetto (oggetto)		Oggetto		network.email.subject
destinatario (destinatario)				network.email.to
reportid (reportid)			reportid	about.labels.key e about.labels.value additional.fields.key e additional.fields.value.string_value
Livello 1 della gerarchia DG (dg_hier_level_1)	PanOSDGl1	DeviceGroupHierarchyL1	dg_hier_level_1	about.labels.key e about.labels.value additional.fields.key e additional.fields.value.string_value
Livello 2 della gerarchia DG (dg_hier_level_2)	PanOSDGl2	DeviceGroupHierarchyL2	dg_hier_level_2	about.labels.key e about.labels.value additional.fields.key e additional.fields.value.string_value
Livello 3 della gerarchia DG (dg_hier_level_3)	PanOSDGl3	DeviceGroupHierarchyL3	dg_hier_level_3	about.labels.key e about.labels.value additional.fields.key e additional.fields.value.string_value
Livello 4 della gerarchia DG (dg_hier_level_4)	PanOSDGl4	DeviceGroupHierarchyL4	dg_hier_level_4	about.labels.key e about.labels.value additional.fields.key e additional.fields.value.string_value
Nome sistema virtuale (vsys_name)	PanOSVsysName	vSrcName		principal.resource.name principal.resource.resource_type=VIRTUAL_MACHINE
Nome dispositivo (device_name)	dvchost	DeviceName		intermediary.hostname
file_url (file_url)				about.url
UUID VM di origine (src_uuid)		SrcUUID		principal.asset.asset_id
UUID VM di destinazione (dst_uuid)		DstUUID		target.asset.asset_id
http_method (http_method)		RequestMethod		network.http.method
ID tunnel/IMSI (tunnelid)	PanOSTunnelID	TunnelID	tunnelid	about.labels.key e about.labels.value additional.fields.key e additional.fields.value.string_value
Monitor Tag/IMEI (monitortag)	PanOSMonitorTag	MonitorTag	monitortag	about.labels.key e about.labels.value additional.fields.key e additional.fields.value.string_value
ID sessione principale (parent_session_id)	PanOSParentSessionID	ParentSessionID	parent_session_id	network.parent_session_id
Ora di inizio della sessione principale (parent_start_time)	PanOSParentStartTime	ParentStartTime	parent_start_time	about.labels.key e about.labels.value additional.fields.key e additional.fields.value.string_value
Tunnel (tunnel)	PanOSTunnelType	TunnelType	tunnel	about.labels.key e about.labels.value additional.fields.key e additional.fields.value.string_value
thr_category (thr_category)	PanOSThreatCategory	ThreatCategory	thr_category	security_result.detection_fields.key/value
contentver (contentver)	PanOSContentVer	ContentVer	contentver	about.labels.key e about.labels.value additional.fields.key e additional.fields.value.string_value
sig_flags (sig_flags)			sig_flags	about.labels.key e about.labels.value additional.fields.key e additional.fields.value.string_value
ID associazione SCTP (assoc_id)	PanOSAssocID		assoc_id	about.labels.key e about.labels.value additional.fields.key e additional.fields.value.string_value
ID protocollo payload (ppid)	PanOSPPID		ppid	about.labels.key e about.labels.value additional.fields.key e additional.fields.value.string_value
http_headers (http_headers)	PanOSHTTPHeader		http_headers	about.labels.key e about.labels.value additional.fields.key e additional.fields.value.string_value
Elenco categorie di URL (url_category_list)			url_category_list	about.labels.key e about.labels.value additional.fields.key e additional.fields.value.string_value
UUID per la regola (rule_uuid)	PanOSRuleUUID		rule_uuid	about.labels.key e about.labels.value additional.fields.key e additional.fields.value.string_value
Connessione HTTP/2 (http2_connection)			http2_connection	about.labels.key e about.labels.value additional.fields.key e additional.fields.value.string_value
dynusergroup_name (dynusergroup_name)			dynusergroup_name	principal.labels.key e principal.labels.value additional.fields.key e additional.fields.value.string_value
Indirizzo XFF (xff_ip)				principal.ip
Categoria dispositivo di origine (src_category)			src_category	principal.labels.key e principal.labels.value additional.fields.key e additional.fields.value.string_value
Profilo del dispositivo di origine (src_profile)			src_profile	principal.labels.key e principal.labels.value additional.fields.key e additional.fields.value.string_value
Modello del dispositivo sorgente (src_model)			src_model	principal.labels.key e principal.labels.value additional.fields.key e additional.fields.value.string_value
Fornitore del dispositivo di origine (src_vendor)			src_vendor	principal.labels.key e principal.labels.value additional.fields.key e additional.fields.value.string_value
Famiglia di sistemi operativi del dispositivo di origine (src_osfamily)				principal.asset.platform_software.platform principal.labels.key e principal.labels.value additional.fields.key e additional.fields.value.string_value
