EN ESTA PÁGINA
Creación de un destino Syslog en su dispositivo de la serie PA de Palo Alto
Reenvío de eventos LEEF de Palo Alto Cortex Data Lake (firewall de última generación) a JSA
Creación de una política de reenvío en su dispositivo de la serie PA de Palo Alto
Parámetros de origen de registro syslog TLS para la serie PA de Palo Alto
Serie PA de Palo Alto Networks
Utilice JSA DSM para la serie PALO Alto PA para recopilar eventos de la serie PALO Alto PA, los registros de firewall de última generación y los registros de Prisma Access mediante el uso de Cortex Data Lake.
Para enviar eventos de la serie PA de Palo Alto a JSA, siga estos pasos:
-
Si las actualizaciones automáticas no están habilitadas, descargue la versión más reciente de las siguientes RPMs desde las descargas de Juniper.
- DSMCommon RPM
- RPM del protocolo Syslog TLS
- RPM de LA serie PA de Palo Alto
-
Configure su dispositivo de la serie PA de Palo Alto para enviar eventos a JSA.
-
Si JSA no detecta automáticamente la serie PA de Palo Alto como origen de registro, agregue un origen de registro de la serie PA de Palo Alto en la consola JSA.
Especificaciones de Palo Alto PA DSM
En la siguiente tabla se identifican las especificaciones para la serie PA de Palo Alto DSM:
Especificación |
Valor |
|---|---|
Fabricante |
Palo Alto Networks |
Nombre de DSM |
Serie PA de Palo Alto |
Nombre del archivo RPM |
DSM-PaloAltoPaSeries-JSA_version-build_number.noarch.rpm |
Formato de evento |
LEEF para PAN-OS v3.0 a v9.1 y Prisma Access v2.1 CEF para PAN-OS v4.0 a v6.1. (MCER:0 es compatible) |
Tipos de registro registrados jsa |
Tráfico Amenaza Config Sistema Partido hip Datos Wildfire Autenticación Inspección de túneles Correlación Filtrado de URL ID de usuario SCTP Datos de archivo Gtp Partido hip Etiqueta IP Protección global -
Nota:
Para usar este tipo de registro, debe habilitar el campo EventStatus en Palo Alto. Descifrado |
¿Se descubrió automáticamente? |
Sí |
¿Incluye identidad? |
Sí |
¿Incluye propiedades personalizadas? |
No |
Más información |
Creación de un destino Syslog en su dispositivo de la serie PA de Palo Alto
Para enviar eventos de la serie PA de Palo Alto a JSA, cree un destino Syslog (formato de evento Syslog o LEEF) en su dispositivo de la serie PA de Palo Alto.
Palo Alto solo puede enviar un formato a todos los dispositivos Syslog. Al modificar el formato syslog, cualquier otro dispositivo que requiera Syslog debe admitir ese mismo formato.
Inicie sesión en la interfaz de Palo Alto Networks.
En la pestaña Dispositivo , haga clic en Perfiles de servidor > Syslog y, a continuación, haga clic en Agregar.
Cree un destino Syslog siguiendo estos pasos:
En el cuadro de diálogo Perfil del servidor Syslog, haga clic en Agregar.
Especifique el nombre, la dirección IP del servidor, el puerto y la instalación del sistema JSA que desea usar como servidor syslog.
Si usa Syslog, establezca la columna Formato personalizado en Predeterminado para todos los tipos de registro.
Configure los eventos de LEEF siguiendo estos pasos:
Nota:Debido a problemas de formato, copie el texto en un editor de texto, elimine cualquier retorno de carro o caracteres de fuente de línea y, luego, péguelo en el campo adecuado.
-
Haga clic en la pestaña Formato de registro de configuración en el cuadro de diálogo Perfil del servidor Syslog .
Haga clic en Configuración, copie el siguiente texto y péguelo en la columna Formato de registro de configuración para el tipo de registro De configuración.
-
PAN-OS v3.0 - v6.1--
LEEF:2.0|Palo Alto Networks|PAN-OS Syslog Integration|4.0|$result|x7C|cat=$type| usrName=$admin|src=$host|devTime=$cefformatted- receive_time|client=$client| sequence=$seqno|serial=$serial|msg=$cmd
-
PAN-OS v7.1 - v9.1--
LEEF:2.0|Palo Alto Networks|PAN-OS Syslog Integration|$sender_sw_version| $result|x7C|ReceiveTime=$receive_time| SerialNumber=$serial|cat=$type| devTime=$cef-formatted-receive_time| src=$host|VirtualSystem=$vsys| msg=$cmd|usrName=$admin|client=$client| Result=$result|ConfigurationPath=$path| sequence=$seqno|ActionFlags=$actionflags| BeforeChangeDetail=$before-change-detail| AfterChangeDetail=$after-change-detail| DeviceGroupHierarchyL1=$dg_hier_level_1| DeviceGroupHierarchyL2=$dg_hier_level_2| DeviceGroupHierarchyL3=$dg_hier_level_3| DeviceGroupHierarchyL4=$dg_hier_level_4| vSrcName=$vsys_name| DeviceName=$device_name
-
Haga clic en Sistema, copie uno de los siguientes textos aplicables a la versión que está utilizando y péguelo en el campo Formato de registro del sistema para el tipo de registro del sistema. Si su versión no aparece en la lista, omita este paso.
-
PAN-OS v3.0 - v6.1--
LEEF:2.0|Palo Alto Networks|PANOS Syslog Integration|4.0|$eventid|x7C| cat=$type|Subtype=$subtype|devTime=$cefformatted- receive_time|sev=$severity| Severity=$number-of-severity|msg=$opaque| Filename=$object
-
PAN-OS v7.1 - v9.1--
LEEF:2.0|Palo Alto Networks|PAN-OS Syslog Integration|$sender_sw_version| $eventid|x7C|ReceiveTime=$receive_time| SerialNumber=$serial|cat=$type| Subtype=$subtype|devTime=$cef-formattedreceive_ time|VirtualSystem=$vsys| Filename=$object|Module=$module| sev=$number-of-severity| Severity=$severity|msg=$opaque| sequence=$seqno|ActionFlags=$actionflags| DeviceGroupHierarchyL1=$dg_hier_level_1| DeviceGroupHierarchyL2=$dg_hier_level_2| DeviceGroupHierarchyL3=$dg_hier_level_3| DeviceGroupHierarchyL4=$dg_hier_level_4| vSrcName=$vsys_name| DeviceName=$device_name
-
Haga clic en Amenaza, copie uno de los siguientes textos aplicables a la versión que está utilizando, péguelo en el formato de registro de amenazas archivado para el tipo de registro de amenazas. Si su versión no aparece en la lista, omita este paso.
-
PAN-OS v3.0 - v6.1--
LEEF:2.0|Palo Alto Networks| PAN-OS Syslog Integration|4.0| $threatid|x7C|cat=$type|Subtype=$subtype| src=$src|dst=$dst|srcPort=$sport| dstPort=$dport|proto=$proto| usrName=$srcuser|SerialNumber=$serial| srcPostNAT=$natsrc|dstPostNAT=$natdst| RuleName=$rule|SourceUser=$srcuser| DestinationUser=$dstuser| Application=$app|VirtualSystem=$vsys| SourceZone=$fromDestinationZone=$to| IngressInterface=$inbound_if| EgressInterface=$outbound_if| LogForwardingProfile=$logset| SessionID=$sessionid| RepeatCount=$repeatcnt| srcPostNATPort=$natsport| dstPostNATPort=$natdport| Flags=$flags|URLCategory=$category| sev=$severity|Severity=$numberof- severity|Direction=$direction| ContentType=$contenttype|action=$action| Miscellaneous=$misc
-
PAN-OS v7.1--
LEEF:2.0|Palo Alto Networks|PAN-OS Syslog Integration|$sender_sw_version| $threatid|x7C|ReceiveTime=$receive_time| SerialNumber=$serial|cat=$type| Subtype=$subtype|devTime=$cefformatted- receive_time|src=$src| dst=$dst|srcPostNAT=$natsrc| dstPostNAT=$natdst|RuleName=$rule| usrName=$srcuser|SourceUser=$srcuser| DestinationUser=$dstuser| Application=$app|VirtualSystem=$vsys| SourceZone=$from|DestinationZone=$to| IngressInterface=$inbound_if| EgressInterface=$outbound_if| LogForwardingProfile=$logset| SessionID=$sessionid| RepeatCount=$repeatcnt|srcPort=$sport| dstPort=$dport|srcPostNATPort=$natsport| dstPostNATPort=$natdport|Flags=$flags| proto=$proto|action=$action| Miscellaneous=$misc|ThreatID=$threatid| URLCategory=$category|sev=$numberof- severity|Severity=$severity| Direction=$direction|sequence=$seqno| ActionFlags=$actionflags| SourceLocation=$srcloc| DestinationLocation=$dstloc| ContentType=$contenttype| PCAP_ID=$pcap_id|FileDigest=$filedigest| Cloud=$cloud|URLIndex=$url_idx| UserAgent=$user_agent|FileType=$filetype| identSrc=$xff|Referer=$referer| Sender=$sender|Subject=$subject| Recipient=$recipient|ReportID=$reportid| DeviceGroupHierarchyL1=$dg_hier_level_1| DeviceGroupHierarchyL2=$dg_hier_level_2| DeviceGroupHierarchyL3=$dg_hier_level_3| DeviceGroupHierarchyL4=$dg_hier_level_4| vSrcName=$vsys_name| DeviceName=$device_name
-
PAN-OS v8.0 - 9.1--
LEEF:2.0|Palo Alto Networks|PAN-OS Syslog Integration|$sender_sw_version| $threatid|x7C|ReceiveTime=$receive_time| SerialNumber=$serial|cat=$type| Subtype=$subtype|devTime=$cefformatted- receive_time|src=$src| dst=$dst|srcPostNAT=$natsrc| dstPostNAT=$natdst|RuleName=$rule| usrName=$srcuser|SourceUser=$srcuser| DestinationUser=$dstuser| Application=$app|VirtualSystem=$vsys| SourceZone=$from|DestinationZone=$to| IngressInterface=$inbound_if| EgressInterface=$outbound_if| LogForwardingProfile=$logset| SessionID=$sessionid| RepeatCount=$repeatcnt|srcPort=$sport| dstPort=$dport|srcPostNATPort=$natsport| dstPostNATPort=$natdport|Flags=$flags| proto=$proto|action=$action| Miscellaneous=$misc|ThreatID=$threatid| URLCategory=$category|sev=$numberof- severity|Severity=$severity| Direction=$direction|sequence=$seqno| ActionFlags=$actionflags| SourceLocation=$srcloc| DestinationLocation=$dstloc| ContentType=$contenttype| PCAP_ID=$pcap_id|FileDigest=$filedigest| Cloud=$cloud|URLIndex=$url_idx| RequestMethod=$http_method| Subject=$subject| DeviceGroupHierarchyL1=$dg_hier_level_1| DeviceGroupHierarchyL2=$dg_hier_level_2| DeviceGroupHierarchyL3=$dg_hier_level_3| DeviceGroupHierarchyL4=$dg_hier_level_4| vSrcName=$vsys_name| DeviceName=$device_name| SrcUUID=$src_uuid|DstUUID=$dst_uuid| TunnelID=$tunnelid|MonitorTag=$monitortag| ParentSessionID=$parent_session_id| ParentStartTime=$parent_start_time| TunnelType=$tunnel| ThreatCategory=$thr_category| ContentVer=$contentver
-
Haga clic en Tráfico, copie uno de los siguientes textos aplicables a la versión que está utilizando y péguelo en el campo Formato de registro de tráfico para el tipo de registro de tráfico. Si su versión no aparece en la lista, omita este paso.
-
PAN-OS v3.0 - v6.1--
LEEF:2.0|Palo Alto Networks|PAN-OS Syslog Integration|4.0|$action|x7C|cat=$type| src=$src|dst=$dst|srcPort=$sport| dstPort=$dport|proto=$proto| usrName=$srcuser| SerialNumber=$serial| Type=$type|Subtype=$subtype| srcPostNAT=$natsrc|dstPostNAT=$natdst| RuleName=$rule|SourceUser=$srcuser| DestinationUser=$dstuser| Application=$app| VirtualSystem=$vsys| SourceZone=$from|DestinationZone=$to| IngressInterface=$inbound_if| EgressInterface=$outbound_if| LogForwardingProfile=$logset| SessionID=$sessionid| RepeatCount=$repeatcnt| srcPostNATPort=$natsport| dstPostNATPort=$natdport|Flags=$flags| totalBytes=$bytes|totalPackets=$packets| ElapsedTime=$elapsed| URLCategory=$category| dstBytes=$bytes_received| srcBytes=$bytes_sent|action=$action
-
PAN-OS v7.1--
LEEF:2.0|Palo Alto Networks|PAN-OS Syslog Integration|$sender_sw_version|$action| x7C|cat=$type|ReceiveTime=$receive_time| SerialNumber=$serial|Type=$type| Subtype=$subtype|devTime=$cefformatted- receive_time|src=$src| dst=$dst|srcPostNAT=$natsrc| dstPostNAT=$natdst|RuleName=$rule| usrName=$srcuser|SourceUser=$srcuser| DestinationUser=$dstuser| Application=$app|VirtualSystem=$vsys| SourceZone=$from|DestinationZone=$to| IngressInterface=$inbound_if| EgressInterface=$outbound_if| LogForwardingProfile=$logset| SessionID=$sessionid| RepeatCount=$repeatcnt|srcPort=$sport| dstPort=$dport|srcPostNATPort=$natsport| dstPostNATPort=$natdport| Flags=$flags|proto=$proto| action=$action|totalBytes=$bytes| dstBytes=$bytes_received| srcBytes=$bytes_sent| totalPackets=$packets| StartTime=$start|ElapsedTime=$elapsed| URLCategory=$category|sequence=$seqno| ActionFlags=$actionflags| SourceLocation=$srcloc| DestinationLocation=$dstloc| dstPackets=$pkts_received| srcPackets=$pkts_sent| SessionEndReason=$session_end_reason| DeviceGroupHierarchyL1=$dg_hier_level_1| DeviceGroupHierarchyL2=$dg_hier_level_2| DeviceGroupHierarchyL3=$dg_hier_level_3| DeviceGroupHierarchyL4=$dg_hier_level_4| vSrcName=$vsys_name| DeviceName=$device_name| ActionSource=$action_source
