Skip to main content

PaloAlto

Palo Alto Networks (PAN-OS) — источник событий безопасности и сетевой активности, поступающих с NGFW. Логи включают данные о сессиях, трафике, угрозах, системных событиях, аутентификации и администрировании. Используются для корреляции инцидентов, выявления атак и анализа сетевого поведения. 

Типы собираемых событий

  • Аутентификация
  • Изменение конфигурации
  • Информация о сетевых сессиях

Способ интеграции - Syslog

Примеры событий 

<14>Oct 23 19:57:20 DEMO-NGFW 1,2025/10/23 19:57:20,007954000611466,TRAFFIC,end,2562,2025/10/23 19:57:20,172.16.1.101,8.8.8.8,1.2.9.5,8.8.8.8,Allow - to Internet,,,dns-base,vsys1,Zone1,Zone2,ethernet1/5,ethernet1/4,Rule1,2025/10/23 19:57:20,226468,1,62119,53,1757,53,0x400019,udp,allow,262,99,163,2,2025/10/23 19:56:48,0,any,,7553303471644639363,0x0,172.16.0.0-172.31.255.255,United States,,1,1,aged-out,0,0,0,0,,DEMO-NGFW,from-policy,,,0,,0,,N/A,0,0,0,0,c950b3fc-0861-4869-b734-cda049e8efb9,0,0,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,2025-10-23T19:57:20.110+05:00,,,infrastructure,networking,network-protocol,3,"used-by-malware,has-known-vulnerability,pervasive-use",dns,dns-base,no,no,0
<12>Oct 23 20:07:11 DEMO-NGFW 1,2025/10/23 20:07:11,007954000611466,SYSTEM,auth,2562,2025/10/23 20:07:11,,auth-fail,,0,0,general,medium,"failed authentication for user 'admin'.  Reason: Invalid username/password. From: 172.16.1.2.",7553303475874058474,0x0,0,0,0,0,,DEMO-NGFW,0,0,2025-10-23T20:07:11.169+05:00
<14>Oct 23 20:05:01 DEMO-NGFW 1,2025/10/23 20:05:01,007954000611466,SYSTEM,auth,2562,2025/10/23 20:05:01,,auth-success,,0,0,general,informational,"authenticated for user 'admin'.   From: 172.16.1.2.",7553303475874058376,0x0,0,0,0,0,,DEMO-NGFW,0,0,2025-10-23T20:05:01.544+05:00
<14>Oct 23 20:09:16 DEMO-NGFW 1,2025/10/23 20:09:16,007954000611466,SYSTEM,general,2562,2025/10/23 20:09:16,,general,,0,0,general,informational,"Connection to Update server: updates.paloaltonetworks.com completed successfully, initiated by 18.22.91.5",7553303475874058563,0x0,0,0,0,0,,DEMO-NGFW,0,0,2025-10-23T20:09:16.798+05:00
<14>Oct 23 20:07:20 DEMO-NGFW 1,2025/10/23 20:07:20,007954000611466,SYSTEM,general,2562,2025/10/23 20:07:20,,general,,0,0,general,informational,"User admin logged in via Web from 172.16.1.2 using https",7553303475874058485,0x0,0,0,0,0,,DEMO-NGFW,0,0,2025-10-23T20:07:20.811+05:00
<14>Oct 23 20:10:21 DEMO-NGFW 1,2025/10/23 20:10:20,007954000611466,SYSTEM,vpn,2562,2025/10/23 20:10:21,,ike-generic-event,,0,0,general,informational,"unknown ikev2 peer",7553303475874058609,0x0,0,0,0,0,,DEMO-NGFW,0,0,2025-10-23T20:10:21.145+05:00


Пошаговая настройка отправки событий web UI

Рекомендуется настраивать фильтрацию сетевых событий (src, dst, port) на принимающем сервере для снижения утилизации лицензии

Настройка производится через Web-интерфейс Palo Alto NGFW, для выполнения настроек откройте в браузере Web-консоль и войдите под учетной записью с правами администратора.

Добавление Syslog-профиля
  1. Перейдите в раздел “Device” → “Server Profiles” → “Syslog”, нажмите “Add” для добавления нового профиля.

image.png

2. В окне создания профиля (Syslog Server Profile) укажите удобное имя в поле “Name” и нажмите “Add” для добавления Syslog-сервера, в параметрах сервера укажите:

image.png

  • Name - произвольное имя для индентификации Syslog-сервера;
  • Syslog Server - DNS-имя или IP-адрес принимающего Syslog-сервера;
  • Transport - выберите UDP / TCP / SSL (используется шифрование поверх TCP)
  • Port - порт принимающего Syslog-сервера;
  • Format = BSD (по умолчанию)
  • Facility = LOG_USER (по умолчанию)

Сохраните изменения - “ОК

Настройка отправки системных событий
  1. Передите в раздел “DeviceLog Settings

image.png

  1. Добавьте идентичные настройки для блоков:

    1. System
    2. Configuration
    3. User-ID
    4. GlobalProtect

    Для добавления конфигурации нажмите “Add” в каждой необходимой секции (System, Configuration, User-ID, GlobalProtect) и заполните следующие параметры:

Создайте аналогичные профили настроек для Configuration, User-ID, GlobalProtect

image.png

  • Name - произвольное имя для индентификации профиля настроек;
  • Filter = All Logs (по умолчанию)
  • Syslog - в данном разделе добавьте ранее созданный Syslog Server Profile

Сохраните изменения - “ОК

Добавление профиля отправки событий
  1. Перейдите в раздел “Objects” → “Log Forwarding”, нажмите “Add” для добавления нового профиля

image.png

2. В открывшемся окне (Log Forwarding Profile) укажите произвольное имя (поле ”Name”) и нажмите “Add” для добавления списка соответствия

image.png

3. Добавьте список соответствия для событий о сетевых сессиях (traffic), для этого в окне добавления списка соответствия (Log Forwarding Profile Match List) укажите:

image.png

  • Name - произвольное имя списка соответствия (должно быть уникально в рамках одного Log Forwarding Profile)
  • Log type = traffic
  • Filter = All Logs
  • Syslog - в данном разделе добавьте ранее созданный Syslog Server Profile

Сохраните изменения - “ОК

4.  Добавьте список соответствия для событий аутентификации (auth), для этого в окне добавления списка соответствия (Log Forwarding Profile Match List) укажите:

image.png

  • Name - произвольное имя списка соответствия (должно быть уникально в рамках одного Log Forwarding Profile)
  • Log type = auth
  • Filter = All Logs
  • Syslog - в данном разделе добавьте ранее созданный Syslog Server Profile

Сохраните изменения - “ОК

5. Добавьте список соответствия для событий об угрозах (threat), для этого в окне добавления списка соответствия (Log Forwarding Profile Match List) укажите:

image.png

  • Name - произвольное имя списка соответствия (должно быть уникально в рамках одного Log Forwarding Profile)
  • Log type = threat
  • Filter = All Logs
  • Syslog - в данном разделе добавьте ранее созданный Syslog Server Profile

Сохраните изменения - “ОК

6. Добавьте список соответствия для событий о фильтрации URL (url), для этого в окне добавления списка соответствия (Log Forwarding Profile Match List) укажите:

image.png

  • Name - произвольное имя списка соответствия (должно быть уникально в рамках одного Log Forwarding Profile)
  • Log type = url
  • Filter = All Logs
  • Syslog - в данном разделе добавьте ранее созданный Syslog Server Profile

Сохраните изменения - “ОК

  1. В результате, в окне Log Forwarding Profile, у вас должно быть 4 списка соответствия, для сохранения нажмите “OK

image.png

Настройка логирования сетевых сессий в правилах Firewall

Для того, чтобы NGFW логировал события о сетевых сессиях и мог их передать на внешний Syslog-сервер необходимо включить логирование в правилах FW.

Рекомендуется включать логирование во всех правилах для полноценной видимости трафика.

image.png

  1. Перейдите в раздел “Policies” → “Security

  2. Откройте необходимое правило (рекомендуется сделать для всех правил), в разделе “Action” укажите:

    • Log at Session End - включить
    • Log forwarding - выберите профиль отправки отправки событий, созданный на предыдущем этапе

    Сохраните изменения - “ОК

Настройка адреса источника

Для того, чтобы NGFW отправлял события по Syslog необходимо выбрать сетевой интерфейс NGFW и адрес на этом интерфейсе с которого будет осуществляться отправка.

image.png

  1. Перейдите в раздел “Device” → “Setup” → “Services”, откройте настройки маршрутизации для сервисов (Service Route Configuration);

  2. В открывшемся окне (Service Route Configuration), во вкладке IPv4 выберите “Syslog”

  3. В настройках маршрутизации сервиса Syslog укажите:

    • Source Interface - выберите сетевой интерфейс NGFW, с которого должна осуществляться отправка
    • Source Address - выберите IP-адрес с которого будут отправляться события

    Сохраните изменения - “ОК

  4. В окне “Service Route Configuration” сохраните изменения - ОК

Примените изменения
  1. В Web-консоли, в верхнем правом углу нажмите “Commit”, валидируйте изменения и приметите их - “Commit

image.png

No comments to display

Back to top