From 056e22dd1118fd0487116fcf815948c38a88fbce Mon Sep 17 00:00:00 2001 From: Wes Lambert Date: Fri, 30 Nov 2018 13:22:31 +0000 Subject: [PATCH] Logstash - Update template for Suricata metadata fields --- salt/logstash/etc/logstash-template.json | 87 +++++++++++++++++++++++- 1 file changed, 86 insertions(+), 1 deletion(-) diff --git a/salt/logstash/etc/logstash-template.json b/salt/logstash/etc/logstash-template.json index 6822a82a3..70d7624a1 100644 --- a/salt/logstash/etc/logstash-template.json +++ b/salt/logstash/etc/logstash-template.json @@ -5,7 +5,8 @@ "settings":{ "number_of_replicas":0, "number_of_shards":1, - "index.refresh_interval":"30s" + "index.refresh_interval":"30s", + "index.mapping.total_fields.limit": 10000 }, "mappings":{ "doc":{ @@ -206,6 +207,10 @@ "basic_constraints_path_length":{ "type":"long" }, + "beat_host":{ + "type":"object", + "dynamic": true + }, "bound_port":{ "type":"long" }, @@ -860,6 +865,10 @@ } } }, + "dhcp":{ + "type":"object", + "dynamic": true + }, "dir":{ "type":"text", "fields":{ @@ -884,6 +893,10 @@ } } }, + "dns":{ + "type":"object", + "dynamic": true + }, "domain_age":{ "type":"text", "fields":{ @@ -919,6 +932,10 @@ } } }, + "email":{ + "type":"object", + "dynamic": true + }, "enabled":{ "type":"text", "fields":{ @@ -951,6 +968,14 @@ } } }, + "engine":{ + "type":"text", + "fields":{ + "keyword":{ + "type":"keyword" + } + } + }, "entry":{ "type":"text", "fields":{ @@ -1066,6 +1091,10 @@ } } }, + "fileinfo":{ + "type":"object", + "dynamic": true + }, "file_ip":{ "type":"ip", "fields":{ @@ -1101,6 +1130,10 @@ } } }, + "flow":{ + "type":"object", + "dynamic": true + }, "flow_id":{ "type":"text", "fields":{ @@ -1338,6 +1371,10 @@ } } }, + "http":{ + "type":"object", + "dynamic": true + }, "id":{ "type":"text", "fields":{ @@ -1346,6 +1383,14 @@ } } }, + "ids_event_type":{ + "type":"text", + "fields":{ + "keyword":{ + "type":"keyword" + } + } + }, "iin":{ "type":"text", "fields":{ @@ -1647,6 +1692,10 @@ } } }, + "krb5":{ + "type":"object", + "dynamic": true + }, "last_alert":{ "type":"text", "fields":{ @@ -1826,6 +1875,10 @@ } } }, + "metadata":{ + "type":"object", + "dynamic": true + }, "method":{ "type":"text", "fields":{ @@ -1907,6 +1960,10 @@ } } }, + "netflow":{ + "type":"object", + "dynamic": true + }, "next_protocol":{ "type":"text", "fields":{ @@ -2802,6 +2859,14 @@ } } }, + "smb":{ + "type":"object", + "dynamic": true + }, + "smtp":{ + "type":"object", + "dynamic": true + }, "software_type":{ "type":"text", "fields":{ @@ -3094,6 +3159,10 @@ } } }, + "tcp":{ + "type":"object", + "dynamic": true + }, "tcp_flags":{ "type":"text", "fields":{ @@ -3243,6 +3312,14 @@ } } }, + "tx_id":{ + "type":"text", + "fields":{ + "keyword":{ + "type":"keyword" + } + } + }, "type":{ "type":"text", "fields":{ @@ -3294,6 +3371,14 @@ "uri_length":{ "type":"long" }, + "url":{ + "type":"text", + "fields": { + "keyword":{ + "type":"keyword" + } + } + }, "username":{ "type":"text", "fields": {