-
PAN-OS v8.0 - 9.1--
LEEF:2.0|Palo Alto Networks|PAN-OS Syslog Integration|$sender_sw_version|$action| x7C|cat=$type|ReceiveTime=$receive_time| SerialNumber=$serial|Type=$type| Subtype=$subtype|devTime=$cefformatted- receive_time|src=$src| dst=$dst|srcPostNAT=$natsrc| dstPostNAT=$natdst|RuleName=$rule| usrName=$srcuser|SourceUser=$srcuser| DestinationUser=$dstuser| Application=$app|VirtualSystem=$vsys| SourceZone=$from|DestinationZone=$to| IngressInterface=$inbound_if| EgressInterface=$outbound_if| LogForwardingProfile=$logset| SessionID=$sessionid| RepeatCount=$repeatcnt|srcPort=$sport| dstPort=$dport|srcPostNATPort=$natsport| dstPostNATPort=$natdport| Flags=$flags|proto=$proto| action=$action|totalBytes=$bytes| dstBytes=$bytes_received| srcBytes=$bytes_sent| totalPackets=$packets| StartTime=$start|ElapsedTime=$elapsed| URLCategory=$category|sequence=$seqno| ActionFlags=$actionflags| SourceLocation=$srcloc| DestinationLocation=$dstloc| dstPackets=$pkts_received| srcPackets=$pkts_sent| SessionEndReason=$session_end_reason| DeviceGroupHierarchyL1=$dg_hier_level_1| DeviceGroupHierarchyL2=$dg_hier_level_2| DeviceGroupHierarchyL3=$dg_hier_level_3| DeviceGroupHierarchyL4=$dg_hier_level_4| vSrcName=$vsys_name| DeviceName=$device_name| ActionSource=$action_source| SrcUUID=$src_uuid|DstUUID=$dst_uuid| TunnelID=$tunnelid|MonitorTag=$monitortag| ParentSessionID=$parent_session_id| ParentStartTime=$parent_start_time| TunnelType=$tunnel
-
Si utiliza versiones distintas de PAN-OS 3.0 - 6.1, haga clic en Coincidencia de HIP, copie uno de los siguientes textos aplicables a la versión que está utilizando y péguelo en el campo Formato de registro de coincidencia de HIP para el tipo de registro de coincidencia de HIP .
-
PAN-OS v7.1--
LEEF:2.0|Palo Alto Networks|PAN-OS Syslog Integration|$sender_sw_version| $matchname|x7C|ReceiveTime=$receive_time| SerialNumber=$serial|cat=$type| Subtype=$subtype|devTime=$cefformatted- receive_time| usrName=$srcuser|VirtualSystem=$vsys| identHostName=$machinename|OS=$os| identSrc=$src|HIP=$matchname| RepeatCount=$repeatcnt|HIPType=$matchtype| sequence=$seqno|ActionFlags=$actionflags| DeviceGroupHierarchyL1=$dg_hier_level_1| DeviceGroupHierarchyL2=$dg_hier_level_2| DeviceGroupHierarchyL3=$dg_hier_level_3| DeviceGroupHierarchyL4=$dg_hier_level_4| vSrcName=$vsys_name| DeviceName=$device_name
-
PAN-OS v8.0 - 9.1--
LEEF:2.0|Palo Alto Networks|PAN-OS Syslog Integration|$sender_sw_version| $matchname|x7C|ReceiveTime=$receive_time| SerialNumber=$serial|cat=$type| Subtype=$subtype|devTime=$cefformatted- receive_time| usrName=$srcuser|VirtualSystem=$vsys| identHostName=$machinename|OS=$os| identsrc=$src|HIP=$matchname| RepeatCount=$repeatcnt|HIPType=$matchtype| sequence=$seqno|ActionFlags=$actionflags| DeviceGroupHierarchyL1=$dg_hier_level_1| DeviceGroupHierarchyL2=$dg_hier_level_2| DeviceGroupHierarchyL3=$dg_hier_level_3| DeviceGroupHierarchyL4=$dg_hier_level_4| vSrcName=$vsys_name| DeviceName=$device_name| VirtualSystemID=$vsys_id|srcipv6=$srcipv6| startTime=$cef-formatted-time_generated
-
-
Si usa PAN-OS 8.0 - 9.1, copie el siguiente texto y péguelo en la columna Formato personalizado para el tipo de registro de filtrado de URL.
PAN-OS v8.0 - 9.1-
LEEF:2.0|Palo Alto Networks|PAN-OS Syslog Integration| $sender_sw_version|$threatid|x7C|ReceiveTime=$receive_time|SerialNumber=$serial| cat=$type|Subtype=$subtype|devTime=$cef-formatted-receive_time|src=$src|dst=$dst| srcPostNAT=$natsrc|dstPostNAT=$natdst|RuleName=$rule|usrName=$srcuser|SourceUser=$srcuser| DestinationUser=$dstuser|Application=$app|VirtualSystem=$vsys|SourceZone=$from| DestinationZone=$to|IngressInterface=$inbound_if|EgressInterface=$outbound_if| LogForwardingProfile=$logset|SessionID=$sessionid|RepeatCount=$repeatcnt|srcPort=$sport| dstPort=$dport|srcPostNATPort=$natsport|dstPostNATPort=$natdport|Flags=$flags| proto=$proto|action=$action|Miscellaneous=$misc|ThreatID=$threatid|URLCategory=$category| sev=$number-of-severity|Severity=$severity|Direction=$direction|sequence=$seqno| ActionFlags=$actionflags|SourceLocation=$srcloc|DestinationLocation=$dstloc| ContentType=$contenttype|PCAP_ID=$pcap_id|FileDigest=$filedigest|Cloud=$cloud| URLIndex=$url_idx|RequestMethod=$http_method|UserAgent=$user_agent|identSrc=$xff| Referer=$referer|Subject=$subject|DeviceGroupHierarchyL1=$dg_hier_level_1| DeviceGroupHierarchyL2=$dg_hier_level_2|DeviceGroupHierarchyL3=$dg_hier_level_3| DeviceGroupHierarchyL4=$dg_hier_level_4|vSrcName=$vsys_name|DeviceName=$device_name| SrcUUID=$src_uuid|DstUUID=$dst_uuid|TunnelID=$tunnelid|MonitorTag=$monitortag| ParentSessionID=$parent_session_id|ParentStartTime=$parent_start_time|TunnelType=$tunnel| ThreatCategory=$thr_category|ContentVer=$contentver
-
Si usa PAN-OS 8.0 - 9.1, copie el siguiente texto y péguelo en la columna Formato personalizado para el tipo de registro de datos.
