mirror of
https://github.com/Security-Onion-Solutions/securityonion.git
synced 2025-12-06 17:22:49 +01:00
LogStash and Kibana modules - Clean up for new Zeek Version
This commit is contained in:
Mike Reeves
File diff suppressed because one or more lines are too long
@@ -1,12 +1,11 @@
|
|||||||
{
|
{
|
||||||
"index_patterns": ["logstash-ids-*", "logstash-firewall-*", "logstash-syslog-*", "logstash-bro-*", "logstash-import-*"],
|
"index_patterns": ["logstash-ids-*", "logstash-firewall-*", "logstash-syslog-*", "logstash-bro-*", "logstash-import-*", "logstash-beats-*"],
|
||||||
"version":50001,
|
"version":50001,
|
||||||
"order" : 0,
|
"order" : 0,
|
||||||
"settings":{
|
"settings":{
|
||||||
"number_of_replicas":0,
|
"number_of_replicas":0,
|
||||||
"number_of_shards":1,
|
"number_of_shards":1,
|
||||||
"index.refresh_interval":"30s",
|
"index.refresh_interval":"30s"
|
||||||
"index.mapping.total_fields.limit": 10000
|
|
||||||
},
|
},
|
||||||
"mappings":{
|
"mappings":{
|
||||||
"doc":{
|
"doc":{
|
||||||
@@ -145,14 +144,6 @@
|
|||||||
}
|
}
|
||||||
}
|
}
|
||||||
},
|
},
|
||||||
"application_protocol":{
|
|
||||||
"type":"text",
|
|
||||||
"fields":{
|
|
||||||
"keyword":{
|
|
||||||
"type":"keyword"
|
|
||||||
}
|
|
||||||
}
|
|
||||||
},
|
|
||||||
"assigned_ip":{
|
"assigned_ip":{
|
||||||
"type":"ip",
|
"type":"ip",
|
||||||
"fields":{
|
"fields":{
|
||||||
@@ -207,10 +198,6 @@
|
|||||||
"basic_constraints_path_length":{
|
"basic_constraints_path_length":{
|
||||||
"type":"long"
|
"type":"long"
|
||||||
},
|
},
|
||||||
"beat_host":{
|
|
||||||
"type":"object",
|
|
||||||
"dynamic": true
|
|
||||||
},
|
|
||||||
"bound_port":{
|
"bound_port":{
|
||||||
"type":"long"
|
"type":"long"
|
||||||
},
|
},
|
||||||
@@ -502,6 +489,14 @@
|
|||||||
}
|
}
|
||||||
}
|
}
|
||||||
},
|
},
|
||||||
|
"client_fqdn":{
|
||||||
|
"type":"text",
|
||||||
|
"fields":{
|
||||||
|
"keyword":{
|
||||||
|
"type":"keyword"
|
||||||
|
}
|
||||||
|
}
|
||||||
|
},
|
||||||
"client_issuer":{
|
"client_issuer":{
|
||||||
"type":"text",
|
"type":"text",
|
||||||
"fields":{
|
"fields":{
|
||||||
@@ -510,6 +505,14 @@
|
|||||||
}
|
}
|
||||||
}
|
}
|
||||||
},
|
},
|
||||||
|
"client_ip": {
|
||||||
|
"type":"ip",
|
||||||
|
"fields":{
|
||||||
|
"keyword":{
|
||||||
|
"type":"keyword"
|
||||||
|
}
|
||||||
|
}
|
||||||
|
},
|
||||||
"client_major_version":{
|
"client_major_version":{
|
||||||
"type":"long",
|
"type":"long",
|
||||||
"fields":{
|
"fields":{
|
||||||
@@ -518,6 +521,14 @@
|
|||||||
}
|
}
|
||||||
}
|
}
|
||||||
},
|
},
|
||||||
|
"client_message":{
|
||||||
|
"type":"text",
|
||||||
|
"fields":{
|
||||||
|
"keyword":{
|
||||||
|
"type":"keyword"
|
||||||
|
}
|
||||||
|
}
|
||||||
|
},
|
||||||
"client_minor_version":{
|
"client_minor_version":{
|
||||||
"type":"long",
|
"type":"long",
|
||||||
"fields":{
|
"fields":{
|
||||||
@@ -628,6 +639,14 @@
|
|||||||
"creation_time":{
|
"creation_time":{
|
||||||
"type":"date"
|
"type":"date"
|
||||||
},
|
},
|
||||||
|
"client_host_key_algorithms":{
|
||||||
|
"type":"text",
|
||||||
|
"fields":{
|
||||||
|
"keyword":{
|
||||||
|
"type":"keyword"
|
||||||
|
}
|
||||||
|
}
|
||||||
|
},
|
||||||
"current_directory":{
|
"current_directory":{
|
||||||
"type":"text",
|
"type":"text",
|
||||||
"fields":{
|
"fields":{
|
||||||
@@ -865,10 +884,6 @@
|
|||||||
}
|
}
|
||||||
}
|
}
|
||||||
},
|
},
|
||||||
"dhcp":{
|
|
||||||
"type":"object",
|
|
||||||
"dynamic": true
|
|
||||||
},
|
|
||||||
"dir":{
|
"dir":{
|
||||||
"type":"text",
|
"type":"text",
|
||||||
"fields":{
|
"fields":{
|
||||||
@@ -893,10 +908,6 @@
|
|||||||
}
|
}
|
||||||
}
|
}
|
||||||
},
|
},
|
||||||
"dns":{
|
|
||||||
"type":"object",
|
|
||||||
"dynamic": true
|
|
||||||
},
|
|
||||||
"domain_age":{
|
"domain_age":{
|
||||||
"type":"text",
|
"type":"text",
|
||||||
"fields":{
|
"fields":{
|
||||||
@@ -932,10 +943,6 @@
|
|||||||
}
|
}
|
||||||
}
|
}
|
||||||
},
|
},
|
||||||
"email":{
|
|
||||||
"type":"object",
|
|
||||||
"dynamic": true
|
|
||||||
},
|
|
||||||
"enabled":{
|
"enabled":{
|
||||||
"type":"text",
|
"type":"text",
|
||||||
"fields":{
|
"fields":{
|
||||||
@@ -968,14 +975,6 @@
|
|||||||
}
|
}
|
||||||
}
|
}
|
||||||
},
|
},
|
||||||
"engine":{
|
|
||||||
"type":"text",
|
|
||||||
"fields":{
|
|
||||||
"keyword":{
|
|
||||||
"type":"keyword"
|
|
||||||
}
|
|
||||||
}
|
|
||||||
},
|
|
||||||
"entry":{
|
"entry":{
|
||||||
"type":"text",
|
"type":"text",
|
||||||
"fields":{
|
"fields":{
|
||||||
@@ -1091,10 +1090,6 @@
|
|||||||
}
|
}
|
||||||
}
|
}
|
||||||
},
|
},
|
||||||
"fileinfo":{
|
|
||||||
"type":"object",
|
|
||||||
"dynamic": true
|
|
||||||
},
|
|
||||||
"file_ip":{
|
"file_ip":{
|
||||||
"type":"ip",
|
"type":"ip",
|
||||||
"fields":{
|
"fields":{
|
||||||
@@ -1130,18 +1125,6 @@
|
|||||||
}
|
}
|
||||||
}
|
}
|
||||||
},
|
},
|
||||||
"flow":{
|
|
||||||
"type":"object",
|
|
||||||
"dynamic": true
|
|
||||||
},
|
|
||||||
"flow_id":{
|
|
||||||
"type":"text",
|
|
||||||
"fields":{
|
|
||||||
"keyword":{
|
|
||||||
"type":"keyword"
|
|
||||||
}
|
|
||||||
}
|
|
||||||
},
|
|
||||||
"flow_label":{
|
"flow_label":{
|
||||||
"type":"text",
|
"type":"text",
|
||||||
"fields":{
|
"fields":{
|
||||||
@@ -1301,6 +1284,46 @@
|
|||||||
}
|
}
|
||||||
}
|
}
|
||||||
},
|
},
|
||||||
|
"hassh":{
|
||||||
|
"type":"text",
|
||||||
|
"fields":{
|
||||||
|
"keyword":{
|
||||||
|
"type":"keyword"
|
||||||
|
}
|
||||||
|
}
|
||||||
|
},
|
||||||
|
"hassh_algorithms":{
|
||||||
|
"type":"text",
|
||||||
|
"fields":{
|
||||||
|
"keyword":{
|
||||||
|
"type":"keyword"
|
||||||
|
}
|
||||||
|
}
|
||||||
|
},
|
||||||
|
"hassh_server":{
|
||||||
|
"type":"text",
|
||||||
|
"fields":{
|
||||||
|
"keyword":{
|
||||||
|
"type":"keyword"
|
||||||
|
}
|
||||||
|
}
|
||||||
|
},
|
||||||
|
"hassh_server_algorithms":{
|
||||||
|
"type":"text",
|
||||||
|
"fields":{
|
||||||
|
"keyword":{
|
||||||
|
"type":"keyword"
|
||||||
|
}
|
||||||
|
}
|
||||||
|
},
|
||||||
|
"hassh_version":{
|
||||||
|
"type":"text",
|
||||||
|
"fields":{
|
||||||
|
"keyword":{
|
||||||
|
"type":"keyword"
|
||||||
|
}
|
||||||
|
}
|
||||||
|
},
|
||||||
"height":{
|
"height":{
|
||||||
"type":"long"
|
"type":"long"
|
||||||
},
|
},
|
||||||
@@ -1371,10 +1394,6 @@
|
|||||||
}
|
}
|
||||||
}
|
}
|
||||||
},
|
},
|
||||||
"http":{
|
|
||||||
"type":"object",
|
|
||||||
"dynamic": true
|
|
||||||
},
|
|
||||||
"id":{
|
"id":{
|
||||||
"type":"text",
|
"type":"text",
|
||||||
"fields":{
|
"fields":{
|
||||||
@@ -1383,14 +1402,6 @@
|
|||||||
}
|
}
|
||||||
}
|
}
|
||||||
},
|
},
|
||||||
"ids_event_type":{
|
|
||||||
"type":"text",
|
|
||||||
"fields":{
|
|
||||||
"keyword":{
|
|
||||||
"type":"keyword"
|
|
||||||
}
|
|
||||||
}
|
|
||||||
},
|
|
||||||
"iin":{
|
"iin":{
|
||||||
"type":"text",
|
"type":"text",
|
||||||
"fields":{
|
"fields":{
|
||||||
@@ -1668,6 +1679,22 @@
|
|||||||
}
|
}
|
||||||
}
|
}
|
||||||
},
|
},
|
||||||
|
"ja3":{
|
||||||
|
"type":"text",
|
||||||
|
"fields":{
|
||||||
|
"keyword":{
|
||||||
|
"type":"keyword"
|
||||||
|
}
|
||||||
|
}
|
||||||
|
},
|
||||||
|
"ja3s":{
|
||||||
|
"type":"text",
|
||||||
|
"fields":{
|
||||||
|
"keyword":{
|
||||||
|
"type":"keyword"
|
||||||
|
}
|
||||||
|
}
|
||||||
|
},
|
||||||
"kerberos_success":{
|
"kerberos_success":{
|
||||||
"type":"text",
|
"type":"text",
|
||||||
"fields":{
|
"fields":{
|
||||||
@@ -1692,10 +1719,6 @@
|
|||||||
}
|
}
|
||||||
}
|
}
|
||||||
},
|
},
|
||||||
"krb5":{
|
|
||||||
"type":"object",
|
|
||||||
"dynamic": true
|
|
||||||
},
|
|
||||||
"last_alert":{
|
"last_alert":{
|
||||||
"type":"text",
|
"type":"text",
|
||||||
"fields":{
|
"fields":{
|
||||||
@@ -1875,9 +1898,13 @@
|
|||||||
}
|
}
|
||||||
}
|
}
|
||||||
},
|
},
|
||||||
"metadata":{
|
"message_types":{
|
||||||
"type":"object",
|
"type":"text",
|
||||||
"dynamic": true
|
"fields":{
|
||||||
|
"keyword":{
|
||||||
|
"type":"keyword"
|
||||||
|
}
|
||||||
|
}
|
||||||
},
|
},
|
||||||
"method":{
|
"method":{
|
||||||
"type":"text",
|
"type":"text",
|
||||||
@@ -1960,10 +1987,6 @@
|
|||||||
}
|
}
|
||||||
}
|
}
|
||||||
},
|
},
|
||||||
"netflow":{
|
|
||||||
"type":"object",
|
|
||||||
"dynamic": true
|
|
||||||
},
|
|
||||||
"next_protocol":{
|
"next_protocol":{
|
||||||
"type":"text",
|
"type":"text",
|
||||||
"fields":{
|
"fields":{
|
||||||
@@ -2506,6 +2529,14 @@
|
|||||||
}
|
}
|
||||||
}
|
}
|
||||||
},
|
},
|
||||||
|
"requested_ip": {
|
||||||
|
"type":"ip",
|
||||||
|
"fields":{
|
||||||
|
"keyword":{
|
||||||
|
"type":"keyword"
|
||||||
|
}
|
||||||
|
}
|
||||||
|
},
|
||||||
"resp_filenames":{
|
"resp_filenames":{
|
||||||
"type":"text",
|
"type":"text",
|
||||||
"fields":{
|
"fields":{
|
||||||
@@ -2746,6 +2777,22 @@
|
|||||||
}
|
}
|
||||||
}
|
}
|
||||||
},
|
},
|
||||||
|
"server_dns_computer_name":{
|
||||||
|
"type":"text",
|
||||||
|
"fields":{
|
||||||
|
"keyword":{
|
||||||
|
"type":"keyword"
|
||||||
|
}
|
||||||
|
}
|
||||||
|
},
|
||||||
|
"server_ip": {
|
||||||
|
"type":"ip",
|
||||||
|
"fields":{
|
||||||
|
"keyword":{
|
||||||
|
"type":"keyword"
|
||||||
|
}
|
||||||
|
}
|
||||||
|
},
|
||||||
"server_major_version":{
|
"server_major_version":{
|
||||||
"type":"text",
|
"type":"text",
|
||||||
"fields":{
|
"fields":{
|
||||||
@@ -2754,6 +2801,14 @@
|
|||||||
}
|
}
|
||||||
}
|
}
|
||||||
},
|
},
|
||||||
|
"server_message":{
|
||||||
|
"type":"text",
|
||||||
|
"fields":{
|
||||||
|
"keyword":{
|
||||||
|
"type":"keyword"
|
||||||
|
}
|
||||||
|
}
|
||||||
|
},
|
||||||
"server_minor_version":{
|
"server_minor_version":{
|
||||||
"type":"text",
|
"type":"text",
|
||||||
"fields":{
|
"fields":{
|
||||||
@@ -2776,6 +2831,22 @@
|
|||||||
"server_name_length":{
|
"server_name_length":{
|
||||||
"type":"long"
|
"type":"long"
|
||||||
},
|
},
|
||||||
|
"server_nb_computer_name":{
|
||||||
|
"type":"text",
|
||||||
|
"fields":{
|
||||||
|
"keyword":{
|
||||||
|
"type":"keyword"
|
||||||
|
}
|
||||||
|
}
|
||||||
|
},
|
||||||
|
"server_tree_name":{
|
||||||
|
"type":"text",
|
||||||
|
"fields":{
|
||||||
|
"keyword":{
|
||||||
|
"type":"keyword"
|
||||||
|
}
|
||||||
|
}
|
||||||
|
},
|
||||||
"service":{
|
"service":{
|
||||||
"type":"text",
|
"type":"text",
|
||||||
"fields":{
|
"fields":{
|
||||||
@@ -2859,14 +2930,6 @@
|
|||||||
}
|
}
|
||||||
}
|
}
|
||||||
},
|
},
|
||||||
"smb":{
|
|
||||||
"type":"object",
|
|
||||||
"dynamic": true
|
|
||||||
},
|
|
||||||
"smtp":{
|
|
||||||
"type":"object",
|
|
||||||
"dynamic": true
|
|
||||||
},
|
|
||||||
"software_type":{
|
"software_type":{
|
||||||
"type":"text",
|
"type":"text",
|
||||||
"fields":{
|
"fields":{
|
||||||
@@ -2984,6 +3047,14 @@
|
|||||||
}
|
}
|
||||||
}
|
}
|
||||||
},
|
},
|
||||||
|
"server_host_key_algorithms":{
|
||||||
|
"type":"text",
|
||||||
|
"fields":{
|
||||||
|
"keyword":{
|
||||||
|
"type":"keyword"
|
||||||
|
}
|
||||||
|
}
|
||||||
|
},
|
||||||
"status":{
|
"status":{
|
||||||
"type":"text",
|
"type":"text",
|
||||||
"fields":{
|
"fields":{
|
||||||
@@ -3159,10 +3230,6 @@
|
|||||||
}
|
}
|
||||||
}
|
}
|
||||||
},
|
},
|
||||||
"tcp":{
|
|
||||||
"type":"object",
|
|
||||||
"dynamic": true
|
|
||||||
},
|
|
||||||
"tcp_flags":{
|
"tcp_flags":{
|
||||||
"type":"text",
|
"type":"text",
|
||||||
"fields":{
|
"fields":{
|
||||||
@@ -3312,14 +3379,6 @@
|
|||||||
}
|
}
|
||||||
}
|
}
|
||||||
},
|
},
|
||||||
"tx_id":{
|
|
||||||
"type":"text",
|
|
||||||
"fields":{
|
|
||||||
"keyword":{
|
|
||||||
"type":"keyword"
|
|
||||||
}
|
|
||||||
}
|
|
||||||
},
|
|
||||||
"type":{
|
"type":{
|
||||||
"type":"text",
|
"type":"text",
|
||||||
"fields":{
|
"fields":{
|
||||||
@@ -3371,14 +3430,6 @@
|
|||||||
"uri_length":{
|
"uri_length":{
|
||||||
"type":"long"
|
"type":"long"
|
||||||
},
|
},
|
||||||
"url":{
|
|
||||||
"type":"text",
|
|
||||||
"fields": {
|
|
||||||
"keyword":{
|
|
||||||
"type":"keyword"
|
|
||||||
}
|
|
||||||
}
|
|
||||||
},
|
|
||||||
"username":{
|
"username":{
|
||||||
"type":"text",
|
"type":"text",
|
||||||
"fields": {
|
"fields": {
|
||||||
|
|||||||
Reference in New Issue
Block a user