Configuration des passerelles Pan-OS 7,1 pour générer des journaux au format Leef

Configuration des passerelles Pan-OS 7,1 pour générer des journaux au format Leef

37758
Created On 09/25/18 17:36 PM - Last Modified 06/13/23 13:53 PM


Resolution


Résumé

Ce document illustre les étapes de configuration d'une passerelle Pan-OS de Palo Alto Networks qui exécute Pan-OS 7,1 pour transférer les journaux vers un récepteur syslog au format Leef. Les schémas de format Leef sont fournis pour les journaux de trafic, Threat, config, System et hip match. Les journaux de corrélation ne sont pas couverts dans ce document.

 

Étapes de configuration d'Iu

 

1. Facultatif Pour configurer le périphérique pour qu'il envoie son adresse IPv4/IPv6 ou son nom d'hôte au lieu de FQDN dans les journaux générés, sélectionnez Device > Setup > Management > journalisation et paramètres de rapport. Dans l' onglet exportation et rapport du journal , cliquez sur le menu DéROULANT syslog hostname format pour choisir la méthode d'identification préférée.

 

Screen Shot 2016-08-18 à 1.17.34 PM. png

 

 2. Sélectionnez Device > Server profils > syslog et spécifiez un nouveau nom de profil de serveur syslog. Cliquez sur ajouter pour spécifier un nom de serveur Syslog, une adresse IP, une méthode de transport (TCP ou UDP), un port (par exemple 514), un format (BSD ou IEEE) et une installation (p. ex. LOG_LOCAL0).

 

Screen Shot 2016-08-18 à 1.31.29 PM. png

 

 3. Cliquez sur l' onglet format de journal personnalisé et choisissez L'un des types de journaux spécifiés (configuration, système, menace, trafic et correspondance de la hanche) pour définir un format de journal Leef pour le type donné.

 

Screen Shot 2016-08-18 à 1.33.08 PM. png

 

Journal de trafic LEEF format:

LEEF: 1.0 | Palo Alto réseaux | Intégration de PAN-OS syslog | $sender _sw_version | $action | Cat = $type | ReceiveTime = $Receive _Time | SerialNumber = $Serial | Type = $type | SubType = $SubType | devTime = $CEF-formaté-receive_time | SRC = $SRC | DST = $DST | srcPostNAT = $natsrc | dstPostNAT = $natdst | RuleName = $Rule | usrName = $SrcUser | SourceUser = $SrcUser | UtilisateurDestination = $DSTUSER | Application = $App | VirtualSystem = $VSys | SourceZone = $from | DestinationZone = $to | IngressInterface = $Inbound _if | EgressInterface = $Outbound _if | LogForwardingProfile = $Logset | SessionID = $SessionID | Répétercompte = $repeatcnt | srcPort = $sport | dstPort = $dport | srcPostNATPort = $natsport | dstPostNATPort = $natdport | Flags = $Flags | proto = $proto | action = $action | TotalBytes = $bytes | dstBytes = $bytes _received | srcBytes = $bytes _sent | totalPackets = $Packets | StartTime = $Start | ElapsedTime = $Elapsed | URLCategory = $Category | Sequence = $seqno | ActionFlags = $actionFlags | SourceLocation = $srcloc | DestinationLocation = $dstloc | dstPackets = $pkts _received | srcPackets = $pkts _sent | SessionEndReason = $session _end_reason | DeviceGroupHierarchyL1 = $DG _hier_level_1 | DeviceGroupHierarchyL2 = $DG _hier_level_2 | DeviceGroupHierarchyL3 = $DG _hier_level_3 | DeviceGroupHierarchyL4 = $DG _hier_level_4 | vSrcName = $VSys Column | DeviceName = $Device Column | ActionSource = $action _source

Journal des menaces format LEEF:

LEEF: 1.0 | Palo Alto réseaux | Intégration de PAN-OS syslog | $sender _sw_version | $threatid | ReceiveTime = $Receive _Time | SerialNumber = $Serial | Cat = $type | SubType = $SubType | devTime = $CEF-formaté-receive_time | SRC = $SRC | DST = $DST | srcPostNAT = $natsrc | dstPostNAT = $natdst | RuleName = $Rule | usrName = $SrcUser | SourceUser = $SrcUser | UtilisateurDestination = $DSTUSER | Application = $App | VirtualSystem = $VSys | SourceZone = $from | DestinationZone = $to | IngressInterface = $Inbound _if | EgressInterface = $Outbound _if | LogForwardingProfile = $Logset | SessionID = $SessionID | Répétercompte = $repeatcnt | srcPort = $sport | dstPort = $dport | srcPostNATPort = $natsport | dstPostNATPort = $natdport | Flags = $Flags | proto = $proto | action = $action | Divers = $misc | ThreatID = $threatid | URLCategory = $Category | SEV = $Number de gravité | Severity = $Severity | Direction = $Direction | Sequence = $seqno | ActionFlags = $actionFlags | SourceLocation = $srcloc | DestinationLocation = $dstloc | ContentType = $ContentType | PCAP_ID = $PCAP identifiant | FileDigest = $filedigest | Cloud = $Cloud | URLIndex = $URL _idx | UserAgent = $User _agent | $Filetype | identsrc = $xff | Referer = $referer | Sender = $sender | Subject = $subject | Destinataire = $Recipient | ReportID = $ReportID | DeviceGroupHierarchyL1 = $DG _hier_level_1 | DeviceGroupHierarchyL2 = $DG _hier_level_2 | DeviceGroupHierarchyL3 = $DG _hier_level_3 | DeviceGroupHierarchyL4 = $DG _hier_level_4 | vSrcName = $VSys Column | DeviceName = $Device Column

Config log LEEF format:

LEEF: 1.0 | Palo Alto réseaux | Intégration de PAN-OS syslog | $sender _sw_version | $result | ReceiveTime = $Receive _Time | SerialNumber = $Serial | Cat = $type | devTime = $CEF-formaté-receive_time | SRC = $Host | VirtualSystem = $VSys | MSG = $cmd | usrName = $admin | client = $client | Resultat = $result | ConfigurationPath = $Path | Sequence = $seqno | ActionFlags = $actionFlags | BeforeChangeDetail = $Before-change-Detail | AfterChangeDetail = $after-change-Detail | DeviceGroupHierarchyL1 = $DG _hier_level_1 | DeviceGroupHierarchyL2 = $DG _hier_level_2 | DeviceGroupHierarchyL3 = $DG _hier_level_3 | DeviceGroupHierarchyL4 = $DG _hier_level_4 | vSrcName = $VSys Column | DeviceName = $Device Column

 Format du journal système LEEF:

LEEF: 1.0 | Palo Alto réseaux | Intégration de PAN-OS syslog | $sender _sw_version | $EventID | ReceiveTime = $Receive _Time | SerialNumber = $Serial | Cat = $type | SubType = $SubType | devTime = $CEF-formaté-receive_time | VirtualSystem = $VSys | Filename = $Object | Module = $module | SEV = $Number de gravité | Severity = $Severity | MSG = $opaque | Sequence = $seqno | ActionFlags = $actionFlags | DeviceGroupHierarchyL1 = $DG _hier_level_1 | DeviceGroupHierarchyL2 = $DG _hier_level_2 | DeviceGroupHierarchyL3 = $DG _hier_level_3 | DeviceGroupHierarchyL4 = $DG _hier_level_4 | vSrcName = $VSys Column | DeviceName = $Device Column

 HIP match log LEEF format:

LEEF: 1.0 | Palo Alto réseaux | Intégration de PAN-OS syslog | $sender _sw_version | $MatchName | ReceiveTime = $Receive _Time | SerialNumber = $Serial | Cat = $type | SubType = $SubType | devTime = $CEF-formaté-receive_time | usrName = $SrcUser | VirtualSystem = $VSys | identHostName = $MachineName | OS = $OS | identsrc = $SRC | HIP = $MatchName | Répétercompte = $repeatcnt | HIPType = $MatchType | Sequence = $seqno | ActionFlags = $actionFlags | DeviceGroupHierarchyL1 = $DG _hier_level_1 | DeviceGroupHierarchyL2 = $DG _hier_level_2 | DeviceGroupHierarchyL3 = $DG _hier_level_3 | DeviceGroupHierarchyL4 = $DG _hier_level_4 | vSrcName = $VSys Column | DeviceName = $Device Column

 

4. Validez votre configuration mise à jour pour que les modifications prennent effet.

 
Other users also viewed:
Actions
  • Print
  • Copy Link

    https://knowledgebase.paloaltonetworks.com/KCSArticleDetail?id=kA10g000000ClGsCAK&lang=fr&refURL=http%3A%2F%2Fknowledgebase.paloaltonetworks.com%2FKCSArticleDetail

Choose Language