Versione del sistema operativo del dispositivo di origine (src_osversion)				principal.asset.software.version
Nome host di origine (src_host)			src_host	principal.labels.key e principal.labels.value additional.fields.key e additional.fields.value.string_value
Indirizzo MAC di origine (src_mac)				principal.mac
Categoria dispositivo di destinazione (dst_category)			dst_category	target.labels.key e target.labels.value additional.fields.key e additional.fields.value.string_value
Profilo del dispositivo di destinazione (dst_profile)			dst_profile	target.labels.key e target.labels.value additional.fields.key e additional.fields.value.string_value
Modello del dispositivo di destinazione (dst_model)			dst_model	target.labels.key e target.labels.value additional.fields.key e additional.fields.value.string_value
Fornitore del dispositivo di destinazione (dst_vendor)			dst_vendor	target.labels.key e target.labels.value additional.fields.key e additional.fields.value.string_value
Famiglia di sistemi operativi del dispositivo di destinazione (dst_osfamily)				target.asset.platform_software.platform target.labels.key e target.labels.value
Versione del sistema operativo del dispositivo di destinazione (dst_osversion)				target.asset.software.version
Nome host di destinazione (dst_host)				target.hostname
Indirizzo MAC di destinazione (dst_mac)				target.mac
ID contenitore (container_id)			container_id	about.labels.key e about.labels.value additional.fields.key e additional.fields.value.string_value
Spazio dei nomi POD (pod_namespace)			pod_namespace	about.labels.key e about.labels.value additional.fields.key e additional.fields.value.string_value
Nome POD (pod_name)			pod_name	about.labels.key e about.labels.value additional.fields.key e additional.fields.value.string_value
Elenco dinamico esterno di origine (src_edl)			src_edl	principal.labels.key e principal.labels.value additional.fields.key e additional.fields.value.string_value
Elenco dinamico esterno di destinazione (dst_edl)			dst_edl	target.labels.key e target.labels.value additional.fields.key e additional.fields.value.string_value
ID host (hostid)			hostid	about.labels.key e about.labels.value additional.fields.key e additional.fields.value.string_value
Numero di serie (serialnumber)				principal.asset.hardware.serial_number
domain_edl (domain_edl)			domain_edl	about.labels.key e about.labels.value additional.fields.key e additional.fields.value.string_value
Gruppo di indirizzi dinamici di origine (src_dag)				principal.group.group_display_name
Gruppo di indirizzi dinamici di destinazione (dst_dag)				target.group.group_display_name
partial_hash (partial_hash)			partial_hash	about.labels.key e about.labels.value additional.fields.key e additional.fields.value.string_value
Timestamp ad alta risoluzione (high_res_timestamp)				metadata.collected_timestamp, metadata.event_timestamp (se "Genera ora" è assente)
Motivo (motivo)			motivo	about.labels.key e about.labels.value additional.fields.key e additional.fields.value.string_value
motivazione (giustificazione)			giustificazione	about.labels.key e about.labels.value additional.fields.key e additional.fields.value.string_value
nssai_sst (nssai_sst)			nssai_sst	about.labels.key e about.labels.value additional.fields.key e additional.fields.value.string_value
Sottocategoria dell'app (subcategory_of_app)			subcategory_of_app	about.labels.key e about.labels.value additional.fields.key e additional.fields.value.string_value
Categoria di app (category_of_app)			category_of_app	about.labels.key e about.labels.value additional.fields.key e additional.fields.value.string_value
Tecnologia dell'app (technology_of_app)			technology_of_app	about.labels.key e about.labels.value additional.fields.key e additional.fields.value.string_value
Rischio app (risk_of_app)			risk_of_app	about.labels.key e about.labels.value additional.fields.key e additional.fields.value.string_value
Caratteristica dell'app (characteristic_of_app)			characteristic_of_app	about.labels.key e about.labels.value additional.fields.key e additional.fields.value.string_value
Container dell'app (container_of_app)			container_of_app	about.labels.key e about.labels.value additional.fields.key e additional.fields.value.string_value
App con tunnel (tunneled_app)			tunneled_app	about.labels.key e about.labels.value additional.fields.key e additional.fields.value.string_value
SaaS dell'app (is_saas_of_app)			is_saas_of_app	about.labels.key e about.labels.value additional.fields.key e additional.fields.value.string_value
Stato sanzionato dell'app (sanctioned_state_of_app)			sanctioned_state_of_app	about.labels.key e about.labels.value additional.fields.key e additional.fields.value.string_value

GlobalProtect

La tabella seguente elenca i campi di log del tipo di log GlobalProtect e i relativi campi UDM.

Campo CSV	Campo CEF	Campo LEEF	Chiave dell'etichetta Google Security Operations	Campo UDM
Ora di ricezione (receive_time)	rt		received_time	metadata.event_timestamp
N. di serie (seriale)	PanOSDeviceSN		intermediary_asset_hardware_serial_number	intermediary.asset.hardware.serial_number
Tipo (tipo)	type (intestazione)			metadata.product_event_type
Tipo di minaccia/contenuti (sottotipo)	sottotipo (intestazione)	Sottotipo		metadata.product_event_type
Genera ora (time_generated)	PanOSLogTimeStamp		generated_timestamp	metadata.event_timestamp
Sistema virtuale (vsys)	PanOSVirtualSystem		vsys	about.labels.key e about.labels.value additional.fields.key e additional.fields.value.string_value
ID evento (eventid)	PanOSEventID		event_id	about.labels.key e about.labels.value additional.fields.key e additional.fields.value.string_value
Fase (fase)	PanOSStage		fase	about.labels.key e about.labels.value additional.fields.key e additional.fields.value.string_value
Metodo di autenticazione (auth_method)	PanOSAuthMethod		extension_auth_auth_details	extensions.auth.auth_details
Tipo di tunnel (tunnel_type)	PanOSTunnelType		tunnel	about.labels.key e about.labels.value additional.fields.key e additional.fields.value.string_value
Utente di origine (srcuser)	PanOSSourceUserName		src_user	principal.user.email_address principal.user.userid principal.administrative_domain
Regione di origine (srcregion)	PanOSSourceRegion		src_region	principal.location.country_or_region
Nome macchina (machinename)	PanOSEndpointDeviceName		machine_name	principal.hostname
IP pubblico (public_ip)	PanOSPublicIPv4			principal.nat_ip
IPv6 pubblico (public_ipv6)	PanOSPublicIPv6			principal.nat_ip
IP privato (private_ip)	PanOSPrivateIPv4			principal.ip
IPv6 privato (private_ipv6)	PanOSPrivateIPv6			principal.ip
ID host (hostid)	PanOSHostID		hostid	principal.asset.asset_id
Numero di serie (serialnumber)	PanOSDeviceSN			principal.asset.hardware.serial_number
Versione client (client_ver)	PanOSGlobalProtectClientVersion		client_ver	about.labels.key e about.labels.value additional.fields.key e additional.fields.value.string_value
Sistema operativo client (client_os)	PanOSEndpointOSType			principal.asset.platform_software.platform(enum)
Versione del sistema operativo client (client_os_ver)	PanOSEndpointOSVersion			principal.asset.platform_software.platform_version
Ripeti conteggio (repeatcnt)	PanOSCountOfRepeats		repeatcnt	about.labels.key e about.labels.value additional.fields.key e additional.fields.value.string_value
Motivo (motivo)	PanOSQuarantineReason			security_result.summary
Errore (errore)	PanOSConnectionError		errore	security_result.description
Descrizione (opaca)	PanOSDescription			security_result.description
Stato (stato)	PanOSEventStatus		stato	about.labels.key e about.labels.value additional.fields.key e additional.fields.value.string_value
Posizione (posizione)	PanOSGPGatewayLocation			target.location.country_or_region
Durata dell'accesso (login_duration)	PanOSLoginDuration			network.session_duration
Metodo di connessione (connect_method)	PanOSConnectionMethod		connect_method	about.labels.key e about.labels.value additional.fields.key e additional.fields.value.string_value
Codice di errore (error_code)	PanOSConnectionErrorID		error_code	about.labels.key e about.labels.value additional.fields.key e additional.fields.value.string_value
Portale (portale)	PanOSPortal		portale	about.labels.key e about.labels.value additional.fields.key e additional.fields.value.string_value
Numero di sequenza (seqno)	PanOSSequenceNo			metadata.product_log_id
Flag azioni (actionflags)	PanOSActionFlags		actionflags	about.labels.key e about.labels.value additional.fields.key e additional.fields.value.string_value
Timestamp ad alta risoluzione (high_res_timestamp)	anOSTimeGeneratedHighResolution			metadata.collected_timestamp, metadata.event_timestamp (se "Genera ora" è assente)
Metodo di selezione del gateway (selection_type)	PanOSGatewaySelectionType		selection_type	about.labels.key e about.labels.value additional.fields.key e additional.fields.value.string_value
Tempo di risposta SSL (response_time)	PanOSSSLResponseTime		response_time	about.labels.key e about.labels.value additional.fields.key e additional.fields.value.string_value
Priorità gateway (priorità)	PanOSGatewayPriority		priorità	about.labels.key e about.labels.value additional.fields.key e additional.fields.value.string_value
Tentativi di gateway (attempted_gateways)	PanOSAttemptedGateways		attempted_gateways	about.labels.key e about.labels.value additional.fields.key e additional.fields.value.string_value
Nome gateway (gateway)	PanOSAttemptedGateways		gateway	about.labels.key e about.labels.value additional.fields.key e additional.fields.value.string_value
Gerarchia del gruppo di dispositivi (dg_hier_level_1)			dg_hier_level_1	about.labels.key e about.labels.value additional.fields.key e additional.fields.value.string_value
Gerarchia del gruppo di dispositivi (dg_hier_level_2)			dg_hier_level_2	about.labels.key e about.labels.value additional.fields.key e additional.fields.value.string_value
Gerarchia del gruppo di dispositivi (dg_hier_level_3)			dg_hier_level_3	about.labels.key e about.labels.value additional.fields.key e additional.fields.value.string_value
Gerarchia del gruppo di dispositivi (dg_hier_level_4)			dg_hier_level_4	about.labels.key e about.labels.value additional.fields.key e additional.fields.value.string_value
Nome sistema virtuale (vsys_name)				principal.resource.name principal.resource.resource_type=VIRTUAL_MACHINE
Nome dispositivo (device_name)				target.hostname
ID sistema virtuale (vsys_id)				principal.resource.resource_type=VIRTUAL_MACHINE and principal.resource.product_object_id
Gravità (gravità)	number-of-severity(header)			security_result.severity e security_result.severity_details

Correlazione

La tabella seguente elenca i campi di log del tipo di log di correlazione e i relativi campi UDM.

Campo CSV	Campo LEEF	Chiave dell'etichetta Google Security Operations	Campo UDM
Ora generata (time_generated o cef-formatted-time_generated)	startTime	generated_timestamp	metadata.event_timestamp
Indirizzo di origine (src)	src		principal.ip
Utente di origine (srcuser)	SourceUser / usrName		principal.user.userid
Sistema virtuale (vsys)	VirtualSystem	vsys	about.labels.key e about.labels.value additional.fields.key e additional.fields.value.string_value
Categoria (categoria)			security_result.category_details
Gravità (gravità)	Gravità		security_result.severity e security_result.severity_details
Livello 1 della gerarchia dei gruppi di dispositivi	DeviceGroupHierarchyL1		about.labels.key e about.labels.value additional.fields.key e additional.fields.value.string_value
Livello 2 della gerarchia del gruppo di dispositivi	DeviceGroupHierarchyL2		about.labels.key e about.labels.value additional.fields.key e additional.fields.value.string_value
Livello 3 della gerarchia del gruppo di dispositivi	DeviceGroupHierarchyL3		about.labels.key e about.labels.value additional.fields.key e additional.fields.value.string_value
Livello 4 della gerarchia dei gruppi di dispositivi	DeviceGroupHierarchyL4		about.labels.key e about.labels.value additional.fields.key e additional.fields.value.string_value
Nome sistema virtuale (vsys_name)	vSrcName		principal.resource.name principal.resource.resource_type=VIRTUAL_MACHINE
Nome dispositivo (device_name)	DeviceName		intermediary.hostname
ID sistema virtuale (vsys_id)	VirtualSystemID		principal.resource.resource_type=VIRTUAL_MACHINE and principal.resource.product_object_id
Nome oggetto (objectname)	ObjectName		target.resource.name
ID oggetto (object_id)	ObjectID		target.resource.product_object_id

GTP

La tabella seguente elenca i campi di log del tipo di log gtp e i relativi campi UDM.

Campo CSV	Chiave dell'etichetta Google Security Operations	Campo UDM
Ora di ricezione (receive_time o cef-formatted-receive_time)		metadata.collected_timestamp, metadata.event_timestamp (se "Genera ora" è assente)
Numero di serie (seriale)		intermediary.asset.hardware.serial_number
Tipo (tipo)		metadata.product_event_type
Tipo di minaccia/contenuti (sottotipo)		metadata.product_event_type
Ora generata (time_generated o cef-formatted-time_generated)		metadata.event_timestamp
Indirizzo di origine (src)		principal.ip
Indirizzo di destinazione (dst)		target.ip
Nome regola (rule)		security_result.rule_name
Applicazione (app)		network.application_protocol
Sistema virtuale (vsys)	vsys	about.labels.key e about.labels.value additional.fields.key e additional.fields.value.string_value
Zona di origine (da)	da	principal.labels.key e principal.labels.value additional.fields.key e additional.fields.value.string_value
Zona di destinazione (a)	a	target.labels.key e target.labels.value additional.fields.key e additional.fields.value.string_value
Interfaccia in entrata (inbound_if)	inbound_if	principal.labels.key e principal.labels.value additional.fields.key e additional.fields.value.string_value
Interfaccia in uscita (outbound_if)	outbound_if	target.labels.key e target.labels.value additional.fields.key e additional.fields.value.string_value
Azione di log (logset)	logset	about.labels.key e about.labels.value additional.fields.key e additional.fields.value.string_value
ID sessione (sessionid)		network.session_id
Porta di origine (sport)		principal.port
Porta di destinazione (dport)		target.port
Protocollo IP (proto)		network.ip_protocol
Azione (azione)		security_result.action_details security_result.action
Tipo di evento GTP (event_type)	gtp_event_type	additional.fields.key e additional.fields.value.string_value
MSISDN (msisdn)	msisdn	additional.fields.key e additional.fields.value.string_value
Nome punto di accesso (APN)	apn	additional.fields.key e additional.fields.value.string_value
Tecnologia di accesso radio (RAT)	topo	additional.fields.key e additional.fields.value.string_value
Tipo di messaggio GTP (msg_type)	gtp_msg_type	additional.fields.key e additional.fields.value.string_value
Indirizzo IP finale (end_ip_adr)		principal.ip
Tunnel Endpoint Identifier1 (teid1)	teid1	additional.fields.key e additional.fields.value.string_value
Tunnel Endpoint Identifier2 (teid2)	teid2	additional.fields.key e additional.fields.value.string_value
Interfaccia GTP (gtp_interface)	gtp_interface	additional.fields.key e additional.fields.value.string_value
Causa GTP (cause_code)	gtp_cause_code	additional.fields.key e additional.fields.value.string_value
Gravità (gravità)		security_result.severity e security_result.severity_details
Codice MCC della rete di pubblicazione (mcc)	mcc	additional.fields.key e additional.fields.value.string_value
Serving Network MNC (mnc)	mnc	additional.fields.key e additional.fields.value.string_value
Prefisso (area_code)	area_code	additional.fields.key e additional.fields.value.string_value
ID cella (cell_id)	cell_id	additional.fields.key e additional.fields.value.string_value
Codice evento GTP (event_code)	event_code	additional.fields.key e additional.fields.value.string_value
Posizione di origine (srcloc)		principal.location.country_or_region
Località di destinazione (dstloc)		target.location.country_or_region
ID tunnel/IMSI (imsi)	tunnelid	about.labels.key e about.labels.value additional.fields.key e additional.fields.value.string_value
Monitor Tag/IMEI (imei)	monitortag	about.labels.key e about.labels.value additional.fields.key e additional.fields.value.string_value
Ora di inizio (inizio)	start	about.labels.key e about.labels.value additional.fields.key e additional.fields.value.string_value
Tempo trascorso (trascorso)		network.session_duration.seconds
Tunnel Inspection RuleTunnel (tunnel_insp_rule)	tunnel_insp_rule	security_result.detection_fields.key/value
IP utente remoto (remote_user_ip)		target.ip
ID utente remoto (remote_user_id)	remote_user_id	target.labels.key e target.labels.value additional.fields.key e additional.fields.value.string_value
UUID per la regola (rule_uuid)		security_result.rule_id
ID PCAP (pcap_id)	pcap_id	about.labels.key e about.labels.value additional.fields.key e additional.fields.value.string_value
Timestamp ad alta risoluzione (high_res_timestamp)		metadata.collected_timestamp, metadata.event_timestamp (se "Genera ora" è assente)
Un tipo di servizio di sezione (nsdsai_sst)	nsdsai_sst	about.labels.key e about.labels.value additional.fields.key e additional.fields.value.string_value
Un elemento distintivo della sezione (nsdsai_sd)	nsdsai_sd	about.labels.key e about.labels.value additional.fields.key e additional.fields.value.string_value
Sottocategoria dell'applicazione (subcategory_of_app)	subcategory_of_app	about.labels.key e about.labels.value additional.fields.key e additional.fields.value.string_value
Categoria applicazione (category_of_app)	category_of_app	about.labels.key e about.labels.value additional.fields.key e additional.fields.value.string_value
Tecnologia dell'applicazione (technology_of_app)	technology_of_app	about.labels.key e about.labels.value additional.fields.key e additional.fields.value.string_value
Rischio applicazione (risk_of_app)	risk_of_app	about.labels.key e about.labels.value additional.fields.key e additional.fields.value.string_value
Caratteristica dell'applicazione (characteristic_of_app)	characteristic_of_app	about.labels.key e about.labels.value additional.fields.key e additional.fields.value.string_value
Container dell'applicazione (container_of_app)	container_of_app	about.labels.key e about.labels.value additional.fields.key e additional.fields.value.string_value
SaaS dell'applicazione (is_saas_of_app)	is_saas_of_app	about.labels.key e about.labels.value additional.fields.key e additional.fields.value.string_value
Stato sanzionato dell'applicazione (sanctioned_state_of_app)	sanctioned_state_of_app	about.labels.key e about.labels.value additional.fields.key e additional.fields.value.string_value