PAN-OS v8.0 - 9.1--
LEEF:2.0|Palo Alto Networks|PAN-OS Syslog Integration| $sender_sw_version|$threatid|x7C|ReceiveTime=$receive_time|SerialNumber=$serial| cat=$type|Subtype=$subtype|devTime=$cef-formatted-receive_time|src=$src|dst=$dst| srcPostNAT=$natsrc|dstPostNAT=$natdst|RuleName=$rule|usrName=$srcuser|SourceUser=$srcuser| DestinationUser=$dstuser|Application=$app|VirtualSystem=$vsys|SourceZone=$from| DestinationZone=$to|IngressInterface=$inbound_if|EgressInterface=$outbound_if| LogForwardingProfile=$logset|SessionID=$sessionid|RepeatCount=$repeatcnt|srcPort=$sport| dstPort=$dport|srcPostNATPort=$natsport|dstPostNATPort=$natdport|Flags=$flags| proto=$proto|action=$action|Miscellaneous=$misc|ThreatID=$threatid|URLCategory=$category| sev=$number-of-severity|Severity=$severity|Direction=$direction|sequence=$seqno| ActionFlags=$actionflags|SourceLocation=$srcloc|DestinationLocation=$dstloc| ContentType=$contenttype|PCAP_ID=$pcap_id|FileDigest=$filedigest| Cloud=$cloud|URLIndex=$url_idx|RequestMethod=$http_method|Subject=$subject| DeviceGroupHierarchyL1=$dg_hier_level_1|DeviceGroupHierarchyL2=$dg_hier_level_2| DeviceGroupHierarchyL3=$dg_hier_level_3|DeviceGroupHierarchyL4=$dg_hier_level_4| vSrcName=$vsys_name|DeviceName=$device_name|SrcUUID=$src_uuid|DstUUID=$dst_uuid| TunnelID=$tunnelid|MonitorTag=$monitortag|ParentSessionID=$parent_session_id| ParentStartTime=$parent_start_time|TunnelType=$tunnel|ThreatCategory=$thr_category| ContentVer=$contentver
-
Si utiliza PAN-OS 8.0 - 9.1, copie el siguiente texto y péguelo en la columna Formato personalizado para el tipo de registro Wildfire.
PAN-OS v8.0 - 9.1--
LEEF:2.0|Palo Alto Networks|PAN-OS Syslog Integration| $sender_sw_version|$threatid|x7C|ReceiveTime=$receive_time|SerialNumber=$serial| cat=$type|Subtype=$subtype|devTime=$cef-formatted-receive_time|src=$src|dst=$dst| srcPostNAT=$natsrc|dstPostNAT=$natdst|RuleName=$rule|usrName=$srcuser|SourceUser=$srcuser| DestinationUser=$dstuser|Application=$app|VirtualSystem=$vsys|SourceZone=$from| DestinationZone=$to|IngressInterface=$inbound_if|EgressInterface=$outbound_if| LogForwardingProfile=$logset|SessionID=$sessionid|RepeatCount=$repeatcnt|srcPort=$sport| dstPort=$dport|srcPostNATPort=$natsport|dstPostNATPort=$natdport|Flags=$flags| proto=$proto|action=$action|Miscellaneous=$misc|ThreatID=$threatid|URLCategory=$category| sev=$number-of-severity|Severity=$severity|Direction=$direction|sequence=$seqno| ActionFlags=$actionflags|SourceLocation=$srcloc|DestinationLocation=$dstloc| ContentType=$contenttype|PCAP_ID=$pcap_id|FileDigest=$filedigest| Cloud=$cloud|URLIndex=$url_idx|RequestMethod=$http_method|FileType=$filetype| Sender=$sender|Subject=$subject|Recipient=$recipient|ReportID=$reportid| DeviceGroupHierarchyL1=$dg_hier_level_1|DeviceGroupHierarchyL2=$dg_hier_level_2| DeviceGroupHierarchyL3=$dg_hier_level_3|DeviceGroupHierarchyL4=$dg_hier_level_4| vSrcName=$vsys_name|DeviceName=$device_name|SrcUUID=$src_uuid|DstUUID=$dst_uuid| TunnelID=$tunnelid|MonitorTag=$monitortag|ParentSessionID=$parent_session_id| ParentStartTime=$parent_start_time|TunnelType=$tunnel|ThreatCategory=$thr_category| ContentVer=$contentver
-
Si usa PAN-OS 8.0 - 9.1, copie el siguiente texto y péguelo en la columna Formato personalizado para el tipo de registro autenticación.
PAN-OS v8.0 - 9.1--
LEEF:2.0|Palo Alto Networks|PAN-OS Syslog Integration|$sender_sw_version|$event|x7C|ReceiveTime=$receive_time| SerialNumber=$serial|cat=$type|Subtype=$subtype|devTime=$cef-formatted-receive_time| ServerProfile=$serverprofile|LogForwardingProfile=$logset|VirtualSystem=$vsys| AuthPolicy=$authpolicy|ClientType=$clienttype|NormalizeUser=$normalize_user| ObjectName=$object|FactorNumber=$factorno|AuthenticationID=$authid|src=$ip| RepeatCount=$repeatcnt|usrName=$user|Vendor=$vendor|msg=$event|sequence=$seqno| DeviceGroupHierarchyL1=$dg_hier_level_1|DeviceGroupHierarchyL2=$dg_hier_level_2| DeviceGroupHierarchyL3=$dg_hier_level_3|DeviceGroupHierarchyL4=$dg_hier_level_4| vSrcName=$vsys_name|DeviceName=$device_name|AdditionalAuthInfo=$desc| ActionFlags=$actionflags
-
Si usa PAN-OS 8.0 - 9.1, copie el siguiente texto y péguelo en la columna Formato personalizado para el tipo de registro de ID de usuario.
PAN-OS v8.0 - 9.1--
LEEF:2.0|Palo Alto Networks|PAN-OS Syslog Integration|$sender_sw_version|$subtype|x7C|ReceiveTime=$receive_time| SerialNumber=$serial|cat=$type|Subtype=$subtype|devTime=$cef-formatted-receive_time| FactorType=$factortype|VirtualSystem=$vsys|DataSourceName=$datasourcename| DataSource=$datasource|DataSourceType=$datasourcetype|FactorNumber=$factorno| VirtualSystemID=$vsys_id|TimeoutThreshold=$timeout|src=$ip|srcPort=$beginport| dstPort=$endport|RepeatCount=$repeatcnt|usrName=$user|sequence=$seqno|EventID=$eventid| FactorCompletionTime=$factorcompletiontime|DeviceGroupHierarchyL1=$dg_hier_level_1| DeviceGroupHierarchyL2=$dg_hier_level_2|DeviceGroupHierarchyL3=$dg_hier_level_3| DeviceGroupHierarchyL4=$dg_hier_level_4|vSrcName=$vsys_name|DeviceName=$device_name| ActionFlags=$actionflags
-
Si utiliza PAN-OS 8.0 - 9.1, copie el siguiente texto y péguelo en la columna Formato personalizado para el tipo de registro de inspección de túnel.
PAN-OS v8.0 - 9.1--
LEEF:2.0|Palo Alto Networks|PAN-OS Syslog Integration|$sender_sw_version|$action|x7C|ReceiveTime=$receive_time|SerialNumber=$serial| cat=$type|Subtype=$subtype|devTime=$cef-formatted-receive_time|src=$src|dst=$dst| srcPostNAT=$natsrc|dstPostNAT=$natdst|RuleName=$rule|usrName=$srcuser|SourceUser=$srcuser| DestinationUser=$dstuser|Application=$app|VirtualSystem=$vsys|SourceZone=$from| DestinationZone=$to|IngressInterface=$inbound_if|EgressInterface=$outbound_if| LogForwardingProfile=$logset|SessionID=$sessionid|RepeatCount=$repeatcnt| srcPort=$sport|dstPort=$dport|srcPostNATPort=$natsport|dstPostNATPort=$natdport| Flags=$flags|proto=$proto|action=$action|sequence=$seqno|ActionFlags=$actionflags| DeviceGroupHierarchyL1=$dg_hier_level_1|DeviceGroupHierarchyL2=$dg_hier_level_2| DeviceGroupHierarchyL3=$dg_hier_level_3|DeviceGroupHierarchyL4=$dg_hier_level_4| vSrcName=$vsys_name|DeviceName=$device_name|TunnelID=$tunnelid|MonitorTag=$monitortag| ParentSessionID=$parent_session_id|ParentStartTime=$parent_start_time|TunnelType=$tunnel| totalBytes=$bytes|dstBytes=$bytes_received|srcBytes=$bytes_sent|totalPackets=$packets| dstPackets=$pkts_received|srcPackets=$pkts_sent|MaximumEncapsulation=$max_encap| UnknownProtocol=$unknown_proto|StrictChecking=$strict_check| TunnelFragment=$tunnel_fragment|SessionsCreated=$sessions_created| SessionsClosed=$sessions_closed|SessionEndReason=$session_end_reason| ActionSource=$action_source|startTime=$start|ElapsedTime=$elapsed
-
Si usa PAN-OS 8.0 - 9.1, copie el siguiente texto y péguelo en la columna Formato personalizado para el tipo de registro de correlación.
PAN-OS v8.0 - 9.1--
LEEF:2.0|Palo Alto Networks|PANOS Syslog Integration|8.0|$category|ReceiveTime=$receive_time| x7C|SerialNumber=$serial|cat=$type|devTime=$cef-formatted-receive_time|startTime=$cefformatted- time_generated|Severity=$severity|VirtualSystem=$vsys|VirtualSystemID=$vsys_id| src=$src|SourceUser=$srcuser|msg=$evidence|DeviceGroupHierarchyL1=$dg_hier_level_1| DeviceGroupHierarchyL2=$dg_hier_level_2|DeviceGroupHierarchyL3=$dg_hier_level_3| DeviceGroupHierarchyL4=$dg_hier_level_4|vSrcName=$vsys_name|DeviceName=$device_name| ObjectName=$object_name|ObjectID=$object_id
-
Si usa PAN-OS 8.1 - 9.1, copie el siguiente texto y péguelo en la columna Formato personalizado para el tipo de registro SCTP .
PAN-OS v8.1 - 9.1
LEEF:2.0|Palo Alto Networks|PAN-OS Syslog Integration|$sender_sw_version|$action| x7C|ReceiveTime=$receive_time|SerialNumber=$serial|cat=$type|genTime=$time_generated| src=$src|dst=$dst|VirtualSystem=$vsys|SourceZone=$from|DestinationZone=$to| IngressInterface=$inbound_if|EgressInterface=$outbound_if|SessionID=$sessionid| RepeatCount=$repeatcnt|srcPort=$sport|dstPort=$dport|proto=$proto|action=$action| DeviceGroupHierarchyL1=$dg_hier_level_1|DeviceGroupHierarchyL2=$dg_hier_level_2| DeviceGroupHierarchyL3=$dg_hier_level_3|DeviceGroupHierarchyL4=$dg_hier_level_4| vsysName=$vsys_name|DeviceName=$device_name|sequence=$seqno|AssocID=$assoc_id| PayloadProtoID=$ppid|sev=$num_of_severity|SCTPChunkType=$sctp_chunk_type| SCTPVerTag1=$verif_tag_1|SCTPVerTag2=$verif_tag_2|SCTPCauseCode=$sctp_cause_code| DiamAppID=$diam_app_id|DiamCmdCode=$diam_cmd_code|DiamAVPCode=$diam_avp_code| SCTPStreamID=$stream_id|SCTPAssEndReason=$assoc_end_reason|OpCode=$op_code| CPSSN=$sccp_calling_ssn|CPGlobalTitle=$sccp_calling_gt|SCTPFilter=$sctp_filter| SCTPChunks=$chunks|SrcSCTPChunks=$chunks_sent|DstSCTPChunks=$chunks_received| Packets=$packets|srcPackets=$pkts_sent|dstPackets=$pkts_received
-
Si usa PAN-OS 9.x, copie el siguiente texto y péguelo en la columna Formato personalizado para el tipo de registro IPTag.
LEEF:2.0|Palo Alto Networks|PAN-OS Syslog Integration|$sender_sw_version| $event_id|x7C|cat=$type|devTime=$cef-formatted-receive_time|ReceiveTime=$receive_time| SerialNumber=$serial|Subtype=$subtype|GenerateTime=$time_generated| VirtualSystem=$vsys|src=$ip|TagName=$tag_name|EventID=$eventid|RepeatCount=$repeatcnt| TimeoutThreshold=$timeout|DataSourceName=$datasourcename|DataSource=$datasource_type| DataSourceType=$datasource_subtype|sequence=$seqno|ActionFlags=$actionflags| DeviceGroupHierarchyL1=$dg_hier_level_1|DeviceGroupHierarchyL2=$dg_hier_level_2| DeviceGroupHierarchyL3=$dg_hier_level_3|DeviceGroupHierarchyL4=$dg_hier_level_4| vSrcName=$vsys_name|DeviceName=$device_name|VirtualSystemID=$vsys_id
-
Haga clic en Aceptar.
Para especificar la gravedad de los eventos contenidos en los mensajes syslog, haga clic en Configuración de registro.
Para cada gravedad que desee incluir en el mensaje syslog, haga clic en el nombre de gravedad y seleccione el destino syslog en el menú Syslog.
Haga clic en Aceptar.
Haga clic en Confirmar.
Para permitir la comunicación entre su dispositivo Palo Alto Networks y JSA, cree una política de reenvío. Consulte Creación de una política de reenvío en su dispositivo de la serie PA de Palo Alto.
Reenvío de eventos LEEF de Palo Alto Cortex Data Lake (firewall de última generación) a JSA
Para enviar eventos de Palo Alto Cortex Data Lake a JSA, debe agregar un origen de registro Syslog TLS en JSA y configurar Cortex Data Lake para reenviar registros a un servidor syslog.
-
Agregue un origen de registro en JSA mediante el protocolo Syslog TLS. Para obtener más información, consulte Parámetros de origen de registro syslog TLS para la serie PA de Palo Alto.
-
Reenvíe los registros de Cortex Data Lake a JSA. Para obtener más información, consulte la documentación de Palo Alto.
-
Cuando reenvíe registros desde Cortex Data Lake, elija el formato de registro LEEF.
-
Debe habilitar los campos cat y EventStatus en Palo Alto. El campo EventStatus es necesario para analizar los eventos de Global Protect en JSA.
Creación de una política de reenvío en su dispositivo de la serie PA de Palo Alto
Si la consola de JSA o el recopilador de eventos se encuentra en una zona de seguridad diferente a la del dispositivo de la serie PA de Palo Alto, cree una regla de política de reenvío.
Inicie sesión en Palo Alto Networks.
En el panel, haga clic en la pestaña Políticas .
Haga clic en Políticas > reenvío basado en políticas.
Haga clic en Agregar.
Configure los parámetros. Para obtener descripciones de los valores de reenvío basados en políticas, consulte la Guía del administrador de Palo Alto Networks.
Creación de eventos syslog formateados de ArcSight CEF en su dispositivo de firewall de la serie PA de Palo Alto
Configure su firewall de Palo Alto Networks para enviar eventos Syslog con formato ArcSight CEF a JSA.
Inicie sesión en la interfaz de Palo Alto Networks.
Haga clic en la pestaña Dispositivo .
Seleccione Perfiles de servidor >Syslogy, a continuación, haga clic en Agregar.
En la pestaña Servidores , haga clic en Agregar.
Especifique el nombre, la dirección IP del servidor, el puerto y la instalación del sistema JSA que desea usar como servidor Syslog:
El nombre es el nombre del servidor Syslog.
El servidor Syslog es la dirección IP del servidor Syslog.
El valor predeterminado de transporte/puerto es 514.
El valor predeterminado de la Facultad es LOG_USER.
Para seleccionar cualquiera de los tipos de registro enumerados que definen un formato personalizado, según el MCER de ArcSight para ese tipo de registro, complete los pasos siguientes:
Haga clic en la pestaña Formato de registro personalizado y seleccione cualquiera de los tipos de registro enumerados para definir un formato personalizado según el MCER de ArcSight para ese tipo de registro. Los tipos de registro enumerados son Config, System, Threat, Traffic y HIP Match.
Haga clic en Aceptar dos veces para guardar las entradas y, a continuación, haga clic en Confirmar.
Para definir sus propios formatos de estilo MCER que utilizan la tabla de asignación de eventos que se proporciona en el documento de ArcSight, Implementación de ArcSight CEF, puede utilizar la siguiente información acerca de cómo definir formatos de estilo DE MCE:
La pestaña Formato de registro personalizado admite la escapatoria de los caracteres definidos en el MCER como caracteres especiales. Por ejemplo, para usar una barra diagonal inversa para escapar de la barra diagonal inversa y los caracteres iguales, active la casilla de verificación Escapar , especifique \=as los caracteres de escape y \as el carácter de escape.
En la siguiente lista se muestra el formato de estilo DEL MCER que se utilizó durante el proceso de certificación para cada tipo de registro. Estos formatos personalizados incluyen todos los campos, en un orden similar, que muestra el formato predeterminado de los Syslog.
Nota:Debido al formato PDF, no copie ni pegue los formatos de mensaje directamente en la interfaz web de PAN-OS. En su lugar, pegue en un editor de texto, elimine cualquier retorno de carro o caracteres de fuente de línea, y luego copie y pegue en la interfaz web.
-
Tráfico--
CEF:0|Palo Alto Networks|PAN-OS|6.0.0|$subtype|$type|1|rt=$cef-formatted-receive_time deviceExternalId=$serial src=$src dst=$dst sourceTranslatedAddress=$natsrc destinationTranslatedAddress=$natdst cs1Label=Rule cs1=$rule suser=$srcuser duser=$dstuser app=$app cs3Label=Virtual System cs3=$vsys cs4Label=Source Zone cs4=$from cs5Label=Destination Zone cs5=$to deviceInboundInterface=$inbound_if deviceOutboundInterface=$outbound_if cs6Label=LogProfile cs6=$logset cn1Label=SessionID cn1=$sessionid cnt=$repeatcnt spt=$sport dpt=$dport sourceTranslatedPort=$natsport destinationTranslatedPort=$natdport flexString1Label=Flags flexString1=$flags proto=$proto act=$action flexNumber1Label=Total bytes flexNumber1=$bytes in=$bytes_sent out=$bytes_received cn2Label=Packets cn2=$packets PanOSPacketsReceived=$pkts_received PanOSPacketsSent=$pkts_sent start=$cef-formattedtime_ generated cn3Label=Elapsed time in seconds cn3=$elapsed cs2Label=URL Category cs2=$category externalId=$seqno
-
Amenaza--
CEF:0|Palo Alto Networks|PAN-OS|6.0.0|$subtype|$type|$number-of-severity|rt=$cefformatted- receive_time deviceExternalId=$serial src=$src dst=$dst sourceTranslatedAddress=$natsrc destinationTranslatedAddress=$natdst cs1Label=Rule cs1=$rule suser=$srcuser duser=$dstuser app=$app cs3Label=Virtual System cs3=$vsys cs4Label=Source Zone cs4=$from cs5Label=Destination Zone cs5=$to deviceInboundInterface=$inbound_if deviceOutboundInterface=$outbound_if cs6Label=LogProfile cs6=$logset cn1Label=SessionID cn1=$sessionid cnt=$repeatcnt spt=$sport dpt=$dport sourceTranslatedPort=$natsport destinationTranslatedPort=$natdport flexString1Label=Flags flexString1=$flags proto=$proto act=$action request=$misc cs2Label=URL Category cs2=$category flexString2Label=Direction flexString2=$direction externalId=$seqno requestContext=$contenttype cat=$threatid filePath=$cloud fileId=$pcap_id fileHash=$filedigest
-
Configuración--
CEF:0|Palo Alto Networks|PAN-OS|6.0.0|$result|$type|1|rt=$cef-formatted-receive_time deviceExternalId=$serial dvchost=$host cs3Label=Virtual System cs3=$vsys act=$cmd duser=$admin destinationServiceName=$client msg=$path externalId=$seqno
-
-
Opcional:--
cs1Label=Before Change Detail cs1=$before-change-detail cs2Label=After Change Detail cs2=$after-change-detail
-
-
Sistema--
CEF:0|Palo Alto Networks|PAN-OS|6.0.0|$subtype|$type|$number-of-severity|rt=$cefformatted- receive_time deviceExternalId=$serial cs3Label=Virtual System cs3=$vsys fname=$object flexString2Label=Module flexString2=$module msg=$opaque externalId=$seqno cat=$eventid
-
Partido HIP--
CEF:0|Palo Alto Networks|PAN-OS|6.0.0|$matchtype|$type|1|rt=$cef-formattedreceive_ time deviceExternalId=$serial suser=$srcuser cs3Label=Virtual System cs3=$vsys shost=$machinename src=$src cnt=$repeatcnt externalId=$seqno cat=$matchname cs2Label=Operating System cs2=$os
-
Para obtener más información acerca de la configuración de Syslog, consulte la Guía del administrador de PAN-OS en el sitio web de Palo Alto Networks (https://www.paloaltonetworks.com).
Parámetros de origen de registro syslog TLS para la serie PA de Palo Alto
Si JSA no detecta automáticamente el origen del registro, agregue un origen de registro de la serie PA de Palo Alto en la consola JSA mediante el protocolo Syslog TLS.
Cuando se usa el protocolo Syslog TLS, hay parámetros específicos que debe configurar.
En la siguiente tabla se describen los parámetros que requieren valores específicos para recopilar eventos Syslog TLS de la serie PA de Palo Alto:
| Parámetro |
Valor |
|---|---|
| Tipo de origen de registro |
Serie PA de Palo Alto |
| Configuración de protocolo |
TLS Syslog |
| Identificador de origen de registro |
Una dirección IP o un nombre de host para identificar el origen del registro. |
Para obtener una lista completa de los parámetros del protocolo Syslog TLS y sus valores, consulte Opciones de configuración del protocolo Syslog TLS.
Mensaje de evento de ejemplo de la serie PA de Palo Alto
Utilice estos mensajes de evento de ejemplo como una forma de verificar una integración correcta con JSA.
Debido a problemas de formato, pegue el formato del mensaje en un editor de texto y, luego, elimine cualquier retorno de carro o caracteres de fuente de línea.
Mensaje de ejemplo de la serie PA de Palo Alto cuando se utiliza el protocolo Syslog
Ejemplo 1: El siguiente mensaje de evento de ejemplo muestra eventos PAN-OS para un evento de amenaza de troyano.
<180>May 6 16:43:53 paloalto.paseries.test LEEF:1.0| Palo Alto Networks|PAN-OS Syslog Integration|8.1.6|trojan/ PDF.gen.eiez(268198686)|ReceiveTime=2019/05/06 16:43:53|SerialNumber=001801010877|cat=THREAT| Subtype=virus|devTime=May 06 2019 11:13:53 GMT|src=10.2.75.41|dst=192.168.178.180| srcPostNAT=192.168.68.141|dstPostNAT=192.168.178.180|RuleName=Test-1|usrName=qradar\\user1| SourceUser=qradar\\user1|DestinationUser=|Application=web-browsing|VirtualSystem=vsys1| SourceZone=INSIDE-ZN|DestinationZone=OUTSIDE-ZN|IngressInterface=ethernet1/1| EgressInterface=ethernet1/3|LogForwardingProfile=testForwarder|SessionID=3012|RepeatCount=1| srcPort=63508|dstPort=80|srcPostNATPort=31539|dstPostNATPort=80|Flags=0x406000|proto=tcp| action=alert|Miscellaneous=\"qradar.example.test/du/uploads/08052018_UG_FAQ.pdf\"| ThreatID=trojan/PDF.gen.eiez(268198686)|URLCategory=educational-institutions|sev=3| Severity=medium|Direction=server-to-client|sequence=486021038|ActionFlags=0xa000000000000000| SourceLocation=10.0.0.0-10.255.255.255|DestinationLocation=testPlace|ContentType=| PCAP_ID=0|FileDigest=|Cloud=|URLIndex=5|RequestMethod=|Subject=|DeviceGroupHierarchyL1=12| DeviceGroupHierarchyL2=0|DeviceGroupHierarchyL3=0|DeviceGroupHierarchyL4=0|vSrcName=| DeviceName=testName|SrcUUID=|DstUUID=|TunnelID=0|MonitorTag=|ParentSessionID=0|ParentStartTime=| TunnelType=N/A|ThreatCategory=pdf|ContentVer=Antivirus-2969-3479
| Nombre del campo JSA |
Campos de carga destacados |
|---|---|
| ID de evento |
El valor de ID de evento es 268198686.
Nota:
Por lo general, se utiliza el campo ID de evento del encabezado LEEF. Sin embargo, para ciertos tipos de eventos, se pueden usar más campos LEEF o campos personalizados, como Subtipo, y acción para formar un ID de evento único. |
| Categoría |
Amenaza de la serie PA
Nota:
El valor del campo cat no se utiliza directamente como la categoría del evento. El valor de este campo se utiliza para determinar un conjunto predefinido de valores de categoría. Para ciertos tipos de eventos, se pueden usar más campos LEEF o campos personalizados para formar una categoría de evento único. |
| Tiempo del dispositivo |
devTime |
| IP de origen |
Fuente |
| IP de destino |
Dst |
| Puerto de origen |
srcPort |
| Puerto de destino |
dstPort |
| IP de origen de TDR posterior |
srcPostNAT |
| IP de destino post TDR |
dstPostNAT |
| Puerto Post TDR Soure |
srcPostNATPort |
| Puerto de destino post TDR |
dstPostNATPort |
| Protocolo |
Proto |
Ejemplo 2: el siguiente mensaje de evento de ejemplo muestra un evento Prisma en el que una política permite una sesión.
