本頁面由 Cloud Translation API 翻譯而成。

收集 Palo Alto Networks 防火牆記錄

支援的國家/地區：

Google SecOps SIEM

總覽

本文說明如何設定系統記錄檔和 Google Security Operations 轉送器，以收集 Palo Alto Networks 防火牆記錄。本文也說明 Palo Alto Networks 防火牆記錄欄位如何對應至 Google Security Operations 整合式資料模型 (UDM) 欄位。

如要瞭解 Google Security Operations 資料擷取作業，請參閱「將資料擷取至 Google Security Operations」。

擷取標籤會識別剖析器，該剖析器會將原始記錄資料正規化為具結構性的 UDM 格式。本文中的資訊適用於具有 PAN_FIREWALL 攝取標籤的剖析器。

事前準備

確認 Palo Alto Networks 防火牆產品已正確部署及設定。如需詳細設定操作說明，請參閱 PAN-OS 說明文件。
如要瞭解部署的元件，以便收集 Palo Alto Networks 防火牆記錄，請查看部署架構。每個客戶部署作業可能與此表示法不同，也可能更複雜。

下圖顯示如何在 Palo Alto Networks 防火牆上設定系統記錄，以及在 Linux 伺服器上安裝 Google Security Operations 轉送器，將記錄資料轉送至 Google Security Operations。剖析器支援以半形逗號分隔值 (CSV)、通用事件格式 (CEF) 和記錄事件擴充格式 (LEEF) 撰寫的記錄。
確認 Google Security Operations 剖析器支援的記錄格式和 PAN-OS 版本。下表列出 Google Security Operations 剖析器支援的記錄格式和對應的 PAN-OS 版本：

記錄格式 PAN-OS 版本

CSV 10.1.3

CEF 10.0.0

LEEF 9.1.0
確認 Google Security Operations 剖析器支援的 Palo Alto Networks 防火牆記錄類型。 Google Security Operations 剖析器支援下列 Palo Alto Networks 防火牆記錄類型：
- 流量
- 威脅
- WildFire 提交內容
- 隧道檢查
- 設定
- 系統
- HIP 比對
- IP-Tag
- User-ID
- 解密
- 驗證
- 網址篩選
- 資料篩選
- GlobalProtect
- 關聯性
- GTP
如要進一步瞭解 Palo Alto Networks 防火牆記錄類型，請參閱 PAN-OS 記錄類型。
請確保部署架構中的所有系統都以世界標準時間設定。
使用 Palo Alto Networks 防火牆剖析器前，請先查看舊版剖析器與現行 Palo Alto Networks 防火牆剖析器之間的欄位對應變更。在遷移過程中，請確保依附於原始欄位的規則、搜尋、資訊主頁或其他程序，都使用更新後的欄位。

舉例來說，在先前的剖析器版本中，category 記錄檔欄位會對應至 security_result.description UDM 欄位。在目前的 Palo Alto Networks 防火牆剖析器中，category 記錄欄位會對應至 security_result.category_details UDM 欄位。如果您遷移至目前的 Palo Alto Networks 防火牆剖析器，並在規則中使用 category 欄位，則需要修改規則，改用目前剖析器的 security_result.category_details UDM 欄位。

設定系統記錄和 Google Security Operations 轉送器

如要設定系統記錄和 Google Security Operations 轉送器，請完成下列步驟：

如要監控 CSV 記錄檔，請設定系統記錄檔伺服器設定檔。詳情請參閱「設定系統記錄伺服器設定檔」。

設定系統記錄伺服器設定檔時，請將「Default」指定為自訂記錄格式。
如要監控 CEF 記錄，請設定 Palo Alto Networks 防火牆轉送 CEF 記錄。詳情請下載 PAN-OS CEF 整合指南 PDF，並參閱「Configuration of Palo Alto Networks NGFW to output CEF events」(設定 Palo Alto Networks NGFW 以輸出 CEF 事件) 一節。
如要監控 LEEF 記錄，請設定系統記錄檔伺服器設定檔。詳情請參閱「以 LEEF 格式轉送自訂記錄」。
設定 Google Security Operations 轉送器，將記錄傳送至 Google Security Operations。詳情請參閱「在 Linux 上安裝及設定轉送器」。以下是 Google Security Operations 轉送器設定範例：
```
  - syslog:
      common:
        enabled: true
        data_type: PAN_FIREWALL
        batch_n_seconds: 10
        batch_n_bytes: 1048576
      tcp_address: 0.0.0.0:10518
      connection_timeout_sec: 60
```

支援的 Palo Alto Networks 防火牆記錄格式

Palo Alto Networks 防火牆剖析器支援 LEEF、CEF 和 CSV 格式的記錄。

支援的 Palo Alto Networks 防火牆範例記錄

LEEF

<14>Jan 22 02:20:19 device_host LEEF:1.0|Palo Alto Networks|PAN-OS Syslog Integration|10.2.12-h4|Microsoft MSOFFICE(52033)|ReceiveTime=2025/01/22 02:20:18|SerialNumber=01250100xxxx|cat=THREAT|Subtype=wildfire|devTime=Jan 22 2025 08:20:18 GMT|src=198.50.100.1|dst=198.50.100.2|srcPostNAT=198.50.100.3|dstPostNAT=198.50.100.4|RuleName=AZURE-US-NEW-CNF_Inbound_To_Azure-ALLOW|usrName=|SourceUser=|DestinationUser=|Application=smtp-base|VirtualSystem=vsys1|SourceZone=McD-Global-Zone|DestinationZone=Azure-Zone|IngressInterface=ae1.111|EgressInterface=ae2.409|LogForwardingProfile=Default-Traffic-Logging|SessionID=35331795|RepeatCount=1|srcPort=21578|dstPort=25|srcPostNATPort=0|dstPostNATPort=0|Flags=0x2000|proto=tcp|action=allow|Miscellaneous=\"......3...................xls\"|ThreatID=Microsoft MSOFFICE(52033)|URLCategory=malicious|sev=4|Severity=high|Direction=client-to-server|sequence=7462614601465681755|ActionFlags=0x8000000000000000|SourceLocation=198.50.100.1-198.50.100.255|DestinationLocation=United States|ContentType=|PCAP_ID=0|FileDigest=0ea04c99bf188c2e4207f60f92ca7c6f5088c7943ee63f45c50032bbd2bf7ea9|Cloud=demo.com|URLIndex=1|RequestMethod=|FileType=ms-office|Sender=sender@ab.myownpersonaldomain.com|Subject=\"............:.................................................................................-.........(Name)-2025-01-22...............:Y107202501220005, ............:........................, ...............:.........\"|Recipient=abc@demo.myownpersonaldomain.com|ReportID=117022282776|DeviceGroupHierarchyL1=143|DeviceGroupHierarchyL2=144|DeviceGroupHierarchyL3=39|DeviceGroupHierarchyL4=0|vSrcName=|DeviceName=device_host|SrcUUID=|DstUUID=|TunnelID=0|MonitorTag=|ParentSessionID=0|ParentStartTime=|TunnelType=N/A|ThreatCategory=N/A|ContentVer=WildFire-0

CEF

14>1 2024-04-04T16:21:56+02:00 FW-PERIMETRAL-AVG-01 - - - - CEF:0|Palo Alto Networks|PAN-OS|10.1.10-h2|end|TRAFFIC|1|src=198.51.100.1 dst=198.51.100.2 srcTranslatedAddress=198.51.100.3 dstTranslatedAddress=198.51.100.4 rule=FW_USER_NATS2_APP suser= duser= app=bittorrent vs=vsys1 sz=INSIDE dz=EXTERNAL InboundInterface=ae2.2266 OutboundInterface=ae1 lp=log_forwarding sid=2935823 cnt=1 spt=6881 dpt=51413 srcTranslatedPort=0 dstTranslatedPort=0 flags=0x7a proto=udp act=allow tbytes=475 in=150 out=325 pkt=2 pktReceived=1 pktSent=1 start=Apr 04 2024 14:21:56 GMT stime=1206 urlcat=any externalId=externalId reason=aged-out DGl1=11 DGl2=161 DGl3=0 DGl4=0 VsysName=STONESOFT dvchost=FW-PERIMETRAL-AVG-01 cat=from-policy ActionFlags=0x8000000000000000 srcUUID= dstUUID= TunnelID=0 MonitorTag= ParentSessionID=0 ParentStartTime= TunnelType=N/A SCTPAssocID=0 SCTPChunks=0 SCTPChunkSent=0 SCTPChunksRcv=0 RuleUUID=746c3eb6-3d51-4679-8438-bd0e00e170a8 HTTP2Con=0 LinkChange=0 PolicyID= LinkDetail= SDWANCluster= SDWANDevice= SDWANClustype= SDWANSite= DynamicUsrgrp= XFFIP= srcDevCat= srcDevProf= srcDevModel= srcDevVendor= srcDevOS= srcDevOSv= srcHostname= srcMac= dstDevCat= dstDevProf= dstDevModel= dstDevVendor= dstDevOS= dstDevOSv= dstHostname= dstMac= ContainerName= PODNamespace= PODName= srcEDL= dstEDL= GPHostID= EPSerial= srcDAG= dstDAG= HASessionOwner= TimeHighRes=2024-04-04T16:21:56.250+02:00 ASServiceType= ASServiceDiff="

CSV

1,2021/10/24 15:30:07,,CONFIG,0,2561,2021/10/24 15:30:07,198.51.100.0,,set,admin,Web,Succeeded, network virtual-router  VR1,,VR1  { ecmp { algorithm { ip-modulo ; } } protocol { bgp { routing-options { graceful-restart { enable yes; } } enable no; } rip { enable no; } ospf { enable no; } ospfv3 { enable no; } } routing-table { ip { static-route { vr1-log  { path-monitor { enable no; failure-condition any; hold-time 2; } nexthop { ip-address 198.51.100.0; } bfd { profile None; } interface ethernet1/1; metric 10; destination 0.0.0.0/0; route-table { unicast ; } } } } } interface [ ethernet1/1 ethernet1/2 ]; } ,7022390503849066572,0x0,0,0,0,0,,PA-VM,0,

欄位對應參考資料：PAN 防火牆記錄欄位對應至 UDM 欄位

本節說明剖析器如何將 Palo Alto Networks 防火牆記錄欄位，對應至各記錄類型的 Google Security Operations UDM 事件欄位。

Google Security Operations 標籤鍵是指對應至 Labels.key UDM 欄位的鍵名稱。舉例來說，如果是「虛擬系統」欄位，欄位名稱在 CEF 格式中為「cs3」，在 LEEF 格式中則為「VirtualSystem」。UDM 欄位「about.labels.key」包含值「vsys」，而 UDM 欄位「about.labels.value」則包含該欄位的值。

部分 CEF 或 LEEF 欄位名稱沒有對應的 CSV 欄位名稱。在這種情況下，如果您在系統記錄檔設定檔的自訂記錄格式中加入自己的變數名稱，剖析器不會將其對應至 UDM 欄位。

如需各記錄類型的對應參考資料，請參閱下列章節：

系統
設定
威脅/野火
流量
使用者 ID
HIP match
IP 標記
解密
隧道
驗證
網址
資料
GlobalProtect
關聯性
GTP

系統

下表列出系統記錄類型的記錄欄位，以及對應的 UDM 欄位。

CSV 欄位	CEF 欄位	LEEF 欄位	Google Security Operations 標籤鍵	UDM 欄位
接收時間 (receive_time 或 cef-formatted-receive_time)	rt	devTime		metadata.collected_timestamp, metadata.event_timestamp (如果沒有「產生時間」)
序號 (序號)	deviceExternalId	SerialNumber		intermediary.asset.hardware.serial_number
類型 (型別)	type (Header)	cat		metadata.product_event_type 已設為「%{type} - %{subtype}」。
威脅/內容類型 (子類型)	子類型 (標頭)	子類型		metadata.product_event_type 已設為「%{type} - %{subtype}」。
產生時間 (time_generated 或 cef-formatted-time_generated)				metadata.event_timestamp
虛擬系統 (vsys)	cs3	VirtualSystem	vsys	about.labels.key 和 about.labels.value additional.fields.key 和 additional.fields.value.string_value
事件 ID (eventid)	cat		eventid	about.labels.key 和 about.labels.value additional.fields.key 和 additional.fields.value.string_value
物件 (object)	fname	檔案名稱	object	about.labels.key 和 about.labels.value additional.fields.key 和 additional.fields.value.string_value
模組 (module)	flexString2	Module	模組	about.labels.key 和 about.labels.value additional.fields.key 和 additional.fields.value.string_value
嚴重性 (嚴重性)	$number-of-severity(header)	嚴重性		security_result.severity 和 security_result.severity_details
說明 (不透明)	msg	msg		metadata.description
	principal_user_userid (這個欄位是從 msg 欄位擷取)			principal.user.userid
	principal_ip3 (這個欄位是從 msg 欄位擷取)			principal.ip
	原因 (這個欄位是從 msg 欄位擷取)			security_result.description
	server_address (這個欄位是從 msg 欄位擷取而來)			target.ip
	server_profile (這個欄位是從 msg 欄位擷取而來)			additional.fields.key 和 additional.fields.value.string_value
序號 (seqno)	externalId	sequence		metadata.product_log_id
動作旗標 (actionflags)	PanOSActionFlags	ActionFlags	actionflags	about.labels.key 和 about.labels.value additional.fields.key 和 additional.fields.value.string_value
裝置群組階層 (dg_hier_level_1 至 dg_hier_level_4)	PanOSDGl1	DeviceGroupHierarchyL1	dg_hier_level_1	about.labels.key 和 about.labels.value additional.fields.key 和 additional.fields.value.string_value
裝置群組階層 (dg_hier_level_2)	PanOSDGl2	DeviceGroupHierarchyL2	dg_hier_level_2	about.labels.key 和 about.labels.value additional.fields.key 和 additional.fields.value.string_value
裝置群組階層 (dg_hier_level_3)	PanOSDGl3	DeviceGroupHierarchyL3	dg_hier_level_3	about.labels.key 和 about.labels.value additional.fields.key 和 additional.fields.value.string_value
裝置群組階層 (dg_hier_level_4)	PanOSDGl4	DeviceGroupHierarchyL4	dg_hier_level_4	about.labels.key 和 about.labels.value additional.fields.key 和 additional.fields.value.string_value
虛擬系統名稱 (vsys_name)	PanOSVsysName	vSrcName		principal.resource.name principal.resource.resource_type=VIRTUAL_MACHINE
裝置名稱 (device_name)	dvchost	DeviceName		intermediary.hostname
高解析度時間戳記 (high_res_timestamp)	anOSTimeGeneratedHighResolution			metadata.collected_timestamp, metadata.event_timestamp (如果沒有「產生時間」)

設定

下表列出設定記錄類型的記錄欄位，以及對應的 UDM 欄位。

CSV 欄位	CEF 欄位	LEEF 欄位	Google Security Operations 標籤鍵	UDM 欄位
接收時間 (receive_time 或 cef-formatted-receive_time)	rt	devTime		metadata.collected_timestamp, metadata.event_timestamp (如果沒有「產生時間」)
序號 (序號)	deviceExternalId	SerialNumber		intermediary.asset.hardware.serial_number
類型 (型別)	type (Header)	cat		metadata.product_event_type
威脅/內容類型 (子類型)	子類型 (標頭)			metadata.product_event_type
產生時間 (time_generated 或 cef-formatted-time_generated)				metadata.event_timestamp
主機 (host)	shost	src		principal.ip/hostname
虛擬系統 (vsys)	cs3	VirtualSystem	vsys	about.labels.key 和 about.labels.value additional.fields.key 和 additional.fields.value.string_value
指令 (cmd)	act	msg	cmd	metadata.description
管理員 (admin)	duser	usrName		principal.user.userid
用戶端 (client)	destinationServiceName	客戶		principal.application
結果 (結果)	簽章 ID (標頭)(原因)	結果		security_result.summary
設定路徑 (路徑)	msg	ConfigurationPath		principal.process.command_line
變更前詳細資料 (before_change_detail)	cs1	BeforeChangeDetail	before_change_detail	target.resource.attribute.labels.key/value
變更後詳細資料 (after_change_detail)	cs2	AfterChangeDetail	after_change_detail	target.resource.attribute.labels.key/value
序號 (seqno)	externalId	sequence		metadata.product_log_id
動作旗標 (actionflags)	PanOSActionFlags	ActionFlags	actionflags	about.labels.key 和 about.labels.value additional.fields.key 和 additional.fields.value.string_value
裝置群組階層 (dg_hier_level_1 至 dg_hier_level_4)	PanOSDGl1	DeviceGroupHierarchyL1	dg_hier_level_1	about.labels.key 和 about.labels.value additional.fields.key 和 additional.fields.value.string_value
裝置群組階層 (dg_hier_level_2)	PanOSDGl2	DeviceGroupHierarchyL2	dg_hier_level_2	about.labels.key 和 about.labels.value additional.fields.key 和 additional.fields.value.string_value
裝置群組階層 (dg_hier_level_3)	PanOSDGl3	DeviceGroupHierarchyL3	dg_hier_level_3	about.labels.key 和 about.labels.value additional.fields.key 和 additional.fields.value.string_value
裝置群組階層 (dg_hier_level_4)	PanOSDGl4	DeviceGroupHierarchyL4	dg_hier_level_4	about.labels.key 和 about.labels.value additional.fields.key 和 additional.fields.value.string_value
虛擬系統名稱 (vsys_name)	PanOSVsysName	vSrcName		principal.resource.name principal.resource.resource_type=VIRTUAL_MACHINE
裝置名稱 (device_name)	dvchost	DeviceName		intermediary.hostname
裝置群組 (dg_id)	PanOSFWDeviceGroup		dg_id	principal.asset.attribute.labels.key/value
稽核註解 (註解)	PanOSPolicyAuditComment		註解	about.labels.key 和 about.labels.value additional.fields.key 和 additional.fields.value.string_value
嚴重性 (嚴重性)	number-of-severity(header)			security_result.severity 和 security_result.severity_details

