Konfiguration von PAN-OS 7,1 Gateways zur Generierung von Protokollen im LEEF-Format

Konfiguration von PAN-OS 7,1 Gateways zur Generierung von Protokollen im LEEF-Format

37754
Created On 09/25/18 17:36 PM - Last Modified 06/13/23 13:53 PM


Resolution


Zusammenfassung

Dieses Dokument veranschaulicht die Schritte zur Konfiguration eines Palo Alto Networks PAN-OS Gateway, das PAN-OS 7,1 läuft, um Protokolle an einen syslog-Empfänger im LEEF-Format weiter zu leiten. LEEF-Format Schemata sind für Traffic, Bedrohung, config, System und HIP-Match-Protokolle vorgesehen. Korrelations Protokolle werden in diesem Dokument nicht behandelt.

 

WebUI-KonfigurationsSchritte

 

1. Optional Um das Gerät so zu konfigurieren, dass es seine IPv4/IPv6-Adresse oder seinen Hostnamen anstelle von FQDN in den generierten Protokollen sendet, wählen Sie Device > Setup > Management > protokollieren und Reporting-Einstellungen. Klicken Sie in der registerKarte Log Export und Reporting auf das syslog-Hostname-Format Dropdown-, um die bevorzugte Identifikationsmethode auszuwählen.

 

Screenshot 2016-08-18 um 1.17.34 Uhr. png

 

 2. Wählen Sie Device > Server Profile > syslog und geben Sie einen neuen syslog Serverprofil Namen an. Klicken Sie auf hinzufügen, um einen Syslog-Servernamen, eine IP-Adresse, eine transportMETHODE (TCP oder UDP), einen Port (z.b. 514), ein Format (BSD oder IEEE) und eine Anlage (z. LOG_LOCAL0).

 

Screenshot 2016-08-18 um 1.31.29 Uhr. png

 

 3. Klicken Sie auf den Reiter benutzerDefinierte log -Format und wählen Sie einen der angegebenen Log-Typen (config, System, Bedrohung, Traffic und Hip-Match), um ein Leef-Log-Format für den angegebenen Typ zu definieren.

 

Screenshot 2016-08-18 um 1.33.08 Uhr. png

 

Traffic Log LEEF Format:

LEEF: 1.0 | Palo Alto Networks | PAN-OS syslog Integration | $Sender _sw_version | $Action | Cat = $Type | EmpfangsZeit = $Receive _TIME | SerialNumber = $Serial | Typ = $Type | SubType = $SubType | devTime = $CEF-formatiert-receive_time | src = $src | DST = $DST | srcPostNAT = $natsrc | dstPostNAT = $natdst | RuleName = $Rule | usrName = $SRCUSER | SourceUser = $SRCUSER | DestinationUser = $DSTUSER | Application = $App | VirtualSystem = $Vsys | SourceZone = $from | DestinationZone = $to | IngressInterface = $Inbound _IF | EgressInterface = $Outbound _IF | LogForwardingProfile = $logset | SessionID = $SessionID | Repecount = $repeatcnt | srcPort = $Sport | dstPort = $dport | srcPostNATPort = $natsport | dstPostNATPort = $natdport | Flags = $Flags | Proto = $Proto | Action = $Action | totalBytes = $Bytes | dstBytes = $Bytes _received | srcBytes = $Bytes _sent | Totalpakete = $Packets | StartTime = $Start | ElapsedTime = $Elapsed | URLCategory = $Category | Sequenz = $Seqno | ActionFlags = $actionFlags | SourceLocation = $srcloc | DestinationLocation = $dstloc | Dstpakete = $pkts _received | Srcpakete = $pkts _sent | SessionEndReason = $Session _end_reason | DeviceGroupHierarchyL1 = $DG _hier_level_1 | DeviceGroupHierarchyL2 = $DG _hier_level_2 | DeviceGroupHierarchyL3 = $DG _hier_level_3 | DeviceGroupHierarchyL4 = $DG _hier_level_4 | vSrcName = $Vsys _name | DeviceName = $Device _name | ActionSource = $Action _Source

Bedrohungs Protokoll LEEF Format:

LEEF: 1.0 | Palo Alto Networks | PAN-OS syslog Integration | $Sender _sw_version | $threatid | EmpfangsZeit = $Receive _TIME | SerialNumber = $Serial | Cat = $Type | SubType = $SubType | devTime = $CEF-formatiert-receive_time | src = $src | DST = $DST | srcPostNAT = $natsrc | dstPostNAT = $natdst | RuleName = $Rule | usrName = $SRCUSER | SourceUser = $SRCUSER | DestinationUser = $DSTUSER | Application = $App | VirtualSystem = $Vsys | SourceZone = $from | DestinationZone = $to | IngressInterface = $Inbound _IF | EgressInterface = $Outbound _IF | LogForwardingProfile = $logset | SessionID = $SessionID | Repecount = $repeatcnt | srcPort = $Sport | dstPort = $dport | srcPostNATPort = $natsport | dstPostNATPort = $natdport | Flags = $Flags | Proto = $Proto | Action = $Action | Verschiedenes = $misc | ThreatID = $threatid | URLCategory = $Category | SEV = $number-of-schwere | Schwere = $Severity | Direction = $Direction | Sequenz = $Seqno | ActionFlags = $actionFlags | SourceLocation = $srcloc | DestinationLocation = $dstloc | ContentType = $ContentType | PCAP_ID = $pcap _id | FileDigest = $filedigest | Cloud = $Cloud | URLIndex = $URL _Idx | User Agent = $User _agent | FileType = $filetype | identsrc = $xff | Referer = $Referer | Absender = $Sender | Betreff = $Subject | Empfänger = $Recipient | ReportID = $ReportID | DeviceGroupHierarchyL1 = $DG _hier_level_1 | DeviceGroupHierarchyL2 = $DG _hier_level_2 | DeviceGroupHierarchyL3 = $DG _hier_level_3 | DeviceGroupHierarchyL4 = $DG _hier_level_4 | vSrcName = $Vsys _name | DeviceName = $Device _name

Config Log LEEF Format:

LEEF: 1.0 | Palo Alto Networks | PAN-OS syslog Integration | $Sender _sw_version | $result | EmpfangsZeit = $Receive _TIME | SerienNummer = $Serial | Cat = $Type | devTime = $CEF-formatiert-receive_time | src = $Host | VirtualSystem = $Vsys | msg = $cmd | usrName = $Admin | Client = $Client | Ergebnis = $result | Konfigurationpath = $Path | Sequenz = $Seqno | ActionFlags = $actionFlags | BeforeChangeDetail = $Before-Change-Detail | AfterChangeDetail = $after-Change-Detail | DeviceGroupHierarchyL1 = $DG _hier_level_1 | DeviceGroupHierarchyL2 = $DG _hier_level_2 | DeviceGroupHierarchyL3 = $DG _hier_level_3 | DeviceGroupHierarchyL4 = $DG _hier_level_4 | vSrcName = $Vsys _name | DeviceName = $Device _name

 System Log LEEF Format:

LEEF: 1.0 | Palo Alto Networks | PAN-OS syslog Integration | $Sender _sw_version | $EventID | EmpfangsZeit = $Receive _TIME | SerienNummer = $Serial | Cat = $Type | SubType = $SubType | devTime = $CEF-formatiert-receive_time | VirtualSystem = $Vsys | Dateiname = $Object | Modul = $Module | SEV = $number-of-schwere | Schwere = $Severity | msg = $Opaque | Sequenz = $Seqno | ActionFlags = $actionFlags | DeviceGroupHierarchyL1 = $DG _hier_level_1 | DeviceGroupHierarchyL2 = $DG _hier_level_2 | DeviceGroupHierarchyL3 = $DG _hier_level_3 | DeviceGroupHierarchyL4 = $DG _hier_level_4 | vSrcName = $Vsys _name | DeviceName = $Device _name

 HIP Match Log LEEF Format:

LEEF: 1.0 | Palo Alto Networks | PAN-OS syslog Integration | $Sender _sw_version | $MatchName | EmpfangsZeit = $Receive _TIME | SerialNumber = $Serial | Cat = $Type | SubType = $SubType | devTime = $CEF-formatiert-receive_time | usrName = $SRCUSER | VirtualSystem = $Vsys | identHostName = $MachineName | OS = $OS | identsrc = $src | HIP = $MatchName | Repecount = $repeatcnt | HIPType = $MatchType | Sequence = $Seqno | ActionFlags = $actionFlags | DeviceGroupHierarchyL1 = $DG _hier_level_1 | DeviceGroupHierarchyL2 = $DG _hier_level_2 | DeviceGroupHierarchyL3 = $DG _hier_level_3 | DeviceGroupHierarchyL4 = $DG _hier_level_4 | vSrcName = $Vsys _name | DeviceName = $Device _name

 

4. Verpflichten Sie Ihre aktualisierte Konfiguration, damit die Änderungen wirksam werden.

 
Other users also viewed:
Actions
  • Print
  • Copy Link

    https://knowledgebase.paloaltonetworks.com/KCSArticleDetail?id=kA10g000000ClGsCAK&lang=de&refURL=http%3A%2F%2Fknowledgebase.paloaltonetworks.com%2FKCSArticleDetail

Choose Language