<14>1 2021-10-26T13:56:21.887Z paloalto.paseries.test logforwarder - panwlogs - LEEF:2.0|Palo Alto Networks|Prisma Access|2.1|allow| | TimeReceived=2021-10-26T13:56:20.000000Z DeviceSN=no-serial cat=traffic SubType=start ConfigVersion=10.0 devTime=2021-10-26T13:56:17.000000Z src=192.168.21.100 dst=172.16.0.3 srcPostNAT=172.16.0.4 dstPostNAT=172.16.0.5 Rule=CG-RN-Guest-to-Internet usrName= DestinationUser= Application=web-browsing VirtualLocation=vsys1 FromZone=FromZone ToZone=untrust InboundInterface=tunnel.101 OutboundInterface=ethernet1/1 LogSetting=to- Cortex-Data-Lake SessionID=49934 RepeatCount=1 srcPort=59532 dstPort=80 sr=49718 dstPostNATPort=80 proto=tcp Bytes=374 srcBytes=300 dstBytes=74 totalPackets=4 SessionStartTime=2021-10-26T13:56:15.000000Z SessionDuration=0 URLCategory=any SequenceNo=13336648 SourceLocation=192.168.0.0-192.168.255.255 DestinationLocation=CA srcPackets=3 dstPackets=1 SessionEndReason=na DGHierarchyLevel1=62 DGHierarchyLevel2=38 DGHierarchyLevel3=53 DGHierarchyLevel4=0 VirtualSystemName= DeviceName=DeviceName ActionSource=frompolicy SourceUUID= DestinationUUID= IMSI=0 IMEI= ParentSessionID=0 ParentStarttime=1970-01-01T00:00:00.000000Z Tunnel=N/A EndpointAssociationID=0 ChunksTotal=0 ChunksSent=0 ChunksReceived=0 RuleUUID=00000000-0000-0000-0000-000000000000 HTTP2Connection=0 LinkChangeCount=0 SDWANPolicyName= LinkSwitches= SDWANCluster= SDWANDeviceType= SDWANClusterType= SDWANSite= DynamicUserGroupName= XForwarded- ForIP= SourceDeviceCategory= SourceDeviceProfile= SourceDeviceModel= SourceDeviceVendor= SourceDeviceOSFamily= SourceDeviceOSVersion= SourceDeviceHost= SourceDeviceMac= DestinationDeviceCategory= DestinationDeviceProfile= DestinationDeviceModel= DestinationDeviceVendor= DestinationDeviceOSFamily= DestinationDeviceOSVersion= DestinationDeviceHost= DestinationDeviceMac= ContainerID= ContainerNameSpace= ContainerName= SourceEDL= DestinationEDL= GPHostID= EndpointSerialNumber= SourceDynamicAddressGroup= DestinationDynamicAddressGroup= HASessionOwner= TimeGeneratedHighResolution=2021-10-26T13:56:17.911000Z NSSAINetworkSliceType= NSSAINetworkSliceDifferentiator= devTimeFormat=YYYY-MM-DD'T'HH:mm:ss.SSSZ
| Nombre del campo JSA |
Campos de carga destacados |
|---|---|
| ID de evento |
El valor del ID de evento es allow. |
| Categoría de eventos |
Tráfico de la serie PA
Nota:
El valor del campo cat no se utiliza directamente como la categoría del evento. El valor de este campo se utiliza para determinar un conjunto predefinido de valores de categoría. Para ciertos tipos de eventos, se pueden usar más campos LEEF o campos personalizados para formar una categoría de evento único. |
| Tiempo del dispositivo |
devTime |
| IP de origen |
Fuente |
| IP de destino |
Dst |
| Puerto de origen |
srcPort |
| Puerto de destino |
dstPort |
| IP de origen de TDR posterior |
srcPostNAT |
| IP de destino post TDR |
dstPostNAT |
| Puerto Post TDR Soure |
sr |
| Puerto de destino post TDR |
dstPostNATPort |
| Protocolo |
Proto |
Mensaje de ejemplo de la serie PA de Palo Alto cuando se utiliza el protocolo Syslog TLS
El siguiente mensaje de evento de ejemplo muestra los eventos de firewall de última generación para la versión 10.1.
<14>1 2021-08-09T14:00:26.364Z paloalto.paseries.test logforwarder - panwlogs - LEEF:2.0|Palo Alto Networks|Next Generation Firewall|10.1|drop-all| | TimeReceived=2021-08-09T14:00:25.000000Z DeviceSN=001011000011111 cat=gtp SubType=end ConfigVersion=10.1 devTime=2021-08-09T14:00:22.000000Z src=fc00:0:e426:5678:b202:b3ff:fe1e:8329 dst=fc00:5678:90aa:cc33:f202:b3ff:fe1e:8329 srcPostNAT=10.5.5.5 dstPostNAT=192.168.178.180 Rule=allow-all-employees usrName=paloaltonetwork\testUser DestinationUser=paloaltonetwork\tUser Application=adobe-cq VirtualLocation=aaaa1 FromZone=corporate ToZone=corporate InboundInterface=ethernet1/1 OutboundInterface=ethernet1/3 LogSetting=rs-logging SessionID=1111111 RepeatCount=1 srcPort=10273 dstPort=27624 srcPostNATPort=26615 dstPostNATPort=6501 proto=tcp TunnelEventType=51 MobileSubscriberISDN= AccessPointName= RadioAccessTechnology=11 TunnelMessageType=0 MobileIP= TunnelEndpointID1=0 TunnelEndpointID2=0 TunnelInterface=0 TunnelCauseCode=0 VendorSeverity=Unused MobileCountryCode=0 MobileNetworkCode=0 MobileAreaCode=0 MobileBaseStationCode=0 TunnelEventCode=0 SequenceNo=1111111111111111111 SourceLocation=NB DestinationLocation=saint john DGHierarchyLevel1=12 DGHierarchyLevel2=0 DGHierarchyLevel3=0 DGHierarchyLevel4=0 VirtualSystemName= DeviceName=PA-VM IMSI=28 IMEI=datacenter ParentSessionID=1111111 ParentStarttime=1970-01-01T00:00:00.000000Z Tunnel=tunnel Bytes=741493 srcBytes=277595 dstBytes=463898 totalPackets=1183 srcPackets=554 dstPackets=629 PacketsDroppedMax=58 PacketsDroppedProtocol=34 PacketsDroppedStrict=171 PacketsDroppedTunnel=773 TunnelSessionsCreated=537 TunnelSessionsClosed=206 SessionEndReason=unknown ActionSource=unknown startTime=2021-08-09T13:59:51.000000Z SessionDuration=35 TunnelInspectionRule=gtp TunnelRemoteUserIP= TunnelRemoteIMSIID=0 RuleUUID=11a111aa-1a11-1a1a-11a1-1a11a11111a1 DynamicUserGroupName=dynug-4 ContainerID= ContainerNameSpace= ContainerName= SourceEDL= DestinationEDL= SourceDynamicAddressGroup= DestinationDynamicAddressGroup= TimeGeneratedHighResolution=2021-08-09T14:00:22.079000Z NSSAINetworkSliceDifferentiator=0 NSSAINetworkSliceType=0 ProtocolDataUnitsessionID=0 devTimeFormat=YYYY-MM-DDTHH:mm:ss.SSSSSSZ
| Nombre del campo JSA |
Campos de carga destacados |
|---|---|
| ID de evento |
drop-all (campo ID de evento del encabezado LEEF)
Nota:
Por lo general, se utiliza el campo ID de evento del encabezado LEEF. Sin embargo, para ciertos tipos de eventos, se pueden usar más campos LEEF o campos personalizados, como Subtipo, y acción para formar un ID de evento único. |
| Categoría |
GTP serie PA
Nota:
El valor del campo cat no se utiliza directamente como la categoría del evento. El valor de este campo se utiliza para determinar un conjunto predefinido de valores de categoría. Para ciertos tipos de eventos, se pueden usar más campos LEEF o campos personalizados para formar una categoría de evento único. |
| Tiempo del dispositivo |
devTime |
| IPv6 de origen |
Fuente |
| IPv6 de destino |
Dst |
| Puerto de origen |
SrcPort |
| Puerto de destino |
dstPort |
| IP de origen de TDR posterior |
srcPostNAT |
| IP de destino post TDR |
dstPostNAT |
| Puerto Post TDR Soure |
srcPostNATPort |
| Puerto de destino post TDR |
dstPostNATPort |
| Protocolo |
Tcp |
| Nombre de usuario |
usrName
Nota:
Si un nombre de usuario contiene el dominio como parte de su valor, se elimina la parte del dominio y solo se utiliza la parte real del nombre de usuario. |