威脅/WildFire

下表列出威脅/WildFire 記錄類型的記錄欄位，以及對應的 UDM 欄位。

CSV 欄位	CEF 欄位	LEEF 欄位	Google Security Operations 標籤鍵	UDM 欄位
接收時間 (receive_time 或 cef-formatted-receive_time)	rt	devTime		metadata.collected_timestamp, metadata.event_timestamp (如果沒有「產生時間」)
序號 (序號)	deviceExternalId	SerialNumber		intermediary.asset.hardware.serial_number
類型 (型別)	type (Header)	cat		metadata.product_event_type
威脅/內容類型 (子類型)	cat/subtype (Header)	子類型		metadata.product_event_type
產生時間 (time_generated 或 cef-formatted-time_generated)				metadata.event_timestamp
來源地址 (src)	src	src		principal.ip
目的地地址 (dst)	dst	dst		target.ip
NAT 來源 IP (natsrc)	sourceTranslatedAddress	srcPostNAT		principal.nat_ip
網路位址轉譯 (NAT) 目的地 IP (natdst)	destinationTranslatedAddress	dstPostNAT		target.nat_ip
規則名稱 (規則)	cs1	RuleName		security_result.rule_name
來源使用者 (srcuser)	suser	SourceUser / usrName		principal.user.userid
目的地使用者 (dstuser)	duser	DestinationUser		target.user.userid
應用程式	應用程式	應用程式		target.application
虛擬系統 (vsys)	cs3	VirtualSystem	vsys	about.labels.key 和 about.labels.value additional.fields.key 和 additional.fields.value.string_value
來源可用區 (從)	cs4	SourceZone	從	principal.labels.key 和 principal.labels.value additional.fields.key 和 additional.fields.value.string_value
目的地 (到)	cs5	DestinationZone	到	target.labels.key 和 target.labels.value additional.fields.key 和 additional.fields.value.string_value
傳入介面 (inbound_if)	deviceInboundInterface	IngressInterface	inbound_if	principal.labels.key 和 principal.labels.value additional.fields.key 和 additional.fields.value.string_value
傳出介面 (outbound_if)	deviceOutboundInterface	EgressInterface	outbound_if	target.labels.key 和 target.labels.value additional.fields.key 和 additional.fields.value.string_value
記錄動作 (記錄集)	cs6	LogForwardingProfile	logset	about.labels.key 和 about.labels.value additional.fields.key 和 additional.fields.value.string_value
工作階段 ID (sessionid)	cn1	SessionID		network.session_id
重複次數 (repeatcnt)	cnt	RepeatCount	repeatcnt	about.labels.key 和 about.labels.value additional.fields.key 和 additional.fields.value.string_value
來源通訊埠 (sport)	spt	srcPort		principal.port
目的地通訊埠 (dport)	dpt	dstPort		target.port
NAT 來源通訊埠 (natsport)	sourceTranslatedPort	srcPostNATPort		principal.nat_port
NAT 目的地通訊埠 (natdport)	destinationTranslatedPort	dstPostNATPort		target.nat_port
旗標 (flags)	flexString1	旗標	flags	about.labels.key 和 about.labels.value additional.fields.key 和 additional.fields.value.string_value
IP 通訊協定 (proto)	proto	proto		network.ip_protocol
動作 (action)	act	action		security_result.action_details security_result.action
網址/檔案名稱 (其他)	要求	其他		target.file.full_path (如果子類型為「file」、「virus」、「wildfire-virus」或「wildfire」，則 `misc` 欄位會對應至 target.file.full_path) target.url (如果子類型為「url」，則 `misc` 欄位會對應至 target.url 和 target.hostname) target.hostname (如果子類型為「spyware」或「vulnerability」，則 `misc` 欄位會對應至 target.file.full_path 和 target.url)
威脅/內容名稱 (threatid)	cat	ThreatID		security_result.threat_name
類別 (類別)	cs2	URLCategory		security_result.category_details
嚴重性 (嚴重性)	number-of-severity(header)	嚴重性		security_result.severity 和 security_result.severity_details
方向 (方向)	flexString2	方向		network.direction
序號 (seqno)	externalId	sequence		metadata.product_log_id
動作旗標 (actionflags)	PanOSActionFlags	ActionFlags	actionflags	about.labels.key 和 about.labels.value additional.fields.key 和 additional.fields.value.string_value
來源國家/地區 (srcloc)		SourceLocation		principal.location.country_or_region
目的地國家/地區 (dstloc)		DestinationLocation		target.location.country_or_region
內容類型 (contenttype)		ContentType	contenttype	about.labels.key 和 about.labels.value additional.fields.key 和 additional.fields.value.string_value
PCAP ID (pcap_id)	fileId	PCAP_ID	pcap_id	about.labels.key 和 about.labels.value additional.fields.key 和 additional.fields.value.string_value
檔案摘要 (filedigest)	fileHash	FileDigest		about.file.sha1/md5/sha256
雲端 (cloud)	filePath	Cloud	雲端	about.labels.key 和 about.labels.value additional.fields.key 和 additional.fields.value.string_value
網址索引 (url_idx)		URLIndex	url_idx	about.labels.key 和 about.labels.value additional.fields.key 和 additional.fields.value.string_value
使用者代理程式 (user_agent)				network.http.user_agent
檔案類型 (filetype)	fileType	FileType		about.file.mime_type
X-Forwarded-For (xff)				principal.ip
參照網址 (referer)				network.http.referral_url
寄件者 (寄件者)	suid	寄件者		network.email.from
主旨 (主旨)	msg	主旨		network.email.subject
收件者 (recipient)	duid	收件者		network.email.to
報表 ID (reportid)	oldFileId	ReportID	reportid	about.labels.key 和 about.labels.value additional.fields.key 和 additional.fields.value.string_value
裝置群組階層 (dg_hier_level_1 至 dg_hier_level_4)	PanOSDGl1	DeviceGroupHierarchyL1	dg_hier_level_1	about.labels.key 和 about.labels.value additional.fields.key 和 additional.fields.value.string_value
裝置群組階層 (dg_hier_level_2)	PanOSDGl2	DeviceGroupHierarchyL2	dg_hier_level_2	about.labels.key 和 about.labels.value additional.fields.key 和 additional.fields.value.string_value
裝置群組階層 (dg_hier_level_3)	PanOSDGl3	DeviceGroupHierarchyL3	dg_hier_level_3	about.labels.key 和 about.labels.value additional.fields.key 和 additional.fields.value.string_value
裝置群組階層 (dg_hier_level_4)	PanOSDGl4	DeviceGroupHierarchyL4	dg_hier_level_4	about.labels.key 和 about.labels.value additional.fields.key 和 additional.fields.value.string_value
虛擬系統名稱 (vsys_name)	PanOSVsysName	vSrcName		principal.resource.name principal.resource.resource_type=VIRTUAL_MACHINE
裝置名稱 (device_name)	dvchost	DeviceName		intermediary.hostname
來源 VM UUID (src_uuid)	PanOSSrcUUID	SrcUUID		principal.user.product_object_id
目的地 VM UUID (dst_uuid)	PanOSDstUUID	DstUUID		target.user.product_object_id
HTTP 方法 (http_method)		RequestMethod		network.http.method
通道 ID/IMSI (tunnel_id/imsi)	PanOSTunnelID	TunnelID	tunnel_id/imsi	about.labels.key 和 about.labels.value additional.fields.key 和 additional.fields.value.string_value
監控標籤/IMEI (monitortag/imei)	PanOSMonitorTag	MonitorTag	monitortag/imei	about.labels.key 和 about.labels.value additional.fields.key 和 additional.fields.value.string_value
父項工作階段 ID (parent_session_id)	PanOSParentSessionID	ParentSessionID	parent_session_id	network.parent_session_id
父項工作階段開始時間 (parent_start_time)	PanOSParentStartTime	ParentStartTime	parent_start_time	about.labels.key 和 about.labels.value additional.fields.key 和 additional.fields.value.string_value
通道類型 (通道)	PanOSTunnelType	TunnelType	通道	about.labels.key 和 about.labels.value additional.fields.key 和 additional.fields.value.string_value
威脅類別 (thr_category)	PanOSThreatCategory	ThreatCategory	thr_category	security_result.detection_fields.key/value
內容版本 (contentver)	PanOSContentVer	ContentVer	contentver	about.labels.key 和 about.labels.value additional.fields.key 和 additional.fields.value.string_value
SCTP 關聯 ID (assoc_id)	PanOSAssocID		assoc_id	about.labels.key 和 about.labels.value additional.fields.key 和 additional.fields.value.string_value
酬載通訊協定 ID (ppid)	PanOSPPID		ppid	about.labels.key 和 about.labels.value additional.fields.key 和 additional.fields.value.string_value
HTTP 標頭 (http_headers)	PanOSHTTPHeader		http_headers	about.labels.key 和 about.labels.value additional.fields.key 和 additional.fields.value.string_value
網址類別清單 (url_category_list)	PanOSURLCatList		url_category_list	about.labels.key 和 about.labels.value additional.fields.key 和 additional.fields.value.string_value
規則 UUID (rule_uuid)	PanOSRuleUUID			security_result.rule_id
HTTP/2 連線 (http2_connection)	PanOSHTTP2Con<0x0x0A>		http2_connection	about.labels.key 和 about.labels.value additional.fields.key 和 additional.fields.value.string_value
動態使用者群組名稱 (dynusergroup_name)	PanDynamicUsrgrp		dynusergroup_name	principal.labels.key 和 principal.labels.value additional.fields.key 和 additional.fields.value.string_value
XFF 位址 (xff_ip)	PanXFFIP			principal.ip
來源裝置類別 (src_category)	PanSrcDeviceCat		src_category	principal.labels.key 和 principal.labels.value additional.fields.key 和 additional.fields.value.string_value
來源裝置設定檔 (src_profile)	PanSrcDeviceProf		src_profile	principal.labels.key 和 principal.labels.value additional.fields.key 和 additional.fields.value.string_value
來源裝置型號 (src_model)	PanSrcDeviceModel		src_model	principal.labels.key 和 principal.labels.value additional.fields.key 和 additional.fields.value.string_value
來源裝置供應商 (src_vendor)	PanSrcDeviceVendor		src_vendor	principal.labels.key 和 principal.labels.value additional.fields.key 和 additional.fields.value.string_value
來源裝置 OS 系列 (src_osfamily)	PanSrcDeviceOS		src_osfamily	principal.asset.platform_software.platform principal.labels.key 和 principal.labels.value additional.fields.key 和 additional.fields.value.string_value
來源裝置 OS 版本 (src_osversion)	PanSrcDeviceOSv			principal.asset.software.version
來源主機名稱 (src_host)	PanSrcHostname			principal.hostname
來源 MAC 位址 (src_mac)	PanSrcMac			principal.mac
目的地裝置類別 (dst_category)	PanDstDeviceCat		dst_category	target.labels.key 和 target.labels.value additional.fields.key 和 additional.fields.value.string_value
目的地裝置設定檔 (dst_profile)	PanDstDeviceProf		dst_profile	target.labels.key 和 target.labels.value additional.fields.key 和 additional.fields.value.string_value
目的地裝置型號 (dst_model)	PanDstDeviceModel		dst_model	target.labels.key 和 target.labels.value additional.fields.key 和 additional.fields.value.string_value
目的地裝置供應商 (dst_vendor)	PanDstDeviceVendor		dst_vendor	target.labels.key 和 target.labels.value additional.fields.key 和 additional.fields.value.string_value
目的地裝置 OS 系列 (dst_osfamily)	PanDstDeviceOS		dst_osfamily	target.labels.key 和 target.labels.value additional.fields.key 和 additional.fields.value.string_value
目的地裝置 OS 版本 (dst_osversion)	PanDstDeviceOSv			target.asset.software.version
目的地主機名稱 (dst_host)	PanDstHostname			target.hostname
目的地 MAC 位址 (dst_mac)	PanDstMac			target.mac
容器 ID (container_id)	PanContainerName		container_id	about.labels.key 和 about.labels.value additional.fields.key 和 additional.fields.value.string_value
POD 命名空間 (pod_namespace)	PanPODNamespace		pod_namespace	about.labels.key 和 about.labels.value additional.fields.key 和 additional.fields.value.string_value
POD 名稱 (pod_name)	PanPODName		pod_name	about.labels.key 和 about.labels.value additional.fields.key 和 additional.fields.value.string_value
來源外部動態清單 (src_edl)	PanSrcEDL		src_edl	about.labels.key 和 about.labels.value additional.fields.key 和 additional.fields.value.string_value
目標外部動態清單 (dst_edl)	PanDstEDL		dst_edl	about.labels.key 和 about.labels.value additional.fields.key 和 additional.fields.value.string_value
主機 ID (hostid)	PanGPHostID		hostid	about.labels.key 和 about.labels.value additional.fields.key 和 additional.fields.value.string_value
使用者裝置序號 (serialnumber)	PanEPSerial			principal.asset.hardware.serial_number
網域 EDL (domain_edl)	PanDomainEDL		domain_edl	about.labels.key 和 about.labels.value additional.fields.key 和 additional.fields.value.string_value
來源動態位址群組 (src_dag)	PanSrcDAG			principal.group.group_display_name
目的地動態位址群組 (dst_dag)	PanDstDAG			target.group.group_display_name
部分雜湊 (partial_hash)	PanPartialHash		partial_hash	about.labels.key 和 about.labels.value additional.fields.key 和 additional.fields.value.string_value
高解析度時間戳記 (high_res timestamp)	PanTimeHighRes		高解析度時間戳記	metadata.collected_timestamp, metadata.event_timestamp (如果沒有「產生時間」)
原因 (reason)	PanReasonFilteringAction		原因	about.labels.key 和 about.labels.value additional.fields.key 和 additional.fields.value.string_value
理由 (理由)	PanJustification		理由	about.labels.key 和 about.labels.value additional.fields.key 和 additional.fields.value.string_value
區塊服務類型 (nssai_sst)	PanASServiceType		nssai_sst	about.labels.key 和 about.labels.value additional.fields.key 和 additional.fields.value.string_value
應用程式子類別 (subcategory_of_app)			subcategory_of_app	about.labels.key 和 about.labels.value additional.fields.key 和 additional.fields.value.string_value
應用程式類別 (category_of_app)			category_of_app	about.labels.key 和 about.labels.value additional.fields.key 和 additional.fields.value.string_value
應用程式技術 (technology_of_app)			technology_of_app	about.labels.key 和 about.labels.value additional.fields.key 和 additional.fields.value.string_value
應用程式風險 (risk_of_app)			risk_of_app	about.labels.key 和 about.labels.value additional.fields.key 和 additional.fields.value.string_value
應用程式特徵 (characteristic_of_app)			characteristic_of_app	about.labels.key 和 about.labels.value additional.fields.key 和 additional.fields.value.string_value
應用程式容器 (container_of_app)			container_of_app	about.labels.key 和 about.labels.value additional.fields.key 和 additional.fields.value.string_value
應用程式 SaaS (is_saas_of_app)			is_saas_of_app	about.labels.key 和 about.labels.value additional.fields.key 和 additional.fields.value.string_value
應用程式受制裁狀態 (sanctioned_state_of_app)			sanctioned_state_of_app	about.labels.key 和 about.labels.value additional.fields.key 和 additional.fields.value.string_value

