From 3aa48b1a23eceaaac562f4bc32131d8f5e7e8036 Mon Sep 17 00:00:00 2001 From: m0duspwnens Date: Fri, 13 Mar 2020 13:20:48 -0400 Subject: [PATCH 01/19] first go at managing zeekctl.cfg - https://github.com/Security-Onion-Solutions/securityonion-saltstack/issues/97 --- salt/zeek/defaults.yml | 16 +++++++ salt/zeek/files/zeekctl.cfg.jinja | 75 +++++++++++++++++++++++++++++++ salt/zeek/init.sls | 15 +++++++ 3 files changed, 106 insertions(+) create mode 100644 salt/zeek/defaults.yml create mode 100644 salt/zeek/files/zeekctl.cfg.jinja diff --git a/salt/zeek/defaults.yml b/salt/zeek/defaults.yml new file mode 100644 index 000000000..1fb159805 --- /dev/null +++ b/salt/zeek/defaults.yml @@ -0,0 +1,16 @@ +zeek: + zeekctl: + MailTo: root@localhost + MailConnectionSummary: 1 + MinDiskSpace: 5 + MailHostUpDown: 1 + LogRotationInterval: 3600 + LogExpireInterval: 0 + StatsLogEnable: 1 + StatsLogExpireInterval: 0 + StatusCmdShowAll: 0 + CrashExpireInterval: 0 + SitePolicyScripts: local.zeek + LogDir: /nsm/zeek/logs + SpoolDir: /nsm/zeek/spool + CfgDir: /opt/zeek/etc diff --git a/salt/zeek/files/zeekctl.cfg.jinja b/salt/zeek/files/zeekctl.cfg.jinja new file mode 100644 index 000000000..db486a6fd --- /dev/null +++ b/salt/zeek/files/zeekctl.cfg.jinja @@ -0,0 +1,75 @@ +## Global ZeekControl configuration file. + +############################################### +# Mail Options + +# Recipient address for all emails sent out by Zeek and ZeekControl. +MailTo = {{ ZEEKCTL.MailTo }} + +# Mail connection summary reports each log rotation interval. A value of 1 +# means mail connection summaries, and a value of 0 means do not mail +# connection summaries. This option has no effect if the trace-summary +# script is not available. +MailConnectionSummary = {{ ZEEKCTL.MailConnectionSummary }} + +# Lower threshold (in percentage of disk space) for space available on the +# disk that holds SpoolDir. If less space is available, "zeekctl cron" starts +# sending out warning emails. A value of 0 disables this feature. +MinDiskSpace = {{ ZEEKCTL.MinDiskSpace }} + +# Send mail when "zeekctl cron" notices the availability of a host in the +# cluster to have changed. A value of 1 means send mail when a host status +# changes, and a value of 0 means do not send mail. +MailHostUpDown = {{ ZEEKCTL.MailHostUpDown }} + +############################################### +# Logging Options + +# Rotation interval in seconds for log files on manager (or standalone) node. +# A value of 0 disables log rotation. +LogRotationInterval = {{ ZEEKCTL.LogRotationInterval }} + +# Expiration interval for archived log files in LogDir. Files older than this +# will be deleted by "zeekctl cron". The interval is an integer followed by +# one of these time units: day, hr, min. A value of 0 means that logs +# never expire. +LogExpireInterval = {{ ZEEKCTL.LogExpireInterval }} + +# Enable ZeekControl to write statistics to the stats.log file. A value of 1 +# means write to stats.log, and a value of 0 means do not write to stats.log. +StatsLogEnable = {{ ZEEKCTL.StatsLogEnable }} + +# Number of days that entries in the stats.log file are kept. Entries older +# than this many days will be removed by "zeekctl cron". A value of 0 means +# that entries never expire. +StatsLogExpireInterval = {{ ZEEKCTL.StatsLogExpireInterval }} + +############################################### +# Other Options + +# Show all output of the zeekctl status command. If set to 1, then all output +# is shown. If set to 0, then zeekctl status will not collect or show the peer +# information (and the command will run faster). +StatusCmdShowAll = {{ ZEEKCTL.StatusCmdShowAll }} + +# Number of days that crash directories are kept. Crash directories older +# than this many days will be removed by "zeekctl cron". A value of 0 means +# that crash directories never expire. +CrashExpireInterval = {{ ZEEKCTL.CrashExpireInterval }} + +# Site-specific policy script to load. Zeek will look for this in +# $PREFIX/share/zeek/site. A default local.zeek comes preinstalled +# and can be customized as desired. +SitePolicyScripts = {{ ZEEKCTL.SitePolicyScripts }} + +# Location of the log directory where log files will be archived each rotation +# interval. +LogDir = {{ ZEEKCTL.LogDir }} + +# Location of the spool directory where files and data that are currently being +# written are stored. +SpoolDir = {{ ZEEKCTL.SpoolDir }} + +# Location of other configuration files that can be used to customize +# ZeekControl operation (e.g. local networks, nodes). +CfgDir = {{ ZEEKCTL.CfgDir }} diff --git a/salt/zeek/init.sls b/salt/zeek/init.sls index a7d222717..052841a56 100644 --- a/salt/zeek/init.sls +++ b/salt/zeek/init.sls @@ -3,7 +3,12 @@ {% set BPF_ZEEK = salt['pillar.get']('zeek:bpf', {}) %} {% set BPF_STATUS = 0 %} {% set INTERFACE = salt['pillar.get']('sensor:interface', 'bond0') %} + +{% import_yml 'zeek/defaults.yml' as ZEEKDEFAULTS %} +{% set ZEEKCTL = salt['pillar.get']('zeek:zeekctl', default=ZEEKDEFAULTS.zeekctl, merge=True) %} + # Zeek Salt State + # Add Zeek group zeekgroup: group.present: @@ -63,6 +68,16 @@ zeekpolicysync: - group: 939 - template: jinja +zeekctlcfg: + file.managed: + - name: /opt/so/conf/zeek/zeekctl.cfg + - source: salt://zeek/files/zeekctl.cfg.jinja + - user: 937 + - group: 939 + - template: jinja + - defaults: + ZEEKCTL: {{ ZEEKCTL }} + # Sync node.cfg nodecfgsync: file.managed: From bc6aab5b221265c1217d766e146781c3ee3b33d9 Mon Sep 17 00:00:00 2001 From: m0duspwnens Date: Fri, 13 Mar 2020 13:23:27 -0400 Subject: [PATCH 02/19] add zeekctl.cfg docker file bind --- salt/zeek/init.sls | 1 + 1 file changed, 1 insertion(+) diff --git a/salt/zeek/init.sls b/salt/zeek/init.sls index 052841a56..41ab275d2 100644 --- a/salt/zeek/init.sls +++ b/salt/zeek/init.sls @@ -147,6 +147,7 @@ so-zeek: - /nsm/zeek/extracted:/nsm/zeek/extracted:rw - /opt/so/conf/zeek/local.zeek:/opt/zeek/share/zeek/site/local.zeek:ro - /opt/so/conf/zeek/node.cfg:/opt/zeek/etc/node.cfg:ro + - /opt/so/conf/zeek/zeekctl.cfg:/opt/zeek/etc/zeekctl.cfg:ro - /opt/so/conf/zeek/policy/securityonion:/opt/zeek/share/zeek/policy/securityonion:ro - /opt/so/conf/zeek/policy/custom:/opt/zeek/share/zeek/policy/custom:ro - /opt/so/conf/zeek/policy/cve-2020-0601:/opt/zeek/share/zeek/policy/cve-2020-0601:ro From f9cf04e14effd5a1773427a15b7a4b4852a6e1d7 Mon Sep 17 00:00:00 2001 From: m0duspwnens Date: Fri, 13 Mar 2020 13:42:28 -0400 Subject: [PATCH 03/19] fix couple minor issue - https://github.com/Security-Onion-Solutions/securityonion-saltstack/issues/97 --- salt/zeek/init.sls | 6 +++--- 1 file changed, 3 insertions(+), 3 deletions(-) diff --git a/salt/zeek/init.sls b/salt/zeek/init.sls index 41ab275d2..feedb0099 100644 --- a/salt/zeek/init.sls +++ b/salt/zeek/init.sls @@ -4,8 +4,8 @@ {% set BPF_STATUS = 0 %} {% set INTERFACE = salt['pillar.get']('sensor:interface', 'bond0') %} -{% import_yml 'zeek/defaults.yml' as ZEEKDEFAULTS %} -{% set ZEEKCTL = salt['pillar.get']('zeek:zeekctl', default=ZEEKDEFAULTS.zeekctl, merge=True) %} +{% import_yaml 'zeek/defaults.yml' as ZEEKDEFAULTS %} +{% set ZEEK = salt['pillar.get']('zeek', default=ZEEKDEFAULTS, merge=True) %} # Zeek Salt State @@ -76,7 +76,7 @@ zeekctlcfg: - group: 939 - template: jinja - defaults: - ZEEKCTL: {{ ZEEKCTL }} + ZEEKCTL: {{ ZEEK.zeek.zeekctl }} # Sync node.cfg nodecfgsync: From 8e826337726868ba47bc9bd150c6b387a0cbc532 Mon Sep 17 00:00:00 2001 From: m0duspwnens Date: Fri, 13 Mar 2020 13:45:29 -0400 Subject: [PATCH 04/19] fix missing : in playbook state --- salt/playbook/init.sls | 2 +- 1 file changed, 1 insertion(+), 1 deletion(-) diff --git a/salt/playbook/init.sls b/salt/playbook/init.sls index 1a4f00f59..a93421b99 100644 --- a/salt/playbook/init.sls +++ b/salt/playbook/init.sls @@ -55,7 +55,7 @@ so-playbooksynccron: so-playbookruleupdatecron: cron.present: - - name /usr/sbin/so-playbook-ruleupdate + - name: /usr/sbin/so-playbook-ruleupdate - user: root - minute: '1' - hour: '6' From 1b7e22d5bdf0ff044997d12fd8b4ce25ec63e24c Mon Sep 17 00:00:00 2001 From: m0duspwnens Date: Fri, 13 Mar 2020 14:41:16 -0400 Subject: [PATCH 05/19] fix couple minor issue - https://github.com/Security-Onion-Solutions/securityonion-saltstack/issues/97 --- salt/zeek/init.sls | 4 ++-- 1 file changed, 2 insertions(+), 2 deletions(-) diff --git a/salt/zeek/init.sls b/salt/zeek/init.sls index feedb0099..1f08816d4 100644 --- a/salt/zeek/init.sls +++ b/salt/zeek/init.sls @@ -5,7 +5,7 @@ {% set INTERFACE = salt['pillar.get']('sensor:interface', 'bond0') %} {% import_yaml 'zeek/defaults.yml' as ZEEKDEFAULTS %} -{% set ZEEK = salt['pillar.get']('zeek', default=ZEEKDEFAULTS, merge=True) %} +{% set ZEEK = salt['pillar.get']('zeek', default=ZEEKDEFAULTS.zeek, merge=True) %} # Zeek Salt State @@ -76,7 +76,7 @@ zeekctlcfg: - group: 939 - template: jinja - defaults: - ZEEKCTL: {{ ZEEK.zeek.zeekctl }} + ZEEKCTL: {{ ZEEK.zeekctl }} # Sync node.cfg nodecfgsync: From da8811bc877de3361eb5a4c4c706fad7ffdb5b82 Mon Sep 17 00:00:00 2001 From: m0duspwnens Date: Fri, 13 Mar 2020 14:44:56 -0400 Subject: [PATCH 06/19] restart zeek docker if zeekctl.cfg changes --- salt/zeek/init.sls | 1 + 1 file changed, 1 insertion(+) diff --git a/salt/zeek/init.sls b/salt/zeek/init.sls index 1f08816d4..7ef39ac53 100644 --- a/salt/zeek/init.sls +++ b/salt/zeek/init.sls @@ -157,5 +157,6 @@ so-zeek: - watch: - file: /opt/so/conf/zeek/local.zeek - file: /opt/so/conf/zeek/node.cfg + - file: /opt/so/conf/zeek/zeekctl.cfg - file: /opt/so/conf/zeek/policy - file: /opt/so/conf/zeek/bpf From a21ffaecc8fba94ac1b5f03c92e882ea9e955aac Mon Sep 17 00:00:00 2001 From: m0duspwnens Date: Fri, 13 Mar 2020 15:05:25 -0400 Subject: [PATCH 07/19] add option to compress archived logs for zeekctl - https://github.com/Security-Onion-Solutions/securityonion-saltstack/issues/97 --- salt/zeek/defaults.yml | 1 + salt/zeek/files/zeekctl.cfg.jinja | 3 +++ 2 files changed, 4 insertions(+) diff --git a/salt/zeek/defaults.yml b/salt/zeek/defaults.yml index 1fb159805..07393abeb 100644 --- a/salt/zeek/defaults.yml +++ b/salt/zeek/defaults.yml @@ -14,3 +14,4 @@ zeek: LogDir: /nsm/zeek/logs SpoolDir: /nsm/zeek/spool CfgDir: /opt/zeek/etc + CompressLogs: 1 diff --git a/salt/zeek/files/zeekctl.cfg.jinja b/salt/zeek/files/zeekctl.cfg.jinja index db486a6fd..d3b2f27da 100644 --- a/salt/zeek/files/zeekctl.cfg.jinja +++ b/salt/zeek/files/zeekctl.cfg.jinja @@ -73,3 +73,6 @@ SpoolDir = {{ ZEEKCTL.SpoolDir }} # Location of other configuration files that can be used to customize # ZeekControl operation (e.g. local networks, nodes). CfgDir = {{ ZEEKCTL.CfgDir }} + +# True to compress archived log files +CompressLogs = {{ ZEEKCTL.CompressLogs }} From 1db9692c6b9383a920469d4fdc7ab5b420d0be5e Mon Sep 17 00:00:00 2001 From: m0duspwnens Date: Fri, 13 Mar 2020 16:10:42 -0400 Subject: [PATCH 08/19] allow all zeekctl configuration options to be defined - https://github.com/Security-Onion-Solutions/securityonion-saltstack/issues/97 --- salt/zeek/files/zeekctl.cfg.jinja | 81 +++---------------------------- 1 file changed, 6 insertions(+), 75 deletions(-) diff --git a/salt/zeek/files/zeekctl.cfg.jinja b/salt/zeek/files/zeekctl.cfg.jinja index d3b2f27da..e0fed2f03 100644 --- a/salt/zeek/files/zeekctl.cfg.jinja +++ b/salt/zeek/files/zeekctl.cfg.jinja @@ -1,78 +1,9 @@ ## Global ZeekControl configuration file. -############################################### -# Mail Options +{%- set ALLOWEDOPTIONS = ['commtimeout','commandtimeout','compresscmd','compressextension','compresslogs','compresslogsinflight','controltopic','crashexpireinterval','croncmd','debug','env_vars','havenfs','keeplogs','logdir','logexpireinterval','logrotationinterval','mailalarmsinterval','mailalarmsto','mailarchivelogfail','mailconnectionsummary','mailfrom','mailhostupdown','mailreceivingpackets','mailreplyto','mailsubjectprefix','mailto','makearchivename','memlimit','mindiskspace','pfringclusterid','pfringclustertype','pfringfirstappinstance','prefixes','savetraces','sendmail','sitepluginpath','sitepolicypath','sitepolicyscripts','statslogenable','statslogexpireinterval','statuscmdshowall','stoptimeout','stopwait','timefmt','timemachinehost','timemachineport','zeekargs','zeekport','bindir','capstatspath','cfgdir','debuglog','defaultstoredir','helperdir','libdir','libdir64','libdirinternal','localnetscfg','lockfile','logexpireminutes','nodecfg','os','pcapbufsize','pcapsnaplen','plugindir','pluginzeekdir','policydir','policydirsiteinstall','policydirsiteinstallauto','postprocdir','scriptsdir','spooldir','standalone','statefile','staticdir','statsdir','statslog','time','tmpdir','tmpexecdir','tracesummary','version','zeek','zeekbase'] %} -# Recipient address for all emails sent out by Zeek and ZeekControl. -MailTo = {{ ZEEKCTL.MailTo }} - -# Mail connection summary reports each log rotation interval. A value of 1 -# means mail connection summaries, and a value of 0 means do not mail -# connection summaries. This option has no effect if the trace-summary -# script is not available. -MailConnectionSummary = {{ ZEEKCTL.MailConnectionSummary }} - -# Lower threshold (in percentage of disk space) for space available on the -# disk that holds SpoolDir. If less space is available, "zeekctl cron" starts -# sending out warning emails. A value of 0 disables this feature. -MinDiskSpace = {{ ZEEKCTL.MinDiskSpace }} - -# Send mail when "zeekctl cron" notices the availability of a host in the -# cluster to have changed. A value of 1 means send mail when a host status -# changes, and a value of 0 means do not send mail. -MailHostUpDown = {{ ZEEKCTL.MailHostUpDown }} - -############################################### -# Logging Options - -# Rotation interval in seconds for log files on manager (or standalone) node. -# A value of 0 disables log rotation. -LogRotationInterval = {{ ZEEKCTL.LogRotationInterval }} - -# Expiration interval for archived log files in LogDir. Files older than this -# will be deleted by "zeekctl cron". The interval is an integer followed by -# one of these time units: day, hr, min. A value of 0 means that logs -# never expire. -LogExpireInterval = {{ ZEEKCTL.LogExpireInterval }} - -# Enable ZeekControl to write statistics to the stats.log file. A value of 1 -# means write to stats.log, and a value of 0 means do not write to stats.log. -StatsLogEnable = {{ ZEEKCTL.StatsLogEnable }} - -# Number of days that entries in the stats.log file are kept. Entries older -# than this many days will be removed by "zeekctl cron". A value of 0 means -# that entries never expire. -StatsLogExpireInterval = {{ ZEEKCTL.StatsLogExpireInterval }} - -############################################### -# Other Options - -# Show all output of the zeekctl status command. If set to 1, then all output -# is shown. If set to 0, then zeekctl status will not collect or show the peer -# information (and the command will run faster). -StatusCmdShowAll = {{ ZEEKCTL.StatusCmdShowAll }} - -# Number of days that crash directories are kept. Crash directories older -# than this many days will be removed by "zeekctl cron". A value of 0 means -# that crash directories never expire. -CrashExpireInterval = {{ ZEEKCTL.CrashExpireInterval }} - -# Site-specific policy script to load. Zeek will look for this in -# $PREFIX/share/zeek/site. A default local.zeek comes preinstalled -# and can be customized as desired. -SitePolicyScripts = {{ ZEEKCTL.SitePolicyScripts }} - -# Location of the log directory where log files will be archived each rotation -# interval. -LogDir = {{ ZEEKCTL.LogDir }} - -# Location of the spool directory where files and data that are currently being -# written are stored. -SpoolDir = {{ ZEEKCTL.SpoolDir }} - -# Location of other configuration files that can be used to customize -# ZeekControl operation (e.g. local networks, nodes). -CfgDir = {{ ZEEKCTL.CfgDir }} - -# True to compress archived log files -CompressLogs = {{ ZEEKCTL.CompressLogs }} +{%- for option in ZEEKCTL %} + {%- if option|lower in ALLOWEDOPTIONS %} +{{ option }} = {{ ZEEKCTL[option] }} + {%- endif %} +{%- endfor %} From 2bda1f4beb152211583d024a009936b0b9169fba Mon Sep 17 00:00:00 2001 From: m0duspwnens Date: Fri, 13 Mar 2020 16:12:16 -0400 Subject: [PATCH 09/19] remove whitespace --- salt/zeek/files/zeekctl.cfg.jinja | 2 +- 1 file changed, 1 insertion(+), 1 deletion(-) diff --git a/salt/zeek/files/zeekctl.cfg.jinja b/salt/zeek/files/zeekctl.cfg.jinja index e0fed2f03..5da5ab824 100644 --- a/salt/zeek/files/zeekctl.cfg.jinja +++ b/salt/zeek/files/zeekctl.cfg.jinja @@ -4,6 +4,6 @@ {%- for option in ZEEKCTL %} {%- if option|lower in ALLOWEDOPTIONS %} -{{ option }} = {{ ZEEKCTL[option] }} +{{ option }} = {{ ZEEKCTL[option] }} {%- endif %} {%- endfor %} From ffc33b15e53342c83195aefc2b8b7c7da899f5ee Mon Sep 17 00:00:00 2001 From: Wes Lambert Date: Sat, 14 Mar 2020 12:00:17 +0000 Subject: [PATCH 10/19] switch to Filebeat --- salt/top.sls | 2 +- 1 file changed, 1 insertion(+), 1 deletion(-) diff --git a/salt/top.sls b/salt/top.sls index f8f1aae40..64d353208 100644 --- a/salt/top.sls +++ b/salt/top.sls @@ -60,7 +60,7 @@ base: - wazuh {%- endif %} - elasticsearch - - logstash + - filebeat - kibana - pcap - suricata From 9fb3a47358bfdff6390920b40f8e1dd76f407d1c Mon Sep 17 00:00:00 2001 From: Wes Lambert Date: Sat, 14 Mar 2020 12:02:42 +0000 Subject: [PATCH 11/19] modify default templates --- .../templates/so/beats-template.json | 1288 ------ .../templates/so/logstash-bro-template.json | 3619 ----------------- .../templates/so/logstash-ossec-template.json | 3486 ---------------- .../so/logstash-strelka-template.json | 24 - .../templates/so/logstash-template.json | 3619 ----------------- .../templates/so/so-ossec-template.json | 3466 ---------------- .../templates/so/so-strelka-template.json | 24 - .../pipelines/templates/so/so-template.json | 3600 ---------------- .../templates/so/so-zeek-template.json | 3591 +--------------- 9 files changed, 1 insertion(+), 22716 deletions(-) delete mode 100644 salt/logstash/pipelines/templates/so/beats-template.json delete mode 100644 salt/logstash/pipelines/templates/so/logstash-bro-template.json delete mode 100644 salt/logstash/pipelines/templates/so/logstash-ossec-template.json delete mode 100644 salt/logstash/pipelines/templates/so/logstash-strelka-template.json delete mode 100644 salt/logstash/pipelines/templates/so/logstash-template.json delete mode 100644 salt/logstash/pipelines/templates/so/so-ossec-template.json delete mode 100644 salt/logstash/pipelines/templates/so/so-strelka-template.json delete mode 100644 salt/logstash/pipelines/templates/so/so-template.json diff --git a/salt/logstash/pipelines/templates/so/beats-template.json b/salt/logstash/pipelines/templates/so/beats-template.json deleted file mode 100644 index 433c0862e..000000000 --- a/salt/logstash/pipelines/templates/so/beats-template.json +++ /dev/null @@ -1,1288 +0,0 @@ -{ - "index_patterns": [ - "logstash-beats-*" - ], - "mappings": { - "doc": { - "_meta": { - "version": "6.1.3" - }, - "date_detection": false, - "dynamic_templates": [ - { - "fields": { - "mapping": { - "type": "keyword" - }, - "match_mapping_type": "string", - "path_match": "fields.*" - } - }, - { - "docker.container.labels": { - "mapping": { - "type": "keyword" - }, - "match_mapping_type": "string", - "path_match": "docker.container.labels.*" - } - }, - { - "strings_as_keyword": { - "mapping": { - "ignore_above": 1024, - "type": "keyword" - }, - "match_mapping_type": "string" - } - } - ], - "properties": { - "@timestamp": { - "type": "date" - }, - "event_data": { - "type":"object", - "dynamic": true - }, - "beat_host": { - "type":"object", - "dynamic": true - }, - "activity_id": { - "ignore_above": 1024, - "type": "keyword" - }, - "beat": { - "properties": { - "hostname": { - "ignore_above": 1024, - "type": "keyword" - }, - "name": { - "ignore_above": 1024, - "type": "keyword" - }, - "timezone": { - "ignore_above": 1024, - "type": "keyword" - }, - "version": { - "ignore_above": 1024, - "type": "keyword" - } - } - }, - "username":{ - "type":"text", - "fields": { - "keyword":{ - "type":"keyword" - } - } - }, - "computer_name": { - "type": "text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "docker": { - "properties": { - "container": { - "properties": { - "id": { - "ignore_above": 1024, - "type": "keyword" - }, - "image": { - "ignore_above": 1024, - "type": "keyword" - }, - "labels": { - "type": "object" - }, - "name": { - "ignore_above": 1024, - "type": "keyword" - } - } - } - } - }, - "error": { - "properties": { - "code": { - "type": "long" - }, - "message": { - "norms": false, - "type": "text" - }, - "type": { - "ignore_above": 1024, - "type": "keyword" - } - } - }, - "event_id": { - "type": "long" - }, - "fields": { - "type": "object" - }, - "keywords": { - "ignore_above": 1024, - "type": "keyword" - }, - "kubernetes": { - "properties": { - "annotations": { - "type": "object" - }, - "container": { - "properties": { - "image": { - "ignore_above": 1024, - "type": "keyword" - }, - "name": { - "ignore_above": 1024, - "type": "keyword" - } - } - }, - "labels": { - "type": "object" - }, - "namespace": { - "ignore_above": 1024, - "type": "keyword" - }, - "pod": { - "properties": { - "name": { - "ignore_above": 1024, - "type": "keyword" - } - } - } - } - }, - "level": { - "ignore_above": 1024, - "type": "keyword" - }, - "log_name": { - "ignore_above": 1024, - "type": "keyword" - }, - "message": { - "norms": false, - "type": "text" - }, - "message_error": { - "ignore_above": 1024, - "type": "keyword" - }, - "meta": { - "properties": { - "cloud": { - "properties": { - "availability_zone": { - "ignore_above": 1024, - "type": "keyword" - }, - "instance_id": { - "ignore_above": 1024, - "type": "keyword" - }, - "instance_name": { - "ignore_above": 1024, - "type": "keyword" - }, - "machine_type": { - "ignore_above": 1024, - "type": "keyword" - }, - "project_id": { - "ignore_above": 1024, - "type": "keyword" - }, - "provider": { - "ignore_above": 1024, - "type": "keyword" - }, - "region": { - "ignore_above": 1024, - "type": "keyword" - } - } - } - } - }, - "opcode": { - "ignore_above": 1024, - "type": "keyword" - }, - "process_id": { - "type": "long" - }, - "provider_guid": { - "ignore_above": 1024, - "type": "keyword" - }, - "record_number": { - "ignore_above": 1024, - "type": "keyword" - }, - "related_activity_id": { - "ignore_above": 1024, - "type": "keyword" - }, - "source_name": { - "ignore_above": 1024, - "type": "keyword" - }, - "tags": { - "ignore_above": 1024, - "type": "keyword" - }, - "task": { - "ignore_above": 1024, - "type": "keyword" - }, - "thread_id": { - "type": "long" - }, - "type": { - "ignore_above": 1024, - "type": "keyword" - }, - "user": { - "properties": { - "domain": { - "type": "keyword" - }, - "identifier": { - "type": "keyword" - }, - "name": { - "type": "keyword" - }, - "type": { - "type": "keyword" - } - } - }, - "user_data": { - "type": "object", - "dynamic": "true" - }, - "version": { - "type": "keyword" - }, - "xml": { - "norms": false, - "type": "text" - }, - "apache2": { - "properties": { - "access": { - "properties": { - "agent": { - "norms": false, - "type": "text" - }, - "body_sent": { - "properties": { - "bytes": { - "type": "long" - } - } - }, - "geoip": { - "properties": { - "city_name": { - "ignore_above": 1024, - "type": "keyword" - }, - "continent_name": { - "ignore_above": 1024, - "type": "keyword" - }, - "country_iso_code": { - "ignore_above": 1024, - "type": "keyword" - }, - "location": { - "type": "geo_point" - }, - "region_name": { - "ignore_above": 1024, - "type": "keyword" - } - } - }, - "http_version": { - "ignore_above": 1024, - "type": "keyword" - }, - "method": { - "ignore_above": 1024, - "type": "keyword" - }, - "referrer": { - "ignore_above": 1024, - "type": "keyword" - }, - "remote_ip": { - "ignore_above": 1024, - "type": "keyword" - }, - "response_code": { - "type": "long" - }, - "url": { - "ignore_above": 1024, - "type": "keyword" - }, - "user_agent": { - "properties": { - "device": { - "ignore_above": 1024, - "type": "keyword" - }, - "major": { - "type": "long" - }, - "minor": { - "type": "long" - }, - "name": { - "ignore_above": 1024, - "type": "keyword" - }, - "os": { - "ignore_above": 1024, - "type": "keyword" - }, - "os_major": { - "type": "long" - }, - "os_minor": { - "type": "long" - }, - "os_name": { - "ignore_above": 1024, - "type": "keyword" - }, - "patch": { - "ignore_above": 1024, - "type": "keyword" - } - } - }, - "user_name": { - "ignore_above": 1024, - "type": "keyword" - } - } - }, - "error": { - "properties": { - "client": { - "ignore_above": 1024, - "type": "keyword" - }, - "code": { - "type": "long" - }, - "level": { - "ignore_above": 1024, - "type": "keyword" - }, - "message": { - "norms": false, - "type": "text" - }, - "module": { - "ignore_above": 1024, - "type": "keyword" - }, - "pid": { - "type": "long" - }, - "tid": { - "type": "long" - }, - "type": { - "ignore_above": 1024, - "type": "keyword" - } - } - } - } - }, - "auditd": { - "properties": { - "log": { - "properties": { - "a0": { - "ignore_above": 1024, - "type": "keyword" - }, - "acct": { - "ignore_above": 1024, - "type": "keyword" - }, - "geoip": { - "properties": { - "city_name": { - "ignore_above": 1024, - "type": "keyword" - }, - "continent_name": { - "ignore_above": 1024, - "type": "keyword" - }, - "country_iso_code": { - "ignore_above": 1024, - "type": "keyword" - }, - "location": { - "type": "geo_point" - }, - "region_name": { - "ignore_above": 1024, - "type": "keyword" - } - } - }, - "item": { - "ignore_above": 1024, - "type": "keyword" - }, - "items": { - "ignore_above": 1024, - "type": "keyword" - }, - "new_auid": { - "ignore_above": 1024, - "type": "keyword" - }, - "new_ses": { - "ignore_above": 1024, - "type": "keyword" - }, - "old_auid": { - "ignore_above": 1024, - "type": "keyword" - }, - "old_ses": { - "ignore_above": 1024, - "type": "keyword" - }, - "pid": { - "ignore_above": 1024, - "type": "keyword" - }, - "ppid": { - "ignore_above": 1024, - "type": "keyword" - }, - "record_type": { - "ignore_above": 1024, - "type": "keyword" - }, - "res": { - "ignore_above": 1024, - "type": "keyword" - }, - "sequence": { - "type": "long" - } - } - } - } - }, - "fileset": { - "properties": { - "module": { - "ignore_above": 1024, - "type": "keyword" - }, - "name": { - "ignore_above": 1024, - "type": "keyword" - } - } - }, - "icinga": { - "properties": { - "debug": { - "properties": { - "facility": { - "ignore_above": 1024, - "type": "keyword" - }, - "message": { - "norms": false, - "type": "text" - }, - "severity": { - "ignore_above": 1024, - "type": "keyword" - } - } - }, - "main": { - "properties": { - "facility": { - "ignore_above": 1024, - "type": "keyword" - }, - "message": { - "norms": false, - "type": "text" - }, - "severity": { - "ignore_above": 1024, - "type": "keyword" - } - } - }, - "startup": { - "properties": { - "facility": { - "ignore_above": 1024, - "type": "keyword" - }, - "message": { - "norms": false, - "type": "text" - }, - "severity": { - "ignore_above": 1024, - "type": "keyword" - } - } - } - } - }, - "kafka": { - "properties": { - "log": { - "properties": { - "class": { - "norms": false, - "type": "text" - }, - "component": { - "ignore_above": 1024, - "type": "keyword" - }, - "level": { - "ignore_above": 1024, - "type": "keyword" - }, - "message": { - "norms": false, - "type": "text" - }, - "timestamp": { - "ignore_above": 1024, - "type": "keyword" - }, - "trace": { - "properties": { - "class": { - "ignore_above": 1024, - "type": "keyword" - }, - "full": { - "norms": false, - "type": "text" - }, - "message": { - "norms": false, - "type": "text" - } - } - } - } - } - } - }, - "logstash": { - "properties": { - "log": { - "properties": { - "level": { - "ignore_above": 1024, - "type": "keyword" - }, - "log_event": { - "type": "object" - }, - "message": { - "norms": false, - "type": "text" - }, - "module": { - "ignore_above": 1024, - "type": "keyword" - }, - "thread": { - "norms": false, - "type": "text" - } - } - }, - "slowlog": { - "properties": { - "event": { - "norms": false, - "type": "text" - }, - "level": { - "ignore_above": 1024, - "type": "keyword" - }, - "message": { - "norms": false, - "type": "text" - }, - "module": { - "ignore_above": 1024, - "type": "keyword" - }, - "plugin_name": { - "ignore_above": 1024, - "type": "keyword" - }, - "plugin_params": { - "norms": false, - "type": "text" - }, - "plugin_params_object": { - "type": "object" - }, - "plugin_type": { - "ignore_above": 1024, - "type": "keyword" - }, - "thread": { - "norms": false, - "type": "text" - }, - "took_in_millis": { - "type": "long" - }, - "took_in_nanos": { - "type": "long" - } - } - } - } - }, - "mysql": { - "properties": { - "error": { - "properties": { - "level": { - "ignore_above": 1024, - "type": "keyword" - }, - "message": { - "norms": false, - "type": "text" - }, - "thread_id": { - "type": "long" - }, - "timestamp": { - "ignore_above": 1024, - "type": "keyword" - } - } - }, - "slowlog": { - "properties": { - "host": { - "ignore_above": 1024, - "type": "keyword" - }, - "id": { - "type": "long" - }, - "ip": { - "ignore_above": 1024, - "type": "keyword" - }, - "lock_time": { - "properties": { - "sec": { - "type": "float" - } - } - }, - "query": { - "ignore_above": 1024, - "type": "keyword" - }, - "query_time": { - "properties": { - "sec": { - "type": "float" - } - } - }, - "rows_examined": { - "type": "long" - }, - "rows_sent": { - "type": "long" - }, - "timestamp": { - "type": "long" - }, - "user": { - "ignore_above": 1024, - "type": "keyword" - } - } - } - } - }, - "nginx": { - "properties": { - "access": { - "properties": { - "agent": { - "norms": false, - "type": "text" - }, - "body_sent": { - "properties": { - "bytes": { - "type": "long" - } - } - }, - "geoip": { - "properties": { - "city_name": { - "ignore_above": 1024, - "type": "keyword" - }, - "continent_name": { - "ignore_above": 1024, - "type": "keyword" - }, - "country_iso_code": { - "ignore_above": 1024, - "type": "keyword" - }, - "location": { - "type": "geo_point" - }, - "region_name": { - "ignore_above": 1024, - "type": "keyword" - } - } - }, - "http_version": { - "ignore_above": 1024, - "type": "keyword" - }, - "method": { - "ignore_above": 1024, - "type": "keyword" - }, - "referrer": { - "ignore_above": 1024, - "type": "keyword" - }, - "remote_ip": { - "ignore_above": 1024, - "type": "keyword" - }, - "response_code": { - "type": "long" - }, - "url": { - "ignore_above": 1024, - "type": "keyword" - }, - "user_agent": { - "properties": { - "device": { - "ignore_above": 1024, - "type": "keyword" - }, - "major": { - "type": "long" - }, - "minor": { - "type": "long" - }, - "name": { - "ignore_above": 1024, - "type": "keyword" - }, - "os": { - "ignore_above": 1024, - "type": "keyword" - }, - "os_major": { - "type": "long" - }, - "os_minor": { - "type": "long" - }, - "os_name": { - "ignore_above": 1024, - "type": "keyword" - }, - "patch": { - "ignore_above": 1024, - "type": "keyword" - } - } - }, - "user_name": { - "ignore_above": 1024, - "type": "keyword" - } - } - }, - "error": { - "properties": { - "connection_id": { - "type": "long" - }, - "level": { - "ignore_above": 1024, - "type": "keyword" - }, - "message": { - "norms": false, - "type": "text" - }, - "pid": { - "type": "long" - }, - "tid": { - "type": "long" - } - } - } - } - }, - "offset": { - "type": "long" - }, - "postgresql": { - "properties": { - "log": { - "properties": { - "database": { - "ignore_above": 1024, - "type": "keyword" - }, - "duration": { - "type": "float" - }, - "level": { - "ignore_above": 1024, - "type": "keyword" - }, - "message": { - "norms": false, - "type": "text" - }, - "query": { - "ignore_above": 1024, - "type": "keyword" - }, - "thread_id": { - "type": "long" - }, - "timestamp": { - "ignore_above": 1024, - "type": "keyword" - }, - "timezone": { - "ignore_above": 1024, - "type": "keyword" - }, - "user": { - "ignore_above": 1024, - "type": "keyword" - } - } - } - } - }, - "prospector": { - "properties": { - "type": { - "ignore_above": 1024, - "type": "keyword" - } - } - }, - "read_timestamp": { - "ignore_above": 1024, - "type": "keyword" - }, - "redis": { - "properties": { - "log": { - "properties": { - "level": { - "ignore_above": 1024, - "type": "keyword" - }, - "message": { - "norms": false, - "type": "text" - }, - "pid": { - "type": "long" - }, - "role": { - "ignore_above": 1024, - "type": "keyword" - } - } - }, - "slowlog": { - "properties": { - "args": { - "ignore_above": 1024, - "type": "keyword" - }, - "cmd": { - "ignore_above": 1024, - "type": "keyword" - }, - "duration": { - "properties": { - "us": { - "type": "long" - } - } - }, - "id": { - "type": "long" - }, - "key": { - "ignore_above": 1024, - "type": "keyword" - } - } - } - } - }, - "stream": { - "ignore_above": 1024, - "type": "keyword" - }, - "system": { - "properties": { - "auth": { - "properties": { - "groupadd": { - "properties": { - "gid": { - "type": "long" - }, - "name": { - "ignore_above": 1024, - "type": "keyword" - } - } - }, - "hostname": { - "ignore_above": 1024, - "type": "keyword" - }, - "message": { - "ignore_above": 1024, - "type": "keyword" - }, - "pid": { - "type": "long" - }, - "program": { - "ignore_above": 1024, - "type": "keyword" - }, - "ssh": { - "properties": { - "dropped_ip": { - "type": "ip" - }, - "event": { - "ignore_above": 1024, - "type": "keyword" - }, - "geoip": { - "properties": { - "city_name": { - "ignore_above": 1024, - "type": "keyword" - }, - "continent_name": { - "ignore_above": 1024, - "type": "keyword" - }, - "country_iso_code": { - "ignore_above": 1024, - "type": "keyword" - }, - "location": { - "type": "geo_point" - }, - "region_name": { - "ignore_above": 1024, - "type": "keyword" - } - } - }, - "ip": { - "type": "ip" - }, - "method": { - "ignore_above": 1024, - "type": "keyword" - }, - "port": { - "type": "long" - }, - "signature": { - "ignore_above": 1024, - "type": "keyword" - } - } - }, - "sudo": { - "properties": { - "command": { - "ignore_above": 1024, - "type": "keyword" - }, - "error": { - "ignore_above": 1024, - "type": "keyword" - }, - "pwd": { - "ignore_above": 1024, - "type": "keyword" - }, - "tty": { - "ignore_above": 1024, - "type": "keyword" - }, - "user": { - "ignore_above": 1024, - "type": "keyword" - } - } - }, - "timestamp": { - "ignore_above": 1024, - "type": "keyword" - }, - "user": { - "ignore_above": 