LEEF 形式でログを生成するための PAN-OS 7.1 ゲートウェイの構成
37756
Created On 09/25/18 17:36 PM - Last Modified 06/13/23 13:53 PM
Resolution
概要
このドキュメントでは、LEEF 形式の syslog レシーバにログを転送するために、pan-os 7.1 を実行しているパロアルトネットワークの pan-os ゲートウェイを構成する手順について説明します。LEEF 形式スキーマは、トラフィック、脅威、構成、システム、およびヒップマッチのログに対して提供されます。このドキュメントでは、相関ログについては説明しません。
WebUI の構成手順
1。オプション生成されたログに FQDN ではなく IPv4/IPv6 アドレスまたはホスト名を送信するようにデバイスを構成するには、[デバイス]、[セットアップ]、[管理]、[ログとレポートの設定] の順に選択します。[ログのエクスポートとレポート] タブで、[Syslog ホスト名の形式] ドロップダウンをクリックして、優先する識別方法を選択します。
2。 [デバイス]、[サーバープロファイル]、[syslog] の順に選択し 、新しい syslog サーバープロファイル名を指定します。[追加] をクリックして、 Syslog サーバー名、IP アドレス、トランスポートメソッド (TCP または UDP)、ポート (例: 514)、フォーマット (BSD または IEEE)、およびファシリティ (例 : LOG_LOCAL0)。
3。 [カスタムログ形式] タブをクリックし、指定されたログの種類 (構成、システム、脅威、トラフィック、およびヒップマッチ) のいずれかを選択して、指定した種類の LEEF ログ形式を定義します。
トラフィックログ LEEF 形式:
LEEF: 1.0 |パロアルトネットワーク |汎 OS Syslog 統合 | $sender _sw_version | $action | 猫 = $type |ReceiveTime = $receive _time |SerialNumber = $serial |タイプ = $type |サブタイプ = $subtype | devTime = $cef-フォーマット-receive_time | src = $src | dst = $dst | srcPostNAT = $natsrc | dstPostNAT = $natdst |RuleName = $rule | usrName = $srcuser |SourceUser = $srcuser |DestinationUser = $dstuser |アプリケーション = $app |VirtualSystem = $vsys |SourceZone = $from |DestinationZone = $to |IngressInterface = $inbound _if |EgressInterface = $outbound _if |LogForwardingProfile = $logset |セッション: $sessionid |RepeatCount = $repeatcnt | srcPort = $sport | dstPort = $dport | srcPostNATPort = $natsport | dstPostNATPort = $natdport |フラグ = $flags | プロト = $proto | アクション = $action | totalBytes = $bytes | dstBytes = $bytes _received | srcBytes = $bytes _sent | totalPackets = $packets |StartTime = $start |ElapsedTime = $elapsed |URLCategory = $category | シーケンス = $seqno |ActionFlags = $actionflags |SourceLocation = $srcloc |DestinationLocation = $dstloc | dstPackets = $pkts _received | srcPackets = $pkts _sent |SessionEndReason = $session _end_reason |DeviceGroupHierarchyL1 = $dg _hier_level_1 |DeviceGroupHierarchyL2 = $dg _hier_level_2 |DeviceGroupHierarchyL3 = $dg _hier_level_3 |DeviceGroupHierarchyL4 = $dg _hier_level_4 | vSrcName = $vsys _name |DeviceName = $device _name |ActionSource = $action _source
脅威ログ LEEF 形式:
LEEF: 1.0 |パロアルトネットワーク |汎 OS Syslog 統合 | $sender _sw_version | $threatid |ReceiveTime = $receive _time |SerialNumber = $serial | 猫 = $type |サブタイプ = $subtype | devTime = $cef-フォーマット-receive_time | src = $src | dst = $dst | srcPostNAT = $natsrc | dstPostNAT = $natdst |RuleName = $rule | usrName = $srcuser |SourceUser = $srcuser |DestinationUser = $dstuser |アプリケーション = $app |VirtualSystem = $vsys |SourceZone = $from |DestinationZone = $to |IngressInterface = $inbound _if |EgressInterface = $outbound _if |LogForwardingProfile = $logset |セッション: $sessionid |RepeatCount = $repeatcnt | srcPort = $sport | dstPort = $dport | srcPostNATPort = $natsport | dstPostNATPort = $natdport |フラグ = $flags | プロト = $proto | アクション = $action |その他 = $misc |ThreatID = $threatid |URLCategory = $category | 重大度の $number-深刻度 |重大度 = $severity |方向 = $direction | シーケンス = $seqno |ActionFlags = $actionflags |SourceLocation = $srcloc |DestinationLocation = $dstloc |ContentType = $contenttype |PCAP_ID = $pcap _id |FileDigest = $filedigest |クラウド = $cloud |URLIndex = $url _idx |UserAgent = $user _agent |タイプ = $filetype | identsrc = $xff |Referer = $referer |送信者 = $sender |件名 = $subject |受取人 = $recipient |ReportID = $reportid |DeviceGroupHierarchyL1 = $dg _hier_level_1 |DeviceGroupHierarchyL2 = $dg _hier_level_2 |DeviceGroupHierarchyL3 = $dg _hier_level_3 |DeviceGroupHierarchyL4 = $dg _hier_level_4 | vSrcName = $vsys _name |DeviceName = $device _name
設定ログ LEEF 形式:
LEEF: 1.0 |パロアルトネットワーク |汎 OS Syslog 統合 | $sender _sw_version | $result |ReceiveTime = $receive _time |SerialNumber = $serial | cat = $type | devTime = $cef-フォーマット-receive_time | src = $host |VirtualSystem = $vsys |msg = $cmd | usrName = $admin | クライアント = $client |結果 = $result |ConfigurationPath = $path | シーケンス = $seqno |ActionFlags = $actionflags |BeforeChangeDetail = $before-変更-詳細 |AfterChangeDetail = $after-変更-詳細 |DeviceGroupHierarchyL1 = $dg _hier_level_1 |DeviceGroupHierarchyL2 = $dg _hier_level_2 |DeviceGroupHierarchyL3 = $dg _hier_level_3 |DeviceGroupHierarchyL4 = $dg _hier_level_4 | vSrcName = $vsys _name |DeviceName = $device _name
システムログ LEEF 形式:
LEEF: 1.0 |パロアルトネットワーク |汎 OS Syslog 統合 | $sender _sw_version | $eventid |ReceiveTime = $receive _time |SerialNumber = $serial | cat = $type | サブタイプ = $subtype | devTime = $cef-フォーマット-receive_time |VirtualSystem = $vsys |ファイル名 = $object |モジュール = $module | 重大度の $number-深刻度 |重大度 = $severity | msg = $opaque |シーケンス = $seqno |ActionFlags = $actionflags |DeviceGroupHierarchyL1 = $dg _hier_level_1 |DeviceGroupHierarchyL2 = $dg _hier_level_2 |DeviceGroupHierarchyL3 = $dg _hier_level_3 |DeviceGroupHierarchyL4 = $dg _hier_level_4 | vSrcName = $vsys _name |DeviceName = $device _name
ヒップマッチログ LEEF 形式:
LEEF: 1.0 |パロアルトネットワーク |汎 OS Syslog 統合 | $sender _sw_version | $matchname |ReceiveTime = $receive _time |SerialNumber = $serial | 猫 = $type |サブタイプ = $subtype | devTime = $cef-フォーマット-receive_time | usrName = $srcuser |VirtualSystem = $vsys | identHostName = $machinename |OS = $os | identsrc = $src |ヒップ = $matchname |RepeatCount = $repeatcnt |HIPType = $matchtype | シーケンス = $seqno |ActionFlags = $actionflags |DeviceGroupHierarchyL1 = $dg _hier_level_1 |DeviceGroupHierarchyL2 = $dg _hier_level_2 |DeviceGroupHierarchyL3 = $dg _hier_level_3 |DeviceGroupHierarchyL4 = $dg _hier_level_4 | vSrcName = $vsys _name |DeviceName = $device _name
4. 変更を有効にするために、更新された構成をコミットします。