流量

下表列出流量記錄類型的記錄欄位，以及對應的 UDM 欄位。

CSV 欄位	CEF 欄位	LEEF 欄位	Google Security Operations 標籤鍵	UDM 欄位
接收時間 (receive_time 或 cef-formatted-receive_time)	rt	devTime		metadata.collected_timestamp, metadata.event_timestamp (如果沒有「產生時間」)
序號 (序號)	deviceExternalId	SerialNumber		intermediary.asset.hardware.serial_number
類型 (型別)	type (Header)	cat/Type		metadata.product_event_type
威脅/內容類型 (子類型)	子類型 (標頭)	子類型		metadata.product_event_type
產生時間 (time_generated 或 cef-formatted-time_generated)	start			metadata.event_timestamp
來源地址 (src)	src	src		principal.ip
目的地地址 (dst)	dst	dst		target.ip
NAT 來源 IP (natsrc)	sourceTranslatedAddress	srcPostNAT		principal.nat_ip
網路位址轉譯 (NAT) 目的地 IP (natdst)	destinationTranslatedAddress	dstPostNAT		target.nat_ip
規則名稱 (規則)	cs1	RuleName		security_result.rule_name
來源使用者 (srcuser)	suser	SourceUser		principal.user.userid
目的地使用者 (dstuser)	duser	DestinationUser		target.user.userid
應用程式	應用程式	應用程式		target.application
虛擬系統 (vsys)	cs3	VirtualSystem	vsys	about.labels.key 和 about.labels.value additional.fields.key 和 additional.fields.value.string_value
來源可用區 (從)	cs4	SourceZone	從	principal.labels.key 和 principal.labels.value additional.fields.key 和 additional.fields.value.string_value
目的地 (到)	cs5	DestinationZone	到	target.labels.key 和 target.labels.value additional.fields.key 和 additional.fields.value.string_value
傳入介面 (inbound_if)	deviceInboundInterface	IngressInterface	inbound_if	principal.labels.key 和 principal.labels.value additional.fields.key 和 additional.fields.value.string_value
傳出介面 (outbound_if)	deviceOutboundInterface	EgressInterface	outbound_if	target.labels.key 和 target.labels.value additional.fields.key 和 additional.fields.value.string_value
記錄動作 (記錄集)	cs6	LogForwardingProfile	logset	about.labels.key 和 about.labels.value additional.fields.key 和 additional.fields.value.string_value
工作階段 ID (sessionid)	cn1	SessionID		network.session_id
重複次數 (repeatcnt)	cnt	RepeatCount	repeatcnt	about.labels.key 和 about.labels.value additional.fields.key 和 additional.fields.value.string_value
來源通訊埠 (sport)	spt	srcPort		principal.port
目的地通訊埠 (dport)	dpt	dstPort		target.port
NAT 來源通訊埠 (natsport)	sourceTranslatedPort	srcPostNATPort		principal.nat_port
NAT 目的地通訊埠 (natdport)	destinationTranslatedPort	dstPostNATPort		target.nat_port
旗標 (flags)	flexString1	旗標	flags	about.labels.key 和 about.labels.value additional.fields.key 和 additional.fields.value.string_value
IP 通訊協定 (proto)	proto	proto		network.ip_protocol
動作 (action)	act	action		security_result.action_details security_result.action
位元組 (位元組)	flexNumber1	totalBytes	位元組	about.labels.key 和 about.labels.value additional.fields.key 和 additional.fields.value.string_value
傳送的位元組 (bytes_sent)	in	srcBytes		network.sent_bytes
收到的位元組 (bytes_received)	out	dstBytes		network.received_bytes
封包 (封包)	cn2	totalPackets	封包	about.labels.key 和 about.labels.value additional.fields.key 和 additional.fields.value.string_value
開始時間 (開始)		StartTime	start	about.labels.key 和 about.labels.value additional.fields.key 和 additional.fields.value.string_value
經過時間 (elapsed)	cn3	ElapsedTime	經過時間	network.session_duration.seconds
類別 (類別)	cs2	URLCategory		security_result.category / security_result.category_details
序號 (seqno)	externalId	sequence		metadata.product_log_id
動作旗標 (actionflags)	PanOSActionFlags	ActionFlags	actionflags	about.labels.key 和 about.labels.value additional.fields.key 和 additional.fields.value.string_value
來源國家/地區 (srcloc)		SourceLocation		principal.location.country_or_region
目的地國家/地區 (dstloc)		DestinationLocation		target.location.country_or_region
傳送的封包數 (pkts_sent)	PanOSPacketsSent	srcPackets	pkts_sent	about.labels.key 和 about.labels.value additional.fields.key 和 additional.fields.value.string_value
接收的封包數 (pkts_received)	PanOSPacketsReceived	dstPackets	pkts_received	about.labels.key 和 about.labels.value additional.fields.key 和 additional.fields.value.string_value
工作階段結束原因 (session_end_reason)	原因	SessionEndReason		security_result.summary
裝置群組階層 1 (dg_hier_level_1 至 dg_hier_level_4)	PanOSDGl1	DeviceGroupHierarchyL1	dg_hier_level_1	about.labels.key 和 about.labels.value additional.fields.key 和 additional.fields.value.string_value
裝置群組階層 2 (dg_hier_level_2)	PanOSDGl2	DeviceGroupHierarchyL2	dg_hier_level_2	about.labels.key 和 about.labels.value additional.fields.key 和 additional.fields.value.string_value
裝置群組階層 3 (dg_hier_level_3)	PanOSDGl3	DeviceGroupHierarchyL3	dg_hier_level_3	about.labels.key 和 about.labels.value additional.fields.key 和 additional.fields.value.string_value
裝置群組階層 (dg_hier_level_4)	PanOSDGl4	DeviceGroupHierarchyL4	dg_hier_level_4	about.labels.key 和 about.labels.value additional.fields.key 和 additional.fields.value.string_value
虛擬系統名稱 (vsys_name)	PanOSVsysName	vSrcName		principal.resource.name principal.resource.resource_type=VIRTUAL_MACHINE
裝置名稱 (device_name)	dvchost	DeviceName		intermediary.hostname
動作來源 (action_source)	cat	ActionSource	action_source	about.labels.key 和 about.labels.value additional.fields.key 和 additional.fields.value.string_value
來源 VM UUID (src_uuid)	PanOSSrcUUID	SrcUUID		principal.asset.product_object_id
目的地 VM UUID (dst_uuid)	PanOSDstUUID	DstUUID		target.asset.product_object_id
通道 ID/IMSI (tunnelid/imsi)	PanOSTunnelID	TunnelID	tunnelid/imsi	about.labels.key 和 about.labels.value additional.fields.key 和 additional.fields.value.string_value
監控標籤/IMEI (monitortag/imei)	PanOSMonitorTag	MonitorTag	monitortag/imei	about.labels.key 和 about.labels.value additional.fields.key 和 additional.fields.value.string_value
父項工作階段 ID (parent_session_id)	PanOSParentSessionID	ParentSessionID	parent_session_id	network.parent_session_id
父項開始時間 (parent_start_time)	PanOSParentStartTime	ParentStartTime	parent_start_time	about.labels.key 和 about.labels.value additional.fields.key 和 additional.fields.value.string_value
通道類型 (通道)	PanOSTunnelType	TunnelType	通道	about.labels.key 和 about.labels.value additional.fields.key 和 additional.fields.value.string_value
SCTP 關聯 ID (assoc_id)	PanOSSCTPAssocID		assoc_id	about.labels.key 和 about.labels.value additional.fields.key 和 additional.fields.value.string_value
SCTP 區塊 (區塊)	PanOSSCTPChunks		chunks	about.labels.key 和 about.labels.value additional.fields.key 和 additional.fields.value.string_value
傳送的 SCTP 區塊 (chunks_sent)	PanOSSCTPChunkSent		chunks_sent	about.labels.key 和 about.labels.value additional.fields.key 和 additional.fields.value.string_value
收到的 SCTP 區塊 (chunks_received)	PanOSSCTPChunksRcv		chunks_received	about.labels.key 和 about.labels.value additional.fields.key 和 additional.fields.value.string_value
規則 UUID (rule_uuid)	PanOSRuleUUID			security_result.rule_id
HTTP/2 連線 (http2_connection)	PanOSHTTP2Con<0x0x0A>		http2_connection	about.labels.key 和 about.labels.value additional.fields.key 和 additional.fields.value.string_value
應用程式擺動次數 (link_change_count)	PanLinkChange		link_change_count	about.labels.key 和 about.labels.value additional.fields.key 和 additional.fields.value.string_value
政策 ID (policy_id)	PanPolicyID		policy_id	about.labels.key 和 about.labels.value additional.fields.key 和 additional.fields.value.string_value
連結切換 (link_switches)	PanLinkDetail		link_switches	about.labels.key 和 about.labels.value additional.fields.key 和 additional.fields.value.string_value
SD-WAN 叢集 (sdwan_cluster)	PanSDWANCluster		sdwan_cluster	about.labels.key 和 about.labels.value additional.fields.key 和 additional.fields.value.string_value
SD-WAN 裝置類型 (sdwan_device_type)	PanSDWANDevice		sdwan_device_type	about.labels.key 和 about.labels.value additional.fields.key 和 additional.fields.value.string_value
SD-WAN 叢集類型 (sdwan_cluster_type)	PanSDWANClustype		sdwan_cluster_type	about.labels.key 和 about.labels.value additional.fields.key 和 additional.fields.value.string_value
SD-WAN 網站 (sdwan_site)	PanSDWANSite		sdwan_site	about.labels.key 和 about.labels.value additional.fields.key 和 additional.fields.value.string_value
動態使用者群組名稱 (dynusergroup_name)	PanDynamicUsrgrp		dynusergroup_name	about.labels.key 和 about.labels.value additional.fields.key 和 additional.fields.value.string_value
XFF 位址 (xff_ip)	PanXFFIP			principal.ip
來源裝置類別 (src_category)	PanSrcDeviceCat		src_category	principal.labels.key 和 principal.labels.value additional.fields.key 和 additional.fields.value.string_value
來源裝置設定檔 (src_profile)	PanSrcDeviceProf		src_profile	principal.labels.key 和 principal.labels.value additional.fields.key 和 additional.fields.value.string_value
來源裝置型號 (src_model)	PanSrcDeviceModel		src_model	principal.labels.key 和 principal.labels.value additional.fields.key 和 additional.fields.value.string_value
來源裝置供應商 (src_vendor)	PanSrcDeviceVendor		src_vendor	principal.labels.key 和 principal.labels.value additional.fields.key 和 additional.fields.value.string_value
來源裝置 OS 系列 (src_osfamily)	PanSrcDeviceOS			principal.asset.platform_software.platform principal.labels.key 和 principal.labels.value additional.fields.key 和 additional.fields.value.string_value
來源裝置 OS 版本 (src_osversion)	PanSrcDeviceOSv			principal.asset.software.version
來源主機名稱 (src_host)	PanSrcHostname			principal.hostname
來源 MAC 位址 (src_mac)	PanSrcMac			principal.mac
目的地裝置類別 (dst_category)	PanDstDeviceCat		dst_category	target.labels.key 和 target.labels.value additional.fields.key 和 additional.fields.value.string_value
目的地裝置設定檔 (dst_profile)	PanDstDeviceProf		dst_profile	target.labels.key 和 target.labels.value additional.fields.key 和 additional.fields.value.string_value
目的地裝置型號 (dst_model)	PanDstDeviceModel		dst_model	target.labels.key 和 target.labels.value additional.fields.key 和 additional.fields.value.string_value
目的地裝置供應商 (dst_vendor)	PanDstDeviceVendor		dst_vendor	target.labels.key 和 target.labels.value additional.fields.key 和 additional.fields.value.string_value
目的地裝置 OS 系列 (dst_osfamily)	PanDstDeviceOS		dst_osfamily	target.labels.key 和 target.labels.value additional.fields.key 和 additional.fields.value.string_value
目的地裝置 OS 版本 (dst_osversion)	PanDstDeviceOSv			target.asset.software.version
目的地主機名稱 (dst_host)	PanDstHostname			target.hostname
目的地 MAC 位址 (dst_mac)	PanDstMac			target.mac
容器 ID (container_id)	PanContainerName		container_id	about.labels.key 和 about.labels.value additional.fields.key 和 additional.fields.value.string_value
POD 命名空間 (pod_namespace)	PanPODNamespace		pod_namespace	about.labels.key 和 about.labels.value additional.fields.key 和 additional.fields.value.string_value
POD 名稱 (pod_name)	PanPODName		pod_name	about.labels.key 和 about.labels.value additional.fields.key 和 additional.fields.value.string_value
來源外部動態清單 (src_edl)	PanSrcEDL		src_edl	principal.labels.key 和 principal.labels.value additional.fields.key 和 additional.fields.value.string_value
目標外部動態清單 (dst_edl)	PanDstEDL		dst_edl	target.labels.key 和 target.labels.value additional.fields.key 和 additional.fields.value.string_value
主機 ID (hostid)	PanGPHostID		hostid	about.labels.key 和 about.labels.value additional.fields.key 和 additional.fields.value.string_value
使用者裝置序號 (serialnumber)	PanEPSerial			principal.asset.hardware.serial_number
來源動態位址群組 (src_dag)	PanSrcDAG			principal.group.group_display_name
目的地動態位址群組 (dst_dag)	PanDstDAG			target.group.group_display_name
工作階段擁有者 (session_owner)	PanHASessionOwner		session_owner	about.labels.key 和 about.labels.value additional.fields.key 和 additional.fields.value.string_value
高解析度時間戳記 (high_res_timestamp)	PanTimeHighRes			metadata.collected_timestamp, metadata.event_timestamp (如果沒有「產生時間」)
切片服務類型 (nsdsai_sst)	PanASServiceType		nsdsai_sst	about.labels.key 和 about.labels.value additional.fields.key 和 additional.fields.value.string_value
Slice 差異化指標 (nsdsai_sd)	PanASServiceDiff		nsdsai_sd	about.labels.key 和 about.labels.value additional.fields.key 和 additional.fields.value.string_value
應用程式子類別 (subcategory_of_app)			subcategory_of_app	about.labels.key 和 about.labels.value additional.fields.key 和 additional.fields.value.string_value
應用程式類別 (category_of_app)			category_of_app	about.labels.key 和 about.labels.value additional.fields.key 和 additional.fields.value.string_value
應用程式技術 (technology_of_app)			technology_of_app	about.labels.key 和 about.labels.value additional.fields.key 和 additional.fields.value.string_value
應用程式風險 (risk_of_app)				security_result.severity
應用程式特徵 (characteristic_of_app)			characteristic_of_app	about.labels.key 和 about.labels.value additional.fields.key 和 additional.fields.value.string_value
應用程式容器 (container_of_app)			container_of_app	about.labels.key 和 about.labels.value additional.fields.key 和 additional.fields.value.string_value
應用程式 SaaS (is_saas_of_app)			is_saas_of_app	about.labels.key 和 about.labels.value additional.fields.key 和 additional.fields.value.string_value
應用程式受制裁狀態 (sanctioned_state_of_app)			sanctioned_state_of_app	about.labels.key 和 about.labels.value additional.fields.key 和 additional.fields.value.string_value
應用程式子類別 (subcategory_of_app)			subcategory_of_app1	about.labels.key 和 about.labels.value additional.fields.key 和 additional.fields.value.string_value
嚴重性 (嚴重性)	number-of-severity(header)			security_result.severity 和 security_result.severity_details

User-ID

下表列出使用者 ID 記錄類型的記錄欄位，以及對應的 UDM 欄位。

CSV 欄位	CEF 欄位	LEEF 欄位	Google Security Operations 標籤鍵	UDM 欄位
接收時間 (receive_time 或 cef-formatted-receive_time)	rt	devTime		metadata.collected_timestamp, metadata.event_timestamp (如果沒有「產生時間」)
序號 (序號)	deviceExternalId	SerialNumber		intermediary.asset.hardware.serial_number
類型 (型別)	type (Header)	cat		metadata.product_event_type
威脅/內容類型 (子類型)	子類型 (標頭)	子類型		metadata.product_event_type
產生時間 (time_generated 或 cef-formatted-time_generated)				metadata.event_timestamp
虛擬系統 (vsys)	cs3	VirtualSystem	vsys	about.labels.key 和 about.labels.value additional.fields.key 和 additional.fields.value.string_value
來源 IP (ip)	src	src		principal.ip
使用者 (使用者)	duser	usrName		target.user.userid target.administrative_domain target.user.email_addresses
資料來源名稱 (datasourcename)	cs4	DataSourceName	datasourcename	principal.labels.key 和 principal.labels.value additional.fields.key 和 additional.fields.value.string_value
事件 ID (eventid)		EventID	eventid	about.labels.key 和 about.labels.value additional.fields.key 和 additional.fields.value.string_value
重複次數 (repeatcnt)	cnt	RepeatCount	repeatcnt	about.labels.key 和 about.labels.value additional.fields.key 和 additional.fields.value.string_value
逾時門檻 (逾時)	cn3	TimeoutThreshold	逾時	about.labels.key 和 about.labels.value additional.fields.key 和 additional.fields.value.string_value
來源通訊埠 (beginport)	spt	srcPort		principal.port
目的地通訊埠 (endport)	dpt	dstPort		target.port
資料來源 (datasource)	cs5	DataSource	資料來源	principal.labels.key 和 principal.labels.value additional.fields.key 和 additional.fields.value.string_value
資料來源類型 (datasourcetype)	cs6	DataSourceType	datasourcetype	principal.labels.key 和 principal.labels.value additional.fields.key 和 additional.fields.value.string_value
序號 (seqno)	externalId	sequence		metadata.product_log_id
動作旗標 (actionflags)	PanOSActionFlags	ActionFlags	actionflags	about.labels.key 和 about.labels.value additional.fields.key 和 additional.fields.value.string_value
裝置群組階層 (dg_hier_level_1)	PanOSDGl1	DeviceGroupHierarchyL1	dg_hier_level_1	about.labels.key 和 about.labels.value additional.fields.key 和 additional.fields.value.string_value
裝置群組階層 (dg_hier_level_2)	PanOSDGl2	DeviceGroupHierarchyL2	dg_hier_level_2	about.labels.key 和 about.labels.value additional.fields.key 和 additional.fields.value.string_value
裝置群組階層 (dg_hier_level_3)	PanOSDGl3	DeviceGroupHierarchyL3	dg_hier_level_3	about.labels.key 和 about.labels.value additional.fields.key 和 additional.fields.value.string_value
裝置群組階層 (dg_hier_level_4)	PanOSDGl4	DeviceGroupHierarchyL4	dg_hier_level_4	about.labels.key 和 about.labels.value additional.fields.key 和 additional.fields.value.string_value
虛擬系統名稱 (vsys_name)	PanOSVsysName	vSrcName		principal.resource.name principal.resource.resource_type=VIRTUAL_MACHINE
裝置名稱 (device_name)	dvchost	DeviceName		intermediary.hostname
虛擬系統 ID (vsys_id)	cn2	VirtualSystemID		principal.resource.resource_type=VIRTUAL_MACHINE and principal.resource.product_object_id
因素類型 (factortype)	cs1	FactorType	factortype	about.labels.key 和 about.labels.value additional.fields.key 和 additional.fields.value.string_value
因子完成時間 (factorcompletiontime)	end	FactorCompletionTime	factorcompletiontime	about.labels.key 和 about.labels.value additional.fields.key 和 additional.fields.value.string_value
因素編號 (factorno)	cn1	FactorNumber	factorno	about.labels.key 和 about.labels.value additional.fields.key 和 additional.fields.value.string_value
使用者群組標記 (ugflags)	PanOSUGFlags		ugflags	about.labels.key 和 about.labels.value additional.fields.key 和 additional.fields.value.string_value
使用者 (按來源區隔) (userbysource)	PanOSUserBySource			principal.user.userid principal.administrative_domain principal.user.email_addresses
高解析度時間戳記 (high_res timestamp)	PanOSTimeGeneratedHighResolution			metadata.collected_timestamp, metadata.event_timestamp (如果沒有「產生時間」)
嚴重性 (嚴重性)	number-of-severity(header)			security_result.severity 和 security_result.severity_details

HIP 比對

下表列出 HIP 比對記錄類型的記錄欄位，以及對應的 UDM 欄位。

CSV 欄位	CEF 欄位	LEEF 欄位	Google Security Operations 標籤鍵	UDM 欄位
接收時間 (receive_time 或 cef-formatted-receive_time)	rt	devTime		metadata.collected_timestamp, metadata.event_timestamp (如果沒有「產生時間」)
序號 (序號)	deviceExternalId	SerialNumber		intermediary.asset.hardware.serial_number
類型 (型別)	type (Header)	cat		metadata.product_event_type
威脅/內容類型 (子類型)	子類型 (標頭)	子類型
產生時間 (time_generated 或 cef-formatted-time_generated)	start	startTime		metadata.event_timestamp
來源使用者 (srcuser)	suser	usrName		principal.user.userid
虛擬系統 (vsys)	cs3	VirtualSystem	vsys	about.labels.key 和 about.labels.value additional.fields.key 和 additional.fields.value.string_value
機器名稱 (machinename)	shost	identHostName		principal.hostname
作業系統 (os)	cs2	作業系統		principal.asset.platform_software.platform
來源地址 (src)	src	identsrc		principal.ip
HIP (matchname)	cat	HIP	matchname	about.labels.key 和 about.labels.value additional.fields.key 和 additional.fields.value.string_value
重複次數 (repeatcnt)	cnt	RepeatCount	repeatcnt	about.labels.key 和 about.labels.value additional.fields.key 和 additional.fields.value.string_value
HIP 類型 (matchtype)	裝置事件類別 ID (標頭)	HIPType	matchtype	about.labels.key 和 about.labels.value additional.fields.key 和 additional.fields.value.string_value
序號 (seqno)	externalId	sequence		metadata.product_log_id
動作旗標 (actionflags)	PanOSActionFlags	ActionFlags	actionflags	about.labels.key 和 about.labels.value additional.fields.key 和 additional.fields.value.string_value
裝置群組階層 (dg_hier_level_1)	PanOSDGl1	DeviceGroupHierarchyL1	dg_hier_level_1	about.labels.key 和 about.labels.value additional.fields.key 和 additional.fields.value.string_value
裝置群組階層 (dg_hier_level_2)	PanOSDGl2	DeviceGroupHierarchyL2	dg_hier_level_2	about.labels.key 和 about.labels.value additional.fields.key 和 additional.fields.value.string_value
裝置群組階層 (dg_hier_level_3)	PanOSDGl3	DeviceGroupHierarchyL3	dg_hier_level_3	about.labels.key 和 about.labels.value additional.fields.key 和 additional.fields.value.string_value
裝置群組階層 (dg_hier_level_4)	PanOSDGl4	DeviceGroupHierarchyL4	dg_hier_level_4	about.labels.key 和 about.labels.value additional.fields.key 和 additional.fields.value.string_value
虛擬系統名稱 (vsys_name)	PanOSVsysName	vSrcName		principal.resource.name principal.resource.resource_type=VIRTUAL_MACHINE
裝置名稱 (device_name)	dvchost	DeviceName		intermediary.hostname
虛擬系統 ID (vsys_id)	cn2	VirtualSystemID		principal.resource.resource_type=VIRTUAL_MACHINE and principal.resource.product_object_id
IPv6 系統位址 (srcipv6)	c6a2	srcipv6		principal.asset.ip
主機 ID (hostid)	PanOSHostID			principal.asset.product_object_id
使用者裝置序號 (serialnumber)	PanOSEndpointSerialNumber			principal.asset.hardware.serial_number
裝置 MAC 位址 (mac)	PanOSEndpointMac			principal.asset.mac
高解析度時間戳記 (high_res_timestamp)	PanOSTimeGeneratedHighResolution			metadata.collected_timestamp, metadata.event_timestamp (如果沒有「產生時間」)
嚴重性 (嚴重性)	number-of-severity(header)			security_result.severity 和 security_result.severity_details

IP 代碼

下表列出 IP 標記記錄類型的記錄欄位，以及對應的 UDM 欄位。

CSV 欄位	CEF 欄位	LEEF 欄位	Google Security Operations 標籤鍵	UDM 欄位
接收時間 (receive_time 或 cef-formatted-receive_time)	rt	devTime		metadata.collected_timestamp, metadata.event_timestamp (如果沒有「產生時間」)
序號 (序號)	deviceExternalId	SerialNumber		intermediary.asset.hardware.serial_number
類型 (型別)	type (Header)	cat		metadata.product_event_type
威脅/內容類型 (子類型)	子類型 (標頭)	子類型		metadata.product_event_type
產生時間 (time_generated 或 cef-formatted-time_generated)		GenerateTime		metadata.event_timestamp
虛擬系統 (vsys)	cs3	VirtualSystem	vsys	about.labels.key 和 about.labels.value additional.fields.key 和 additional.fields.value.string_value
來源 IP (ip)	src	src		principal.ip
代碼名稱 (tag_name)	PanOSTagName	TagName	tag_name	principal.labels.key 和 principal.labels.value additional.fields.key 和 additional.fields.value.string_value
活動 ID (event_id)	PanOSEventID	EventID	event_id	about.labels.key 和 about.labels.value additional.fields.key 和 additional.fields.value.string_value
重複次數 (repeatcnt)	cnt	RepeatCount	repeatcnt	about.labels.key 和 about.labels.value additional.fields.key 和 additional.fields.value.string_value
逾時 (逾時)	PanOSTimeout	TimeoutThreshold	逾時	about.labels.key 和 about.labels.value additional.fields.key 和 additional.fields.value.string_value
資料來源名稱 (datasourcename)	PanOSDataSourceName	DataSourceName	datasourcename	principal.labels.key 和 principal.labels.value additional.fields.key 和 additional.fields.value.string_value
資料來源類型 (datasource_type)	PanOSDataSourceType	DataSource	datasource_type	principal.labels.key 和 principal.labels.value additional.fields.key 和 additional.fields.value.string_value
資料來源子類型 (datasource_subtype)	PanOSDataSourceSubType	DataSourceType	datasource_subtype	principal.labels.key 和 principal.labels.value additional.fields.key 和 additional.fields.value.string_value
序號 (seqno)	externalId	sequence		metadata.product_log_id
動作旗標 (actionflags)	PanOSActionFlags	ActionFlags	actionflags	about.labels.key 和 about.labels.value additional.fields.key 和 additional.fields.value.string_value
裝置群組階層 (dg_hier_level_1)	PanOSDGl1	DeviceGroupHierarchyL1	dg_hier_level_1	about.labels.key 和 about.labels.value additional.fields.key 和 additional.fields.value.string_value
裝置群組階層 (dg_hier_level_2)	PanOSDGl2	DeviceGroupHierarchyL2	dg_hier_level_2	about.labels.key 和 about.labels.value additional.fields.key 和 additional.fields.value.string_value
裝置群組階層 (dg_hier_level_3)	PanOSDGl3	DeviceGroupHierarchyL3	dg_hier_level_3	about.labels.key 和 about.labels.value additional.fields.key 和 additional.fields.value.string_value
裝置群組階層 (dg_hier_level_4)	PanOSDGl4	DeviceGroupHierarchyL4	dg_hier_level_4	about.labels.key 和 about.labels.value additional.fields.key 和 additional.fields.value.string_value
虛擬系統名稱 (vsys_name)	PanOsVsysName	vSrcName		principal.resource.name principal.resource.resource_type=VIRTUAL_MACHINE
裝置名稱 (device_name)	dvchost	DeviceName		intermediary.hostname
虛擬系統 ID (vsys_id)	cn2	VirtualSystemID		principal.resource.resource_type=VIRTUAL_MACHINE and principal.resource.product_object_id
高解析度時間戳記 (high_res timestamp)	PanOSTimeGeneratedHighResolution			metadata.collected_timestamp, metadata.event_timestamp (如果沒有「產生時間」)
嚴重性 (嚴重性)	number-of-severity(header)			security_result.severity 和 security_result.severity_details

解密

下表列出解密記錄類型的記錄欄位，以及對應的 UDM 欄位。

CSV 欄位	CEF 欄位	LEEF 欄位	Google Security Operations 標籤鍵	UDM 欄位
接收時間 (receive_time 或 cef-formatted-receive_time)	rt			metadata.collected_timestamp, metadata.event_timestamp (如果沒有「產生時間」)
序號 (序號)	PanOSDeviceSN			intermediary.asset.hardware.serial_number
類型 (型別)	type (Header)			metadata.product_event_type
威脅/內容類型 (子類型)	子類型 (標頭)			metadata.product_event_type
設定版本 (config_ver)	PanOSConfigVersion		config_ver	about.labels.key 和 about.labels.value additional.fields.key 和 additional.fields.value.string_value
產生時間 (time_generated)	PanOSLogTimeStamp			metadata.event_timestamp
來源地址 (src)	src			principal.ip
目的地地址 (dst)	dst			target.ip
NAT 來源 IP (natsrc)	sourceTranslatedAddress			principa.nat_ip
網路位址轉譯 (NAT) 目的地 IP (natdst)	destinationTranslatedAddress			target.nat_ip
規則 (規則)	cs1			security_result.rule_name
來源使用者 (srcuser)	suser			principal.user.userid
目的地使用者 (dstuser)	duser			target.user.userid
應用程式	應用程式			target.application
虛擬系統 (vsys)	cs3		vsys	about.labels.key 和 about.labels.value additional.fields.key 和 additional.fields.value.string_value
來源可用區 (從)	cs4		從	principal.labels.key 和 principal.labels.value additional.fields.key 和 additional.fields.value.string_value
目的地 (到)	cs5		到	target.labels.key 和 target.labels.value additional.fields.key 和 additional.fields.value.string_value
傳入介面 (inbound_if)	deviceInboundInterface		inbound_if	principal.labels.key 和 principal.labels.value additional.fields.key 和 additional.fields.value.string_value
傳出介面 (outbound_if)	deviceOutboundInterface		outbound_if	target.labels.key 和 target.labels.value additional.fields.key 和 additional.fields.value.string_value
記錄動作 (記錄集)	cs6		logset	about.labels.key 和 about.labels.value additional.fields.key 和 additional.fields.value.string_value
記錄時間 (time_received)	PanOSTimeReceivedManagementPlane			-
工作階段 ID (sessionid)	cn1			network.session_id
重複次數 (repeatcnt)	PanOSCountOfRepeats/RepeatCount		repeatcnt	about.labels.key 和 about.labels.value additional.fields.key 和 additional.fields.value.string_value
來源通訊埠 (sport)	spt			principal.port
目的地通訊埠 (dport)	dpt			target.port
NAT 來源通訊埠 (natsport)	sourceTranslatedPort			principal.nat_port
NAT 目的地通訊埠 (natdport)	destinationTranslatedPort			target.nat_port
旗標 (flags)	flexString1		flags	about.labels.key 和 about.labels.value additional.fields.key 和 additional.fields.value.string_value
IP 通訊協定 (proto)	proto			network.ip_protocol
動作 (action)	act			security_result.action_details security_result.action
隧道 (tunnel)	PanOSTunnel		通道	about.labels.key 和 about.labels.value additional.fields.key 和 additional.fields.value.string_value
來源 VM UUID (src_uuid)	PanOSSourceUUID			principal.asset.asset_id
目的地 VM UUID (dst_uuid)	PanOSDestinationUUID			target.asset.asset_id
規則的 UUID (rule_uuid)	PanOSRuleUUID			security_result.rule_id
從用戶端到防火牆的階段 (hs_stage_c2f)	PanOSClientToFirewall		hs_stage_c2f	about.labels.key 和 about.labels.value additional.fields.key 和 additional.fields.value.string_value
防火牆到伺服器階段 (hs_stage_f2s)	PanOSFirewallToServer		hs_stage_f2s	about.labels.key 和 about.labels.value additional.fields.key 和 additional.fields.value.string_value
TLS 版本 (tls_version)	PanOSTLSVersion			network.tls.version
金鑰交換演算法 (tls_keyxchg)	PanOSTLSKeyExchange		tls_keyxchg	about.labels.key 和 about.labels.value additional.fields.key 和 additional.fields.value.string_value
加密演算法 (tls_enc)	PanOSTLSEncryptionAlgorithm		tls_enc	about.labels.key 和 about.labels.value additional.fields.key 和 additional.fields.value.string_value
雜湊演算法 (tls_auth)	PanOSTLSAuth		tls_auth	about.labels.key 和 about.labels.value additional.fields.key 和 additional.fields.value.string_value
政策名稱 (policy_name)	PanOSPolicyName		policy_name	about.labels.key 和 about.labels.value additional.fields.key 和 additional.fields.value.string_value
橢圓曲線 (ec_curve)	PanOSEllipticCurve			network.tls.curve
錯誤索引 (err_index)	PanOSErrorIndex		err_index	about.labels.key 和 about.labels.value additional.fields.key 和 additional.fields.value.string_value
根狀態 (root_status)	PanOSRootStatus		root_status	about.labels.key 和 about.labels.value additional.fields.key 和 additional.fields.value.string_value
鏈結狀態 (chain_status)	PanOSChainStatus		chain_status	about.labels.key 和 about.labels.value additional.fields.key 和 additional.fields.value.string_value
Proxy 類型 (proxy_type)	PanOSProxyType		proxy_type	about.labels.key 和 about.labels.value additional.fields.key 和 additional.fields.value.string_value
憑證序號 (cert_serial)	PanOSCertificateSerial			network.tls.server.certificate.serial
憑證指紋 (指紋)	PanOSFingerprint			network.tls.server.certificate.md5/sha1/sha256
憑證開始日期 (notbefore)	PanOSTimeNotBefore			network.tls.server.certificate.not_before
憑證結束日期 (notafter)	PanOSTimeNotAfter			network.tls.server.certificate.not_after
憑證版本 (cert_ver)	PanOSCertificateVersion			network.tls.server.certificate.version
憑證大小 (cert_size)	PanOSCertificateSize		cert_size	about.labels.key 和 about.labels.value additional.fields.key 和 additional.fields.value.string_value
一般名稱長度 (cn_len)	PanOSCommonNameLength		cn_len	about.labels.key 和 about.labels.value additional.fields.key 和 additional.fields.value.string_value
核發機構通用名稱長度 (issuer_len)	PanOSIssuerNameLength		issuer_len	about.labels.key 和 about.labels.value additional.fields.key 和 additional.fields.value.string_value
根一般名稱長度 (rootcn_len)	PanOSRootCNLength		rootcn_len	about.labels.key 和 about.labels.value additional.fields.key 和 additional.fields.value.string_value
SNI 長度 (sni_len)	PanOSSNILength		sni_len	about.labels.key 和 about.labels.value additional.fields.key 和 additional.fields.value.string_value
憑證標記 (cert_flags)	PanOSCertificateFlags		cert_flags	about.labels.key 和 about.labels.value additional.fields.key 和 additional.fields.value.string_value
主體一般名稱 (cn)	PanOSCommonName		cn	about.labels.key 和 about.labels.value additional.fields.key 和 additional.fields.value.string_value
核發機構一般名稱 (issuer_cn)	PanOSIssuerCommonName			network.tls.server.certificate.issuer
根層級通用名稱 (root_cn)	PanOSRootCommonName		root_cn	about.labels.key 和 about.labels.value additional.fields.key 和 additional.fields.value.string_value
伺服器名稱指示 (sni)				network.tls.client.server_name
錯誤 (錯誤)	PanOSErrorMessage		錯誤	about.labels.key 和 about.labels.value additional.fields.key 和 additional.fields.value.string_value
容器 ID (container_id)	PanOSContainerID		container_id	about.labels.key 和 about.labels.value additional.fields.key 和 additional.fields.value.string_value
POD 命名空間 (pod_namespace)	PanOSContainerNameSpace		pod_namespace	about.labels.key 和 about.labels.value additional.fields.key 和 additional.fields.value.string_value
POD 名稱 (pod_name)	PanOSContainerName		pod_name	about.labels.key 和 about.labels.value additional.fields.key 和 additional.fields.value.string_value
來源外部動態清單 (src_edl)	PanOSSourceEDL		src_edl	principal.labels.key 和 principal.labels.value additional.fields.key 和 additional.fields.value.string_value
目標外部動態清單 (dst_edl)	PanOSDestinationEDL		dst_edl	target.labels.key 和 target.labels.value additional.fields.key 和 additional.fields.value.string_value
來源動態位址群組 (src_dag)	PanOSSourceDynamicAddressGroup			principal.group.group_display_name
目的地動態位址群組 (dst_dag)	PanOSDestinationDynamicAddressGroup			target.group.group_display_name
高解析度時間戳記 (high_res_timestamp)	PanOSTimeGeneratedHighResolution			metadata.collected_timestamp, metadata.event_timestamp (如果沒有「產生時間」)
來源裝置類別 (src_category)	PanOSSourceDeviceCategory		src_category	principal.labels.key 和 principal.labels.value additional.fields.key 和 additional.fields.value.string_value
來源裝置設定檔 (src_profile)	PanOSSourceDeviceProfile		src_profile	principal.labels.key 和 principal.labels.value additional.fields.key 和 additional.fields.value.string_value
來源裝置型號 (src_model)	PanOSSourceDeviceModel		src_model	principal.labels.key 和 principal.labels.value additional.fields.key 和 additional.fields.value.string_value
來源裝置供應商 (src_vendor)	PanOSSourceDeviceVendor		src_vendor	principal.labels.key 和 principal.labels.value additional.fields.key 和 additional.fields.value.string_value
來源裝置 OS 系列 (src_osfamily)	PanOSSourceDeviceOSFamily			principal.asset.platform_software.platform principal.labels.key 和 principal.labels.value
來源裝置 OS 版本 (src_osversion)	PanOSSourceDeviceOSVersion			principal.asset.software.version
來源主機名稱 (src_host)	PanOSSourceDeviceHost			principal.hostname
來源 MAC 位址 (src_mac)	PanOSSourceDeviceMac			principal.mac
目的地裝置類別 (dst_category)	PanOSDestinationDeviceCategory		dst_category	target.labels.key 和 target.labels.value additional.fields.key 和 additional.fields.value.string_value
目的地裝置設定檔 (dst_profile)	PanOSDestinationDeviceProfile		dst_profile	target.labels.key 和 target.labels.value additional.fields.key 和 additional.fields.value.string_value
目的地裝置型號 (dst_model)	PanOSDestinationDeviceModel		dst_model	target.labels.key 和 target.labels.value additional.fields.key 和 additional.fields.value.string_value
目的地裝置供應商 (dst_vendor)	PanOSDestinationDeviceVendor		dst_vendor	target.labels.key 和 target.labels.value additional.fields.key 和 additional.fields.value.string_value
目的地裝置 OS 系列 (dst_osfamily)	PanOSDestinationDeviceOSFamily		dst_osfamily	target.labels.key 和 target.labels.value additional.fields.key 和 additional.fields.value.string_value
目的地裝置 OS 版本 (dst_osversion)	PanOSDestinationDeviceOSVersion			target.asset.software.version
目的地主機名稱 (dst_host)	PanOSDestinationDeviceHost			target.hostname
目的地 MAC 位址 (dst_mac)	PanOSDestinationDeviceMac			target.mac
序號 (seqno)	PanOSLogTypeSeqNo			metadata.product_log_id
動作旗標 (actionflags)	PanOSActionFlags		actionflags	about.labels.key 和 about.labels.value additional.fields.key 和 additional.fields.value.string_value
裝置群組階層 (dg_hier_level_1)		DeviceGroupHierarchyL1	dg_hier_level_1	about.labels.key 和 about.labels.value additional.fields.key 和 additional.fields.value.string_value
裝置群組階層 (dg_hier_level_2)		DeviceGroupHierarchyL2	dg_hier_level_2	about.labels.key 和 about.labels.value additional.fields.key 和 additional.fields.value.string_value
裝置群組階層 (dg_hier_level_3)		DeviceGroupHierarchyL3	dg_hier_level_3	about.labels.key 和 about.labels.value additional.fields.key 和 additional.fields.value.string_value
裝置群組階層 (dg_hier_level_4)		DeviceGroupHierarchyL4	dg_hier_level_4	about.labels.key 和 about.labels.value additional.fields.key 和 additional.fields.value.string_value
虛擬系統名稱 (vsys_name)				principal.resource.name principal.resource.resource_type=VIRTUAL_MACHINE
裝置名稱 (device_name)				intermediary.hostname
虛擬系統 ID (vsys_id)				principal.resource.resource_type=VIRTUAL_MACHINE and principal.resource.product_object_id
應用程式子類別 (subcategory_of_app)			subcategory_of_app	about.labels.key 和 about.labels.value additional.fields.key 和 additional.fields.value.string_value
應用程式類別 (category_of_app)			category_of_app	about.labels.key 和 about.labels.value additional.fields.key 和 additional.fields.value.string_value
應用程式技術 (technology_of_app)			technology_of_app	about.labels.key 和 about.labels.value additional.fields.key 和 additional.fields.value.string_value
應用程式風險 (risk_of_app)				security_result.severity
應用程式特徵 (characteristic_of_app)			characteristic_of_app	about.labels.key 和 about.labels.value additional.fields.key 和 additional.fields.value.string_value
應用程式容器 (container_of_app)			container_of_app	about.labels.key 和 about.labels.value additional.fields.key 和 additional.fields.value.string_value
應用程式 SaaS (is_saas_of_app)			is_saas_of_app	about.labels.key 和 about.labels.value additional.fields.key 和 additional.fields.value.string_value
應用程式受制裁狀態 (sanctioned_state_of_app)			sanctioned_state_of_app	about.labels.key 和 about.labels.value additional.fields.key 和 additional.fields.value.string_value
嚴重性 (嚴重性)	number-of-severity(header)			security_result.severity 和 security_result.severity_details