Riferimento per la mappatura dei campi: tipi di log e tipo di evento UDM

La tabella seguente elenca i tipi di log del firewall Palo Alto Networks e i relativi tipi di eventi UDM.

Tipo di log	Tipo di evento UDM
Traffico	NETWORK_CONNECTION
Minaccia	NETWORK_CONNECTION
Filtro degli URL	NETWORK_CONNECTION
WildFire	NETWORK_CONNECTION I log di invio di WildFire sono un sottotipo del tipo di log delle minacce e utilizzano lo stesso formato syslog.
Filtro dei dati	NETWORK_CONNECTION
Tunnel	NETWORK_CONNECTION
GTP	NETWORK_CONNECTION
Configurazione	SETTING_MODIFICATION/SETTING_CREATION/SETTING_DELETION/SETTING_UNCATEGORIZED Il valore del campo "Command (cmd)" determina la mappatura del tipo di evento UDM. Se il valore del campo cmd è add o clone, viene impostato SETTING_CREATION. Se il valore del campo cmd è delete, viene impostato SETTING_DELETION. Se il valore del campo cmd è edit, move, rename, set o commit, viene impostato SETTING_MODIFICATION. Se il valore del campo cmd non contiene valori, viene impostato SETTING_UNCATEGORIZED.
Sistema	Se il valore del sottotipo è "dhcp", viene impostato NETWORK_DHCP. Se il valore del sottotipo è "auth", viene impostato USER_LOGIN. Se il valore della descrizione è "logged in", viene impostato USER_LOGIN. Se il valore della descrizione è "logged out", viene impostato USER_LOGOUT. Per gli altri valori del sottotipo, viene impostato GENERIC_EVENT.
HIP Match	NETWORK_CONNECTION
Tag IP	GENERIC_EVENT
User-ID	USER_LOGIN/USER_LOGOUT/USER_UNCATEGORIZED Se il valore del sottotipo è "login", viene impostato USER_LOGIN. Se il valore del sottotipo è "logout", viene impostato USER_LOGOUT. Se il sottotipo non contiene alcun valore, viene impostato USER_UNCATEGORIZED.
Decriptazione	NETWORK_CONNECTION
Autenticazione	GENERIC_EVENT

Passaggi successivi

Importazione dei dati in Google Security Operations

Hai bisogno di ulteriore assistenza? Ricevi risposte dai membri della community e dai professionisti di Google SecOps.

Formato log	Versione PAN-OS
CSV	10.1.3
CEF	10.0.0
LEEF	9.1.0