1024, - "type": "keyword" - }, - "useradd": { - "properties": { - "gid": { - "type": "long" - }, - "home": { - "ignore_above": 1024, - "type": "keyword" - }, - "name": { - "ignore_above": 1024, - "type": "keyword" - }, - "shell": { - "ignore_above": 1024, - "type": "keyword" - }, - "uid": { - "type": "long" - } - } - } - } - }, - "syslog": { - "properties": { - "hostname": { - "ignore_above": 1024, - "type": "keyword" - }, - "message": { - "ignore_above": 1024, - "type": "keyword" - }, - "pid": { - "ignore_above": 1024, - "type": "keyword" - }, - "program": { - "ignore_above": 1024, - "type": "keyword" - }, - "timestamp": { - "ignore_above": 1024, - "type": "keyword" - } - } - } - } - }, - "traefik": { - "properties": { - "access": { - "properties": { - "agent": { - "norms": false, - "type": "text" - }, - "backend_url": { - "norms": false, - "type": "text" - }, - "body_sent": { - "properties": { - "bytes": { - "type": "long" - } - } - }, - "frontend_name": { - "norms": false, - "type": "text" - }, - "geoip": { - "properties": { - "city_name": { - "ignore_above": 1024, - "type": "keyword" - }, - "continent_name": { - "ignore_above": 1024, - "type": "keyword" - }, - "country_iso_code": { - "ignore_above": 1024, - "type": "keyword" - }, - "location": { - "type": "geo_point" - }, - "region_name": { - "ignore_above": 1024, - "type": "keyword" - } - } - }, - "http_version": { - "ignore_above": 1024, - "type": "keyword" - }, - "method": { - "ignore_above": 1024, - "type": "keyword" - }, - "referrer": { - "ignore_above": 1024, - "type": "keyword" - }, - "remote_ip": { - "ignore_above": 1024, - "type": "keyword" - }, - "request_count": { - "type": "long" - }, - "response_code": { - "type": "long" - }, - "url": { - "ignore_above": 1024, - "type": "keyword" - }, - "user_agent": { - "properties": { - "device": { - "ignore_above": 1024, - "type": "keyword" - }, - "major": { - "type": "long" - }, - "minor": { - "type": "long" - }, - "name": { - "ignore_above": 1024, - "type": "keyword" - }, - "os": { - "ignore_above": 1024, - "type": "keyword" - }, - "os_major": { - "type": "long" - }, - "os_minor": { - "type": "long" - }, - "os_name": { - "ignore_above": 1024, - "type": "keyword" - }, - "patch": { - "ignore_above": 1024, - "type": "keyword" - } - } - }, - "user_name": { - "ignore_above": 1024, - "type": "keyword" - } - } - } - } - } - } - } - }, - "order": 1, - "settings": { - "index": { - "mapping": { - "total_fields": { - "limit": 10000 - } - }, - "number_of_replicas": 0, - "number_of_shards": 1, - "refresh_interval": "30s" - } - } -} diff --git a/salt/logstash/pipelines/templates/so/logstash-bro-template.json b/salt/logstash/pipelines/templates/so/logstash-bro-template.json deleted file mode 100644 index 124d3c92c..000000000 --- a/salt/logstash/pipelines/templates/so/logstash-bro-template.json +++ /dev/null @@ -1,3619 +0,0 @@ -{ - "index_patterns": ["logstash-ids-*", "logstash-firewall-*", "logstash-syslog-*", "logstash-bro-*", "logstash-import-*", "logstash-beats-*"], - "version":50001, - "order" : 0, - "settings":{ - "number_of_replicas":0, - "number_of_shards":1, - "index.refresh_interval":"30s" - }, - "mappings":{ - "doc":{ - "dynamic": false, - "date_detection": false, - "properties":{ - "@timestamp":{ - "type":"date" - }, - "@version":{ - "type":"keyword" - }, - "geoip":{ - "dynamic":true, - "properties":{ - "ip":{ - "type":"ip" - }, - "location":{ - "type":"geo_point" - }, - "latitude":{ - "type":"half_float" - }, - "longitude":{ - "type":"half_float" - } - } - }, - "destination_geo":{ - "dynamic":true, - "properties":{ - "ip":{ - "type":"ip" - }, - "location":{ - "type":"geo_point" - }, - "latitude":{ - "type":"half_float" - }, - "longitude":{ - "type":"half_float" - } - } - }, - "source_geo":{ - "dynamic":true, - "properties":{ - "ip":{ - "type":"ip" - }, - "location":{ - "type":"geo_point" - }, - "latitude":{ - "type":"half_float" - }, - "longitude":{ - "type":"half_float" - } - } - }, - "signature_info":{ - "type":"keyword" - }, - "aa":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "ack":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "action":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "additional_info":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "age":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "alert":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "alert_level":{ - "type":"long", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "analyzer":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "answers":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "assigned_ip":{ - "type":"ip", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "auth":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "authentication_attempts":{ - "type":"long" - }, - "authentication_method":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "authentication_success":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "basic_constraints":{ - "type":"object", - "properties":{ - "path_len": { - "type": "text" - } - } - }, - "basic_constraints_ca":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "basic_constraints_path_length":{ - "type":"long" - }, - "bound_port":{ - "type":"long" - }, - "call_id":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "category":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "cc":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "certificate_chain_count":{ - "type":"long" - }, - "certificate_chain_fuids":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "certificate_common_name":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "certificate_common_name_frequency_score":{ - "type":"long" - }, - "certificate_common_name_length":{ - "type":"long" - }, - "certificate_count":{ - "type":"long" - }, - "certificate_country_code":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "certificate_curve":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "certificate_exponent":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "certificate_issuer":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "certificate_key_algorithm":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "certificate_key_length":{ - "type":"long" - }, - "certificate_key_type":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "certificate_locality":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "certificate_not_valid_after":{ - "type":"date" - }, - "certificate_not_valid_before":{ - "type":"date" - }, - "certificate_number_days_valid":{ - "type":"long" - }, - "certificate_organization":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "certificate_organization_unit":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "certificate_permanent":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "certificate_serial":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "certificate_serial_number":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "certificate_signing_algorithm":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "certificate_state":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "certificate_subject":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "certificate_type":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "certificate_version":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "checksum":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "cipher":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "cipher_algorithm":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "class":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "classification":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "client":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "client_build":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "client_certificate_chain_fuids":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "client_certificate_subject":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "client_certificate_fuid":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "client_digital_product_id":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "client_fqdn":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "client_issuer":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "client_ip": { - "type":"ip", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "client_major_version":{ - "type":"long", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "client_message":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "client_minor_version":{ - "type":"long", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "client_name":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "client_subject":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "command":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "community":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "company":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "compile_ts":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "compression_algorithm":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "connect_info":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "connection_state":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "connection_state_description":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "content_type":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "cookie":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "creation_date":{ - "type":"date" - }, - "creation_time":{ - "type":"date" - }, - "client_host_key_algorithms":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "current_directory":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "curve":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "data_channel_destination_ip":{ - "type":"ip" - }, - "data_channel_destination_port":{ - "type":"long" - }, - "data_channel_passive":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "data_channel_source_ip":{ - "type":"ip" - }, - "data_length":{ - "type":"long" - }, - "date":{ - "type":"text" - }, - "dcc_file_name":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "dcc_file_size":{ - "type":"long" - }, - "dcc_mime_type":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "depth":{ - "type":"long" - }, - "description":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "desktop_height":{ - "type":"long" - }, - "desktop_name":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "desktop_width":{ - "type":"long" - }, - "dest_is_ipv6":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "destination":{ - "type":"object", - "dynamic": true - }, - "destination_city":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "destination_geo.city_name":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "destination_geo.continent_code":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "destination_geo.dma_code":{ - "type":"long" - }, - "destination_geo.ip":{ - "type":"ip" - }, - "destination_geo.latitude":{ - "type":"long" - }, - "destination_geo.location":{ - "type":"geo_point" - }, - "destination_geo.longitude":{ - "type":"long", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "destination_geo.postal_code":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "destination_geo.region_code":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "destination_geo.country_name":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "destination_geo.region_name":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "destination_geo.timezone":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "destination_hostname":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "destination_ip":{ - "type":"ip" - }, - "destination_ips":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "destination_latitude":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "destination_longitude":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "destination_port":{ - "type":"long" - }, - "destination_port_name":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "destination_region":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "details":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "dir":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "direction":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "display_string":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "domain_age":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "domain_name":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "dropped":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "duration":{ - "type":"long" - }, - "valid_from":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "enabled":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "encryption_level":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "encryption_method":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "endpoint":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "entry":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "entry_location":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "error_message":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "escalated_user":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "established":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "event_id":{ - "type":"long" - }, - "event_timestamp":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "event_type":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "exception":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "extracted":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "extracted_cutoff":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "facility":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "fc_reply":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "fc_request":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "file_description":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "file_ip":{ - "type":"ip", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "file_mime_type":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "file_name":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "file_size":{ - "type":"long" - }, - "first_received":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "flow_label":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "forwardable":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "framed_addr":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "freq_virtual_host":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "frequency_scores":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "from":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "ftp_argument":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "ftp_command":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "fuid":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "fuids":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "function":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "geoip.ip":{ - "type":"ip" - }, - "geoip.latitude":{ - "type":"long" - }, - "geoip.location":{ - "type":"geo_point" - }, - "geoip.longitude":{ - "type":"long" - }, - "get_bulk_requests":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "get_requests":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "get_responses":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "gid":{ - "type":"long" - }, - "has_cert_table":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "has_debug_data":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "has_export_table":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "has_import_table":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "hassh":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "hassh_algorithms":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "hassh_server":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "hassh_server_algorithms":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "hassh_version":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "height":{ - "type":"long" - }, - "helo":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "highest_registered_domain":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "highest_registered_domain_frequency_score":{ - "type":"long" - }, - "history":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "hop_limit":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "host":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "host_key":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "host_key_algorithm":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "hostname":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "id":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "iin":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "image_path":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "in_reply_to":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "indicator":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "indicator_type":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "info_code":{ - "type":"long" - }, - "info_message":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "initiated":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "integrity_level":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "interface":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "ip_version":{ - "type":"long" - }, - "ipv4_ecn":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "ips":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "ipv4_flags":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "ipv4_id":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "ipv4_offset":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "ipv4_protocol":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "ipv4_protocol_id":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "ipv4_protocol_length":{ - "type":"long" - }, - "ipv4_tos":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "ipv4_ttl":{ - "type":"long" - }, - "irc_command":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "irc_username":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "is_64bit":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "is_exe":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "is_orig":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "is_source_ipv6":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "is_webmail":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "issuer_common_name":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "issuer_common_name_frequency_score":{ - "type":"long" - }, - "issuer_common_name_length":{ - "type":"long" - }, - "issuer_country_code":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "issuer_distinguished_name":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "issuer_locality":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "issuer_organization":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "issuer_organization_frequency_score":{ - "type":"long" - }, - "issuer_organization_unit":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "issuer_serial_number":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "issuer_state":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "ja3":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "ja3s":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "kerberos_success":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "kex_algorithm":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "keyboard_layout":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "last_alert":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "last_reply":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "launch_string":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "lease_time":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "length":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "local_orig":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "local_respond":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "location":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "log_name":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "log_timestamp":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "logged":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "logon_guid":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "logon_id":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "logstash_time":{ - "type":"long" - }, - "mac":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "mac_algorithm":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "machine":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "mail_date":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "mail_from":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "matched":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "md5":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "message":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "message_id":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "message_types":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "method":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "mimetype":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "missed_bytes":{ - "type":"long" - }, - "missing_bytes":{ - "type":"long" - }, - "msg":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "mysql_argument":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "mysql_command":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "mysql_success":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "n":{ - "type":"long" - }, - "name":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "named_pipe":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "native_file_system":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "next_protocol":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "nick":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "note":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "notice":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "ntlm_success":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "num_packets":{ - "type":"long" - }, - "object_size":{ - "type":"long" - }, - "operation":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "options":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "orig_filenames":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "orig_fuids":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "orig_mime_types":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "original_bytes":{ - "type":"long" - }, - "original_country_code":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "original_ip_bytes":{ - "type":"long" - }, - "original_packets":{ - "type":"long" - }, - "os":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "ossec_agent_name":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "ossec_timestamp":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "overflow_bytes":{ - "type":"long" - }, - "p":{ - "type":"long" - }, - "parent_domain":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "parent_domain_frequency_score":{ - "type":"long" - }, - "parent_domain_length":{ - "type":"long" - }, - "parent_image_path":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "parent_process_guid":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "parent_process_id":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "parent_process_name":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "password":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "path":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "peer":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "peer_description":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "pesha1":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "pesha256":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "pid":{ - "type":"long", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "port":{ - "type":"long", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "prev_name":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "priority":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "process":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "process_arguments":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "process_guid":{ - "type":"long" - }, - "process_id":{ - "type":"long", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "process_name":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "profile":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "program":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "protocol":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "protocol_id":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "protocol_version":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "proxied":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "query":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "query_class":{ - "type":"long" - }, - "query_class_name":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "query_length":{ - "type":"long" - }, - "query_type":{ - "type":"long" - }, - "query_type_name":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "ra":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "rcode":{ - "type":"long" - }, - "rcode_name":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "rd":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "reason":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "recipient_to":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "referrer":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "rejected":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "remote_ip":{ - "type":"ip" - }, - "remote_location":{ - "type":"object", - "properties":{ - "country_code": { - "type": "text" - } - } - }, - "renewable":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "reply_code":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "reply_message":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "reply_to":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "request_body_len":{ - "type":"long" - }, - "request_body_length":{ - "type":"long" - }, - "request_from":{ - "type":"text" - }, - "request_path":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "request_port":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "request_timestamp":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "request_to":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "request_type":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "requested_color_depth":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "requested_resource":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "requested_ip": { - "type":"ip", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "resp_filenames":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "resp_fuids":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "resp_mime_types":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "respond_bytes":{ - "type":"long" - }, - "respond_country_code":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "respond_ip_bytes":{ - "type":"long" - }, - "respond_packets":{ - "type":"long" - }, - "response":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "response_body_len":{ - "type":"long" - }, - "response_body_length":{ - "type":"long" - }, - "response_from":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "response_path":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "response_to":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "result":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "resumed":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "rev":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "rig":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "rows":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "rtt":{ - "type":"float", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "rule":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "rule_number":{ - "type":"long" - }, - "rule_signature":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "rule_type":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "san_dns":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "second_received":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "section_names":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "security_protocol":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "seen_bytes":{ - "type":"long" - }, - "seen_node":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "seen_where":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "sensor_name":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "seq":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "sequence_number":{ - "type":"long" - }, - "server":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "server_certificate_fuid":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "server_certificate_subject":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "server_dns_computer_name":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "server_ip": { - "type":"ip", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "server_major_version":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "server_message":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "server_minor_version":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "server_name":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "server_name_frequency_score":{ - "type":"long" - }, - "server_name_length":{ - "type":"long" - }, - "server_nb_computer_name":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "server_tree_name":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "service":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "set_requests":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "severity":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "sha1":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "sha256":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "share_flag":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "share_type":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "sid":{ - "type":"long" - }, - "signer":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "site":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "size":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "software_type":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "source":{ - "type":"object", - "dynamic": true - }, - "source_geo.city_name":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "source_geo.continent_code":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "source_geo.dma_code":{ - "type":"long" - }, - "source_geo.ip":{ - "type":"ip" - }, - "source_geo.latitude":{ - "type":"long" - }, - "source_geo.location":{ - "type":"geo_point" - }, - "source_geo.longitude":{ - "type":"long" - }, - "source_geo.postal_code":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "source_geo.region_code":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "source_geo.region_name":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "source_geo.timezone":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "source_hostname":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "source_ip":{ - "type":"ip" - }, - "source_ips":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "source_port":{ - "type":"long" - }, - "source_port_name":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "sources":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "server_host_key_algorithms":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "status":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "status_code":{ - "type":"long" - }, - "status_message":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "status_msg":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "sub_msg":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "sub_rule_number":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "subdomain":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "subdomain_frequency_score":{ - "type":"long" - }, - "subdomain_length":{ - "type":"long" - }, - "subject":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "subsystem":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "suppress_for":{ - "type":"long" - }, - "syslog-facility":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "syslog-file_name":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "syslog-host":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "syslog-host_from":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "syslog-legacy_msghdr":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "syslog-pid":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "syslog-priority":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "syslog-sourceip":{ - "type":"ip" - }, - "syslog-tags":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "sysmon_timestamp":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "tags":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "target_filename":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "tc":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "tcp_flags":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "terminal_id":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "valid_till":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - - "timed_out":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "times_accessed":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "times_changed":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "times_created":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "times_modified":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "timestamp":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "tld.subdomain":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "tls":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "to":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "top_level_domain":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "total_bytes":{ - "type":"long" - }, - "tracker_id":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "trans_depth":{ - "type":"long" - }, - "transaction_id":{ - "type":"long" - }, - "ttls":{ - "type":"text" - }, - "tty":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "tunnel_parents":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "tunnel_type":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "type":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "uid":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "unparsed_version":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "up_since":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "urg":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "uri":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "uri_length":{ - "type":"long" - }, - "username":{ - "type":"text", - "fields": { - "keyword":{ - "type":"keyword" - } - } - }, - "user_agent":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "useragent":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "useragent_length":{ - "type":"long" - }, - "uses_aslr":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "uses_code_integrity":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "uses_dep":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "uses_seh":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "validation_status":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "value":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "version":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "version_additional_info":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "version_major":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "version_minor":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "version_minor2":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "version_minor3":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "virtual_host":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "virtual_host_frequency_score":{ - "type":"long" - }, - "virtual_host_length":{ - "type":"long" - }, - "warning":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "width":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "window":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "x_originating_ip":{ - "type":"ip" - }, - "year":{ - "type":"long" - }, - "z":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - } - } - } - } -} diff --git a/salt/logstash/pipelines/templates/so/logstash-ossec-template.json b/salt/logstash/pipelines/templates/so/logstash-ossec-template.json deleted file mode 100644 index b44ae69a9..000000000 --- a/salt/logstash/pipelines/templates/so/logstash-ossec-template.json +++ /dev/null @@ -1,3486 +0,0 @@ -{ - "index_patterns": ["logstash-ossec*"], - "version":50001, - "order" : 1, - "settings":{ - "index": { - "mapping": { - "total_fields": { - "limit": 10000 - } - } - }, - "number_of_replicas":0, - "number_of_shards":1, - "index.refresh_interval":"30s" - }, - "mappings":{ - "doc":{ - "dynamic": false, - "date_detection": false, - "properties":{ - "@timestamp":{ - "type":"date" - }, - "@version":{ - "type":"keyword" - }, - "geoip":{ - "dynamic":true, - "properties":{ - "ip":{ - "type":"ip" - }, - "location":{ - "type":"geo_point" - }, - "latitude":{ - "type":"half_float" - }, - "longitude":{ - "type":"half_float" - } - } - }, - "destination_geo":{ - "dynamic":true, - "properties":{ - "ip":{ - "type":"ip" - }, - "location":{ - "type":"geo_point" - }, - "latitude":{ - "type":"half_float" - }, - "longitude":{ - "type":"half_float" - } - } - }, - "source_geo":{ - "dynamic":true, - "properties":{ - "ip":{ - "type":"ip" - }, - "location":{ - "type":"geo_point" - }, - "latitude":{ - "type":"half_float" - }, - "longitude":{ - "type":"half_float" - } - } - }, - "signature_info":{ - "type":"keyword" - }, - "aa":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "ack":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "action":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "additional_info":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "age":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "agent":{ - "type":"object", - "dynamic": true - }, - "alert":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "alert_level":{ - "type":"long", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "analyzer":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "answers":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "assigned_ip":{ - "type":"ip", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "auth":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "authentication_attempts":{ - "type":"long" - }, - "authentication_method":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "authentication_success":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "basic_constraints":{ - "type":"object", - "properties":{ - "path_len": { - "type": "text" - } - } - }, - "basic_constraints_ca":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "basic_constraints_path_length":{ - "type":"long" - }, - "bound_port":{ - "type":"long" - }, - "call_id":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "category":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "cc":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "certificate_chain_count":{ - "type":"long" - }, - "certificate_chain_fuids":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "certificate_common_name":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "certificate_common_name_frequency_score":{ - "type":"long" - }, - "certificate_common_name_length":{ - "type":"long" - }, - "certificate_count":{ - "type":"long" - }, - "certificate_country_code":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "certificate_curve":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "certificate_exponent":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "certificate_issuer":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "certificate_key_algorithm":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "certificate_key_length":{ - "type":"long" - }, - "certificate_key_type":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "certificate_locality":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "certificate_not_valid_after":{ - "type":"date" - }, - "certificate_not_valid_before":{ - "type":"date" - }, - "certificate_number_days_valid":{ - "type":"long" - }, - "certificate_organization":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "certificate_organization_unit":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "certificate_permanent":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "certificate_serial":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "certificate_serial_number":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "certificate_signing_algorithm":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "certificate_state":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "certificate_subject":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "certificate_type":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "certificate_version":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "checksum":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "cipher":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "cipher_algorithm":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "class":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "classification":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "client":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "client_build":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "client_certificate_chain_fuids":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "client_certificate_subject":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "client_certificate_fuid":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "client_digital_product_id":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "client_issuer":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "client_major_version":{ - "type":"long", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "client_minor_version":{ - "type":"long", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "client_name":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "client_subject":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "command":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "community":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "company":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "compile_ts":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "compression_algorithm":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "connect_info":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "connection_state":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "connection_state_description":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "content_type":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "cookie":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "creation_date":{ - "type":"date" - }, - "creation_time":{ - "type":"date" - }, - "current_directory":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "curve":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "data":{ - "type":"object", - "dynamic": true - }, - "data_channel_destination_ip":{ - "type":"ip" - }, - "data_channel_destination_port":{ - "type":"long" - }, - "data_channel_passive":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "data_channel_source_ip":{ - "type":"ip" - }, - "data_length":{ - "type":"long" - }, - "date":{ - "type":"text" - }, - "dcc_file_name":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "dcc_file_size":{ - "type":"long" - }, - "dcc_mime_type":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "decoder":{ - "type":"object", - "dynamic": true - }, - "depth":{ - "type":"long" - }, - "description":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "desktop_height":{ - "type":"long" - }, - "desktop_name":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "desktop_width":{ - "type":"long" - }, - "dest_is_ipv6":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "destination_city":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "destination_geo.city_name":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "destination_geo.continent_code":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "destination_geo.dma_code":{ - "type":"long" - }, - "destination_geo.ip":{ - "type":"ip" - }, - "destination_geo.latitude":{ - "type":"long" - }, - "destination_geo.location":{ - "type":"geo_point" - }, - "destination_geo.longitude":{ - "type":"long", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "destination_geo.postal_code":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "destination_geo.region_code":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "destination_geo.country_name":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "destination_geo.region_name":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "destination_geo.timezone":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "destination_hostname":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "destination_ip":{ - "type":"ip" - }, - "destination_ips":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "destination_latitude":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "destination_longitude":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "destination_port":{ - "type":"long" - }, - "destination_port_name":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "destination_region":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "details":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "dir":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "direction":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "display_string":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "domain_age":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "domain_name":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "dropped":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "duration":{ - "type":"long" - }, - "valid_from":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "enabled":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "encryption_level":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "encryption_method":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "endpoint":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "entry":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "entry_location":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "error_message":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "escalated_user":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "established":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "event_id":{ - "type":"long" - }, - "event_timestamp":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "event_type":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "exception":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "extracted":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "extracted_cutoff":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "facility":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "fc_reply":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "fc_request":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "file_description":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "file_ip":{ - "type":"ip", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "file_mime_type":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "file_name":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "file_size":{ - "type":"long" - }, - "first_received":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "flow_label":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "forwardable":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "framed_addr":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "freq_virtual_host":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "frequency_scores":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "from":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "ftp_argument":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "ftp_command":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "fuid":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "fuids":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "full_log":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "function":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "geoip.ip":{ - "type":"ip" - }, - "geoip.latitude":{ - "type":"long" - }, - "geoip.location":{ - "type":"geo_point" - }, - "geoip.longitude":{ - "type":"long" - }, - "get_bulk_requests":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "get_requests":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "get_responses":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "gid":{ - "type":"long" - }, - "has_cert_table":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "has_debug_data":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "has_export_table":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "has_import_table":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "height":{ - "type":"long" - }, - "helo":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "highest_registered_domain":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "highest_registered_domain_frequency_score":{ - "type":"long" - }, - "history":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "hop_limit":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "host":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "host_key":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "host_key_algorithm":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "hostname":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "id":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "iin":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "image_path":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "in_reply_to":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "indicator":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "indicator_type":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "info_code":{ - "type":"long" - }, - "info_message":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "initiated":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "integrity_level":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "interface":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "ip_version":{ - "type":"long" - }, - "ipv4_ecn":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "ips":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "ipv4_flags":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "ipv4_id":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "ipv4_offset":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "ipv4_protocol":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "ipv4_protocol_id":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "ipv4_protocol_length":{ - "type":"long" - }, - "ipv4_tos":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "ipv4_ttl":{ - "type":"long" - }, - "irc_command":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "irc_username":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "is_64bit":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "is_exe":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "is_orig":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "is_source_ipv6":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "is_webmail":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "issuer_common_name":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "issuer_common_name_frequency_score":{ - "type":"long" - }, - "issuer_common_name_length":{ - "type":"long" - }, - "issuer_country_code":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "issuer_distinguished_name":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "issuer_locality":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "issuer_organization":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "issuer_organization_frequency_score":{ - "type":"long" - }, - "issuer_organization_unit":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "issuer_serial_number":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "issuer_state":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "kerberos_success":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "kex_algorithm":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "keyboard_layout":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "last_alert":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "last_reply":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "launch_string":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "lease_time":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "length":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "local_orig":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "local_respond":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "location":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "log_name":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "log_timestamp":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "logged":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "logon_guid":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "logon_id":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "logstash_time":{ - "type":"long" - }, - "mac":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "mac_algorithm":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "machine":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "mail_date":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "mail_from":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "manager":{ - "type":"object", - "dynamic": true - }, - "matched":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "md5":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "message":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "message_id":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "method":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "mimetype":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "missed_bytes":{ - "type":"long" - }, - "missing_bytes":{ - "type":"long" - }, - "msg":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "mysql_argument":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "mysql_command":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "mysql_success":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "n":{ - "type":"long" - }, - "name":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "named_pipe":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "native_file_system":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "next_protocol":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "nick":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "note":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "notice":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "ntlm_success":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "num_packets":{ - "type":"long" - }, - "object_size":{ - "type":"long" - }, - "operation":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "options":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "orig_filenames":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "orig_fuids":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "orig_mime_types":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "original_bytes":{ - "type":"long" - }, - "original_country_code":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "original_ip_bytes":{ - "type":"long" - }, - "original_packets":{ - "type":"long" - }, - "os":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "ossec_agent_name":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "ossec_timestamp":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "overflow_bytes":{ - "type":"long" - }, - "p":{ - "type":"long" - }, - "parent_domain":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "parent_domain_frequency_score":{ - "type":"long" - }, - "parent_domain_length":{ - "type":"long" - }, - "parent_image_path":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "parent_process_guid":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "parent_process_id":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "parent_process_name":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "password":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "path":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "peer":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "peer_description":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "pesha1":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "pesha256":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "pid":{ - "type":"long", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "port":{ - "type":"long", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "predecoder":{ - "type":"object", - "dynamic": true - }, - "prev_name":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "priority":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "process":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "process_arguments":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "process_guid":{ - "type":"long" - }, - "process_id":{ - "type":"long", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "process_name":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "profile":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "program":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "protocol":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "protocol_id":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "protocol_version":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "proxied":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "query":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "query_class":{ - "type":"long" - }, - "query_class_name":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "query_length":{ - "type":"long" - }, - "query_type":{ - "type":"long" - }, - "query_type_name":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "ra":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "rcode":{ - "type":"long" - }, - "rcode_name":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "rd":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "reason":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "recipient_to":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "referrer":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "rejected":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "remote_ip":{ - "type":"ip" - }, - "remote_location":{ - "type":"object", - "properties":{ - "country_code": { - "type": "text" - } - } - }, - "renewable":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "reply_code":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "reply_message":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "reply_to":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "request_body_len":{ - "type":"long" - }, - "request_body_length":{ - "type":"long" - }, - "request_from":{ - "type":"text" - }, - "request_path":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "request_port":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "request_timestamp":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "request_to":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "request_type":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "requested_color_depth":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "requested_resource":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "resp_filenames":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "resp_fuids":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "resp_mime_types":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "respond_bytes":{ - "type":"long" - }, - "respond_country_code":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "respond_ip_bytes":{ - "type":"long" - }, - "respond_packets":{ - "type":"long" - }, - "response":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "response_body_len":{ - "type":"long" - }, - "response_body_length":{ - "type":"long" - }, - "response_from":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "response_path":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "response_to":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "result":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "resumed":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "rev":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "rig":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "rows":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "rtt":{ - "type":"float", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "wazuh-rule":{ - "type":"object", - "dynamic": true - }, - "rule_number":{ - "type":"long" - }, - "rule_type":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "san_dns":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "second_received":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "section_names":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "security_protocol":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "seen_bytes":{ - "type":"long" - }, - "seen_node":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "seen_where":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "sensor_name":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "seq":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "sequence_number":{ - "type":"long" - }, - "server":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "server_certificate_fuid":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "server_certificate_subject":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "server_major_version":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "server_minor_version":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "server_name":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "server_name_frequency_score":{ - "type":"long" - }, - "server_name_length":{ - "type":"long" - }, - "service":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "set_requests":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "severity":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "sha1":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "sha256":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "share_flag":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "share_type":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "sid":{ - "type":"long" - }, - "signer":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "site":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "size":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "software_type":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "source_geo.city_name":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "source_geo.continent_code":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "source_geo.dma_code":{ - "type":"long" - }, - "source_geo.ip":{ - "type":"ip" - }, - "source_geo.latitude":{ - "type":"long" - }, - "source_geo.location":{ - "type":"geo_point" - }, - "source_geo.longitude":{ - "type":"long" - }, - "source_geo.postal_code":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "source_geo.region_code":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "source_geo.region_name":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "source_geo.timezone":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "source_hostname":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "source_ip":{ - "type":"ip" - }, - "source_ips":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "source_port":{ - "type":"long" - }, - "source_port_name":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "sources":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "status":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "status_code":{ - "type":"long" - }, - "status_message":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "status_msg":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "sub_msg":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "sub_rule_number":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "subdomain":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "subdomain_frequency_score":{ - "type":"long" - }, - "subdomain_length":{ - "type":"long" - }, - "subject":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "subsystem":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "suppress_for":{ - "type":"long" - }, - "syscheck":{ - "type":"object", - "dynamic": true - }, - "syslog-facility":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "syslog-file_name":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "syslog-host":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "syslog-host_from":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "syslog-legacy_msghdr":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "syslog-pid":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "syslog-priority":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "syslog-sourceip":{ - "type":"ip" - }, - "syslog-tags":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "sysmon_timestamp":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "tags":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "target_filename":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "tc":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "tcp_flags":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "terminal_id":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "valid_till":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - - "timed_out":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "times_accessed":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "times_changed":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "times_created":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "times_modified":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "timestamp":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "tld.subdomain":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "tls":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "to":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "top_level_domain":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "total_bytes":{ - "type":"long" - }, - "tracker_id":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "trans_depth":{ - "type":"long" - }, - "transaction_id":{ - "type":"long" - }, - "ttls":{ - "type":"text" - }, - "tty":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "tunnel_parents":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "tunnel_type":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "type":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "uid":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "unparsed_version":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "up_since":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "urg":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "uri":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "uri_length":{ - "type":"long" - }, - "username":{ - "type":"text", - "fields": { - "keyword":{ - "type":"keyword" - } - } - }, - "user_agent":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "useragent":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "useragent_length":{ - "type":"long" - }, - "uses_aslr":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "uses_code_integrity":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "uses_dep":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "uses_seh":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "validation_status":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "value":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "version":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "version_additional_info":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "version_major":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "version_minor":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "version_minor2":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "version_minor3":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "virtual_host":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "virtual_host_frequency_score":{ - "type":"long" - }, - "virtual_host_length":{ - "type":"long" - }, - "warning":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "width":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "window":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "x_originating_ip":{ - "type":"ip" - }, - "year":{ - "type":"long" - }, - "z":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - } - } - } - } -} diff --git a/salt/logstash/pipelines/templates/so/logstash-strelka-template.json b/salt/logstash/pipelines/templates/so/logstash-strelka-template.json deleted file mode 100644 index 34b937b87..000000000 --- a/salt/logstash/pipelines/templates/so/logstash-strelka-template.json +++ /dev/null @@ -1,24 +0,0 @@ -{ - "index_patterns": ["logstash-strelka-*"], - "version":50001, - "order" : 0, - "settings":{ - "number_of_replicas":0, - "number_of_shards":1, - "index.refresh_interval":"30s" - }, - "mappings":{ - "doc":{ - "dynamic": false, - "date_detection": false, - "properties":{ - "@timestamp":{ - "type":"date" - }, - "@version":{ - "type":"keyword" - } - } - } - } -} diff --git a/salt/logstash/pipelines/templates/so/logstash-template.json b/salt/logstash/pipelines/templates/so/logstash-template.json deleted file mode 100644 index 124d3c92c..000000000 --- a/salt/logstash/pipelines/templates/so/logstash-template.json +++ /dev/null @@ -1,3619 +0,0 @@ -{ - "index_patterns": ["logstash-ids-*", "logstash-firewall-*", "logstash-syslog-*", "logstash-bro-*", "logstash-import-*", "logstash-beats-*"], - "version":50001, - "order" : 0, - "settings":{ - "number_of_replicas":0, - "number_of_shards":1, - "index.refresh_interval":"30s" - }, - "mappings":{ - "doc":{ - "dynamic": false, - "date_detection": false, - "properties":{ - "@timestamp":{ - "type":"date" - }, - "@version":{ - "type":"keyword" - }, - "geoip":{ - "dynamic":true, - "properties":{ - "ip":{ - "type":"ip" - }, - "location":{ - "type":"geo_point" - }, - "latitude":{ - "type":"half_float" - }, - "longitude":{ - "type":"half_float" - } - } - }, - "destination_geo":{ - "dynamic":true, - "properties":{ - "ip":{ - "type":"ip" - }, - "location":{ - "type":"geo_point" - }, - "latitude":{ - "type":"half_float" - }, - "longitude":{ - "type":"half_float" - } - } - }, - "source_geo":{ - "dynamic":true, - "properties":{ - "ip":{ - "type":"ip" - }, - "location":{ - "type":"geo_point" - }, - "latitude":{ - "type":"half_float" - }, - "longitude":{ - "type":"half_float" - } - } - }, - "signature_info":{ - "type":"keyword" - }, - "aa":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "ack":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "action":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "additional_info":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "age":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "alert":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "alert_level":{ - "type":"long", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "analyzer":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "answers":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "assigned_ip":{ - "type":"ip", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "auth":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "authentication_attempts":{ - "type":"long" - }, - "authentication_method":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "authentication_success":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "basic_constraints":{ - "type":"object", - "properties":{ - "path_len": { - "type": "text" - } - } - }, - "basic_constraints_ca":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "basic_constraints_path_length":{ - "type":"long" - }, - "bound_port":{ - "type":"long" - }, - "call_id":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "category":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "cc":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "certificate_chain_count":{ - "type":"long" - }, - "certificate_chain_fuids":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "certificate_common_name":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "certificate_common_name_frequency_score":{ - "type":"long" - }, - "certificate_common_name_length":{ - "type":"long" - }, - "certificate_count":{ - "type":"long" - }, - "certificate_country_code":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "certificate_curve":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "certificate_exponent":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "certificate_issuer":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "certificate_key_algorithm":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "certificate_key_length":{ - "type":"long" - }, - "certificate_key_type":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "certificate_locality":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "certificate_not_valid_after":{ - "type":"date" - }, - "certificate_not_valid_before":{ - "type":"date" - }, - "certificate_number_days_valid":{ - "type":"long" - }, - "certificate_organization":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "certificate_organization_unit":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "certificate_permanent":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "certificate_serial":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "certificate_serial_number":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "certificate_signing_algorithm":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "certificate_state":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "certificate_subject":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "certificate_type":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "certificate_version":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "checksum":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "cipher":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "cipher_algorithm":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "class":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "classification":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "client":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "client_build":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "client_certificate_chain_fuids":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "client_certificate_subject":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "client_certificate_fuid":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "client_digital_product_id":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "client_fqdn":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "client_issuer":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "client_ip": { - "type":"ip", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "client_major_version":{ - "type":"long", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "client_message":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "client_minor_version":{ - "type":"long", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "client_name":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "client_subject":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "command":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "community":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "company":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "compile_ts":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "compression_algorithm":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "connect_info":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "connection_state":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "connection_state_description":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "content_type":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "cookie":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "creation_date":{ - "type":"date" - }, - "creation_time":{ - "type":"date" - }, - "client_host_key_algorithms":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "current_directory":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "curve":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "data_channel_destination_ip":{ - "type":"ip" - }, - "data_channel_destination_port":{ - "type":"long" - }, - "data_channel_passive":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "data_channel_source_ip":{ - "type":"ip" - }, - "data_length":{ - "type":"long" - }, - "date":{ - "type":"text" - }, - "dcc_file_name":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "dcc_file_size":{ - "type":"long" - }, - "dcc_mime_type":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "depth":{ - "type":"long" - }, - "description":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "desktop_height":{ - "type":"long" - }, - "desktop_name":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "desktop_width":{ - "type":"long" - }, - "dest_is_ipv6":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "destination":{ - "type":"object", - "dynamic": true - }, - "destination_city":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "destination_geo.city_name":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "destination_geo.continent_code":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "destination_geo.dma_code":{ - "type":"long" - }, - "destination_geo.ip":{ - "type":"ip" - }, - "destination_geo.latitude":{ - "type":"long" - }, - "destination_geo.location":{ - "type":"geo_point" - }, - "destination_geo.longitude":{ - "type":"long", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "destination_geo.postal_code":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "destination_geo.region_code":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "destination_geo.country_name":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "destination_geo.region_name":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "destination_geo.timezone":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "destination_hostname":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "destination_ip":{ - "type":"ip" - }, - "destination_ips":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "destination_latitude":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "destination_longitude":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "destination_port":{ - "type":"long" - }, - "destination_port_name":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "destination_region":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "details":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "dir":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "direction":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "display_string":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "domain_age":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "domain_name":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "dropped":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "duration":{ - "type":"long" - }, - "valid_from":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "enabled":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "encryption_level":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "encryption_method":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "endpoint":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "entry":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "entry_location":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "error_message":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "escalated_user":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "established":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "event_id":{ - "type":"long" - }, - "event_timestamp":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "event_type":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "exception":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "extracted":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "extracted_cutoff":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "facility":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "fc_reply":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "fc_request":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "file_description":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "file_ip":{ - "type":"ip", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "file_mime_type":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "file_name":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "file_size":{ - "type":"long" - }, - "first_received":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "flow_label":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "forwardable":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "framed_addr":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "freq_virtual_host":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "frequency_scores":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "from":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "ftp_argument":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "ftp_command":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "fuid":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "fuids":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "function":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "geoip.ip":{ - "type":"ip" - }, - "geoip.latitude":{ - "type":"long" - }, - "geoip.location":{ - "type":"geo_point" - }, - "geoip.longitude":{ - "type":"long" - }, - "get_bulk_requests":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "get_requests":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "get_responses":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "gid":{ - "type":"long" - }, - "has_cert_table":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "has_debug_data":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "has_export_table":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "has_import_table":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "hassh":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "hassh_algorithms":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "hassh_server":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "hassh_server_algorithms":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "hassh_version":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "height":{ - "type":"long" - }, - "helo":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "highest_registered_domain":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "highest_registered_domain_frequency_score":{ - "type":"long" - }, - "history":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "hop_limit":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "host":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "host_key":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "host_key_algorithm":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "hostname":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "id":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "iin":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "image_path":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "in_reply_to":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "indicator":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "indicator_type":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "info_code":{ - "type":"long" - }, - "info_message":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "initiated":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "integrity_level":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "interface":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "ip_version":{ - "type":"long" - }, - "ipv4_ecn":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "ips":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "ipv4_flags":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "ipv4_id":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "ipv4_offset":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "ipv4_protocol":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "ipv4_protocol_id":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "ipv4_protocol_length":{ - "type":"long" - }, - "ipv4_tos":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "ipv4_ttl":{ - "type":"long" - }, - "irc_command":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "irc_username":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "is_64bit":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "is_exe":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "is_orig":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "is_source_ipv6":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "is_webmail":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "issuer_common_name":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "issuer_common_name_frequency_score":{ - "type":"long" - }, - "issuer_common_name_length":{ - "type":"long" - }, - "issuer_country_code":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "issuer_distinguished_name":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "issuer_locality":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "issuer_organization":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "issuer_organization_frequency_score":{ - "type":"long" - }, - "issuer_organization_unit":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "issuer_serial_number":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "issuer_state":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "ja3":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "ja3s":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "kerberos_success":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "kex_algorithm":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "keyboard_layout":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "last_alert":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "last_reply":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "launch_string":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "lease_time":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "length":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "local_orig":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "local_respond":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "location":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "log_name":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "log_timestamp":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "logged":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "logon_guid":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "logon_id":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "logstash_time":{ - "type":"long" - }, - "mac":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "mac_algorithm":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "machine":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "mail_date":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "mail_from":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "matched":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "md5":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "message":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "message_id":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "message_types":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "method":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "mimetype":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "missed_bytes":{ - "type":"long" - }, - "missing_bytes":{ - "type":"long" - }, - "msg":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "mysql_argument":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "mysql_command":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "mysql_success":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "n":{ - "type":"long" - }, - "name":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "named_pipe":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "native_file_system":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "next_protocol":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "nick":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "note":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "notice":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "ntlm_success":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "num_packets":{ - "type":"long" - }, - "object_size":{ - "type":"long" - }, - "operation":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "options":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "orig_filenames":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "orig_fuids":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "orig_mime_types":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "original_bytes":{ - "type":"long" - }, - "original_country_code":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "original_ip_bytes":{ - "type":"long" - }, - "original_packets":{ - "type":"long" - }, - "os":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "ossec_agent_name":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "ossec_timestamp":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "overflow_bytes":{ - "type":"long" - }, - "p":{ - "type":"long" - }, - "parent_domain":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "parent_domain_frequency_score":{ - "type":"long" - }, - "parent_domain_length":{ - "type":"long" - }, - "parent_image_path":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "parent_process_guid":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "parent_process_id":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "parent_process_name":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "password":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "path":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "peer":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "peer_description":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "pesha1":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "pesha256":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "pid":{ - "type":"long", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "port":{ - "type":"long", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "prev_name":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "priority":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "process":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "process_arguments":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "process_guid":{ - "type":"long" - }, - "process_id":{ - "type":"long", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "process_name":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "profile":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "program":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "protocol":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "protocol_id":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "protocol_version":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "proxied":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "query":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "query_class":{ - "type":"long" - }, - "query_class_name":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "query_length":{ - "type":"long" - }, - "query_type":{ - "type":"long" - }, - "query_type_name":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "ra":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "rcode":{ - "type":"long" - }, - "rcode_name":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "rd":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "reason":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "recipient_to":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "referrer":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "rejected":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "remote_ip":{ - "type":"ip" - }, - "remote_location":{ - "type":"object", - "properties":{ - "country_code": { - "type": "text" - } - } - }, - "renewable":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "reply_code":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "reply_message":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "reply_to":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "request_body_len":{ - "type":"long" - }, - "request_body_length":{ - "type":"long" - }, - "request_from":{ - "type":"text" - }, - "request_path":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "request_port":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "request_timestamp":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "request_to":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "request_type":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "requested_color_depth":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "requested_resource":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "requested_ip": { - "type":"ip", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "resp_filenames":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "resp_fuids":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "resp_mime_types":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "respond_bytes":{ - "type":"long" - }, - "respond_country_code":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "respond_ip_bytes":{ - "type":"long" - }, - "respond_packets":{ - "type":"long" - }, - "response":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "response_body_len":{ - "type":"long" - }, - "response_body_length":{ - "type":"long" - }, - "response_from":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "response_path":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "response_to":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "result":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "resumed":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "rev":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "rig":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "rows":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "rtt":{ - "type":"float", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "rule":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "rule_number":{ - "type":"long" - }, - "rule_signature":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "rule_type":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "san_dns":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "second_received":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "section_names":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "security_protocol":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "seen_bytes":{ - "type":"long" - }, - "seen_node":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "seen_where":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "sensor_name":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "seq":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "sequence_number":{ - "type":"long" - }, - "server":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "server_certificate_fuid":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "server_certificate_subject":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "server_dns_computer_name":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "server_ip": { - "type":"ip", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "server_major_version":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "server_message":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "server_minor_version":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "server_name":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "server_name_frequency_score":{ - "type":"long" - }, - "server_name_length":{ - "type":"long" - }, - "server_nb_computer_name":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "server_tree_name":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "service":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "set_requests":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "severity":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "sha1":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "sha256":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "share_flag":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "share_type":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "sid":{ - "type":"long" - }, - "signer":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "site":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "size":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "software_type":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "source":{ - "type":"object", - "dynamic": true - }, - "source_geo.city_name":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "source_geo.continent_code":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "source_geo.dma_code":{ - "type":"long" - }, - "source_geo.ip":{ - "type":"ip" - }, - "source_geo.latitude":{ - "type":"long" - }, - "source_geo.location":{ - "type":"geo_point" - }, - "source_geo.longitude":{ - "type":"long" - }, - "source_geo.postal_code":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "source_geo.region_code":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "source_geo.region_name":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "source_geo.timezone":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "source_hostname":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "source_ip":{ - "type":"ip" - }, - "source_ips":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "source_port":{ - "type":"long" - }, - "source_port_name":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "sources":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "server_host_key_algorithms":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "status":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "status_code":{ - "type":"long" - }, - "status_message":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "status_msg":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "sub_msg":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "sub_rule_number":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "subdomain":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "subdomain_frequency_score":{ - "type":"long" - }, - "subdomain_length":{ - "type":"long" - }, - "subject":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "subsystem":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "suppress_for":{ - "type":"long" - }, - "syslog-facility":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "syslog-file_name":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "syslog-host":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "syslog-host_from":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "syslog-legacy_msghdr":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "syslog-pid":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "syslog-priority":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "syslog-sourceip":{ - "type":"ip" - }, - "syslog-tags":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "sysmon_timestamp":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "tags":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "target_filename":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "tc":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "tcp_flags":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "terminal_id":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "valid_till":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - - "timed_out":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "times_accessed":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "times_changed":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "times_created":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "times_modified":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "timestamp":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "tld.subdomain":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "tls":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "to":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "top_level_domain":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "total_bytes":{ - "type":"long" - }, - "tracker_id":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "trans_depth":{ - "type":"long" - }, - "transaction_id":{ - "type":"long" - }, - "ttls":{ - "type":"text" - }, - "tty":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "tunnel_parents":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "tunnel_type":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "type":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "uid":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "unparsed_version":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "up_since":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "urg":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "uri":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "uri_length":{ - "type":"long" - }, - "username":{ - "type":"text", - "fields": { - "keyword":{ - "type":"keyword" - } - } - }, - "user_agent":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "useragent":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "useragent_length":{ - "type":"long" - }, - "uses_aslr":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "uses_code_integrity":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "uses_dep":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "uses_seh":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "validation_status":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "value":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "version":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "version_additional_info":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "version_major":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "version_minor":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "version_minor2":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "version_minor3":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "virtual_host":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "virtual_host_frequency_score":{ - "type":"long" - }, - "virtual_host_length":{ - "type":"long" - }, - "warning":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "width":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "window":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "x_originating_ip":{ - "type":"ip" - }, - "year":{ - "type":"long" - }, - "z":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - } - } - } - } -} diff --git a/salt/logstash/pipelines/templates/so/so-ossec-template.json b/salt/logstash/pipelines/templates/so/so-ossec-template.json deleted file mode 100644 index 8012eced8..000000000 --- a/salt/logstash/pipelines/templates/so/so-ossec-template.json +++ /dev/null @@ -1,3466 +0,0 @@ -{ - "index_patterns": ["so-ossec*"], - "version":50001, - "order" : 1, - "settings":{ - "index": { - "mapping": { - "total_fields": { - "limit": 10000 - } - } - }, - "number_of_replicas":0, - "number_of_shards":1, - "index.refresh_interval":"30s" - }, - "mappings":{ - "doc":{ - "dynamic": false, - "date_detection": false, - "properties":{ - "@timestamp":{ - "type":"date" - }, - "@version":{ - "type":"keyword" - }, - "geoip":{ - "dynamic":true, - "properties":{ - "ip":{ - "type":"ip" - }, - "location":{ - "type":"geo_point" - }, - "latitude":{ - "type":"half_float" - }, - "longitude":{ - "type":"half_float" - } - } - }, - "destination_geo":{ - "dynamic":true, - "properties":{ - "ip":{ - "type":"ip" - }, - "location":{ - "type":"geo_point" - }, - "latitude":{ - "type":"half_float" - }, - "longitude":{ - "type":"half_float" - } - } - }, - "source_geo":{ - "dynamic":true, - "properties":{ - "ip":{ - "type":"ip" - }, - "location":{ - "type":"geo_point" - }, - "latitude":{ - "type":"half_float" - }, - "longitude":{ - "type":"half_float" - } - } - }, - "signature_info":{ - "type":"keyword" - }, - "aa":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "ack":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "action":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "additional_info":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "age":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "agent":{ - "type":"object", - "dynamic": true - }, - "alert":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "alert_level":{ - "type":"long", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "analyzer":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "answers":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "assigned_ip":{ - "type":"ip", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "auth":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "authentication_attempts":{ - "type":"long" - }, - "authentication_method":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "authentication_success":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "basic_constraints":{ - "type":"object", - "properties":{ - "path_len": { - "type": "text" - } - } - }, - "basic_constraints_ca":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "basic_constraints_path_length":{ - "type":"long" - }, - "bound_port":{ - "type":"long" - }, - "call_id":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "category":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "cc":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "certificate_chain_count":{ - "type":"long" - }, - "certificate_chain_fuids":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "certificate_common_name":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "certificate_common_name_frequency_score":{ - "type":"long" - }, - "certificate_common_name_length":{ - "type":"long" - }, - "certificate_count":{ - "type":"long" - }, - "certificate_country_code":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "certificate_curve":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "certificate_exponent":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "certificate_issuer":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "certificate_key_algorithm":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "certificate_key_length":{ - "type":"long" - }, - "certificate_key_type":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "certificate_locality":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "certificate_not_valid_after":{ - "type":"date" - }, - "certificate_not_valid_before":{ - "type":"date" - }, - "certificate_number_days_valid":{ - "type":"long" - }, - "certificate_organization":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "certificate_organization_unit":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "certificate_permanent":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "certificate_serial":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "certificate_serial_number":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "certificate_signing_algorithm":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "certificate_state":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "certificate_subject":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "certificate_type":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "certificate_version":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "checksum":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "cipher":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "cipher_algorithm":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "class":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "classification":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "client":{ - "type":"object", - "dynamic": true - }, - "client_build":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "client_certificate_chain_fuids":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "client_certificate_subject":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "client_certificate_fuid":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "client_digital_product_id":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "client_issuer":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "client_major_version":{ - "type":"long", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "client_minor_version":{ - "type":"long", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "client_name":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "client_subject":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "command":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "community":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "company":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "compile_ts":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "compression_algorithm":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "connect_info":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "connection_state":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "connection_state_description":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "content_type":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "cookie":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "creation_date":{ - "type":"date" - }, - "creation_time":{ - "type":"date" - }, - "current_directory":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "curve":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "data":{ - "type":"object", - "dynamic": true - }, - "data_channel_destination_ip":{ - "type":"ip" - }, - "data_channel_destination_port":{ - "type":"long" - }, - "data_channel_passive":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "data_channel_source_ip":{ - "type":"ip" - }, - "data_length":{ - "type":"long" - }, - "date":{ - "type":"text" - }, - "dcc_file_name":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "dcc_file_size":{ - "type":"long" - }, - "dcc_mime_type":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "decoder":{ - "type":"object", - "dynamic": true - }, - "depth":{ - "type":"long" - }, - "description":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "desktop_height":{ - "type":"long" - }, - "desktop_name":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "desktop_width":{ - "type":"long" - }, - "dest_is_ipv6":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "destination_city":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "destination_geo.city_name":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "destination_geo.continent_code":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "destination_geo.dma_code":{ - "type":"long" - }, - "destination_geo.ip":{ - "type":"ip" - }, - "destination_geo.latitude":{ - "type":"long" - }, - "destination_geo.location":{ - "type":"geo_point" - }, - "destination_geo.longitude":{ - "type":"long", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "destination_geo.postal_code":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "destination_geo.region_code":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "destination_geo.country_name":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "destination_geo.region_name":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "destination_geo.timezone":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "destination_hostname":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "destination_ip":{ - "type":"ip" - }, - "destination_ips":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "destination_latitude":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "destination_longitude":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "destination_port":{ - "type":"long" - }, - "destination_port_name":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "destination_region":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "details":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "dir":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "direction":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "display_string":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "domain_age":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "domain_name":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "dropped":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "duration":{ - "type":"long" - }, - "valid_from":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "enabled":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "encryption_level":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "encryption_method":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "endpoint":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "entry":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "entry_location":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "error_message":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "escalated_user":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "established":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "event_id":{ - "type":"long" - }, - "event_timestamp":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "event_type":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "exception":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "extracted":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "extracted_cutoff":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "facility":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "fc_reply":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "fc_request":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "file_description":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "file_ip":{ - "type":"ip", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "file_mime_type":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "file_name":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "file_size":{ - "type":"long" - }, - "first_received":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "flow_label":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "forwardable":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "framed_addr":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "freq_virtual_host":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "frequency_scores":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "from":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "ftp_argument":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "ftp_command":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "fuid":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "fuids":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "full_log":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "function":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "geoip.ip":{ - "type":"ip" - }, - "geoip.latitude":{ - "type":"long" - }, - "geoip.location":{ - "type":"geo_point" - }, - "geoip.longitude":{ - "type":"long" - }, - "get_bulk_requests":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "get_requests":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "get_responses":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "gid":{ - "type":"long" - }, - "has_cert_table":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "has_debug_data":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "has_export_table":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "has_import_table":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "height":{ - "type":"long" - }, - "helo":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "highest_registered_domain":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "highest_registered_domain_frequency_score":{ - "type":"long" - }, - "history":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "hop_limit":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "host":{ - "type":"object", - "dynamic": true - }, - "host_key":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "host_key_algorithm":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "hostname":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "id":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "iin":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "image_path":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "in_reply_to":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "indicator":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "indicator_type":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "info_code":{ - "type":"long" - }, - "info_message":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "initiated":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "integrity_level":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "interface":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "ip_version":{ - "type":"long" - }, - "ipv4_ecn":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "ips":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "ipv4_flags":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "ipv4_id":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "ipv4_offset":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "ipv4_protocol":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "ipv4_protocol_id":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "ipv4_protocol_length":{ - "type":"long" - }, - "ipv4_tos":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "ipv4_ttl":{ - "type":"long" - }, - "irc_command":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "irc_username":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "is_64bit":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "is_exe":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "is_orig":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "is_source_ipv6":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "is_webmail":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "issuer_common_name":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "issuer_common_name_frequency_score":{ - "type":"long" - }, - "issuer_common_name_length":{ - "type":"long" - }, - "issuer_country_code":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "issuer_distinguished_name":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "issuer_locality":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "issuer_organization":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "issuer_organization_frequency_score":{ - "type":"long" - }, - "issuer_organization_unit":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "issuer_serial_number":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "issuer_state":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "kerberos_success":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "kex_algorithm":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "keyboard_layout":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "last_alert":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "last_reply":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "launch_string":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "lease_time":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "length":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "local_orig":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "local_respond":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "location":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "log_name":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "log_timestamp":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "logged":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "logon_guid":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "logon_id":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "logstash_time":{ - "type":"long" - }, - "mac":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "mac_algorithm":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "machine":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "mail_date":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "mail_from":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "manager":{ - "type":"object", - "dynamic": true - }, - "matched":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "md5":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "message":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "message_id":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "method":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "mimetype":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "missed_bytes":{ - "type":"long" - }, - "missing_bytes":{ - "type":"long" - }, - "msg":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "mysql_argument":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "mysql_command":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "mysql_success":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "n":{ - "type":"long" - }, - "name":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "named_pipe":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "native_file_system":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "next_protocol":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "nick":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "note":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "notice":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "ntlm_success":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "num_packets":{ - "type":"long" - }, - "object_size":{ - "type":"long" - }, - "operation":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "options":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "orig_filenames":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "orig_fuids":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "orig_mime_types":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "original_bytes":{ - "type":"long" - }, - "original_country_code":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "original_ip_bytes":{ - "type":"long" - }, - "original_packets":{ - "type":"long" - }, - "os":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "ossec_agent_name":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "ossec_timestamp":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "overflow_bytes":{ - "type":"long" - }, - "p":{ - "type":"long" - }, - "parent_domain":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "parent_domain_frequency_score":{ - "type":"long" - }, - "parent_domain_length":{ - "type":"long" - }, - "parent_image_path":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "parent_process_guid":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "parent_process_id":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "parent_process_name":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "password":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "path":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "peer":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "peer_description":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "pesha1":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "pesha256":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "pid":{ - "type":"long", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "port":{ - "type":"long", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "predecoder":{ - "type":"object", - "dynamic": true - }, - "prev_name":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "priority":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "process_arguments":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "process_guid":{ - "type":"long" - }, - "process_id":{ - "type":"long", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "process_name":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "profile":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "program":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "protocol":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "protocol_id":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "protocol_version":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "proxied":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "query":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "query_class":{ - "type":"long" - }, - "query_class_name":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "query_length":{ - "type":"long" - }, - "query_type":{ - "type":"long" - }, - "query_type_name":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "ra":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "rcode":{ - "type":"long" - }, - "rcode_name":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "rd":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "reason":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "recipient_to":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "referrer":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "rejected":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "remote_ip":{ - "type":"ip" - }, - "remote_location":{ - "type":"object", - "properties":{ - "country_code": { - "type": "text" - } - } - }, - "renewable":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "reply_code":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "reply_message":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "reply_to":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "request_body_len":{ - "type":"long" - }, - "request_body_length":{ - "type":"long" - }, - "request_from":{ - "type":"text" - }, - "request_path":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "request_port":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "request_timestamp":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "request_to":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "request_type":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "requested_color_depth":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "requested_resource":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "resp_filenames":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "resp_fuids":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "resp_mime_types":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "respond_bytes":{ - "type":"long" - }, - "respond_country_code":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "respond_ip_bytes":{ - "type":"long" - }, - "respond_packets":{ - "type":"long" - }, - "response":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "response_body_len":{ - "type":"long" - }, - "response_body_length":{ - "type":"long" - }, - "response_from":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "response_path":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "response_to":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "result":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "resumed":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "rev":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "rig":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "rows":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "rtt":{ - "type":"float", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "wazuh-rule":{ - "type":"object", - "dynamic": true - }, - "rule_number":{ - "type":"long" - }, - "rule_type":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "san_dns":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "second_received":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "section_names":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "security_protocol":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "seen_bytes":{ - "type":"long" - }, - "seen_node":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "seen_where":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "sensor_name":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "seq":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "sequence_number":{ - "type":"long" - }, - "server":{ - "type":"object", - "dynamic": true - }, - "server_certificate_fuid":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "server_certificate_subject":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "server_major_version":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "server_minor_version":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "server_name":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "server_name_frequency_score":{ - "type":"long" - }, - "server_name_length":{ - "type":"long" - }, - "service":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "set_requests":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "severity":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "sha1":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "sha256":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "share_flag":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "share_type":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "sid":{ - "type":"long" - }, - "signer":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "site":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "size":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "software_type":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "source_geo.city_name":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "source_geo.continent_code":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "source_geo.dma_code":{ - "type":"long" - }, - "source_geo.ip":{ - "type":"ip" - }, - "source_geo.latitude":{ - "type":"long" - }, - "source_geo.location":{ - "type":"geo_point" - }, - "source_geo.longitude":{ - "type":"long" - }, - "source_geo.postal_code":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "source_geo.region_code":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "source_geo.region_name":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "source_geo.timezone":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "source_hostname":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "source_ip":{ - "type":"ip" - }, - "source_ips":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "source_port":{ - "type":"long" - }, - "source_port_name":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "sources":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "status":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "status_code":{ - "type":"long" - }, - "status_message":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "status_msg":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "sub_msg":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "sub_rule_number":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "subdomain":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "subdomain_frequency_score":{ - "type":"long" - }, - "subdomain_length":{ - "type":"long" - }, - "subject":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "subsystem":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "suppress_for":{ - "type":"long" - }, - "syscheck":{ - "type":"object", - "dynamic": true - }, - "syslog-facility":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "syslog-file_name":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "syslog-host":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "syslog-host_from":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "syslog-legacy_msghdr":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "syslog-pid":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "syslog-priority":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "syslog-sourceip":{ - "type":"ip" - }, - "syslog-tags":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "sysmon_timestamp":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "tags":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "target_filename":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "tc":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "tcp_flags":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "terminal_id":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "valid_till":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - - "timed_out":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "times_accessed":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "times_changed":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "times_created":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "times_modified":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "timestamp":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "tld.subdomain":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "tls":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "to":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "top_level_domain":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "total_bytes":{ - "type":"long" - }, - "tracker_id":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "trans_depth":{ - "type":"long" - }, - "transaction_id":{ - "type":"long" - }, - "ttls":{ - "type":"text" - }, - "tty":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "tunnel_parents":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "tunnel_type":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "type":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "uid":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "unparsed_version":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "up_since":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "urg":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "uri":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "uri_length":{ - "type":"long" - }, - "username":{ - "type":"text", - "fields": { - "keyword":{ - "type":"keyword" - } - } - }, - "user_agent":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "useragent":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "useragent_length":{ - "type":"long" - }, - "uses_aslr":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "uses_code_integrity":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "uses_dep":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "uses_seh":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "validation_status":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "value":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "version":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "version_additional_info":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "version_major":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "version_minor":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "version_minor2":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "version_minor3":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "virtual_host":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "virtual_host_frequency_score":{ - "type":"long" - }, - "virtual_host_length":{ - "type":"long" - }, - "warning":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "width":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "window":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "x_originating_ip":{ - "type":"ip" - }, - "year":{ - "type":"long" - }, - "z":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - } - } - } - } -} diff --git a/salt/logstash/pipelines/templates/so/so-strelka-template.json b/salt/logstash/pipelines/templates/so/so-strelka-template.json deleted file mode 100644 index 80d35f7e5..000000000 --- a/salt/logstash/pipelines/templates/so/so-strelka-template.json +++ /dev/null @@ -1,24 +0,0 @@ -{ - "index_patterns": ["so-strelka-*"], - "version":50001, - "order" : 0, - "settings":{ - "number_of_replicas":0, - "number_of_shards":1, - "index.refresh_interval":"30s" - }, - "mappings":{ - "doc":{ - "dynamic": false, - "date_detection": false, - "properties":{ - "@timestamp":{ - "type":"date" - }, - "@version":{ - "type":"keyword" - } - } - } - } -} diff --git a/salt/logstash/pipelines/templates/so/so-template.json b/salt/logstash/pipelines/templates/so/so-template.json deleted file mode 100644 index b2d48f555..000000000 --- a/salt/logstash/pipelines/templates/so/so-template.json +++ /dev/null @@ -1,3600 +0,0 @@ -{ - "index_patterns": ["so-ids-*", "so-firewall-*", "so-syslog-*", "so-zeek-*", "so-import-*", "so-beats-*"], - "version":50001, - "order" : 0, - "settings":{ - "number_of_replicas":0, - "number_of_shards":1, - "index.refresh_interval":"30s" - }, - "mappings":{ - "doc":{ - "dynamic": false, - "date_detection": false, - "properties":{ - "@timestamp":{ - "type":"date" - }, - "@version":{ - "type":"keyword" - }, - "geoip":{ - "dynamic":true, - "properties":{ - "ip":{ - "type":"ip" - }, - "location":{ - "type":"geo_point" - }, - "latitude":{ - "type":"half_float" - }, - "longitude":{ - "type":"half_float" - } - } - }, - "destination_geo":{ - "dynamic":true, - "properties":{ - "ip":{ - "type":"ip" - }, - "location":{ - "type":"geo_point" - }, - "latitude":{ - "type":"half_float" - }, - "longitude":{ - "type":"half_float" - } - } - }, - "source_geo":{ - "dynamic":true, - "properties":{ - "ip":{ - "type":"ip" - }, - "location":{ - "type":"geo_point" - }, - "latitude":{ - "type":"half_float" - }, - "longitude":{ - "type":"half_float" - } - } - }, - "signature_info":{ - "type":"keyword" - }, - "aa":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "ack":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "action":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "additional_info":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "age":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "alert":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "alert_level":{ - "type":"long", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "analyzer":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "answers":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "assigned_ip":{ - "type":"ip", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "auth":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "authentication_attempts":{ - "type":"long" - }, - "authentication_method":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "authentication_success":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "basic_constraints":{ - "type":"object", - "properties":{ - "path_len": { - "type": "text" - } - } - }, - "basic_constraints_ca":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "basic_constraints_path_length":{ - "type":"long" - }, - "bound_port":{ - "type":"long" - }, - "call_id":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "category":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "cc":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "certificate_chain_count":{ - "type":"long" - }, - "certificate_chain_fuids":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "certificate_common_name":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "certificate_common_name_frequency_score":{ - "type":"long" - }, - "certificate_common_name_length":{ - "type":"long" - }, - "certificate_count":{ - "type":"long" - }, - "certificate_country_code":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "certificate_curve":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "certificate_exponent":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "certificate_issuer":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "certificate_key_algorithm":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "certificate_key_length":{ - "type":"long" - }, - "certificate_key_type":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "certificate_locality":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "certificate_not_valid_after":{ - "type":"date" - }, - "certificate_not_valid_before":{ - "type":"date" - }, - "certificate_number_days_valid":{ - "type":"long" - }, - "certificate_organization":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "certificate_organization_unit":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "certificate_permanent":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "certificate_serial":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "certificate_serial_number":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "certificate_signing_algorithm":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "certificate_state":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "certificate_subject":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "certificate_type":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "certificate_version":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "checksum":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "cipher":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "cipher_algorithm":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "class":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "classification":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "client":{ - "type":"object", - "dynamic": true - }, - "client_build":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "client_certificate_chain_fuids":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "client_certificate_subject":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "client_certificate_fuid":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "client_digital_product_id":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "client_fqdn":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "client_issuer":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "client_ip": { - "type":"ip", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "client_major_version":{ - "type":"long", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "client_message":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "client_minor_version":{ - "type":"long", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "client_name":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "client_subject":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "command":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "community":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "company":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "compile_ts":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "compression_algorithm":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "connect_info":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "connection_state":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "connection_state_description":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "content_type":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "cookie":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "creation_date":{ - "type":"date" - }, - "creation_time":{ - "type":"date" - }, - "client_host_key_algorithms":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "current_directory":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "curve":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "data_channel_destination_ip":{ - "type":"ip" - }, - "data_channel_destination_port":{ - "type":"long" - }, - "data_channel_passive":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "data_channel_source_ip":{ - "type":"ip" - }, - "data_length":{ - "type":"long" - }, - "date":{ - "type":"text" - }, - "dcc_file_name":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "dcc_file_size":{ - "type":"long" - }, - "dcc_mime_type":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "depth":{ - "type":"long" - }, - "description":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "desktop_height":{ - "type":"long" - }, - "desktop_name":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "desktop_width":{ - "type":"long" - }, - "dest_is_ipv6":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "destination":{ - "type":"object", - "dynamic": true - }, - "destination_city":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "destination_geo.city_name":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "destination_geo.continent_code":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "destination_geo.dma_code":{ - "type":"long" - }, - "destination_geo.ip":{ - "type":"ip" - }, - "destination_geo.latitude":{ - "type":"long" - }, - "destination_geo.location":{ - "type":"geo_point" - }, - "destination_geo.longitude":{ - "type":"long", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "destination_geo.postal_code":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "destination_geo.region_code":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "destination_geo.country_name":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "destination_geo.region_name":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "destination_geo.timezone":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "destination_hostname":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "destination_ip":{ - "type":"ip" - }, - "destination_ips":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "destination_latitude":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "destination_longitude":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "destination_port":{ - "type":"long" - }, - "destination_port_name":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "destination_region":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "details":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "dir":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "direction":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "display_string":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "domain_age":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "domain_name":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "dropped":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "duration":{ - "type":"long" - }, - "valid_from":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "enabled":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "encryption_level":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "encryption_method":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "endpoint":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "entry":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "entry_location":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "error_message":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "escalated_user":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "established":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "event_id":{ - "type":"long" - }, - "event_timestamp":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "event_type":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "exception":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "extracted":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "extracted_cutoff":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "facility":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "fc_reply":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "fc_request":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "file_description":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "file_ip":{ - "type":"ip", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "file_mime_type":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "file_name":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "file_size":{ - "type":"long" - }, - "first_received":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "flow_label":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "forwardable":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "framed_addr":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "freq_virtual_host":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "frequency_scores":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "from":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "ftp_argument":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "ftp_command":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "fuid":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "fuids":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "function":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "geoip.ip":{ - "type":"ip" - }, - "geoip.latitude":{ - "type":"long" - }, - "geoip.location":{ - "type":"geo_point" - }, - "geoip.longitude":{ - "type":"long" - }, - "get_bulk_requests":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "get_requests":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "get_responses":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "gid":{ - "type":"long" - }, - "has_cert_table":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "has_debug_data":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "has_export_table":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "has_import_table":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "hassh":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "hassh_algorithms":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "hassh_server":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "hassh_server_algorithms":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "hassh_version":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "height":{ - "type":"long" - }, - "helo":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "highest_registered_domain":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "highest_registered_domain_frequency_score":{ - "type":"long" - }, - "history":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "hop_limit":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "host":{ - "type":"object", - "dynamic": true - }, - "host_key":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "host_key_algorithm":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "hostname":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "id":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "iin":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "image_path":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "in_reply_to":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "indicator":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "indicator_type":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "info_code":{ - "type":"long" - }, - "info_message":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "initiated":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "integrity_level":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "interface":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "ip_version":{ - "type":"long" - }, - "ipv4_ecn":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "ips":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "ipv4_flags":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "ipv4_id":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "ipv4_offset":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "ipv4_protocol":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "ipv4_protocol_id":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "ipv4_protocol_length":{ - "type":"long" - }, - "ipv4_tos":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "ipv4_ttl":{ - "type":"long" - }, - "irc_command":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "irc_username":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "is_64bit":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "is_exe":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "is_orig":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "is_source_ipv6":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "is_webmail":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "issuer_common_name":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "issuer_common_name_frequency_score":{ - "type":"long" - }, - "issuer_common_name_length":{ - "type":"long" - }, - "issuer_country_code":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "issuer_distinguished_name":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "issuer_locality":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "issuer_organization":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "issuer_organization_frequency_score":{ - "type":"long" - }, - "issuer_organization_unit":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "issuer_serial_number":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "issuer_state":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "ja3":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "ja3s":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "kerberos_success":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "kex_algorithm":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "keyboard_layout":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "last_alert":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "last_reply":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "launch_string":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "lease_time":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "length":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "local_orig":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "local_respond":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "location":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "log_name":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "log_timestamp":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "logged":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "logon_guid":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "logon_id":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "logstash_time":{ - "type":"long" - }, - "mac":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "mac_algorithm":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "machine":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "mail_date":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "mail_from":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "matched":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "md5":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "message":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "message_id":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "message_types":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "method":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "mimetype":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "missed_bytes":{ - "type":"long" - }, - "missing_bytes":{ - "type":"long" - }, - "msg":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "mysql_argument":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "mysql_command":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "mysql_success":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "n":{ - "type":"long" - }, - "name":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "named_pipe":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "native_file_system":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "next_protocol":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "nick":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "note":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "notice":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "ntlm_success":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "num_packets":{ - "type":"long" - }, - "object_size":{ - "type":"long" - }, - "operation":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "options":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "orig_filenames":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "orig_fuids":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "orig_mime_types":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "original_bytes":{ - "type":"long" - }, - "original_country_code":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "original_ip_bytes":{ - "type":"long" - }, - "original_packets":{ - "type":"long" - }, - "os":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "ossec_agent_name":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "ossec_timestamp":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "overflow_bytes":{ - "type":"long" - }, - "p":{ - "type":"long" - }, - "parent_domain":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "parent_domain_frequency_score":{ - "type":"long" - }, - "parent_domain_length":{ - "type":"long" - }, - "parent_image_path":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "parent_process_guid":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "parent_process_id":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "parent_process_name":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "password":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "path":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "peer":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "peer_description":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "pesha1":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "pesha256":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "pid":{ - "type":"long", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "port":{ - "type":"long", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "prev_name":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "priority":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "process_arguments":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "process_guid":{ - "type":"long" - }, - "process_id":{ - "type":"long", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "process_name":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "profile":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "program":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "protocol":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "protocol_id":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "protocol_version":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "proxied":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "query":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "query_class":{ - "type":"long" - }, - "query_class_name":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "query_length":{ - "type":"long" - }, - "query_type":{ - "type":"long" - }, - "query_type_name":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "ra":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "rcode":{ - "type":"long" - }, - "rcode_name":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "rd":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "reason":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "recipient_to":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "referrer":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "rejected":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "remote_ip":{ - "type":"ip" - }, - "remote_location":{ - "type":"object", - "properties":{ - "country_code": { - "type": "text" - } - } - }, - "renewable":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "reply_code":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "reply_message":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "reply_to":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "request_body_len":{ - "type":"long" - }, - "request_body_length":{ - "type":"long" - }, - "request_from":{ - "type":"text" - }, - "request_path":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "request_port":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "request_timestamp":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "request_to":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "request_type":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "requested_color_depth":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "requested_resource":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "requested_ip": { - "type":"ip", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "resp_filenames":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "resp_fuids":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "resp_mime_types":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "respond_bytes":{ - "type":"long" - }, - "respond_country_code":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "respond_ip_bytes":{ - "type":"long" - }, - "respond_packets":{ - "type":"long" - }, - "response":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "response_body_len":{ - "type":"long" - }, - "response_body_length":{ - "type":"long" - }, - "response_from":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "response_path":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "response_to":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "result":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "resumed":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "rev":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "rig":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "rows":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "rtt":{ - "type":"float", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "rule":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "rule_number":{ - "type":"long" - }, - "rule_signature":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "rule_type":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "san_dns":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "second_received":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "section_names":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "security_protocol":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "seen_bytes":{ - "type":"long" - }, - "seen_node":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "seen_where":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "sensor_name":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "seq":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "sequence_number":{ - "type":"long" - }, - "server":{ - "type":"object", - "dynamic": true - } - }, - "server_certificate_fuid":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "server_certificate_subject":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "server_dns_computer_name":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "server_ip": { - "type":"ip", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "server_major_version":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "server_message":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "server_minor_version":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "server_name":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "server_name_frequency_score":{ - "type":"long" - }, - "server_name_length":{ - "type":"long" - }, - "server_nb_computer_name":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "server_tree_name":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "service":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "set_requests":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "severity":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "sha1":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "sha256":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "share_flag":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "share_type":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "sid":{ - "type":"long" - }, - "signer":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "site":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "size":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "software_type":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "source":{ - "type":"object", - "dynamic": true - }, - "source_geo.city_name":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "source_geo.continent_code":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "source_geo.dma_code":{ - "type":"long" - }, - "source_geo.ip":{ - "type":"ip" - }, - "source_geo.latitude":{ - "type":"long" - }, - "source_geo.location":{ - "type":"geo_point" - }, - "source_geo.longitude":{ - "type":"long" - }, - "source_geo.postal_code":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "source_geo.region_code":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "source_geo.region_name":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "source_geo.timezone":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "source_hostname":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "source_ip":{ - "type":"ip" - }, - "source_ips":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "source_port":{ - "type":"long" - }, - "source_port_name":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "sources":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "server_host_key_algorithms":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "status":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "status_code":{ - "type":"long" - }, - "status_message":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "status_msg":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "sub_msg":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "sub_rule_number":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "subdomain":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "subdomain_frequency_score":{ - "type":"long" - }, - "subdomain_length":{ - "type":"long" - }, - "subject":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "subsystem":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "suppress_for":{ - "type":"long" - }, - "syslog-facility":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "syslog-file_name":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "syslog-host":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "syslog-host_from":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "syslog-legacy_msghdr":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "syslog-pid":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "syslog-priority":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "syslog-sourceip":{ - "type":"ip" - }, - "syslog-tags":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "sysmon_timestamp":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "tags":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "target_filename":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "tc":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "tcp_flags":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "terminal_id":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "valid_till":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - - "timed_out":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "times_accessed":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "times_changed":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "times_created":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "times_modified":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "timestamp":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "tld.subdomain":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "tls":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "to":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "top_level_domain":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "total_bytes":{ - "type":"long" - }, - "tracker_id":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "trans_depth":{ - "type":"long" - }, - "transaction_id":{ - "type":"long" - }, - "ttls":{ - "type":"text" - }, - "tty":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "tunnel_parents":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "tunnel_type":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "type":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "uid":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "unparsed_version":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "up_since":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "urg":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "uri":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "uri_length":{ - "type":"long" - }, - "username":{ - "type":"text", - "fields": { - "keyword":{ - "type":"keyword" - } - } - }, - "user_agent":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "useragent":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "useragent_length":{ - "type":"long" - }, - "uses_aslr":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "uses_code_integrity":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "uses_dep":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "uses_seh":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "validation_status":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "value":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "version":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "version_additional_info":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "version_major":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "version_minor":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "version_minor2":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "version_minor3":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "virtual_host":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "virtual_host_frequency_score":{ - "type":"long" - }, - "virtual_host_length":{ - "type":"long" - }, - "warning":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "width":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "window":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "x_originating_ip":{ - "type":"ip" - }, - "year":{ - "type":"long" - }, - "z":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - } - } - } - } -} diff --git a/salt/logstash/pipelines/templates/so/so-zeek-template.json b/salt/logstash/pipelines/templates/so/so-zeek-template.json index a1d1c410b..61a95c0e7 100644 --- a/salt/logstash/pipelines/templates/so/so-zeek-template.json +++ b/salt/logstash/pipelines/templates/so/so-zeek-template.json @@ -1,3599 +1,10 @@ { "index_patterns": ["so-zeek-*"], "version":50001, - "order" : 0, + "order" : 11, "settings":{ "number_of_replicas":0, "number_of_shards":1, "index.refresh_interval":"30s" - }, - "mappings":{ - "doc":{ - "dynamic": false, - "date_detection": false, - "properties":{ - "@timestamp":{ - "type":"date" - }, - "@version":{ - "type":"keyword" - }, - "geoip":{ - "dynamic":true, - "properties":{ - "ip":{ - "type":"ip" - }, - "location":{ - "type":"geo_point" - }, - "latitude":{ - "type":"half_float" - }, - "longitude":{ - "type":"half_float" - } - } - }, - "destination_geo":{ - "dynamic":true, - "properties":{ - "ip":{ - "type":"ip" - }, - "location":{ - "type":"geo_point" - }, - "latitude":{ - "type":"half_float" - }, - "longitude":{ - "type":"half_float" - } - } - }, - "source_geo":{ - "dynamic":true, - "properties":{ - "ip":{ - "type":"ip" - }, - "location":{ - "type":"geo_point" - }, - "latitude":{ - "type":"half_float" - }, - "longitude":{ - "type":"half_float" - } - } - }, - "signature_info":{ - "type":"keyword" - }, - "aa":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "ack":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "action":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "additional_info":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "age":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "alert":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "alert_level":{ - "type":"long", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "analyzer":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "answers":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "assigned_ip":{ - "type":"ip", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "auth":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "authentication_attempts":{ - "type":"long" - }, - "authentication_method":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "authentication_success":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "basic_constraints":{ - "type":"object", - "properties":{ - "path_len": { - "type": "text" - } - } - }, - "basic_constraints_ca":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "basic_constraints_path_length":{ - "type":"long" - }, - "bound_port":{ - "type":"long" - }, - "call_id":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "category":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "cc":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "certificate_chain_count":{ - "type":"long" - }, - "certificate_chain_fuids":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "certificate_common_name":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "certificate_common_name_frequency_score":{ - "type":"long" - }, - "certificate_common_name_length":{ - "type":"long" - }, - "certificate_count":{ - "type":"long" - }, - "certificate_country_code":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "certificate_curve":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "certificate_exponent":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "certificate_issuer":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "certificate_key_algorithm":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "certificate_key_length":{ - "type":"long" - }, - "certificate_key_type":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "certificate_locality":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "certificate_not_valid_after":{ - "type":"date" - }, - "certificate_not_valid_before":{ - "type":"date" - }, - "certificate_number_days_valid":{ - "type":"long" - }, - "certificate_organization":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "certificate_organization_unit":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "certificate_permanent":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "certificate_serial":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "certificate_serial_number":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "certificate_signing_algorithm":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "certificate_state":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "certificate_subject":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "certificate_type":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "certificate_version":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "checksum":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "cipher":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "cipher_algorithm":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "class":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "classification":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "client":{ - "type":"object", - "dynamic": true - }, - "client_build":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "client_certificate_chain_fuids":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "client_certificate_subject":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "client_certificate_fuid":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "client_digital_product_id":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "client_fqdn":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "client_issuer":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "client_ip": { - "type":"ip", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "client_major_version":{ - "type":"long", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "client_message":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "client_minor_version":{ - "type":"long", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "client_name":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "client_subject":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "command":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "community":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "company":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "compile_ts":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "compression_algorithm":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "connect_info":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "connection_state":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "connection_state_description":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "content_type":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "cookie":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "creation_date":{ - "type":"date" - }, - "creation_time":{ - "type":"date" - }, - "client_host_key_algorithms":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "current_directory":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "curve":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "data_channel_destination_ip":{ - "type":"ip" - }, - "data_channel_destination_port":{ - "type":"long" - }, - "data_channel_passive":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "data_channel_source_ip":{ - "type":"ip" - }, - "data_length":{ - "type":"long" - }, - "date":{ - "type":"text" - }, - "dcc_file_name":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "dcc_file_size":{ - "type":"long" - }, - "dcc_mime_type":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "depth":{ - "type":"long" - }, - "description":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "desktop_height":{ - "type":"long" - }, - "desktop_name":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "desktop_width":{ - "type":"long" - }, - "dest_is_ipv6":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "destination":{ - "type":"object", - "dynamic": true - }, - "destination_city":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "destination_geo.city_name":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "destination_geo.continent_code":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "destination_geo.dma_code":{ - "type":"long" - }, - "destination_geo.ip":{ - "type":"ip" - }, - "destination_geo.latitude":{ - "type":"long" - }, - "destination_geo.location":{ - "type":"geo_point" - }, - "destination_geo.longitude":{ - "type":"long", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "destination_geo.postal_code":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "destination_geo.region_code":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "destination_geo.country_name":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "destination_geo.region_name":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "destination_geo.timezone":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "destination_hostname":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "destination_ip":{ - "type":"ip" - }, - "destination_ips":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "destination_latitude":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "destination_longitude":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "destination_port":{ - "type":"long" - }, - "destination_port_name":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "destination_region":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "details":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "dir":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "direction":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "display_string":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "domain_age":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "domain_name":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "dropped":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "duration":{ - "type":"long" - }, - "valid_from":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "enabled":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "encryption_level":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "encryption_method":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "endpoint":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "entry":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "entry_location":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "error_message":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "escalated_user":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "established":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "event_id":{ - "type":"long" - }, - "event_timestamp":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "event_type":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "exception":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "extracted":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "extracted_cutoff":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "facility":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "fc_reply":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "fc_request":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "file_description":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "file_ip":{ - "type":"ip", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "file_mime_type":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "file_name":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "file_size":{ - "type":"long" - }, - "first_received":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "flow_label":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "forwardable":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "framed_addr":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "freq_virtual_host":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "frequency_scores":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "from":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "ftp_argument":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "ftp_command":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "fuid":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "fuids":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "function":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "geoip.ip":{ - "type":"ip" - }, - "geoip.latitude":{ - "type":"long" - }, - "geoip.location":{ - "type":"geo_point" - }, - "geoip.longitude":{ - "type":"long" - }, - "get_bulk_requests":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "get_requests":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "get_responses":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "gid":{ - "type":"long" - }, - "has_cert_table":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "has_debug_data":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "has_export_table":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "has_import_table":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "hassh":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "hassh_algorithms":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "hassh_server":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "hassh_server_algorithms":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "hassh_version":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "height":{ - "type":"long" - }, - "helo":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "highest_registered_domain":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "highest_registered_domain_frequency_score":{ - "type":"long" - }, - "history":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "hop_limit":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "host":{ - "type":"object", - "dynamic": true - }, - "host_key":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "host_key_algorithm":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "hostname":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "id":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "iin":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "image_path":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "in_reply_to":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "indicator":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "indicator_type":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "info_code":{ - "type":"long" - }, - "info_message":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "initiated":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "integrity_level":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "interface":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "ip_version":{ - "type":"long" - }, - "ipv4_ecn":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "ips":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "ipv4_flags":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "ipv4_id":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "ipv4_offset":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "ipv4_protocol":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "ipv4_protocol_id":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "ipv4_protocol_length":{ - "type":"long" - }, - "ipv4_tos":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "ipv4_ttl":{ - "type":"long" - }, - "irc_command":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "irc_username":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "is_64bit":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "is_exe":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "is_orig":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "is_source_ipv6":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "is_webmail":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "issuer_common_name":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "issuer_common_name_frequency_score":{ - "type":"long" - }, - "issuer_common_name_length":{ - "type":"long" - }, - "issuer_country_code":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "issuer_distinguished_name":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "issuer_locality":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "issuer_organization":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "issuer_organization_frequency_score":{ - "type":"long" - }, - "issuer_organization_unit":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "issuer_serial_number":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "issuer_state":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "ja3":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "ja3s":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "kerberos_success":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "kex_algorithm":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "keyboard_layout":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "last_alert":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "last_reply":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "launch_string":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "lease_time":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "length":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "local_orig":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "local_respond":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "location":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "log_name":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "log_timestamp":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "logged":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "logon_guid":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "logon_id":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "logstash_time":{ - "type":"long" - }, - "mac":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "mac_algorithm":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "machine":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "mail_date":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "mail_from":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "matched":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "md5":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "message":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "message_id":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "message_types":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "method":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "mimetype":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "missed_bytes":{ - "type":"long" - }, - "missing_bytes":{ - "type":"long" - }, - "msg":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "mysql_argument":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "mysql_command":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "mysql_success":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "n":{ - "type":"long" - }, - "name":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "named_pipe":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "native_file_system":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "next_protocol":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "nick":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "note":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "notice":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "ntlm_success":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "num_packets":{ - "type":"long" - }, - "object_size":{ - "type":"long" - }, - "operation":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "options":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "orig_filenames":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "orig_fuids":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "orig_mime_types":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "original_bytes":{ - "type":"long" - }, - "original_country_code":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "original_ip_bytes":{ - "type":"long" - }, - "original_packets":{ - "type":"long" - }, - "os":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "ossec_agent_name":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "ossec_timestamp":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "overflow_bytes":{ - "type":"long" - }, - "p":{ - "type":"long" - }, - "parent_domain":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "parent_domain_frequency_score":{ - "type":"long" - }, - "parent_domain_length":{ - "type":"long" - }, - "parent_image_path":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "parent_process_guid":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "parent_process_id":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "parent_process_name":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "password":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "path":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "peer":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "peer_description":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "pesha1":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "pesha256":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "pid":{ - "type":"long", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "port":{ - "type":"long", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "prev_name":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "priority":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "process_arguments":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "process_guid":{ - "type":"long" - }, - "process_id":{ - "type":"long", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "process_name":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "profile":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "program":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "protocol":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "protocol_id":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "protocol_version":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "proxied":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "query":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "query_class":{ - "type":"long" - }, - "query_class_name":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "query_length":{ - "type":"long" - }, - "query_type":{ - "type":"long" - }, - "query_type_name":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "ra":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "rcode":{ - "type":"long" - }, - "rcode_name":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "rd":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "reason":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "recipient_to":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "referrer":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "rejected":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "remote_ip":{ - "type":"ip" - }, - "remote_location":{ - "type":"object", - "properties":{ - "country_code": { - "type": "text" - } - } - }, - "renewable":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "reply_code":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "reply_message":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "reply_to":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "request_body_len":{ - "type":"long" - }, - "request_body_length":{ - "type":"long" - }, - "request_from":{ - "type":"text" - }, - "request_path":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "request_port":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "request_timestamp":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "request_to":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "request_type":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "requested_color_depth":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "requested_resource":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "requested_ip": { - "type":"ip", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "resp_filenames":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "resp_fuids":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "resp_mime_types":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "respond_bytes":{ - "type":"long" - }, - "respond_country_code":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "respond_ip_bytes":{ - "type":"long" - }, - "respond_packets":{ - "type":"long" - }, - "response":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "response_body_len":{ - "type":"long" - }, - "response_body_length":{ - "type":"long" - }, - "response_from":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "response_path":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "response_to":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "result":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "resumed":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "rev":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "rig":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "rows":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "rtt":{ - "type":"float", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "rule":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "rule_number":{ - "type":"long" - }, - "rule_signature":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "rule_type":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "san_dns":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "second_received":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "section_names":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "security_protocol":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "seen_bytes":{ - "type":"long" - }, - "seen_node":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "seen_where":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "sensor_name":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "seq":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "sequence_number":{ - "type":"long" - }, - "server":{ - "type":"object", - "dynamic": "true - }, - "server_certificate_fuid":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "server_certificate_subject":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "server_dns_computer_name":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "server_ip": { - "type":"ip", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "server_major_version":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "server_message":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "server_minor_version":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "server_name":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "server_name_frequency_score":{ - "type":"long" - }, - "server_name_length":{ - "type":"long" - }, - "server_nb_computer_name":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "server_tree_name":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "service":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "set_requests":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "severity":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "sha1":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "sha256":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "share_flag":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "share_type":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "sid":{ - "type":"long" - }, - "signer":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "site":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "size":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "software_type":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "source":{ - "type":"object", - "dynamic": true - }, - "source_geo.city_name":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "source_geo.continent_code":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "source_geo.dma_code":{ - "type":"long" - }, - "source_geo.ip":{ - "type":"ip" - }, - "source_geo.latitude":{ - "type":"long" - }, - "source_geo.location":{ - "type":"geo_point" - }, - "source_geo.longitude":{ - "type":"long" - }, - "source_geo.postal_code":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "source_geo.region_code":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "source_geo.region_name":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "source_geo.timezone":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "source_hostname":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "source_ip":{ - "type":"ip" - }, - "source_ips":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "source_port":{ - "type":"long" - }, - "source_port_name":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "sources":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "server_host_key_algorithms":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "status":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "status_code":{ - "type":"long" - }, - "status_message":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "status_msg":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "sub_msg":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "sub_rule_number":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "subdomain":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "subdomain_frequency_score":{ - "type":"long" - }, - "subdomain_length":{ - "type":"long" - }, - "subject":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "subsystem":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "suppress_for":{ - "type":"long" - }, - "syslog-facility":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "syslog-file_name":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "syslog-host":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "syslog-host_from":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "syslog-legacy_msghdr":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "syslog-pid":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "syslog-priority":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "syslog-sourceip":{ - "type":"ip" - }, - "syslog-tags":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "sysmon_timestamp":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "tags":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "target_filename":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "tc":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "tcp_flags":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "terminal_id":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "valid_till":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - - "timed_out":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "times_accessed":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "times_changed":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "times_created":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "times_modified":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "timestamp":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "tld.subdomain":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "tls":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "to":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "top_level_domain":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "total_bytes":{ - "type":"long" - }, - "tracker_id":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "trans_depth":{ - "type":"long" - }, - "transaction_id":{ - "type":"long" - }, - "ttls":{ - "type":"text" - }, - "tty":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "tunnel_parents":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "tunnel_type":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "type":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "uid":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "unparsed_version":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "up_since":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "urg":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "uri":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "uri_length":{ - "type":"long" - }, - "username":{ - "type":"text", - "fields": { - "keyword":{ - "type":"keyword" - } - } - }, - "user_agent":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "useragent":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "useragent_length":{ - "type":"long" - }, - "uses_aslr":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "uses_code_integrity":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "uses_dep":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "uses_seh":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "validation_status":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "value":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "version":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "version_additional_info":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "version_major":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "version_minor":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "version_minor2":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "version_minor3":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "virtual_host":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "virtual_host_frequency_score":{ - "type":"long" - }, - "virtual_host_length":{ - "type":"long" - }, - "warning":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "width":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "window":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "x_originating_ip":{ - "type":"ip" - }, - "year":{ - "type":"long" - }, - "z":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - } - } - } } } From d48c2723ba5ea3cfc80ed6c2c13c86b660aa9a1c Mon Sep 17 00:00:00 2001 From: Wes Lambert Date: Sat, 14 Mar 2020 12:02:52 +0000 Subject: [PATCH 12/19] modify default templates --- .../templates/so/so-common-template.json | 355 ++++++++++++++++++ 1 file changed, 355 insertions(+) create mode 100644 salt/logstash/pipelines/templates/so/so-common-template.json diff --git a/salt/logstash/pipelines/templates/so/so-common-template.json b/salt/logstash/pipelines/templates/so/so-common-template.json new file mode 100644 index 000000000..06ac47f66 --- /dev/null +++ b/salt/logstash/pipelines/templates/so/so-common-template.json @@ -0,0 +1,355 @@ +{ + "index_patterns": ["so-ids-*", "so-firewall-*", "so-syslog-*", "so-zeek-*", "so-import-*", "so-ossec-*", "so-strelka", "so-beats-*"], + "version":50001, + "order" : 10, + "settings":{ + "number_of_replicas":0, + "number_of_shards":1, + "index.refresh_interval":"30s" + }, + "mappings":{ + "doc":{ + "dynamic": false, + "date_detection": false, + "properties":{ + "@timestamp":{ + "type":"date" + }, + "@version":{ + "type":"keyword" + }, + "geoip":{ + "dynamic":true, + "properties":{ + "ip":{ + "type":"ip" + }, + "location":{ + "type":"geo_point" + }, + "latitude":{ + "type":"half_float" + }, + "longitude":{ + "type":"half_float" + } + } + }, + "destination_geo":{ + "dynamic":true, + "properties":{ + "ip":{ + "type":"ip" + }, + "location":{ + "type":"geo_point" + }, + "latitude":{ + "type":"half_float" + }, + "longitude":{ + "type":"half_float" + } + } + }, + "source_geo":{ + "dynamic":true, + "properties":{ + "ip":{ + "type":"ip" + }, + "location":{ + "type":"geo_point" + }, + "latitude":{ + "type":"half_float" + }, + "longitude":{ + "type":"half_float" + } + } + }, + "agent":{ + "type":"object", + "dynamic": true + }, + "as":{ + "type":"object", + "dynamic": true + }, + "alert":{ + "type":"object", + "dynamic": true + }, + "client":{ + "type":"object", + "dynamic": true + }, + "cloud":{ + "type":"object", + "dynamic": true + }, + "code_signature":{ + "type":"object", + "dynamic": true + }, + "connection":{ + "type":"object", + "dynamic": true + }, + "container":{ + "type":"object", + "dynamic": true + }, + "data":{ + "type":"object", + "dynamic": true + }, + "dce_rpc":{ + "type":"object", + "dynamic": true + }, + "destination":{ + "type":"object", + "dynamic": true + }, + "dhcp":{ + "type":"object", + "dynamic": true + }, + "dnp3":{ + "type":"object", + "dynamic": true + }, + "dns":{ + "type":"object", + "dynamic": true + }, + "dll":{ + "type":"object", + "dynamic": true + }, + "ecs":{ + "type":"object", + "dynamic": true + }, + "error":{ + "type":"object", + "dynamic": true + }, + "event":{ + "type":"object", + "dynamic": true + }, + "file":{ + "type":"object", + "dynamic": true + }, + "flow":{ + "type":"object", + "dynamic": true + }, + "ftp":{ + "type":"object", + "dynamic": true + }, + "geo":{ + "type":"object", + "dynamic": true + }, + "group":{ + "type":"object", + "dynamic": true + }, + "hash":{ + "type":"object", + "dynamic": true + }, + "host":{ + "type":"object", + "dynamic": true + }, + "http":{ + "type":"object", + "dynamic": true + }, + "ingest":{ + "type":"object", + "dynamic": true + }, + "interface":{ + "type":"object", + "dynamic": true + }, + "kerberos":{ + "type":"object", + "dynamic": true + }, + "log":{ + "type":"object", + "dynamic": true + }, + "manager":{ + "type":"object", + "dynamic": true + }, + "modbus":{ + "type":"object", + "dynamic": true + }, + "network":{ + "type":"object", + "dynamic": true + }, + "ntlm":{ + "type":"object", + "dynamic": true + }, + "observer":{ + "type":"object", + "dynamic": true + }, + "organization":{ + "type":"object", + "dynamic": true + }, + "os":{ + "type":"object", + "dynamic": true + }, + "package":{ + "type":"object", + "dynamic": true + }, + "pe":{ + "type":"object", + "dynamic": true + }, + "process":{ + "type":"object", + "dynamic": true + }, + "radius":{ + "type":"object", + "dynamic": true + }, + "rdp":{ + "type":"object", + "dynamic": true + }, + "registry":{ + "type":"object", + "dynamic": true + }, + "related":{ + "type":"object", + "dynamic": true + }, + "rfb":{ + "type":"object", + "dynamic": true + }, + "rule":{ + "type":"object", + "dynamic": true + }, + "server":{ + "type":"object", + "dynamic": true + }, + "service":{ + "type":"object", + "dynamic": true + }, + "sip":{ + "type":"object", + "dynamic": true + }, + "smb":{ + "type":"object", + "dynamic": true + }, + "smtp":{ + "type":"object", + "dynamic": true + }, + "snmp":{ + "type":"object", + "dynamic": true + }, + "socks":{ + "type":"object", + "dynamic": true + }, + "software":{ + "type":"object", + "dynamic": true + }, + "source":{ + "type":"object", + "dynamic": true + }, + "ssh":{ + "type":"object", + "dynamic": true + }, + "ssl":{ + "type":"object", + "dynamic": true + }, + "tags":{ + "type":"text", + "fields":{ + "keyword":{ + "type":"keyword" + } + } + }, + "threat":{ + "type":"object", + "dynamic": true + }, + "tls":{ + "type":"object", + "dynamic": true + }, + "trace":{ + "type":"object", + "dynamic": true + }, + "tunnel":{ + "type":"object", + "dynamic": true + }, + "user":{ + "type":"object", + "dynamic": true + }, + "user_agent":{ + "type":"object", + "dynamic": true + }, + "version":{ + "type":"object", + "dynamic": true + }, + "vlan":{ + "type":"object", + "dynamic": true + }, + "vulnerability":{ + "type":"object", + "dynamic": true + }, + "weird":{ + "type":"object", + "dynamic": true + }, + "x509":{ + "type":"object", + "dynamic": true + } + } + } + } +} From c52220330b08d86923c6ee157782631789e35525 Mon Sep 17 00:00:00 2001 From: Wes Lambert Date: Sat, 14 Mar 2020 12:03:32 +0000 Subject: [PATCH 13/19] modify pipelines --- salt/elasticsearch/files/ingest/common | 17 +++--- salt/elasticsearch/files/ingest/ossec.alert | 53 +++++++++++++++++++ salt/elasticsearch/files/ingest/strelka.file | 12 +++++ .../elasticsearch/files/ingest/suricata.alert | 11 ++++ .../files/ingest/suricata.common | 14 +++++ salt/elasticsearch/files/ingest/zeek.common | 4 +- salt/elasticsearch/files/ingest/zeek.conn | 16 +----- salt/elasticsearch/files/ingest/zeek.dpd | 5 +- salt/elasticsearch/files/ingest/zeek.http | 2 +- salt/elasticsearch/files/ingest/zeek.tunnel | 1 - salt/elasticsearch/files/ingest/zeek.tunnels | 4 +- salt/elasticsearch/files/ingest/zeek.weird | 1 - 12 files changed, 103 insertions(+), 37 deletions(-) create mode 100644 salt/elasticsearch/files/ingest/ossec.alert create mode 100644 salt/elasticsearch/files/ingest/strelka.file create mode 100644 salt/elasticsearch/files/ingest/suricata.alert create mode 100644 salt/elasticsearch/files/ingest/suricata.common diff --git a/salt/elasticsearch/files/ingest/common b/salt/elasticsearch/files/ingest/common index 2d1dde973..f9d6199ba 100644 --- a/salt/elasticsearch/files/ingest/common +++ b/salt/elasticsearch/files/ingest/common @@ -1,17 +1,10 @@ { "description" : "common", "processors" : [ - { - "rename": { - "field": "type", - "target_field": "event_type", - "ignore_missing": true - } - }, { "geoip": { "field": "destination.ip", - "target_field": "destination_geo", + "target_field": "geo", "database_file": "GeoLite2-City.mmdb", "ignore_missing": true, "properties": ["ip", "country_iso_code", "country_name", "continent_name", "region_iso_code", "region_name", "city_name", "timezone", "location"] @@ -20,7 +13,7 @@ { "geoip": { "field": "source.ip", - "target_field": "source_geo", + "target_field": "geo", "database_file": "GeoLite2-City.mmdb", "ignore_missing": true, "properties": ["ip", "country_iso_code", "country_name", "continent_name", "region_iso_code", "region_name", "city_name", "timezone", "location"] @@ -41,10 +34,12 @@ "ignore_failure": true, "index_name_format": "yyyy.MM.dd" } - }, + }, + { "rename": { "field": "module", "target_field": "event.module", "ignore_missing": true } }, + { "rename": { "field": "dataset", "target_field": "event.dataset", "ignore_missing": true } }, { "remove": { - "field": [ "index_name_prefix"], + "field": [ "index_name_prefix", "beat"], "ignore_failure": false } } diff --git a/salt/elasticsearch/files/ingest/ossec.alert b/salt/elasticsearch/files/ingest/ossec.alert new file mode 100644 index 000000000..39362c4ed --- /dev/null +++ b/salt/elasticsearch/files/ingest/ossec.alert @@ -0,0 +1,53 @@ +{ + "description" : "ossec", + "processors" : [ + { "json": { "field": "message", "target_field": "message2", "ignore_failure": true } }, + { "rename": { "field": "message2.agent", "target_field": "agent", "ignore_missing": true } }, + { "rename": { "field": "message2.data", "target_field": "data", "ignore_missing": true } }, + { "rename": { "field": "message2.decoder", "target_field": "decoder", "ignore_missing": true } }, + { "rename": { "field": "message2.full_log", "target_field": "log.full", "ignore_missing": true } }, + { "rename": { "field": "message2.id", "target_field": "log.id.id", "ignore_missing": true } }, + { "rename": { "field": "message2.location", "target_field": "location", "ignore_missing": true } }, + { "rename": { "field": "message2.manager", "target_field": "manager", "ignore_missing": true } }, + { "rename": { "field": "message2.predecoder", "target_field": "predecoder", "ignore_missing": true } }, + { "rename": { "field": "message2.timestamp", "target_field": "timestamp", "ignore_missing": true } }, + { "rename": { "field": "message2.previous_log", "target_field": "log.previous_log", "ignore_missing": true } }, + { "rename": { "field": "message2.previous_output", "target_field": "log.previous_output", "ignore_missing": true } }, + { "rename": { "field": "message2.rule", "target_field": "rule", "ignore_missing": true } }, + { "rename": { "field": "data.command", "target_field": "command", "ignore_missing": true } }, + { "rename": { "field": "data.dstip", "target_field": "destination.ip", "ignore_missing": true } }, + { "rename": { "field": "data.dstport", "target_field": "destination.port", "ignore_missing": true } }, + { "rename": { "field": "data.dstuser", "target_field": "user.escalated", "ignore_missing": true } }, + { "rename": { "field": "data.srcip", "target_field": "source.ip", "ignore_missing": true } }, + { "rename": { "field": "data.win.eventdata.destinationHostname", "target_field": "destination.hostname", "ignore_missing": true } }, + { "rename": { "field": "data.win.eventdata.destinationIp", "target_field": "destination.ip", "ignore_missing": true } }, + { "rename": { "field": "data.win.eventdata.destinationPort", "target_field": "destination.port", "ignore_missing": true } }, + { "rename": { "field": "data.win.eventdata.image", "target_field": "image_path", "ignore_missing": true } }, + { "rename": { "field": "data.win.eventdata.parentImage", "target_field": "parent_image_path", "ignore_missing": true } }, + { "rename": { "field": "data.win.eventdata.sourceHostname", "target_field": "source.hostname", "ignore_missing": true } }, + { "rename": { "field": "data.win.eventdata.sourceIp", "target_field": "source_ip", "ignore_missing": true } }, + { "rename": { "field": "data.win.eventdata.sourcePort", "target_field": "source.port", "ignore_missing": true } }, + { "rename": { "field": "data.win.eventdata.targetFilename", "target_field": "file.target", "ignore_missing": true } }, + { "rename": { "field": "data.win.eventdata.user", "target_field": "user.name", "ignore_missing": true } }, + { "rename": { "field": "data.win.system.eventID", "target_field": "event.code", "ignore_missing": true } }, + { "rename": { "field": "predecoder.program_name", "target_field": "process.name", "ignore_missing": true } }, + { "set": { "if": "ctx.rule.level == 1", "field": "rule.category", "value": "None" } }, + { "set": { "if": "ctx.rule.level == 2", "field": "rule.category", "value": "System low priority notification" } }, + { "set": { "if": "ctx.rule.level == 3", "field": "rule.category", "value": "Successful/authorized event" } }, + { "set": { "if": "ctx.rule.level == 4", "field": "rule.category", "value": "System low priority error" } }, + { "set": { "if": "ctx.rule.level == 5", "field": "rule.category", "value": "User generated error" } }, + { "set": { "if": "ctx.rule.level == 6", "field": "rule.category", "value": "Low relevance attack" } }, + { "set": { "if": "ctx.rule.level == 7", "field": "rule.category", "value": "\"Bad word\" matching" } }, + { "set": { "if": "ctx.rule.level == 8", "field": "rule.category", "value": "First time seen" } }, + { "set": { "if": "ctx.rule.level == 9", "field": "rule.category", "value": "Error from invalid source" } }, + { "set": { "if": "ctx.rule.level == 10", "field": "rule.category", "value": "Multiple user generated errors" } }, + { "set": { "if": "ctx.rule.level == 11", "field": "rule.category", "value": "Integrity checking warning" } }, + { "set": { "if": "ctx.rule.level == 12", "field": "rule.category", "value": "High importance event" } }, + { "set": { "if": "ctx.rule.level == 13", "field": "rule.category", "value": "Unusal error (high importance)" } }, + { "set": { "if": "ctx.rule.level == 14", "field": "rule.category", "value": "High importance security event" } }, + { "set": { "if": "ctx.rule.level == 15", "field": "rule.category", "value": "Severe attack" } }, + { "append": { "if": "ctx.rule.level != null", "field": "tags", "value": ["alert"] } }, + { "remove": { "field": [ "predecoder", "decoder" ], "ignore_missing": true, "ignore_failure": false } }, + { "pipeline": { "name": "common" } } + ] +} diff --git a/salt/elasticsearch/files/ingest/strelka.file b/salt/elasticsearch/files/ingest/strelka.file new file mode 100644 index 000000000..8652fb912 --- /dev/null +++ b/salt/elasticsearch/files/ingest/strelka.file @@ -0,0 +1,12 @@ +{ + "description" : "strelka", + "processors" : [ + { "json": { "field": "message", "target_field": "message2", "ignore_failure": true } }, + { "rename": { "field": "message2.file", "target_field": "file", "ignore_missing": true } }, + { "rename": { "field": "message2.scan", "target_field": "scan", "ignore_missing": true } }, + { "rename": { "field": "message2.request", "target_field": "request", "ignore_missing": true } }, + { "rename": { "field": "scan.hash", "target_field": "file.hash", "ignore_missing": true } }, + { "remove": { "field": ["host", "path"], "ignore_missing": true } }, + { "pipeline": { "name": "common" } } + ] +} diff --git a/salt/elasticsearch/files/ingest/suricata.alert b/salt/elasticsearch/files/ingest/suricata.alert new file mode 100644 index 000000000..d58715f8a --- /dev/null +++ b/salt/elasticsearch/files/ingest/suricata.alert @@ -0,0 +1,11 @@ +{ + "description" : "suricata.alert", + "processors" : [ + { "json": { "field": "message", "target_field": "message2", "ignore_failure": true } }, + { "rename":{ "field": "message2.comunity_id", "target_field": "network.comunity_id", "ignore_failure": true } }, + { "rename":{ "field": "message2.alert", "target_field": "rule", "ignore_failure": true } }, + { "rename":{ "field": "rule.signature", "target_field": "rule.name", "ignore_failure": true } }, + { "rename":{ "field": "rule.ref", "target_field": "rule.version", "ignore_failure": true } }, + { "pipeline": { "name": "suricata.common" } } + ] +} diff --git a/salt/elasticsearch/files/ingest/suricata.common b/salt/elasticsearch/files/ingest/suricata.common new file mode 100644 index 000000000..79876d366 --- /dev/null +++ b/salt/elasticsearch/files/ingest/suricata.common @@ -0,0 +1,14 @@ +{ + "description" : "suricata.common", + "processors" : [ + { "rename":{ "field": "message2.proto", "target_field": "network.transport", "ignore_failure": true } }, + { "rename":{ "field": "message2.flow_id", "target_field": "event.id", "ignore_failure": true } }, + { "rename":{ "field": "message2.comunity_id", "target_field": "network.comunity_id", "ignore_failure": true } }, + { "rename":{ "field": "message2.src_ip", "target_field": "source.ip", "ignore_failure": true } }, + { "rename":{ "field": "message2.src_port", "target_field": "source.port", "ignore_failure": true } }, + { "rename":{ "field": "message2.dest_ip", "target_field": "destination.ip", "ignore_failure": true } }, + { "rename":{ "field": "message2.dest_port", "target_field": "destination.port", "ignore_failure": true } }, + { "remove": { "field": ["message2"], "ignore_failure": true } }, + { "pipeline": { "name": "common" } } + ] +} diff --git a/salt/elasticsearch/files/ingest/zeek.common b/salt/elasticsearch/files/ingest/zeek.common index cc854fab0..85902ffa5 100644 --- a/salt/elasticsearch/files/ingest/zeek.common +++ b/salt/elasticsearch/files/ingest/zeek.common @@ -1,7 +1,7 @@ { "description" : "zeek.common", "processors" : [ - { "rename": { "field": "@timestamp", "target_field": "es.timestamp", "ignore_missing": true } }, + { "rename": { "field": "@timestamp", "target_field": "ingest.timestamp", "ignore_missing": true } }, { "rename": { "field": "message2.uid", "target_field": "log.id.uid", "ignore_missing": true } }, { "dot_expander": { "field": "id.orig_h", "path": "message2", "ignore_failure": true } }, { "rename": { "field": "message2.id.orig_h", "target_field": "source.ip", "ignore_missing": true } }, @@ -15,8 +15,6 @@ { "dot_expander": { "field": "id.resp_p", "path": "message2", "ignore_failure": true } }, { "rename": { "field": "message2.id.resp_p", "target_field": "destination.port", "ignore_missing": true } }, { "set": { "field": "server.port", "value": "{{destination.port}}" } }, - { "set": { "field": "event.module", "value": "zeek" } }, - { "grok": { "field": "event_type", "patterns": ["zeek.%{WORD:event.dataset}"] } }, { "date": { "field": "message2.ts", "target_field": "@timestamp", "formats": ["ISO8601", "UNIX"], "ignore_failure": true } }, { "remove": { "field": ["message2.ts", "path"], "ignore_failure": true } }, { "pipeline": { "name": "common" } } diff --git a/salt/elasticsearch/files/ingest/zeek.conn b/salt/elasticsearch/files/ingest/zeek.conn index d7878aa0b..3c6da2718 100644 --- a/salt/elasticsearch/files/ingest/zeek.conn +++ b/salt/elasticsearch/files/ingest/zeek.conn @@ -1,7 +1,7 @@ { "description" : "zeek.conn", "processors" : [ - { "remove": { "field": ["host"], "ignore_failure": false } }, + { "remove": { "field": ["host"], "ignore_failure": true } }, { "json": { "field": "message", "target_field": "message2", "ignore_failure": true } }, { "rename": { "field": "message2.proto", "target_field": "network.transport", "ignore_missing": true } }, { "rename": { "field": "message2.service", "target_field": "network.protocol", "ignore_missing": true } }, @@ -21,20 +21,6 @@ { "rename": { "field": "message2.orig_cc", "target_field": "client.country_code","ignore_missing": true } }, { "rename": { "field": "message2.resp_cc", "target_field": "server.country_code", "ignore_missing": true } }, { "rename": { "field": "message2.sensorname", "target_field": "observer.name", "ignore_missing": true } }, - { "script": { "lang": "painless", "source": "ctx.connection.bytes.total = (ctx.client.bytes + ctx.server.bytes)", "ignore_failure": true } }, - { "set": { "if": "ctx.connection.state == 'S0'", "field": "connection.state_description", "value": "Connection attempt seen, no reply" } }, - { "set": { "if": "ctx.connection.state == 'S1'", "field": "connection.state_description", "value": "Connection established, not terminated" } }, - { "set": { "if": "ctx.connection.state == 'S2'", "field": "connection.state_description", "value": "Connection established and close attempt by originator seen (but no reply from responder)" } }, - { "set": { "if": "ctx.connection.state == 'S3'", "field": "connection.state_description", "value": "Connection established and close attempt by responder seen (but no reply from originator)" } }, - { "set": { "if": "ctx.connection.state == 'SF'", "field": "connection.state_description", "value": "Normal SYN/FIN completion" } }, - { "set": { "if": "ctx.connection.state == 'REJ'", "field": "connection.state_description", "value": "Connection attempt rejected" } }, - { "set": { "if": "ctx.connection.state == 'RSTO'", "field": "connection.state_description", "value": "Connection established, originator aborted (sent a RST)" } }, - { "set": { "if": "ctx.connection.state == 'RSTR'", "field": "connection.state_description", "value": "Established, responder aborted" } }, - { "set": { "if": "ctx.connection.state == 'RSTOS0'","field": "connection.state_description", "value": "Originator sent a SYN followed by a RST, we never saw a SYN-ACK from the responder" } }, - { "set": { "if": "ctx.connection.state == 'RSTRH'", "field": "connection.state_description", "value": "Responder sent a SYN ACK followed by a RST, we never saw a SYN from the (purported) originator" } }, - { "set": { "if": "ctx.connection.state == 'SH'", "field": "connection.state_description", "value": "Originator sent a SYN followed by a FIN, we never saw a SYN ACK from the responder (hence the connection was 'half' open)" } }, - { "set": { "if": "ctx.connection.state == 'SHR'", "field": "connection.state_description", "value": "Responder sent a SYN ACK followed by a FIN, we never saw a SYN from the originator" } }, - { "set": { "if": "ctx.connection.state == 'OTH'", "field": "connection.state_description", "value": "No SYN seen, just midstream traffic (a 'partial connection' that was not later closed)" } }, { "pipeline": { "name": "zeek.common" } } ] } diff --git a/salt/elasticsearch/files/ingest/zeek.dpd b/salt/elasticsearch/files/ingest/zeek.dpd index ce46cdc47..59ceed368 100644 --- a/salt/elasticsearch/files/ingest/zeek.dpd +++ b/salt/elasticsearch/files/ingest/zeek.dpd @@ -3,7 +3,6 @@ "processors" : [ { "remove": { "field": ["host"], "ignore_failure": true } }, { "json": { "field": "message", "target_field": "message2", "ignore_failure": true } }, - { "rename": { "field": "message2.uid", "target_field": "uid", "ignore_missing": true } }, { "dot_expander": { "field": "id.orig_h", "path": "message2", "ignore_failure": true } }, { "rename": { "field": "message2.id.orig_h", "target_field": "source.ip", "ignore_missing": true } }, { "dot_expander": { "field": "id.orig_p", "path": "message2", "ignore_failure": true } }, @@ -13,8 +12,8 @@ { "dot_expander": { "field": "id.resp_p", "path": "message2", "ignore_failure": true } }, { "rename": { "field": "message2.id.resp_p", "target_field": "destination.port", "ignore_missing": true } }, { "rename": { "field": "message2.proto", "target_field": "network.protocol", "ignore_missing": true } }, - { "rename": { "field": "message2.analyzer", "target_field": "analyzer", "ignore_missing": true } }, - { "rename": { "field": "message2.failure_reason", "target_field": "failure_reason", "ignore_missing": true } }, + { "rename": { "field": "message2.analyzer", "target_field": "observer.analyzer", "ignore_missing": true } }, + { "rename": { "field": "message2.failure_reason", "target_field": "error.reason", "ignore_missing": true } }, { "pipeline": { "name": "zeek.common" } } ] } diff --git a/salt/elasticsearch/files/ingest/zeek.http b/salt/elasticsearch/files/ingest/zeek.http index 1ac3ae42b..a1354044c 100644 --- a/salt/elasticsearch/files/ingest/zeek.http +++ b/salt/elasticsearch/files/ingest/zeek.http @@ -2,7 +2,7 @@ "description" : "zeek.http", "processors" : [ { "remove": { "field": ["host"], "ignore_failure": true } }, - { "json": { "field": "message", "target_field": "message2", "ignore_failure": true } }, + { "json": { "field": "message", "target_field": "message2", "ignore_failure": true } }, { "rename": { "field": "message2.trans_depth", "target_field": "http.trans_depth", "ignore_missing": true } }, { "rename": { "field": "message2.method", "target_field": "http.method", "ignore_missing": true } }, { "rename": { "field": "message2.host", "target_field": "http.virtual_host", "ignore_missing": true } }, diff --git a/salt/elasticsearch/files/ingest/zeek.tunnel b/salt/elasticsearch/files/ingest/zeek.tunnel index 78eb6eba8..66250091e 100644 --- a/salt/elasticsearch/files/ingest/zeek.tunnel +++ b/salt/elasticsearch/files/ingest/zeek.tunnel @@ -2,7 +2,6 @@ "description" : "zeek.tunnel", "processors" : [ { "remove": { "field": ["host"], "ignore_failure": true } }, - { "set": { "field": "event_type", "value": "zeek.tunnels" } }, { "pipeline": { "name": "zeek.tunnels" } } ] } diff --git a/salt/elasticsearch/files/ingest/zeek.tunnels b/salt/elasticsearch/files/ingest/zeek.tunnels index 5d8b7f8bf..bcddb61df 100644 --- a/salt/elasticsearch/files/ingest/zeek.tunnels +++ b/salt/elasticsearch/files/ingest/zeek.tunnels @@ -12,8 +12,8 @@ { "rename": { "field": "message2.id.resp_h", "target_field": "destination.ip", "ignore_missing": true } }, { "dot_expander": { "field": "id.resp_p", "path": "message2", "ignore_failure": true } }, { "rename": { "field": "message2.id.resp_p", "target_field": "destination.port", "ignore_missing": true } }, - { "rename": { "field": "message2.tunnel_type", "target_field": "tunnel_type", "ignore_missing": true } }, - { "rename": { "field": "message2.action", "target_field": "action", "ignore_missing": true } }, + { "rename": { "field": "message2.tunnel_type", "target_field": "tunnel.type", "ignore_missing": true } }, + { "rename": { "field": "message2.action", "target_field": "event.action", "ignore_missing": true } }, { "pipeline": { "name": "zeek.common" } } ] } diff --git a/salt/elasticsearch/files/ingest/zeek.weird b/salt/elasticsearch/files/ingest/zeek.weird index 43d552888..7e2643fe4 100644 --- a/salt/elasticsearch/files/ingest/zeek.weird +++ b/salt/elasticsearch/files/ingest/zeek.weird @@ -2,7 +2,6 @@ "description" : "zeek.weird", "processors" : [ { "remove": { "field": ["host"], "ignore_failure": true } }, - { "json": { "field": "message", "target_field": "message2", "ignore_failure": true } }, { "rename": { "field": "message2.name", "target_field": "weird.name", "ignore_missing": true } }, { "rename": { "field": "message2.addl", "target_field": "weird.additional_info", "ignore_missing": true } }, { "rename": { "field": "message2.notice", "target_field": "weird.notice", "ignore_missing": true } }, From d2016d3ff287ebb4a9b2408981f58af88d0d685c Mon Sep 17 00:00:00 2001 From: Wes Lambert Date: Sat, 14 Mar 2020 12:05:16 +0000 Subject: [PATCH 14/19] modify Filebeat config --- salt/filebeat/etc/filebeat.yml | 94 ++++++++++++++++++++++++---------- 1 file changed, 67 insertions(+), 27 deletions(-) diff --git a/salt/filebeat/etc/filebeat.yml b/salt/filebeat/etc/filebeat.yml index 2eb2092f4..08d0db71e 100644 --- a/salt/filebeat/etc/filebeat.yml +++ b/salt/filebeat/etc/filebeat.yml @@ -19,7 +19,7 @@ name: {{ HOSTNAME }} # Sets log level. The default log level is info. # Available log levels are: error, warning, info, debug -logging.level: error +logging.level: debug # Enable debug output for selected components. To enable all selectors use ["*"] # Other available selectors are "beat", "publish", "service" @@ -80,9 +80,13 @@ filebeat.prospectors: paths: - /nsm/zeek/logs/current/{{ LOGNAME }}.log fields: - type: bro_{{ LOGNAME }} + module: zeek + dataset: {{ LOGNAME }} + processors: + - drop_fields: + fields: ["source", "prospector", "input", "offset", "beat"] + fields_under_root: true - tags: ["bro"] clean_removed: false close_removed: false @@ -93,8 +97,13 @@ filebeat.prospectors: paths: - /suricata/eve.json fields: - type: ids - engine: suricata + module: suricata + dataset: alert + + processors: + - drop_fields: + fields: ["source", "prospector", "input", "offset", "beat"] + fields_under_root: true clean_removed: false close_removed: false @@ -106,19 +115,25 @@ filebeat.prospectors: paths: - /wazuh/alerts/alerts.json fields: - type: ossec + module: ossec + dataset: alert + + processors: + - drop_fields: + fields: ["source", "prospector", "input", "offset", "beat"] + fields_under_root: true clean_removed: false close_removed: false - - type: log - paths: - - /wazuh/archives/archives.json - fields: - type: ossec_archive - fields_under_root: true - clean_removed: false - close_removed: false +# - type: log +# paths: +# - /wazuh/archives/archives.json +# fields: +# type: ossec_archive +# fields_under_root: true +# clean_removed: false +# close_removed: false {%- endif %} @@ -129,6 +144,11 @@ filebeat.prospectors: - /osquery/logs/result.log fields: type: osquery + + processors: + - drop_fields: + fields: ["source", "prospector", "input", "offset", "beat"] + fields_under_root: true clean_removed: false close_removed: false @@ -141,34 +161,56 @@ filebeat.prospectors: paths: - /opt/so/log/strelka/strelka.log fields: - type: strelka + module: strelka + dataset: file + + processors: + - drop_fields: + fields: ["source", "prospector", "input", "offset", "beat"] + fields_under_root: true clean_removed: false close_removed: false {%- endif %} #----------------------------- Logstash output --------------------------------- -output.logstash: - # Boolean flag to enable or disable the output module. +output.elasticsearch: enabled: true + hosts: ["{{ MASTER }}:9200"] + pipelines: + - pipeline: "%{[module]}.%{[dataset]}" + indices: + - index: "so-zeek-%{+yyyy.MM.dd}" + when.contains: + module: "zeek" + - index: "so-ids-%{+yyyy.MM.dd}" + when.contains: + module: "suricata" + - index: "so-ossec-%{+yyyy.MM.dd}" + when.contains: + module: "ossec" + +#output.logstash: + # Boolean flag to enable or disable the output module. + #enabled: true # The Logstash hosts - hosts: ["{{ MASTER }}:5644"] + #hosts: ["{{ MASTER }}:5644"] # Number of workers per Logstash host. - worker: 1 + #worker: 1 # Set gzip compression level. - compression_level: 3 + #compression_level: 3 # Enable SSL support. SSL is automatically enabled, if any SSL setting is set. - ssl.enabled: true + #ssl.enabled: true # Configure SSL verification mode. If `none` is configured, all server hosts # and certificates will be accepted. In this mode, SSL based connections are # susceptible to man-in-the-middle attacks. Use only for testing. Default is # `full`. - ssl.verification_mode: full + #ssl.verification_mode: full # List of supported/valid TLS versions. By default all TLS versions 1.0 up to # 1.2 are enabled. @@ -176,16 +218,14 @@ output.logstash: # Optional SSL configuration options. SSL is off by default. # List of root certificates for HTTPS server verifications - ssl.certificate_authorities: ["/usr/share/filebeat/intraca.crt"] + #ssl.certificate_authorities: ["/usr/share/filebeat/intraca.crt"] # Certificate for SSL client authentication - ssl.certificate: "/usr/share/filebeat/filebeat.crt" + #ssl.certificate: "/usr/share/filebeat/filebeat.crt" # Client Certificate Key - ssl.key: "/usr/share/filebeat/filebeat.key" + #ssl.key: "/usr/share/filebeat/filebeat.key" -# Elasticsearch template settings -#setup.template.settings: # A dictionary of settings to place into the settings.index dictionary # of the Elasticsearch template. For more details, please check From b6ba8e483dbb09b8709259e55ad9a3238e87542b Mon Sep 17 00:00:00 2001 From: Wes Lambert Date: Sat, 14 Mar 2020 12:06:32 +0000 Subject: [PATCH 15/19] update ES init --- salt/elasticsearch/init.sls | 6 ++++++ 1 file changed, 6 insertions(+) diff --git a/salt/elasticsearch/init.sls b/salt/elasticsearch/init.sls index a97a2ae0f..07d75abfb 100644 --- a/salt/elasticsearch/init.sls +++ b/salt/elasticsearch/init.sls @@ -143,3 +143,9 @@ so-elasticsearch-pipelines-file: so-elasticsearch-pipelines: cmd.run: - name: /opt/so/conf/elasticsearch/so-elasticsearch-pipelines {{ esclustername }} + +so-elasticsearch-templates: + cmd.run: + - name: /usr/sbin/so-elasticsearch-templates + - cwd: / + From 85c1873f4d9e8deea337035327cfcc72a75003d9 Mon Sep 17 00:00:00 2001 From: Wes Lambert Date: Sat, 14 Mar 2020 12:10:06 +0000 Subject: [PATCH 16/19] switch logging to error --- salt/filebeat/etc/filebeat.yml | 2 +- 1 file changed, 1 insertion(+), 1 deletion(-) diff --git a/salt/filebeat/etc/filebeat.yml b/salt/filebeat/etc/filebeat.yml index 08d0db71e..e350b5798 100644 --- a/salt/filebeat/etc/filebeat.yml +++ b/salt/filebeat/etc/filebeat.yml @@ -19,7 +19,7 @@ name: {{ HOSTNAME }} # Sets log level. The default log level is info. # Available log levels are: error, warning, info, debug -logging.level: debug +logging.level: error # Enable debug output for selected components. To enable all selectors use ["*"] # Other available selectors are "beat", "publish", "service" From 26c4d453d34caebdeae6b1408ba8bc0e0f3b4d87 Mon Sep 17 00:00:00 2001 From: Wes Lambert Date: Sun, 15 Mar 2020 00:30:59 +0000 Subject: [PATCH 17/19] Add ES templates script --- .../tools/sbin/so-elasticsearch-templates | 54 +++++++++++++++++++ 1 file changed, 54 insertions(+) create mode 100644 salt/common/tools/sbin/so-elasticsearch-templates diff --git a/salt/common/tools/sbin/so-elasticsearch-templates b/salt/common/tools/sbin/so-elasticsearch-templates new file mode 100644 index 000000000..efe5f8345 --- /dev/null +++ b/salt/common/tools/sbin/so-elasticsearch-templates @@ -0,0 +1,54 @@ +{% set MASTERIP = salt['pillar.get']('master:mainip', '') %} +#!/bin/bash +# Copyright 2014,2015,2016,2017,2018,2019 Security Onion Solutions, LLC +# +# This program is free software: you can redistribute it and/or modify +# it under the terms of the GNU General Public License as published by +# the Free Software Foundation, either version 3 of the License, or +# (at your option) any later version. +# +# This program is distributed in the hope that it will be useful, +# but WITHOUT ANY WARRANTY; without even the implied warranty of +# MERCHANTABILITY or FITNESS FOR A PARTICULAR PURPOSE. See the +# GNU General Public License for more details. +# +# You should have received a copy of the GNU General Public License +# along with this program. If not, see . + +ELASTICSEARCH_HOST="{{ MASTERIP}}" +ELASTICSEARCH_PORT=9200 +#ELASTICSEARCH_AUTH="" + +# Define a default directory to load pipelines from +ELASTICSEARCH_TEMPLATES="/opt/so/saltstack/salt/logstash/pipelines/templates/so/" + +# Wait for ElasticSearch to initialize +echo -n "Waiting for ElasticSearch..." +COUNT=0 +ELASTICSEARCH_CONNECTED="no" +while [[ "$COUNT" -le 240 ]]; do + curl --output /dev/null --silent --head --fail http://"$ELASTICSEARCH_HOST":"$ELASTICSEARCH_PORT" + if [ $? -eq 0 ]; then + ELASTICSEARCH_CONNECTED="yes" + echo "connected!" + break + else + ((COUNT+=1)) + sleep 1 + echo -n "." + fi +done +if [ "$ELASTICSEARCH_CONNECTED" == "no" ]; then + echo + echo -e "Connection attempt timed out. Unable to connect to ElasticSearch. \nPlease try: \n -checking log(s) in /var/log/elasticsearch/\n -running 'sudo docker ps' \n -running 'sudo so-elastic-restart'" + echo +fi + +cd ${ELASTICSEARCH_TEMPLATES} + + +echo "Loading templates..." +for i in *; do TEMPLATE=$(echo $i | cut -d '-' -f2); echo "so-$TEMPLATE"; curl ${ELASTICSEARCH_AUTH} -s -XPUT http://${ELASTICSEARCH_HOST}:${ELASTICSEARCH_PORT}/_template/so-$TEMPLATE -H 'Content-Type: application/json' -d@$i 2>/dev/null; echo; done +echo + +cd - >/dev/null From 81da44b85d62bada54ebcc51475c217226805bb1 Mon Sep 17 00:00:00 2001 From: Wes Lambert Date: Sun, 15 Mar 2020 00:32:29 +0000 Subject: [PATCH 18/19] fix Logstash Eval SLS --- pillar/logstash/eval.sls | 4 +--- salt/common/tools/sbin/so-elasticsearch-templates | 0 2 files changed, 1 insertion(+), 3 deletions(-) mode change 100644 => 100755 salt/common/tools/sbin/so-elasticsearch-templates diff --git a/pillar/logstash/eval.sls b/pillar/logstash/eval.sls index df804440c..39a87dc77 100644 --- a/pillar/logstash/eval.sls +++ b/pillar/logstash/eval.sls @@ -17,7 +17,5 @@ logstash: - so/9700_output_strelka.conf.jinja templates: - so/so-beats-template.json - - so/so-ossec-template.json - - so/so-strelka-template.json - - so/so-template.json + - so/so-common-template.json - so/so-zeek-template.json diff --git a/salt/common/tools/sbin/so-elasticsearch-templates b/salt/common/tools/sbin/so-elasticsearch-templates old mode 100644 new mode 100755 From 20a6a79551be4d6beb44dbc90923b4cf775fd958 Mon Sep 17 00:00:00 2001 From: m0duspwnens Date: Mon, 16 Mar 2020 10:28:12 -0400 Subject: [PATCH 19/19] add tojson to dict passed into zeekctl --- salt/zeek/init.sls | 2 +- 1 file changed, 1 insertion(+), 1 deletion(-) diff --git a/salt/zeek/init.sls b/salt/zeek/init.sls index 7ef39ac53..dfc101cc7 100644 --- a/salt/zeek/init.sls +++ b/salt/zeek/init.sls @@ -76,7 +76,7 @@ zeekctlcfg: - group: 939 - template: jinja - defaults: - ZEEKCTL: {{ ZEEK.zeekctl }} + ZEEKCTL: {{ ZEEK.zeekctl | tojson }} # Sync node.cfg nodecfgsync: