LogStash and Kibana modules - Clean up for new Zeek Version

2025-12-06 09:12:45 +01:00 · 2019-01-15 10:51:30 -05:00
parent 7e4264fa60
commit 05a4c6410f
2 changed files with 153 additions and 266 deletions
--- a/salt/kibana/custom/osquery-dashboard.json
+++ b/salt/kibana/custom/osquery-dashboard.json
--- a/salt/logstash/etc/logstash-template.json
+++ b/salt/logstash/etc/logstash-template.json
@@ -1,12 +1,11 @@
 {
-  "index_patterns": ["logstash-ids-*", "logstash-firewall-*", "logstash-syslog-*", "logstash-bro-*", "logstash-import-*"],
+  "index_patterns": ["logstash-ids-*", "logstash-firewall-*", "logstash-syslog-*", "logstash-bro-*", "logstash-import-*", "logstash-beats-*"],
  "version":50001,
  "order" : 0,
  "settings":{
    "number_of_replicas":0,
    "number_of_shards":1,
-    "index.refresh_interval":"30s",
-    "index.mapping.total_fields.limit": 10000
+    "index.refresh_interval":"30s"
  },
  "mappings":{
    "doc":{
@@ -145,14 +144,6 @@
            }
          }
        },
-	"application_protocol":{
-          "type":"text",
-          "fields":{
-            "keyword":{
-              "type":"keyword"
-            }
-          }
-        },
        "assigned_ip":{
          "type":"ip",
          "fields":{
@@ -207,10 +198,6 @@
        "basic_constraints_path_length":{
          "type":"long"
        },
-	"beat_host":{
-          "type":"object",
-          "dynamic": true
-        },
        "bound_port":{
          "type":"long"
        },
@@ -502,6 +489,14 @@
            }
          }
        },
+        "client_fqdn":{
+          "type":"text",
+          "fields":{
+            "keyword":{
+              "type":"keyword"
+            }
+          }
+        },
        "client_issuer":{
          "type":"text",
          "fields":{
@@ -510,6 +505,14 @@
            }
          }
        },
+        "client_ip": {
+         "type":"ip",
+          "fields":{
+            "keyword":{
+              "type":"keyword"
+            }
+          }
+        },
        "client_major_version":{
          "type":"long",
          "fields":{
@@ -518,6 +521,14 @@
            }
          }
        },
+        "client_message":{
+          "type":"text",
+          "fields":{
+            "keyword":{
+              "type":"keyword"
+            }
+          }
+        },
        "client_minor_version":{
          "type":"long",
          "fields":{
@@ -628,6 +639,14 @@
        "creation_time":{
          "type":"date"
        },
+	"client_host_key_algorithms":{
+          "type":"text",
+          "fields":{
+            "keyword":{
+              "type":"keyword"
+            }
+          }
+        },
        "current_directory":{
          "type":"text",
          "fields":{
@@ -865,10 +884,6 @@
            }
          }
        },
-        "dhcp":{
-          "type":"object",
-          "dynamic": true
-        },	
        "dir":{
          "type":"text",
          "fields":{
@@ -893,10 +908,6 @@
            }
          }
        },
-	"dns":{
-          "type":"object",
-          "dynamic": true
-        },
        "domain_age":{
           "type":"text",
          "fields":{
@@ -932,10 +943,6 @@
            }
          }
        },
-	"email":{
-          "type":"object",
-          "dynamic": true
-        },
        "enabled":{
          "type":"text",
          "fields":{
@@ -968,14 +975,6 @@
            }
          }
        },
-	"engine":{
-          "type":"text",
-          "fields":{
-            "keyword":{
-              "type":"keyword"
-            }
-          }
-        },
        "entry":{
          "type":"text",
          "fields":{
@@ -1091,10 +1090,6 @@
            }
          }
        },
-	"fileinfo":{
-          "type":"object",
-          "dynamic": true
-        },
        "file_ip":{
          "type":"ip",
          "fields":{
@@ -1130,18 +1125,6 @@
            }
          }
        },
-	"flow":{
-          "type":"object",
-          "dynamic": true
-        },
-	"flow_id":{
-          "type":"text",
-          "fields":{
-            "keyword":{
-              "type":"keyword"
-            }
-          }
-        },
        "flow_label":{
          "type":"text",
          "fields":{
@@ -1301,6 +1284,46 @@
            }
          }
        },
+	"hassh":{
+          "type":"text",
+          "fields":{
+            "keyword":{
+              "type":"keyword"
+            }
+          }
+        },
+	"hassh_algorithms":{
+          "type":"text",
+          "fields":{
+            "keyword":{
+              "type":"keyword"
+            }
+          }
+        },
+	"hassh_server":{
+          "type":"text",
+          "fields":{
+            "keyword":{
+              "type":"keyword"
+            }
+          }
+        },
+	"hassh_server_algorithms":{
+          "type":"text",
+          "fields":{
+            "keyword":{
+              "type":"keyword"
+            }
+          }
+        },
+	"hassh_version":{
+          "type":"text",
+          "fields":{
+            "keyword":{
+              "type":"keyword"
+            }
+          }
+        },
        "height":{
          "type":"long"
        },
@@ -1371,10 +1394,6 @@
            }
          }
        },
-        "http":{
-          "type":"object",
-          "dynamic": true
-        },
        "id":{
          "type":"text",
          "fields":{
@@ -1383,14 +1402,6 @@
            }
          }
        },
-	"ids_event_type":{
-          "type":"text",
-          "fields":{
-            "keyword":{
-              "type":"keyword"
-            }
-          }
-        },
        "iin":{
          "type":"text",
          "fields":{
@@ -1668,6 +1679,22 @@
            }
          }
        },
+	"ja3":{
+          "type":"text",
+          "fields":{
+            "keyword":{
+              "type":"keyword"
+            }
+          }
+        },
+	"ja3s":{
+          "type":"text",
+          "fields":{
+            "keyword":{
+              "type":"keyword"
+            }
+          }
+        },
        "kerberos_success":{
          "type":"text",
          "fields":{
@@ -1692,10 +1719,6 @@
            }
          }
        },
-	"krb5":{
-          "type":"object",
-          "dynamic": true
-        },
        "last_alert":{
          "type":"text",
          "fields":{
@@ -1875,9 +1898,13 @@
            }
          }
        },
-	"metadata":{
-          "type":"object",
-          "dynamic": true
+        "message_types":{
+          "type":"text",
+          "fields":{
+            "keyword":{
+              "type":"keyword"
+            }
+          }
        },
        "method":{
          "type":"text",
@@ -1960,10 +1987,6 @@
            }
          }
        },
-	"netflow":{
-          "type":"object",
-          "dynamic": true
-        },
        "next_protocol":{
          "type":"text",
          "fields":{
@@ -2506,6 +2529,14 @@
            }
          }
        },
+       "requested_ip": {
+        "type":"ip",
+         "fields":{
+           "keyword":{
+             "type":"keyword"
+           }
+         }
+       },
        "resp_filenames":{
          "type":"text",
          "fields":{
@@ -2746,6 +2777,22 @@
            }
          }
        },
+        "server_dns_computer_name":{
+          "type":"text",
+          "fields":{
+            "keyword":{
+              "type":"keyword"
+            }
+          }
+        },
+        "server_ip": {
+         "type":"ip",
+          "fields":{
+            "keyword":{
+             "type":"keyword"
+            }
+          }
+        },
        "server_major_version":{
          "type":"text",
          "fields":{
@@ -2754,6 +2801,14 @@
            }
          }
        },
+        "server_message":{
+          "type":"text",
+          "fields":{
+            "keyword":{
+              "type":"keyword"
+            }
+          }
+        },
        "server_minor_version":{
          "type":"text",
          "fields":{
@@ -2776,6 +2831,22 @@
        "server_name_length":{
          "type":"long"
        },
+        "server_nb_computer_name":{
+          "type":"text",
+          "fields":{
+            "keyword":{
+              "type":"keyword"
+            }
+          }
+        },
+        "server_tree_name":{
+          "type":"text",
+          "fields":{
+            "keyword":{
+              "type":"keyword"
+            }
+          }
+        },
        "service":{
          "type":"text",
          "fields":{
@@ -2859,14 +2930,6 @@
            }
          }
        },
-	"smb":{
-          "type":"object",
-          "dynamic": true
-        },
-	"smtp":{
-          "type":"object",
-          "dynamic": true
-        },
        "software_type":{
          "type":"text",
          "fields":{
@@ -2984,6 +3047,14 @@
            }
          }
        },
+	"server_host_key_algorithms":{
+          "type":"text",
+          "fields":{
+            "keyword":{
+              "type":"keyword"
+            }
+          }
+        },
        "status":{
          "type":"text",
          "fields":{
@@ -3159,10 +3230,6 @@
            }
          }
        },
-	"tcp":{
-          "type":"object",
-          "dynamic": true
-        },
        "tcp_flags":{
          "type":"text",
          "fields":{
@@ -3312,14 +3379,6 @@
            }
          }
        },
-	"tx_id":{
-          "type":"text",
-          "fields":{
-            "keyword":{
-              "type":"keyword"
-            }
-          }
-        },
        "type":{
          "type":"text",
          "fields":{
@@ -3371,14 +3430,6 @@
        "uri_length":{
          "type":"long"
        },
-	"url":{
-          "type":"text",
-          "fields": {
-            "keyword":{
-              "type":"keyword"
-            }
-          }
-        },
        "username":{
          "type":"text",
          "fields": {