隧道

下表列出通道記錄類型的記錄欄位，以及對應的 UDM 欄位。

CSV 欄位	CEF 欄位	LEEF 欄位	Google Security Operations 標籤鍵	UDM 欄位
接收時間 (receive_time 或 cef-formatted-receive_time)	rt	devTime		metadata.collected_timestamp, metadata.event_timestamp (如果沒有「產生時間」)
序號 (序號)	deviceExternalId	SerialNumber		intermediary.asset.hardware.serial_number
類型 (型別)	type (Header)	cat		metadata.product_event_type
威脅/內容類型 (子類型)	子類型 (標頭)	子類型		metadata.product_event_type
產生時間 (time_generated 或 cef-formatted-time_generated)				metadata.event_timestamp
來源地址 (src)	src	src		principal.ip
目的地地址 (dst)	dst	dst		target.ip
NAT 來源 IP (natsrc)	sourceTranslatedAddress	srcPostNAT		principal.nat_ip
網路位址轉譯 (NAT) 目的地 IP (natdst)	destinationTranslatedAddress	dstPostNAT		target.nat_ip
規則名稱 (規則)	cs1	RuleName		security_result.rule_name
來源使用者 (srcuser)	suser	SourceUser / usrName		principal.user.userid
目的地使用者 (dstuser)	duser	DestinationUser		target.user.userid
應用程式	應用程式	應用程式		network.application_protocol
虛擬系統 (vsys)	cs3	VirtualSystem	vsys	about.labels.key 和 about.labels.value additional.fields.key 和 additional.fields.value.string_value
來源可用區 (從)	cs4	SourceZone	從	principal.labels.key 和 principal.labels.value additional.fields.key 和 additional.fields.value.string_value
目的地 (到)	cs5	DestinationZone	到	target.labels.key 和 target.labels.value additional.fields.key 和 additional.fields.value.string_value
傳入介面 (inbound_if)	deviceInboundInterface	IngressInterface	inbound_if	principal.labels.key 和 principal.labels.value additional.fields.key 和 additional.fields.value.string_value
傳出介面 (outbound_if)	deviceOutboundInterface	EgressInterface	outbound_if	target.labels.key 和 target.labels.value additional.fields.key 和 additional.fields.value.string_value
記錄動作 (記錄集)	cs6	LogForwardingProfile	logset	about.labels.key 和 about.labels.value additional.fields.key 和 additional.fields.value.string_value
工作階段 ID (sessionid)	cn1	SessionID		network.session_id
重複次數 (repeatcnt)	cnt	RepeatCount	repeatcnt	about.labels.key 和 about.labels.value additional.fields.key 和 additional.fields.value.string_value
來源通訊埠 (sport)	spt	srcPort		principal.port
目的地通訊埠 (dport)	dpt	dstPort		target.port
NAT 來源通訊埠 (natsport)	sourceTranslatedPort	srcPostNATPort		principal.nat_port
NAT 目的地通訊埠 (natdport)	destinationTranslatedPort	dstPostNATPort		target.nat_port
旗標 (flags)	flexString1	旗標	flags	about.labels.key 和 about.labels.value additional.fields.key 和 additional.fields.value.string_value
IP 通訊協定 (proto)	proto	proto		network.ip_protocol
動作 (action)	act	action		security_result.action_details security_result.action
嚴重性 (嚴重性)	number-of-severity(header)			security_result.severity 和 security_result.severity_details
序號 (seqno)	externalId	sequence		metadata.product_log_id
動作旗標 (actionflags)	PanOSActionFlags	ActionFlags	actionflags	about.labels.key 和 about.labels.value additional.fields.key 和 additional.fields.value.string_value
來源位置 (srcloc)				principal.location.country_or_region
目的地位置 (dstloc)				target.location.country_or_region
裝置群組階層 (dg_hier_level_1)	PanOSDGl1	DeviceGroupHierarchyL1	dg_hier_level_1	about.labels.key 和 about.labels.value additional.fields.key 和 additional.fields.value.string_value
裝置群組階層 (dg_hier_level_2)	PanOSDGl2	DeviceGroupHierarchyL2	dg_hier_level_2	about.labels.key 和 about.labels.value additional.fields.key 和 additional.fields.value.string_value
裝置群組階層 (dg_hier_level_3)	PanOSDGl3	DeviceGroupHierarchyL3	dg_hier_level_3	about.labels.key 和 about.labels.value additional.fields.key 和 additional.fields.value.string_value
裝置群組階層 (dg_hier_level_4)	PanOSDGl4	DeviceGroupHierarchyL4	dg_hier_level_4	about.labels.key 和 about.labels.value additional.fields.key 和 additional.fields.value.string_value
虛擬系統名稱 (vsys_name)	PanOSVsysName	vSrcName		principal.resource.name principal.resource.resource_type=VIRTUAL_MACHINE
裝置名稱 (device_name)	dvchost	DeviceName		intermediary.hostname
通道 ID (tunnelid)	PanOSTunnelID	TunnelID	tunnelid	about.labels.key 和 about.labels.value additional.fields.key 和 additional.fields.value.string_value
監控標記 (monitortag)	PanOSMonitorTag	MonitorTag	monitortag	about.labels.key 和 about.labels.value additional.fields.key 和 additional.fields.value.string_value
父項工作階段 ID (parent_session_id)	PanOSParentSessionID	ParentSessionID	parent_session_id	network.parent_session_id
父項開始時間 (parent_start_time)	PanOSParentStartTime	ParentStartTime	parent_start_time	about.labels.key 和 about.labels.value additional.fields.key 和 additional.fields.value.string_value
通道類型 (通道)	cs2	TunnelType	通道	about.labels.key 和 about.labels.value additional.fields.key 和 additional.fields.value.string_value
位元組 (位元組)	flexNumber1	totalBytes	位元組	about.labels.key 和 about.labels.value additional.fields.key 和 additional.fields.value.string_value
傳送的位元組 (bytes_sent)	in	srcBytes		network.sent_bytes
收到的位元組 (bytes_received)	out	dstBytes		network.received_bytes
封包 (封包)	cn2	totalPackets	封包	about.labels.key 和 about.labels.value additional.fields.key 和 additional.fields.value.string_value
傳送的封包數 (pkts_sent)	PanOSPacketsSent	srcPackets	pkts_sent	about.labels.key 和 about.labels.value additional.fields.key 和 additional.fields.value.string_value
接收的封包數 (pkts_received)	PanOSPacketsReceived	dstPackets	pkts_received	about.labels.key 和 about.labels.value additional.fields.key 和 additional.fields.value.string_value
最大封裝 (max_encap)	flexNumber2	MaximumEncapsulation	max_encap	about.labels.key 和 about.labels.value additional.fields.key 和 additional.fields.value.string_value
不明通訊協定 (unknown_proto)	cfp1	UnknownProtocol	unknown_proto	about.labels.key 和 about.labels.value additional.fields.key 和 additional.fields.value.string_value
嚴格檢查 (strict_check)	cfp2	StrictChecking	strict_check	about.labels.key 和 about.labels.value additional.fields.key 和 additional.fields.value.string_value
隧道片段 (tunnel_fragment)	PanOSTunnelFragment	TunnelFragment	tunnel_fragment	about.labels.key 和 about.labels.value additional.fields.key 和 additional.fields.value.string_value
建立的工作階段 (sessions_created)	cfp3	SessionsCreated	sessions_created	about.labels.key 和 about.labels.value additional.fields.key 和 additional.fields.value.string_value
已關閉的工作階段 (sessions_closed)	cfp4	SessionsClosed	sessions_closed	about.labels.key 和 about.labels.value additional.fields.key 和 additional.fields.value.string_value
工作階段結束原因 (session_end_reason)	原因	SessionEndReason		security_result.summary
動作來源 (action_source)	cat	ActionSource	action_source	about.labels.key 和 about.labels.value additional.fields.key 和 additional.fields.value.string_value
開始時間 (開始)		startTime	start	about.labels.key 和 about.labels.value additional.fields.key 和 additional.fields.value.string_value
經過時間 (elapsed)	cn3	ElapsedTime	經過時間	network.session_duration.seconds
通道檢查規則 (tunnel_insp_rule)	PanOSTunneInspectionRule			security_result.rule_name = "Tunnel Inspection Rule: %{PanOSTunnelInspectionRule}"
遠端使用者 IP (remote_user_ip)	PanOSRmtUserIP			target.ip
遠端使用者 ID (remote_user_id)	PanOSRmtUserID		remote_user_id	target.labels.key 和 target.labels.value additional.fields.key 和 additional.fields.value.string_value
安全性規則 UUID (rule_uuid)	PanOSRuleUUID			security_result.rule_id
PCAP ID (pcap_id)	PanOSPcapID		pcap_id	about.labels.key 和 about.labels.value additional.fields.key 和 additional.fields.value.string_value
動態使用者群組名稱 (dynusergroup_name)	PanDynamicUsrgrp			principal.group.group_display_name
來源外部動態清單 (src_edl)	PanOSSourceEDL		src_edl	principal.labels.key 和 principal.labels.value additional.fields.key 和 additional.fields.value.string_value
目標外部動態清單 (dst_edl)	PanOSDestinationEDL		dst_edl	target.labels.key 和 target.labels.value additional.fields.key 和 additional.fields.value.string_value
高解析度時間戳記 (high_res timestamp)	PanOSTimeGeneratedHighResolution			metadata.collected_timestamp, metadata.event_timestamp (如果沒有「產生時間」)
配量差異化 (nssai_sd)			nssai_sd	about.labels.key 和 about.labels.value additional.fields.key 和 additional.fields.value.string_value
切片服務類型 (nssai_sd)			nssai_sd1	about.labels.key 和 about.labels.value additional.fields.key 和 additional.fields.value.string_value
PDU 工作階段 ID (pdu_session_id)			pdu_session_id	about.labels.key 和 about.labels.value additional.fields.key 和 additional.fields.value.string_value
應用程式子類別 (subcategory_of_app)			subcategory_of_app	about.labels.key 和 about.labels.value additional.fields.key 和 additional.fields.value.string_value
應用程式類別 (category_of_app)			category_of_app	about.labels.key 和 about.labels.value additional.fields.key 和 additional.fields.value.string_value
應用程式技術 (technology_of_app)			technology_of_app	about.labels.key 和 about.labels.value additional.fields.key 和 additional.fields.value.string_value
應用程式風險 (risk_of_app)			risk_of_app	about.labels.key 和 about.labels.value additional.fields.key 和 additional.fields.value.string_value
應用程式特徵 (characteristic_of_app)			characteristic_of_app	about.labels.key 和 about.labels.value additional.fields.key 和 additional.fields.value.string_value
應用程式容器 (container_of_app)			container_of_app	about.labels.key 和 about.labels.value additional.fields.key 和 additional.fields.value.string_value
應用程式 SaaS (is_saas_of_app)			is_saas_of_app	about.labels.key 和 about.labels.value additional.fields.key 和 additional.fields.value.string_value
應用程式受制裁狀態 (sanctioned_state_of_app)			sanctioned_state_of_app	about.labels.key 和 about.labels.value additional.fields.key 和 additional.fields.value.string_value

驗證

下表列出驗證記錄類型的記錄欄位，以及對應的 UDM 欄位。

CSV 欄位	CEF 欄位	LEEF 欄位	Google Security Operations 標籤鍵	UDM 欄位
接收時間 (receive_time 或 cef-formatted-receive_time)	rt	devTime		metadata.collected_timestamp, metadata.event_timestamp (如果沒有「產生時間」)
序號 (序號)	deviceExternalId	SerialNumber		intermediary.asset.hardware.serial_number
類型 (型別)	type (Header)	cat		metadata.product_event_type
威脅/內容類型 (子類型)	子類型 (標頭)	子類型		metadata.product_event_type
產生時間 (time_generated 或 cef-formatted-time_generated)				metadata.event_timestamp
虛擬系統 (vsys)	cs3	VirtualSystem	vsys	about.labels.key 和 about.labels.value additional.fields.key 和 additional.fields.value.string_value
來源 IP (ip)	src	src		principal.ip
使用者 (使用者)	duser	usrName		target.user.userid
Normalize User (normalize_user)	cs2	NormalizeUser		target.user.user_display_name
物件 (object)	fname	ObjectName	object	about.labels.key 和 about.labels.value additional.fields.key 和 additional.fields.value.string_value
驗證政策 (authpolicy)	cs4	AuthPolicy	authpolicy	about.labels.key 和 about.labels.value additional.fields.key 和 additional.fields.value.string_value
重複次數 (repeatcnt)	cnt	RepeatCount	repeatcnt	about.labels.key 和 about.labels.value additional.fields.key 和 additional.fields.value.string_value
驗證 ID (authid)	cn2	AuthenticationID	authid	about.labels.key 和 about.labels.value additional.fields.key 和 additional.fields.value.string_value
供應商 (供應商)	flexString2	供應商	供應商	about.labels.key 和 about.labels.value additional.fields.key 和 additional.fields.value.string_value
記錄動作 (記錄集)	cs6	LogForwardingProfile	logset	about.labels.key 和 about.labels.value additional.fields.key 和 additional.fields.value.string_value
伺服器設定檔 (serverprofile)	cs1	ServerProfile	serverprofile	about.labels.key 和 about.labels.value additional.fields.key 和 additional.fields.value.string_value
說明 (遞減)	PanOSDesc	AdditionalAuthInfo		security_result.description
用戶端類型 (clienttype)	cs5	ClientType	clienttype	about.labels.key 和 about.labels.value additional.fields.key 和 additional.fields.value.string_value
事件類型 (事件)	msg	msg		extensions.auth.auth_details
因素編號 (factorno)	cn1	FactorNumber	factorno	about.labels.key 和 about.labels.value additional.fields.key 和 additional.fields.value.string_value
序號 (seqno)	externalId	sequence		metadata.product_log_id
動作旗標 (actionflags)	PanOSActionFlags	ActionFlags	actionflags	about.labels.key 和 about.labels.value additional.fields.key 和 additional.fields.value.string_value
裝置群組階層 (dg_hier_level_1)	PanOSDGl1	DeviceGroupHierarchyL1	dg_hier_level_1	about.labels.key 和 about.labels.value additional.fields.key 和 additional.fields.value.string_value
裝置群組階層 (dg_hier_level_2)	PanOSDGl2	DeviceGroupHierarchyL2	dg_hier_level_2	about.labels.key 和 about.labels.value additional.fields.key 和 additional.fields.value.string_value
裝置群組階層 (dg_hier_level_3)	PanOSDGl3	DeviceGroupHierarchyL3	dg_hier_level_3	about.labels.key 和 about.labels.value additional.fields.key 和 additional.fields.value.string_value
裝置群組階層 (dg_hier_level_4)	PanOSDGl4	DeviceGroupHierarchyL4	dg_hier_level_4	about.labels.key 和 about.labels.value additional.fields.key 和 additional.fields.value.string_value
虛擬系統名稱 (vsys_name)	PanOSVsysName	vSrcName		principal.resource.name principal.resource.resource_type=VIRTUAL_MACHINE
裝置名稱 (device_name)	dvchost	DeviceName		intermediary.hostname
虛擬系統 ID (vsys_id)				principal.resource.resource_type=VIRTUAL_MACHINE and principal.resource.product_object_id
驗證通訊協定 (authproto)			authproto	about.labels.key 和 about.labels.value additional.fields.key 和 additional.fields.value.string_value
規則的 UUID (rule_uuid)	PanOSRuleUUID/RuleUUID			security_result.rule_id
高解析度時間戳記 (high_res _timestamp)	PanOSTimeGeneratedHighResolution			metadata.collected_timestamp, metadata.event_timestamp (如果沒有「產生時間」)
來源裝置類別 (src_category)	PanOSSourceDeviceCategory		src_category	principal.labels.key 和 principal.labels.value additional.fields.key 和 additional.fields.value.string_value
來源裝置設定檔 (src_profile)	PanOSSourceDeviceProfile		src_profile	principal.labels.key 和 principal.labels.value additional.fields.key 和 additional.fields.value.string_value
來源裝置型號 (src_model)	PanOSSourceDeviceModel		src_model	principal.labels.key 和 principal.labels.value additional.fields.key 和 additional.fields.value.string_value
來源裝置供應商 (src_vendor)	PanOSSourceDeviceVendor		src_vendor	principal.labels.key 和 principal.labels.value additional.fields.key 和 additional.fields.value.string_value
來源裝置 OS 系列 (src_osfamily)	PanOSSourceDeviceOSFamily			principal.asset.platform_software.platform principal.labels.key 和 principal.labels.value additional.fields.key 和 additional.fields.value.string_value
來源裝置 OS 版本 (src_osversion)	PanOSSourceDeviceOSVersion			principal.asset.software.version
來源主機名稱 (src_host)	PanOSSourceHostname			principal.hostname
來源 MAC 位址 (src_mac)	PanOSSourceMac			principal.asset.mac
區域 (區域)	PanOSTrafficOriginRegion			principal.location.country_or_region
使用者代理程式 (user_agent)	PanOSHTTPUserAgent			network.http.user_agent
工作階段 ID(sessionid)	PanOSTrafficSessionID			network.session_id
嚴重性 (嚴重性)	number-of-severity(header)			security_result.severity 和 security_result.severity_details

網址

下表列出網址記錄類型的記錄欄位，以及對應的 UDM 欄位。

CSV 欄位	CEF 欄位	LEEF 欄位	Google Security Operations 標籤鍵	UDM 欄位
接收時間 (cef-formatted-receive_time)	rt	devTime		metadata.collected_timestamp, metadata.event_timestamp (如果沒有「產生時間」)
序號 (序號)	deviceExternalId	SerialNumber		intermediary.asset.hardware.serial_number
類型 (型別)	type (Header)	cat		metadata.product_event_type
威脅/內容類型 (子類型)	子類型 (標頭)	子類型		metadata.product_event_type
生成時間				metadata.event_timestamp
來源地址 (src)	src	src		principal.ip
目的地地址 (dst)	dst	dst		target.ip
NAT 來源 IP (natsrc)	sourceTranslatedAddress	srcPostNAT		principal.nat_ip
網路位址轉譯 (NAT) 目的地 IP (natdst)	destinationTranslatedAddress	dstPostNAT		target.nat_ip
規則 (規則)	cs1	RuleName		security_result.rule_name
來源使用者 (srcuser)	suser	SourceUser		principal.user.userid
目的地使用者 (dstuser)	duser	DestinationUser		target.user.userid
應用程式	應用程式	應用程式		network.application_protocol
虛擬系統 (vsys)	cs3	VirtualSystem	vsys	about.labels.key 和 about.labels.value additional.fields.key 和 additional.fields.value.string_value
來源可用區 (從)	cs4	SourceZone	從	principal.labels.key 和 principal.labels.value additional.fields.key 和 additional.fields.value.string_value
目的地 (到)	cs5	DestinationZone	到	target.labels.key 和 target.labels.value additional.fields.key 和 additional.fields.value.string_value
傳入介面 (inbound_if)	deviceInboundInterface	IngressInterface	inbound_if	principal.labels.key 和 principal.labels.value additional.fields.key 和 additional.fields.value.string_value
傳出介面 (outbound_if)	deviceOutboundInterface	EgressInterface	outbound_if	target.labels.key 和 target.labels.value additional.fields.key 和 additional.fields.value.string_value
記錄動作 (記錄集)	cs6	LogForwardingProfile	logset	about.labels.key 和 about.labels.value additional.fields.key 和 additional.fields.value.string_value
記錄時間			time_logged	about.labels.key 和 about.labels.value additional.fields.key 和 additional.fields.value.string_value
工作階段 ID (sessionid)	cn1	SessionID		network.session_id
重複次數 (repeatcnt)	cnt	RepeatCount	repeatcnt	about.labels.key 和 about.labels.value additional.fields.key 和 additional.fields.value.string_value
來源通訊埠 (sport)	spt	srcPort		principal.port
目的地通訊埠 (dport)	dpt	dstPort		target.port
NAT 來源通訊埠 (natsport)	sourceTranslatedPort	srcPostNATPort		principal.nat_port
NAT 目的地通訊埠 (natdport)	destinationTranslatedPort	dstPostNATPort		target.nat_port
旗標 (flags)	flexString1	旗標	flags	about.labels.key 和 about.labels.value additional.fields.key 和 additional.fields.value.string_value
IP 通訊協定 (proto)	proto	proto		network.ip_protocol
動作 (action)	act	action		security_result.action_details security_result.action
網址/檔案名稱 (其他)		其他		target.file.full_path target.url
威脅/內容名稱 (threatid)	cat	ThreatID		security_result.threat_id
類別 (類別)	cs2	URLCategory	類別	about.labels.key 和 about.labels.value additional.fields.key 和 additional.fields.value.string_value
嚴重性 (嚴重性)	number-of-severity (標頭)	嚴重性		security_result.severity security_result.severity_details
方向 (方向)	flexString2	方向		network.direction
序號 (seqno)	externalId	sequence		metadata.product_log_id
動作旗標 (actionflags)	PanOSActionFlags	ActionFlags	actionflags	about.labels.key 和 about.labels.value additional.fields.key 和 additional.fields.value.string_value
來源國家/地區 (srcloc)		SourceLocation		principal.location.country_or_region
目的地國家/地區 (dstloc)		DestinationLocation		target.location.country_or_region
contenttype (contenttype)	requestContext	ContentType	contenttype	about.labels.key 和 about.labels.value additional.fields.key 和 additional.fields.value.string_value
pcap_id (pcap_id)	fileId	PCAP_ID	pcap_id	about.labels.key 和 about.labels.value additional.fields.key 和 additional.fields.value.string_value
filedigest (filedigest)		FileDigest		about.file.sha1/md5/sha256
cloud (cloud)		Cloud	雲端	about.labels.key 和 about.labels.value additional.fields.key 和 additional.fields.value.string_value
url_idx (url_idx)		URLIndex	url_idx	about.labels.key 和 about.labels.value additional.fields.key 和 additional.fields.value.string_value
user_agent (user_agent)	requestClientApplication	UserAgent		network.http.user_agent
檔案類型 (filetype)				about.file.mime_type
xff (xff)	PanOSXForwarderfor	identSrc	xff	about.labels.key 和 about.labels.value additional.fields.key 和 additional.fields.value.string_value
參照網址 (referer)	PanOSReferer	參照網址		network.http.referral_url
sender (sender)				network.email.from
主旨 (主旨)		主旨		network.email.subject
收件者 (收件者)				network.email.to
reportid (reportid)			reportid	about.labels.key 和 about.labels.value additional.fields.key 和 additional.fields.value.string_value
DG Hierarchy Level 1 (dg_hier_level_1)	PanOSDGl1	DeviceGroupHierarchyL1	dg_hier_level_1	about.labels.key 和 about.labels.value additional.fields.key 和 additional.fields.value.string_value
需求開發廣告活動階層第 2 層 (dg_hier_level_2)	PanOSDGl2	DeviceGroupHierarchyL2	dg_hier_level_2	about.labels.key 和 about.labels.value additional.fields.key 和 additional.fields.value.string_value
需求開發廣告活動階層第 3 層 (dg_hier_level_3)	PanOSDGl3	DeviceGroupHierarchyL3	dg_hier_level_3	about.labels.key 和 about.labels.value additional.fields.key 和 additional.fields.value.string_value
需求開發廣告活動階層第 4 層 (dg_hier_level_4)	PanOSDGl4	DeviceGroupHierarchyL4	dg_hier_level_4	about.labels.key 和 about.labels.value additional.fields.key 和 additional.fields.value.string_value
虛擬系統名稱 (vsys_name)	PanOSVsysName	vSrcName		principal.resource.name principal.resource.resource_type=VIRTUAL_MACHINE
裝置名稱 (device_name)	dvchost	DeviceName		intermediary.hostname
file_url (file_url)				about.url
來源 VM UUID (src_uuid)		SrcUUID		principal.asset.asset_id
目的地 VM UUID (dst_uuid)		DstUUID		target.asset.asset_id
http_method (http_method)	requestMethod	RequestMethod		network.http.method
通道 ID/IMSI (tunnelid)	PanOSTunnelID	TunnelID	tunnelid	about.labels.key 和 about.labels.value additional.fields.key 和 additional.fields.value.string_value
監控器標籤/IMEI (monitortag)	PanOSMonitorTag	MonitorTag	monitortag	about.labels.key 和 about.labels.value additional.fields.key 和 additional.fields.value.string_value
父項工作階段 ID (parent_session_id)	PanOSParentSessionID	ParentSessionID	parent_session_id	network.parent_session_id
父項工作階段開始時間 (parent_start_time)	PanOSParentStartTime	ParentStartTime	parent_start_time	about.labels.key 和 about.labels.value additional.fields.key 和 additional.fields.value.string_value
隧道 (tunnel)	PanOSTunnelType	TunnelType	通道	about.labels.key 和 about.labels.value additional.fields.key 和 additional.fields.value.string_value
thr_category (thr_category)	PanOSThreatCategory	ThreatCategory	thr_category	security_result.detection_fields.key/value
contentver (contentver)	PanOSContentVer	ContentVer	contentver	about.labels.key 和 about.labels.value additional.fields.key 和 additional.fields.value.string_value
sig_flags (sig_flags)			sig_flags	about.labels.key 和 about.labels.value additional.fields.key 和 additional.fields.value.string_value
SCTP 關聯 ID (assoc_id)	PanOSAssocID		assoc_id	about.labels.key 和 about.labels.value additional.fields.key 和 additional.fields.value.string_value
酬載通訊協定 ID (ppid)	PanOSPPID		ppid	about.labels.key 和 about.labels.value additional.fields.key 和 additional.fields.value.string_value
http_headers (http_headers)	PanOSHTTPHeader		http_headers	about.labels.key 和 about.labels.value additional.fields.key 和 additional.fields.value.string_value
網址類別清單 (url_category_list)	PanOSURLCatList		url_category_list	about.labels.key 和 about.labels.value additional.fields.key 和 additional.fields.value.string_value
規則的 UUID (rule_uuid)	PanOSRuleUUID		rule_uuid	about.labels.key 和 about.labels.value additional.fields.key 和 additional.fields.value.string_value
HTTP/2 連線 (http2_connection)	PanOSHTTP2Con<0x0x0A>		http2_connection	about.labels.key 和 about.labels.value additional.fields.key 和 additional.fields.value.string_value
dynusergroup_name (dynusergroup_name)	PanDynamicUsrgrp		dynusergroup_name	about.labels.key 和 about.labels.value additional.fields.key 和 additional.fields.value.string_value
XFF 位址 (xff_ip)	PanXFFIP			principal.ip
來源裝置類別 (src_category)	PanSrcDeviceCat		src_category	principal.labels.key 和 principal.labels.value additional.fields.key 和 additional.fields.value.string_value
來源裝置設定檔 (src_profile)	PanSrcDeviceProf		src_profile	principal.labels.key 和 principal.labels.value additional.fields.key 和 additional.fields.value.string_value
來源裝置型號 (src_model)	PanSrcDeviceModel		src_model	principal.labels.key 和 principal.labels.value additional.fields.key 和 additional.fields.value.string_value
來源裝置供應商 (src_vendor)	PanSrcDeviceVendor		src_vendor	principal.labels.key 和 principal.labels.value additional.fields.key 和 additional.fields.value.string_value
來源裝置 OS 系列 (src_osfamily)	PanSrcDeviceOS			principal.asset.platform_software.platform principal.labels.key 和 principal.labels.value additional.fields.key 和 additional.fields.value.string_value
來源裝置 OS 版本 (src_osversion)	PanSrcDeviceOSv			principal.asset.software.version
來源主機名稱 (src_host)	PanSrcHostname		src_host	principal.labels.key 和 principal.labels.value additional.fields.key 和 additional.fields.value.string_value
來源 MAC 位址 (src_mac)	PanSrcMac			principal.mac
目的地裝置類別 (dst_category)	PanDstDeviceCat		dst_category	target.labels.key 和 target.labels.value additional.fields.key 和 additional.fields.value.string_value
目的地裝置設定檔 (dst_profile)	PanDstDeviceProf		dst_profile	target.labels.key 和 target.labels.value additional.fields.key 和 additional.fields.value.string_value
目的地裝置型號 (dst_model)	PanDstDeviceModel		dst_model	target.labels.key 和 target.labels.value additional.fields.key 和 additional.fields.value.string_value
目的地裝置供應商 (dst_vendor)	PanDstDeviceVendor		dst_vendor	target.labels.key 和 target.labels.value additional.fields.key 和 additional.fields.value.string_value
目的地裝置 OS 系列 (dst_osfamily)	PanDstDeviceOS			target.asset.platform_software.platform target.labels.key 和 target.labels.value
目的地裝置 OS 版本 (dst_osversion)	PanDstDeviceOSv			target.asset.software.version
目的地主機名稱 (dst_host)	PanPODNamespace			target.hostname
目的地 MAC 位址 (dst_mac)	PanDstMac			target.mac
容器 ID (container_id)	PanContainerName		container_id	about.labels.key 和 about.labels.value additional.fields.key 和 additional.fields.value.string_value
POD 命名空間 (pod_namespace)	PanPODNamespace		pod_namespace	about.labels.key 和 about.labels.value additional.fields.key 和 additional.fields.value.string_value
POD 名稱 (pod_name)	PanPODName		pod_name	about.labels.key 和 about.labels.value additional.fields.key 和 additional.fields.value.string_value
來源外部動態清單 (src_edl)	PanSrcEDL		src_edl	principal.labels.key 和 principal.labels.value additional.fields.key 和 additional.fields.value.string_value
目標外部動態清單 (dst_edl)	PanDstEDL		dst_edl	target.labels.key 和 target.labels.value additional.fields.key 和 additional.fields.value.string_value
主機 ID (hostid)	PanGPHostID		hostid	about.labels.key 和 about.labels.value additional.fields.key 和 additional.fields.value.string_value
序號 (serialnumber)	PanEPSerial			principal.asset.hardware.serial_number
domain_edl (domain_edl)	PanDomainEDL		domain_edl	about.labels.key 和 about.labels.value additional.fields.key 和 additional.fields.value.string_value
來源動態位址群組 (src_dag)	PanSrcDAG			principal.group.group_display_name
目的地動態位址群組 (dst_dag)	PanDstDAG			target.group.group_display_name
partial_hash (partial_hash)	PanPartialHash		partial_hash	about.labels.key 和 about.labels.value additional.fields.key 和 additional.fields.value.string_value
高解析度時間戳記 (high_res_timestamp)	PanTimeHighRes			metadata.collected_timestamp, metadata.event_timestamp (如果沒有「產生時間」)
原因 (reason)	PanReasonFilteringAction		原因	about.labels.key 和 about.labels.value additional.fields.key 和 additional.fields.value.string_value
理由 (理由)	PanJustification		理由	about.labels.key 和 about.labels.value additional.fields.key 和 additional.fields.value.string_value
nssai_sst (nssai_sst)	PanASServiceType		nssai_sst	about.labels.key 和 about.labels.value additional.fields.key 和 additional.fields.value.string_value
應用程式子類別 (subcategory_of_app)			subcategory_of_app	about.labels.key 和 about.labels.value additional.fields.key 和 additional.fields.value.string_value
應用程式類別 (category_of_app)			category_of_app	about.labels.key 和 about.labels.value additional.fields.key 和 additional.fields.value.string_value
應用程式技術 (technology_of_app)			technology_of_app	about.labels.key 和 about.labels.value additional.fields.key 和 additional.fields.value.string_value
應用程式風險 (risk_of_app)			risk_of_app	about.labels.key 和 about.labels.value additional.fields.key 和 additional.fields.value.string_value
應用程式特徵 (characteristic_of_app)			characteristic_of_app	about.labels.key 和 about.labels.value additional.fields.key 和 additional.fields.value.string_value
應用程式容器 (container_of_app)			container_of_app	about.labels.key 和 about.labels.value additional.fields.key 和 additional.fields.value.string_value
通道化應用程式 (tunneled_app)			tunneled_app	about.labels.key 和 about.labels.value additional.fields.key 和 additional.fields.value.string_value
應用程式的軟體即服務 (is_saas_of_app)			is_saas_of_app	about.labels.key 和 about.labels.value additional.fields.key 和 additional.fields.value.string_value
應用程式的受制裁狀態 (sanctioned_state_of_app)			sanctioned_state_of_app	about.labels.key 和 about.labels.value additional.fields.key 和 additional.fields.value.string_value

資料

下表列出資料記錄類型的記錄欄位，以及對應的 UDM 欄位。

CSV 欄位	CEF 欄位	LEEF 欄位	Google Security Operations 標籤鍵	UDM 欄位
接收時間 (cef-formatted-receive_time)	rt	devTime		metadata.collected_timestamp, metadata.event_timestamp (如果沒有「產生時間」)
序號 (序號)	deviceExternalId	SerialNumber		intermediary.asset.hardware.serial_number
類型 (型別)	type (Header)	cat		metadata.product_event_type
威脅/內容類型 (子類型)	子類型 (標頭)	子類型		metadata.product_event_type
生成時間				metadata.event_timestamp
來源地址 (src)	src	src		principal.ip
目的地地址 (dst)	dst	dst		target.ip
NAT 來源 IP (natsrc)	sourceTranslatedAddress	srcPostNAT		principal.nat_ip
網路位址轉譯 (NAT) 目的地 IP (natdst)	destinationTranslatedAddress	dstPostNAT		target.nat_ip
規則 (規則)	cs1	RuleName		security_result.rule_name
來源使用者 (srcuser)	suser	SourceUser		principal.user.userid
目的地使用者 (dstuser)	duser	DestinationUser		target.user.userid
應用程式	應用程式	應用程式		network.application_protocol
虛擬系統 (vsys)	cs3	VirtualSystem	vsys	about.labels.key 和 about.labels.value additional.fields.key 和 additional.fields.value.string_value
來源可用區 (從)	cs4	SourceZone	從	principal.labels.key 和 principal.labels.value additional.fields.key 和 additional.fields.value.string_value
目的地 (到)	cs5	DestinationZone	到	target.labels.key 和 target.labels.value additional.fields.key 和 additional.fields.value.string_value
傳入介面 (inbound_if)	deviceInboundInterface	IngressInterface	inbound_if	principal.labels.key 和 principal.labels.value additional.fields.key 和 additional.fields.value.string_value
傳出介面 (outbound_if)	deviceOutboundInterface	EgressInterface	outbound_if	target.labels.key 和 target.labels.value additional.fields.key 和 additional.fields.value.string_value
記錄動作 (記錄集)	cs6	LogForwardingProfile	logset	about.labels.key 和 about.labels.value additional.fields.key 和 additional.fields.value.string_value
記錄時間			time_logged	about.labels.key 和 about.labels.value additional.fields.key 和 additional.fields.value.string_value
工作階段 ID (sessionid)	cn1	SessionID		network.session_id
重複次數 (repeatcnt)	cnt	RepeatCount	repeatcnt	about.labels.key 和 about.labels.value additional.fields.key 和 additional.fields.value.string_value
來源通訊埠 (sport)	spt	srcPort		principal.port
目的地通訊埠 (dport)	dpt	dstPort		target.port
NAT 來源通訊埠 (natsport)	sourceTranslatedPort	srcPostNATPort		principal.nat_port
NAT 目的地通訊埠 (natdport)	destinationTranslatedPort	dstPostNATPort		target.nat_port
旗標 (flags)	flexString1	旗標	flags	about.labels.key 和 about.labels.value additional.fields.key 和 additional.fields.value.string_value
IP 通訊協定 (proto)	proto	proto		network.ip_protocol
動作 (action)	act	action		security_result.action_details security_result.action
網址/檔案名稱 (其他)		其他		target.file.full_path target.url
威脅/內容名稱 (threatid)	cat	ThreatID		security_result.threat_id
類別 (類別)	cs2	URLCategory	類別	about.labels.key 和 about.labels.value additional.fields.key 和 additional.fields.value.string_value
嚴重性 (嚴重性)	number-of-severity (標頭)	嚴重性		security_result.severity security_result.severity_details
方向 (方向)	flexString2	方向		network.direction
序號 (seqno)	externalId	sequence		metadata.product_log_id
動作旗標 (actionflags)	PanOSActionFlags	ActionFlags	actionflags	about.labels.key 和 about.labels.value additional.fields.key 和 additional.fields.value.string_value
來源國家/地區 (srcloc)		SourceLocation		principal.location.country_or_region
目的地國家/地區 (dstloc)		DestinationLocation		target.location.country_or_region
contenttype (contenttype)		ContentType	contenttype	about.labels.key 和 about.labels.value additional.fields.key 和 additional.fields.value.string_value
pcap_id (pcap_id)	fileId	PCAP_ID	pcap_id	about.labels.key 和 about.labels.value additional.fields.key 和 additional.fields.value.string_value
filedigest (filedigest)		FileDigest		about.file.sha1/md5/sha256
cloud (cloud)		Cloud	雲端	about.labels.key 和 about.labels.value additional.fields.key 和 additional.fields.value.string_value
url_idx (url_idx)		URLIndex	url_idx	about.labels.key 和 about.labels.value additional.fields.key 和 additional.fields.value.string_value
user_agent (user_agent)				network.http.user_agent
檔案類型 (filetype)				about.file.mime_type
xff (xff)			xff	about.labels.key 和 about.labels.value additional.fields.key 和 additional.fields.value.string_value
參照網址 (referer)				network.http.referral_url
sender (sender)				network.email.from
主旨 (主旨)		主旨		network.email.subject
收件者 (收件者)				network.email.to
reportid (reportid)			reportid	about.labels.key 和 about.labels.value additional.fields.key 和 additional.fields.value.string_value
DG Hierarchy Level 1 (dg_hier_level_1)	PanOSDGl1	DeviceGroupHierarchyL1	dg_hier_level_1	about.labels.key 和 about.labels.value additional.fields.key 和 additional.fields.value.string_value
需求開發廣告活動階層第 2 層 (dg_hier_level_2)	PanOSDGl2	DeviceGroupHierarchyL2	dg_hier_level_2	about.labels.key 和 about.labels.value additional.fields.key 和 additional.fields.value.string_value
需求開發廣告活動階層第 3 層 (dg_hier_level_3)	PanOSDGl3	DeviceGroupHierarchyL3	dg_hier_level_3	about.labels.key 和 about.labels.value additional.fields.key 和 additional.fields.value.string_value
需求開發廣告活動階層第 4 層 (dg_hier_level_4)	PanOSDGl4	DeviceGroupHierarchyL4	dg_hier_level_4	about.labels.key 和 about.labels.value additional.fields.key 和 additional.fields.value.string_value
虛擬系統名稱 (vsys_name)	PanOSVsysName	vSrcName		principal.resource.name principal.resource.resource_type=VIRTUAL_MACHINE
裝置名稱 (device_name)	dvchost	DeviceName		intermediary.hostname
file_url (file_url)				about.url
來源 VM UUID (src_uuid)		SrcUUID		principal.asset.asset_id
目的地 VM UUID (dst_uuid)		DstUUID		target.asset.asset_id
http_method (http_method)		RequestMethod		network.http.method
通道 ID/IMSI (tunnelid)	PanOSTunnelID	TunnelID	tunnelid	about.labels.key 和 about.labels.value additional.fields.key 和 additional.fields.value.string_value
監控器標籤/IMEI (monitortag)	PanOSMonitorTag	MonitorTag	monitortag	about.labels.key 和 about.labels.value additional.fields.key 和 additional.fields.value.string_value
父項工作階段 ID (parent_session_id)	PanOSParentSessionID	ParentSessionID	parent_session_id	network.parent_session_id
父項工作階段開始時間 (parent_start_time)	PanOSParentStartTime	ParentStartTime	parent_start_time	about.labels.key 和 about.labels.value additional.fields.key 和 additional.fields.value.string_value
隧道 (tunnel)	PanOSTunnelType	TunnelType	通道	about.labels.key 和 about.labels.value additional.fields.key 和 additional.fields.value.string_value
thr_category (thr_category)	PanOSThreatCategory	ThreatCategory	thr_category	security_result.detection_fields.key/value
contentver (contentver)	PanOSContentVer	ContentVer	contentver	about.labels.key 和 about.labels.value additional.fields.key 和 additional.fields.value.string_value
sig_flags (sig_flags)			sig_flags	about.labels.key 和 about.labels.value additional.fields.key 和 additional.fields.value.string_value
SCTP 關聯 ID (assoc_id)	PanOSAssocID		assoc_id	about.labels.key 和 about.labels.value additional.fields.key 和 additional.fields.value.string_value
酬載通訊協定 ID (ppid)	PanOSPPID		ppid	about.labels.key 和 about.labels.value additional.fields.key 和 additional.fields.value.string_value
http_headers (http_headers)	PanOSHTTPHeader		http_headers	about.labels.key 和 about.labels.value additional.fields.key 和 additional.fields.value.string_value
網址類別清單 (url_category_list)			url_category_list	about.labels.key 和 about.labels.value additional.fields.key 和 additional.fields.value.string_value
規則的 UUID (rule_uuid)	PanOSRuleUUID		rule_uuid	about.labels.key 和 about.labels.value additional.fields.key 和 additional.fields.value.string_value
HTTP/2 連線 (http2_connection)			http2_connection	about.labels.key 和 about.labels.value additional.fields.key 和 additional.fields.value.string_value
dynusergroup_name (dynusergroup_name)			dynusergroup_name	principal.labels.key 和 principal.labels.value additional.fields.key 和 additional.fields.value.string_value
XFF 位址 (xff_ip)				principal.ip
來源裝置類別 (src_category)			src_category	principal.labels.key 和 principal.labels.value additional.fields.key 和 additional.fields.value.string_value
來源裝置設定檔 (src_profile)			src_profile	principal.labels.key 和 principal.labels.value additional.fields.key 和 additional.fields.value.string_value
來源裝置型號 (src_model)			src_model	principal.labels.key 和 principal.labels.value additional.fields.key 和 additional.fields.value.string_value
來源裝置供應商 (src_vendor)			src_vendor	principal.labels.key 和 principal.labels.value additional.fields.key 和 additional.fields.value.string_value
來源裝置 OS 系列 (src_osfamily)				principal.asset.platform_software.platform principal.labels.key 和 principal.labels.value additional.fields.key 和 additional.fields.value.string_value
來源裝置 OS 版本 (src_osversion)				principal.asset.software.version
來源主機名稱 (src_host)			src_host	principal.labels.key 和 principal.labels.value additional.fields.key 和 additional.fields.value.string_value
來源 MAC 位址 (src_mac)				principal.mac
目的地裝置類別 (dst_category)			dst_category	target.labels.key 和 target.labels.value additional.fields.key 和 additional.fields.value.string_value
目的地裝置設定檔 (dst_profile)			dst_profile	target.labels.key 和 target.labels.value additional.fields.key 和 additional.fields.value.string_value
目的地裝置型號 (dst_model)			dst_model	target.labels.key 和 target.labels.value additional.fields.key 和 additional.fields.value.string_value
目的地裝置供應商 (dst_vendor)			dst_vendor	target.labels.key 和 target.labels.value additional.fields.key 和 additional.fields.value.string_value
目的地裝置 OS 系列 (dst_osfamily)				target.asset.platform_software.platform target.labels.key 和 target.labels.value
目的地裝置 OS 版本 (dst_osversion)				target.asset.software.version
目的地主機名稱 (dst_host)				target.hostname
目的地 MAC 位址 (dst_mac)				target.mac
容器 ID (container_id)			container_id	about.labels.key 和 about.labels.value additional.fields.key 和 additional.fields.value.string_value
POD 命名空間 (pod_namespace)			pod_namespace	about.labels.key 和 about.labels.value additional.fields.key 和 additional.fields.value.string_value
POD 名稱 (pod_name)			pod_name	about.labels.key 和 about.labels.value additional.fields.key 和 additional.fields.value.string_value
來源外部動態清單 (src_edl)			src_edl	principal.labels.key 和 principal.labels.value additional.fields.key 和 additional.fields.value.string_value
目標外部動態清單 (dst_edl)			dst_edl	target.labels.key 和 target.labels.value additional.fields.key 和 additional.fields.value.string_value
主機 ID (hostid)			hostid	about.labels.key 和 about.labels.value additional.fields.key 和 additional.fields.value.string_value
序號 (serialnumber)				principal.asset.hardware.serial_number
domain_edl (domain_edl)			domain_edl	about.labels.key 和 about.labels.value additional.fields.key 和 additional.fields.value.string_value
來源動態位址群組 (src_dag)				principal.group.group_display_name
目的地動態位址群組 (dst_dag)				target.group.group_display_name
partial_hash (partial_hash)			partial_hash	about.labels.key 和 about.labels.value additional.fields.key 和 additional.fields.value.string_value
高解析度時間戳記 (high_res_timestamp)				metadata.collected_timestamp, metadata.event_timestamp (如果沒有「產生時間」)
原因 (reason)			原因	about.labels.key 和 about.labels.value additional.fields.key 和 additional.fields.value.string_value
理由 (理由)			理由	about.labels.key 和 about.labels.value additional.fields.key 和 additional.fields.value.string_value
nssai_sst (nssai_sst)			nssai_sst	about.labels.key 和 about.labels.value additional.fields.key 和 additional.fields.value.string_value
應用程式子類別 (subcategory_of_app)			subcategory_of_app	about.labels.key 和 about.labels.value additional.fields.key 和 additional.fields.value.string_value
應用程式類別 (category_of_app)			category_of_app	about.labels.key 和 about.labels.value additional.fields.key 和 additional.fields.value.string_value
應用程式技術 (technology_of_app)			technology_of_app	about.labels.key 和 about.labels.value additional.fields.key 和 additional.fields.value.string_value
應用程式風險 (risk_of_app)			risk_of_app	about.labels.key 和 about.labels.value additional.fields.key 和 additional.fields.value.string_value
應用程式特徵 (characteristic_of_app)			characteristic_of_app	about.labels.key 和 about.labels.value additional.fields.key 和 additional.fields.value.string_value
應用程式容器 (container_of_app)			container_of_app	about.labels.key 和 about.labels.value additional.fields.key 和 additional.fields.value.string_value
通道化應用程式 (tunneled_app)			tunneled_app	about.labels.key 和 about.labels.value additional.fields.key 和 additional.fields.value.string_value
應用程式的軟體即服務 (is_saas_of_app)			is_saas_of_app	about.labels.key 和 about.labels.value additional.fields.key 和 additional.fields.value.string_value
應用程式的受制裁狀態 (sanctioned_state_of_app)			sanctioned_state_of_app	about.labels.key 和 about.labels.value additional.fields.key 和 additional.fields.value.string_value

GlobalProtect

下表列出 GlobalProtect 記錄類型的記錄欄位，以及對應的 UDM 欄位。

CSV 欄位	CEF 欄位	LEEF 欄位	Google Security Operations 標籤鍵	UDM 欄位
接收時間 (receive_time)	rt		received_time	metadata.event_timestamp
序號 (序號)	PanOSDeviceSN		intermediary_asset_hardware_serial_number	intermediary.asset.hardware.serial_number
類型 (型別)	type (Header)			metadata.product_event_type
威脅/內容類型 (子類型)	子類型 (標頭)	子類型		metadata.product_event_type
產生時間 (time_generated)	PanOSLogTimeStamp		generated_timestamp	metadata.event_timestamp
虛擬系統 (vsys)	PanOSVirtualSystem		vsys	about.labels.key 和 about.labels.value additional.fields.key 和 additional.fields.value.string_value
事件 ID (eventid)	PanOSEventID		event_id	about.labels.key 和 about.labels.value additional.fields.key 和 additional.fields.value.string_value
階段 (stage)	PanOSStage		階段	about.labels.key 和 about.labels.value additional.fields.key 和 additional.fields.value.string_value
驗證方式 (auth_method)	PanOSAuthMethod		extension_auth_auth_details	extensions.auth.auth_details
通道類型 (tunnel_type)	PanOSTunnelType		通道	about.labels.key 和 about.labels.value additional.fields.key 和 additional.fields.value.string_value
來源使用者 (srcuser)	PanOSSourceUserName		src_user	principal.user.email_address principal.user.userid principal.administrative_domain
來源區域 (srcregion)	PanOSSourceRegion		src_region	principal.location.country_or_region
機器名稱 (machinename)	PanOSEndpointDeviceName		machine_name	principal.hostname
公開 IP (public_ip)	PanOSPublicIPv4			principal.nat_ip
公開 IPv6 (public_ipv6)	PanOSPublicIPv6			principal.nat_ip
私人 IP (private_ip)	PanOSPrivateIPv4			principal.ip
私人 IPv6 (private_ipv6)	PanOSPrivateIPv6			principal.ip
主機 ID (hostid)	PanOSHostID		hostid	principal.asset.asset_id
序號 (serialnumber)	PanOSDeviceSN			principal.asset.hardware.serial_number
用戶端版本 (client_ver)	PanOSGlobalProtectClientVersion		client_ver	about.labels.key 和 about.labels.value additional.fields.key 和 additional.fields.value.string_value
用戶端作業系統 (client_os)	PanOSEndpointOSType			principal.asset.platform_software.platform(enum)
用戶端作業系統版本 (client_os_ver)	PanOSEndpointOSVersion			principal.asset.platform_software.platform_version
重複次數 (repeatcnt)	PanOSCountOfRepeats		repeatcnt	about.labels.key 和 about.labels.value additional.fields.key 和 additional.fields.value.string_value
原因 (reason)	PanOSQuarantineReason			security_result.summary
錯誤 (錯誤)	PanOSConnectionError		錯誤	security_result.description
說明 (不透明)	PanOSDescription			security_result.description
狀態 (狀態)	PanOSEventStatus		狀態	about.labels.key 和 about.labels.value additional.fields.key 和 additional.fields.value.string_value
位置 (位置)	PanOSGPGatewayLocation			target.location.country_or_region
登入時間長度 (login_duration)	PanOSLoginDuration			network.session_duration
連線方法 (connect_method)	PanOSConnectionMethod		connect_method	about.labels.key 和 about.labels.value additional.fields.key 和 additional.fields.value.string_value
錯誤代碼 (error_code)	PanOSConnectionErrorID		error_code	about.labels.key 和 about.labels.value additional.fields.key 和 additional.fields.value.string_value
入口網站 (入口網站)	PanOSPortal		入口網站	about.labels.key 和 about.labels.value additional.fields.key 和 additional.fields.value.string_value
序號 (seqno)	PanOSSequenceNo			metadata.product_log_id
動作旗標 (actionflags)	PanOSActionFlags		actionflags	about.labels.key 和 about.labels.value additional.fields.key 和 additional.fields.value.string_value
高解析度時間戳記 (high_res_timestamp)	anOSTimeGeneratedHighResolution			metadata.collected_timestamp, metadata.event_timestamp (如果沒有「產生時間」)
閘道選取方法 (selection_type)	PanOSGatewaySelectionType		selection_type	about.labels.key 和 about.labels.value additional.fields.key 和 additional.fields.value.string_value
安全資料傳輸層 (SSL) 回應時間 (response_time)	PanOSSSLResponseTime		response_time	about.labels.key 和 about.labels.value additional.fields.key 和 additional.fields.value.string_value
閘道優先順序 (優先順序)	PanOSGatewayPriority		優先順序	about.labels.key 和 about.labels.value additional.fields.key 和 additional.fields.value.string_value
嘗試使用的閘道 (attempted_gateways)	PanOSAttemptedGateways		attempted_gateways	about.labels.key 和 about.labels.value additional.fields.key 和 additional.fields.value.string_value
閘道名稱 (閘道)	PanOSAttemptedGateways		閘道	about.labels.key 和 about.labels.value additional.fields.key 和 additional.fields.value.string_value
裝置群組階層 (dg_hier_level_1)			dg_hier_level_1	about.labels.key 和 about.labels.value additional.fields.key 和 additional.fields.value.string_value
裝置群組階層 (dg_hier_level_2)			dg_hier_level_2	about.labels.key 和 about.labels.value additional.fields.key 和 additional.fields.value.string_value
裝置群組階層 (dg_hier_level_3)			dg_hier_level_3	about.labels.key 和 about.labels.value additional.fields.key 和 additional.fields.value.string_value
裝置群組階層 (dg_hier_level_4)			dg_hier_level_4	about.labels.key 和 about.labels.value additional.fields.key 和 additional.fields.value.string_value
虛擬系統名稱 (vsys_name)				principal.resource.name principal.resource.resource_type=VIRTUAL_MACHINE
裝置名稱 (device_name)				target.hostname
虛擬系統 ID (vsys_id)				principal.resource.resource_type=VIRTUAL_MACHINE and principal.resource.product_object_id
嚴重性 (嚴重性)	number-of-severity(header)			security_result.severity 和 security_result.severity_details

關聯性

下表列出關聯記錄類型的記錄欄位，以及對應的 UDM 欄位。

CSV 欄位	LEEF 欄位	Google Security Operations 標籤鍵	UDM 欄位
產生時間 (time_generated 或 cef-formatted-time_generated)	startTime	generated_timestamp	metadata.event_timestamp
來源地址 (src)	src		principal.ip
來源使用者 (srcuser)	SourceUser / usrName		principal.user.userid
虛擬系統 (vsys)	VirtualSystem	vsys	about.labels.key 和 about.labels.value additional.fields.key 和 additional.fields.value.string_value
類別 (類別)			security_result.category_details
嚴重性 (嚴重性)	嚴重性		security_result.severity 和 security_result.severity_details
裝置群組階層層級 1	DeviceGroupHierarchyL1		about.labels.key 和 about.labels.value additional.fields.key 和 additional.fields.value.string_value
裝置群組階層層級 2	DeviceGroupHierarchyL2		about.labels.key 和 about.labels.value additional.fields.key 和 additional.fields.value.string_value
裝置群組階層層級 3	DeviceGroupHierarchyL3		about.labels.key 和 about.labels.value additional.fields.key 和 additional.fields.value.string_value
裝置群組階層層級 4	DeviceGroupHierarchyL4		about.labels.key 和 about.labels.value additional.fields.key 和 additional.fields.value.string_value
虛擬系統名稱 (vsys_name)	vSrcName		principal.resource.name principal.resource.resource_type=VIRTUAL_MACHINE
裝置名稱 (device_name)	DeviceName		intermediary.hostname
虛擬系統 ID (vsys_id)	VirtualSystemID		principal.resource.resource_type=VIRTUAL_MACHINE and principal.resource.product_object_id
物件名稱 (objectname)	ObjectName		target.resource.name
物件 ID (object_id)	ObjectID		target.resource.product_object_id

GTP

下表列出 gtp 記錄類型的記錄欄位，以及對應的 UDM 欄位。

CSV 欄位	Google Security Operations 標籤鍵	UDM 欄位
接收時間 (receive_time 或 cef-formatted-receive_time)		metadata.collected_timestamp, metadata.event_timestamp (如果沒有「產生時間」)
序號 (serial)		intermediary.asset.hardware.serial_number
類型 (型別)		metadata.product_event_type
威脅/內容類型 (子類型)		metadata.product_event_type
產生時間 (time_generated 或 cef-formatted-time_generated)		metadata.event_timestamp
來源地址 (src)		principal.ip
目的地地址 (dst)		target.ip
規則名稱 (規則)		security_result.rule_name
應用程式		network.application_protocol
虛擬系統 (vsys)	vsys	about.labels.key 和 about.labels.value additional.fields.key 和 additional.fields.value.string_value
來源可用區 (從)	從	principal.labels.key 和 principal.labels.value additional.fields.key 和 additional.fields.value.string_value
目的地 (到)	到	target.labels.key 和 target.labels.value additional.fields.key 和 additional.fields.value.string_value
傳入介面 (inbound_if)	inbound_if	principal.labels.key 和 principal.labels.value additional.fields.key 和 additional.fields.value.string_value
傳出介面 (outbound_if)	outbound_if	target.labels.key 和 target.labels.value additional.fields.key 和 additional.fields.value.string_value
記錄動作 (記錄集)	logset	about.labels.key 和 about.labels.value additional.fields.key 和 additional.fields.value.string_value
工作階段 ID (sessionid)		network.session_id
來源通訊埠 (sport)		principal.port
目的地通訊埠 (dport)		target.port
IP 通訊協定 (proto)		network.ip_protocol
動作 (動作)		security_result.action_details security_result.action
GTP 事件類型 (event_type)	gtp_event_type	additional.fields.key 和 additional.fields.value.string_value
MSISDN (msisdn)	msisdn	additional.fields.key 和 additional.fields.value.string_value
存取點名稱 (apn)	apn	additional.fields.key 和 additional.fields.value.string_value
無線電存取技術 (RAT)	rat	additional.fields.key 和 additional.fields.value.string_value
GTP 訊息類型 (msg_type)	gtp_msg_type	additional.fields.key 和 additional.fields.value.string_value
結束 IP 位址 (end_ip_adr)		principal.ip
通道端點 ID 1 (teid1)	teid1	additional.fields.key 和 additional.fields.value.string_value
通道端點 ID 2 (teid2)	teid2	additional.fields.key 和 additional.fields.value.string_value
GTP 介面 (gtp_interface)	gtp_interface	additional.fields.key 和 additional.fields.value.string_value
GTP Cause (cause_code)	gtp_cause_code	additional.fields.key 和 additional.fields.value.string_value
嚴重性 (嚴重性)		security_result.severity 和 security_result.severity_details
放送聯播網 MCC (mcc)	mcc	additional.fields.key 和 additional.fields.value.string_value
供應網路 MNC (mnc)	mnc	additional.fields.key 和 additional.fields.value.string_value
區碼 (area_code)	area_code	additional.fields.key 和 additional.fields.value.string_value
儲存格 ID (cell_id)	cell_id	additional.fields.key 和 additional.fields.value.string_value
GTP 事件代碼 (event_code)	event_code	additional.fields.key 和 additional.fields.value.string_value
來源位置 (srcloc)		principal.location.country_or_region
目的地位置 (dstloc)		target.location.country_or_region
通道 ID/IMSI (imsi)	tunnelid	about.labels.key 和 about.labels.value additional.fields.key 和 additional.fields.value.string_value
螢幕標記/IMEI (imei)	monitortag	about.labels.key 和 about.labels.value additional.fields.key 和 additional.fields.value.string_value
開始時間 (開始)	start	about.labels.key 和 about.labels.value additional.fields.key 和 additional.fields.value.string_value
經過時間 (elapsed)		network.session_duration.seconds
隧道檢查規則 (tunnel_insp_rule)	tunnel_insp_rule	security_result.detection_fields.key/value
遠端使用者 IP (remote_user_ip)		target.ip
遠端使用者 ID (remote_user_id)	remote_user_id	target.labels.key 和 target.labels.value additional.fields.key 和 additional.fields.value.string_value
規則的 UUID (rule_uuid)		security_result.rule_id
PCAP ID (pcap_id)	pcap_id	about.labels.key 和 about.labels.value additional.fields.key 和 additional.fields.value.string_value
高解析度時間戳記 (high_res_timestamp)		metadata.collected_timestamp, metadata.event_timestamp (如果沒有「產生時間」)
切片服務類型 (nsdsai_sst)	nsdsai_sst	about.labels.key 和 about.labels.value additional.fields.key 和 additional.fields.value.string_value
Slice 差異化指標 (nsdsai_sd)	nsdsai_sd	about.labels.key 和 about.labels.value additional.fields.key 和 additional.fields.value.string_value
應用程式子類別 (subcategory_of_app)	subcategory_of_app	about.labels.key 和 about.labels.value additional.fields.key 和 additional.fields.value.string_value
應用程式類別 (category_of_app)	category_of_app	about.labels.key 和 about.labels.value additional.fields.key 和 additional.fields.value.string_value
應用程式技術 (technology_of_app)	technology_of_app	about.labels.key 和 about.labels.value additional.fields.key 和 additional.fields.value.string_value
應用程式風險 (risk_of_app)	risk_of_app	about.labels.key 和 about.labels.value additional.fields.key 和 additional.fields.value.string_value
應用程式特徵 (characteristic_of_app)	characteristic_of_app	about.labels.key 和 about.labels.value additional.fields.key 和 additional.fields.value.string_value
應用程式容器 (container_of_app)	container_of_app	about.labels.key 和 about.labels.value additional.fields.key 和 additional.fields.value.string_value
應用程式 SaaS (is_saas_of_app)	is_saas_of_app	about.labels.key 和 about.labels.value additional.fields.key 和 additional.fields.value.string_value
應用程式受制裁狀態 (sanctioned_state_of_app)	sanctioned_state_of_app	about.labels.key 和 about.labels.value additional.fields.key 和 additional.fields.value.string_value

欄位對應參考資料：記錄類型至 UDM 事件類型

下表列出 Palo Alto Networks 防火牆記錄類型，以及對應的 UDM 事件類型。

記錄類型	UDM 事件類型
流量	NETWORK_CONNECTION
威脅	NETWORK_CONNECTION
網址篩選	NETWORK_CONNECTION
WildFire	NETWORK_CONNECTION WildFire 提交記錄是威脅記錄類型的子類型，並使用相同的系統記錄格式。
資料篩選	NETWORK_CONNECTION
通道	NETWORK_CONNECTION
GTP	NETWORK_CONNECTION
設定	SETTING_MODIFICATION/SETTING_CREATION/SETTING_DELETION/SETTING_UNCATEGORIZED 「Command (cmd)」欄位的值會決定 UDM 事件類型對應。如果 cmd 欄位值為 add 或 clone，系統會設定 SETTING_CREATION。如果 cmd 欄位值為 delete，系統會設定 SETTING_DELETION。如果 cmd 欄位值為 edit、move、rename、set 或 commit，系統會設定 SETTING_MODIFICATION。如果 cmd 欄位值不含任何值，系統會設定 SETTING_UNCATEGORIZED。
系統	如果子類型值為「dhcp」，則會設定 NETWORK_DHCP。如果子類型值為「auth」，系統就會設定 USER_LOGIN。如果說明值為「logged in」，系統就會設定 USER_LOGIN。如果說明值為「logged out」，系統會設定 USER_LOGOUT。如果子類型為其他值，系統會設定 GENERIC_EVENT。
HIP Match	NETWORK_CONNECTION
IP 代碼	GENERIC_EVENT
User-ID	USER_LOGIN/USER_LOGOUT/USER_UNCATEGORIZED 如果子類型值為「login」，系統會設定 USER_LOGIN。如果子類型值為「logout」，系統會設定 USER_LOGOUT。如果子類型不含任何值，系統會設定 USER_UNCATEGORIZED。
解密	NETWORK_CONNECTION
驗證	GENERIC_EVENT

後續步驟

將資料擷取至 Google Security Operations

還有其他問題嗎？向社群成員和 Google SecOps 專業人員尋求答案。

記錄格式	PAN-OS 版本
CSV	10.1.3
CEF	10.0.0
LEEF	9.1.0