LEEF 形式でログを生成するための PAN-OS 7.1 ゲートウェイの構成

37756

Created On 09/25/18 17:36 PM - Last Modified 06/13/23 13:53 PM

Resolution

概要

このドキュメントでは、LEEF 形式の syslog レシーバにログを転送するために、pan-os 7.1 を実行しているパロアルトネットワークの pan-os ゲートウェイを構成する手順について説明します。LEEF 形式スキーマは、トラフィック、脅威、構成、システム、およびヒップマッチのログに対して提供されます。このドキュメントでは、相関ログについては説明しません。

WebUI の構成手順

1。オプション生成されたログに FQDN ではなく IPv4/IPv6 アドレスまたはホスト名を送信するようにデバイスを構成するには、[デバイス]、[セットアップ]、[管理]、[ログとレポートの設定] の順に選択します。[ログのエクスポートとレポート] タブで、[Syslog ホスト名の形式] ドロップダウンをクリックして、優先する識別方法を選択します。

スクリーンショット2016-08-18 で 1.17.34 pm.

2。 [デバイス]、[サーバープロファイル]、[syslog] の順に選択し、新しい syslog サーバープロファイル名を指定します。[追加] をクリックして、 Syslog サーバー名、IP アドレス、トランスポートメソッド (TCP または UDP)、ポート (例: 514)、フォーマット (BSD または IEEE)、およびファシリティ (例 : LOG_LOCAL0)。

スクリーンショット2016-08-18 で 1.31.29 pm.

3。 [カスタムログ形式] タブをクリックし、指定されたログの種類 (構成、システム、脅威、トラフィック、およびヒップマッチ) のいずれかを選択して、指定した種類の LEEF ログ形式を定義します。

スクリーンショット2016-08-18 で 1.33.08 pm.

トラフィックログ LEEF 形式:

LEEF: 1.0 |パロアルトネットワーク |汎 OS Syslog 統合 | $sender _sw_version | $action | 猫 = $type |ReceiveTime = $receive _time |SerialNumber = $serial |タイプ = $type |サブタイプ = $subtype | devTime = $cef-フォーマット-receive_time | src = $src | dst = $dst | srcPostNAT = $natsrc | dstPostNAT = $natdst |RuleName = $rule | usrName = $srcuser |SourceUser = $srcuser |DestinationUser = $dstuser |アプリケーション = $app |VirtualSystem = $vsys |SourceZone = $from |DestinationZone = $to |IngressInterface = $inbound _if |EgressInterface = $outbound _if |LogForwardingProfile = $logset |セッション: $sessionid |RepeatCount = $repeatcnt | srcPort = $sport | dstPort = $dport | srcPostNATPort = $natsport | dstPostNATPort = $natdport |フラグ = $flags | プロト = $proto | アクション = $action | totalBytes = $bytes | dstBytes = $bytes _received | srcBytes = $bytes _sent | totalPackets = $packets |StartTime = $start |ElapsedTime = $elapsed |URLCategory = $category | シーケンス = $seqno |ActionFlags = $actionflags |SourceLocation = $srcloc |DestinationLocation = $dstloc | dstPackets = $pkts _received | srcPackets = $pkts _sent |SessionEndReason = $session _end_reason |DeviceGroupHierarchyL1 = $dg _hier_level_1 |DeviceGroupHierarchyL2 = $dg _hier_level_2 |DeviceGroupHierarchyL3 = $dg _hier_level_3 |DeviceGroupHierarchyL4 = $dg _hier_level_4 | vSrcName = $vsys _name |DeviceName = $device _name |ActionSource = $action _source

脅威ログ LEEF 形式:

LEEF: 1.0 |パロアルトネットワーク |汎 OS Syslog 統合 | $sender _sw_version | $threatid |ReceiveTime = $receive _time |SerialNumber = $serial | 猫 = $type |サブタイプ = $subtype | devTime = $cef-フォーマット-receive_time | src = $src | dst = $dst | srcPostNAT = $natsrc | dstPostNAT = $natdst |RuleName = $rule | usrName = $srcuser |SourceUser = $srcuser |DestinationUser = $dstuser |アプリケーション = $app |VirtualSystem = $vsys |SourceZone = $from |DestinationZone = $to |IngressInterface = $inbound _if |EgressInterface = $outbound _if |LogForwardingProfile = $logset |セッション: $sessionid |RepeatCount = $repeatcnt | srcPort = $sport | dstPort = $dport | srcPostNATPort = $natsport | dstPostNATPort = $natdport |フラグ = $flags | プロト = $proto | アクション = $action |その他 = $misc |ThreatID = $threatid |URLCategory = $category | 重大度の $number-深刻度 |重大度 = $severity |方向 = $direction | シーケンス = $seqno |ActionFlags = $actionflags |SourceLocation = $srcloc |DestinationLocation = $dstloc |ContentType = $contenttype |PCAP_ID = $pcap _id |FileDigest = $filedigest |クラウド = $cloud |URLIndex = $url _idx |UserAgent = $user _agent |タイプ = $filetype | identsrc = $xff |Referer = $referer |送信者 = $sender |件名 = $subject |受取人 = $recipient |ReportID = $reportid |DeviceGroupHierarchyL1 = $dg _hier_level_1 |DeviceGroupHierarchyL2 = $dg _hier_level_2 |DeviceGroupHierarchyL3 = $dg _hier_level_3 |DeviceGroupHierarchyL4 = $dg _hier_level_4 | vSrcName = $vsys _name |DeviceName = $device _name

設定ログ LEEF 形式:

LEEF: 1.0 |パロアルトネットワーク |汎 OS Syslog 統合 | $sender _sw_version | $result |ReceiveTime = $receive _time |SerialNumber = $serial | cat = $type | devTime = $cef-フォーマット-receive_time | src = $host |VirtualSystem = $vsys |msg = $cmd | usrName = $admin | クライアント = $client |結果 = $result |ConfigurationPath = $path | シーケンス = $seqno |ActionFlags = $actionflags |BeforeChangeDetail = $before-変更-詳細 |AfterChangeDetail = $after-変更-詳細 |DeviceGroupHierarchyL1 = $dg _hier_level_1 |DeviceGroupHierarchyL2 = $dg _hier_level_2 |DeviceGroupHierarchyL3 = $dg _hier_level_3 |DeviceGroupHierarchyL4 = $dg _hier_level_4 | vSrcName = $vsys _name |DeviceName = $device _name

システムログ LEEF 形式:

LEEF: 1.0 |パロアルトネットワーク |汎 OS Syslog 統合 | $sender _sw_version | $eventid |ReceiveTime = $receive _time |SerialNumber = $serial | cat = $type | サブタイプ = $subtype | devTime = $cef-フォーマット-receive_time |VirtualSystem = $vsys |ファイル名 = $object |モジュール = $module | 重大度の $number-深刻度 |重大度 = $severity | msg = $opaque |シーケンス = $seqno |ActionFlags = $actionflags |DeviceGroupHierarchyL1 = $dg _hier_level_1 |DeviceGroupHierarchyL2 = $dg _hier_level_2 |DeviceGroupHierarchyL3 = $dg _hier_level_3 |DeviceGroupHierarchyL4 = $dg _hier_level_4 | vSrcName = $vsys _name |DeviceName = $device _name

ヒップマッチログ LEEF 形式:

LEEF: 1.0 |パロアルトネットワーク |汎 OS Syslog 統合 | $sender _sw_version | $matchname |ReceiveTime = $receive _time |SerialNumber = $serial | 猫 = $type |サブタイプ = $subtype | devTime = $cef-フォーマット-receive_time | usrName = $srcuser |VirtualSystem = $vsys | identHostName = $machinename |OS = $os | identsrc = $src |ヒップ = $matchname |RepeatCount = $repeatcnt |HIPType = $matchtype | シーケンス = $seqno |ActionFlags = $actionflags |DeviceGroupHierarchyL1 = $dg _hier_level_1 |DeviceGroupHierarchyL2 = $dg _hier_level_2 |DeviceGroupHierarchyL3 = $dg _hier_level_3 |DeviceGroupHierarchyL4 = $dg _hier_level_4 | vSrcName = $vsys _name |DeviceName = $device _name

4. 変更を有効にするために、更新された構成をコミットします。