From ffc33b15e53342c83195aefc2b8b7c7da899f5ee Mon Sep 17 00:00:00 2001 From: Wes Lambert Date: Sat, 14 Mar 2020 12:00:17 +0000 Subject: [PATCH 1/7] switch to Filebeat --- salt/top.sls | 2 +- 1 file changed, 1 insertion(+), 1 deletion(-) diff --git a/salt/top.sls b/salt/top.sls index f8f1aae40..64d353208 100644 --- a/salt/top.sls +++ b/salt/top.sls @@ -60,7 +60,7 @@ base: - wazuh {%- endif %} - elasticsearch - - logstash + - filebeat - kibana - pcap - suricata From 9fb3a47358bfdff6390920b40f8e1dd76f407d1c Mon Sep 17 00:00:00 2001 From: Wes Lambert Date: Sat, 14 Mar 2020 12:02:42 +0000 Subject: [PATCH 2/7] modify default templates --- .../templates/so/beats-template.json | 1288 ------ .../templates/so/logstash-bro-template.json | 3619 ----------------- .../templates/so/logstash-ossec-template.json | 3486 ---------------- .../so/logstash-strelka-template.json | 24 - .../templates/so/logstash-template.json | 3619 ----------------- .../templates/so/so-ossec-template.json | 3466 ---------------- .../templates/so/so-strelka-template.json | 24 - .../pipelines/templates/so/so-template.json | 3600 ---------------- .../templates/so/so-zeek-template.json | 3591 +--------------- 9 files changed, 1 insertion(+), 22716 deletions(-) delete mode 100644 salt/logstash/pipelines/templates/so/beats-template.json delete mode 100644 salt/logstash/pipelines/templates/so/logstash-bro-template.json delete mode 100644 salt/logstash/pipelines/templates/so/logstash-ossec-template.json delete mode 100644 salt/logstash/pipelines/templates/so/logstash-strelka-template.json delete mode 100644 salt/logstash/pipelines/templates/so/logstash-template.json delete mode 100644 salt/logstash/pipelines/templates/so/so-ossec-template.json delete mode 100644 salt/logstash/pipelines/templates/so/so-strelka-template.json delete mode 100644 salt/logstash/pipelines/templates/so/so-template.json diff --git a/salt/logstash/pipelines/templates/so/beats-template.json b/salt/logstash/pipelines/templates/so/beats-template.json deleted file mode 100644 index 433c0862e..000000000 --- a/salt/logstash/pipelines/templates/so/beats-template.json +++ /dev/null @@ -1,1288 +0,0 @@ -{ - "index_patterns": [ - "logstash-beats-*" - ], - "mappings": { - "doc": { - "_meta": { - "version": "6.1.3" - }, - "date_detection": false, - "dynamic_templates": [ - { - "fields": { - "mapping": { - "type": "keyword" - }, - "match_mapping_type": "string", - "path_match": "fields.*" - } - }, - { - "docker.container.labels": { - "mapping": { - "type": "keyword" - }, - "match_mapping_type": "string", - "path_match": "docker.container.labels.*" - } - }, - { - "strings_as_keyword": { - "mapping": { - "ignore_above": 1024, - "type": "keyword" - }, - "match_mapping_type": "string" - } - } - ], - "properties": { - "@timestamp": { - "type": "date" - }, - "event_data": { - "type":"object", - "dynamic": true - }, - "beat_host": { - "type":"object", - "dynamic": true - }, - "activity_id": { - "ignore_above": 1024, - "type": "keyword" - }, - "beat": { - "properties": { - "hostname": { - "ignore_above": 1024, - "type": "keyword" - }, - "name": { - "ignore_above": 1024, - "type": "keyword" - }, - "timezone": { - "ignore_above": 1024, - "type": "keyword" - }, - "version": { - "ignore_above": 1024, - "type": "keyword" - } - } - }, - "username":{ - "type":"text", - "fields": { - "keyword":{ - "type":"keyword" - } - } - }, - "computer_name": { - "type": "text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "docker": { - "properties": { - "container": { - "properties": { - "id": { - "ignore_above": 1024, - "type": "keyword" - }, - "image": { - "ignore_above": 1024, - "type": "keyword" - }, - "labels": { - "type": "object" - }, - "name": { - "ignore_above": 1024, - "type": "keyword" - } - } - } - } - }, - "error": { - "properties": { - "code": { - "type": "long" - }, - "message": { - "norms": false, - "type": "text" - }, - "type": { - "ignore_above": 1024, - "type": "keyword" - } - } - }, - "event_id": { - "type": "long" - }, - "fields": { - "type": "object" - }, - "keywords": { - "ignore_above": 1024, - "type": "keyword" - }, - "kubernetes": { - "properties": { - "annotations": { - "type": "object" - }, - "container": { - "properties": { - "image": { - "ignore_above": 1024, - "type": "keyword" - }, - "name": { - "ignore_above": 1024, - "type": "keyword" - } - } - }, - "labels": { - "type": "object" - }, - "namespace": { - "ignore_above": 1024, - "type": "keyword" - }, - "pod": { - "properties": { - "name": { - "ignore_above": 1024, - "type": "keyword" - } - } - } - } - }, - "level": { - "ignore_above": 1024, - "type": "keyword" - }, - "log_name": { - "ignore_above": 1024, - "type": "keyword" - }, - "message": { - "norms": false, - "type": "text" - }, - "message_error": { - "ignore_above": 1024, - "type": "keyword" - }, - "meta": { - "properties": { - "cloud": { - "properties": { - "availability_zone": { - "ignore_above": 1024, - "type": "keyword" - }, - "instance_id": { - "ignore_above": 1024, - "type": "keyword" - }, - "instance_name": { - "ignore_above": 1024, - "type": "keyword" - }, - "machine_type": { - "ignore_above": 1024, - "type": "keyword" - }, - "project_id": { - "ignore_above": 1024, - "type": "keyword" - }, - "provider": { - "ignore_above": 1024, - "type": "keyword" - }, - "region": { - "ignore_above": 1024, - "type": "keyword" - } - } - } - } - }, - "opcode": { - "ignore_above": 1024, - "type": "keyword" - }, - "process_id": { - "type": "long" - }, - "provider_guid": { - "ignore_above": 1024, - "type": "keyword" - }, - "record_number": { - "ignore_above": 1024, - "type": "keyword" - }, - "related_activity_id": { - "ignore_above": 1024, - "type": "keyword" - }, - "source_name": { - "ignore_above": 1024, - "type": "keyword" - }, - "tags": { - "ignore_above": 1024, - "type": "keyword" - }, - "task": { - "ignore_above": 1024, - "type": "keyword" - }, - "thread_id": { - "type": "long" - }, - "type": { - "ignore_above": 1024, - "type": "keyword" - }, - "user": { - "properties": { - "domain": { - "type": "keyword" - }, - "identifier": { - "type": "keyword" - }, - "name": { - "type": "keyword" - }, - "type": { - "type": "keyword" - } - } - }, - "user_data": { - "type": "object", - "dynamic": "true" - }, - "version": { - "type": "keyword" - }, - "xml": { - "norms": false, - "type": "text" - }, - "apache2": { - "properties": { - "access": { - "properties": { - "agent": { - "norms": false, - "type": "text" - }, - "body_sent": { - "properties": { - "bytes": { - "type": "long" - } - } - }, - "geoip": { - "properties": { - "city_name": { - "ignore_above": 1024, - "type": "keyword" - }, - "continent_name": { - "ignore_above": 1024, - "type": "keyword" - }, - "country_iso_code": { - "ignore_above": 1024, - "type": "keyword" - }, - "location": { - "type": "geo_point" - }, - "region_name": { - "ignore_above": 1024, - "type": "keyword" - } - } - }, - "http_version": { - "ignore_above": 1024, - "type": "keyword" - }, - "method": { - "ignore_above": 1024, - "type": "keyword" - }, - "referrer": { - "ignore_above": 1024, - "type": "keyword" - }, - "remote_ip": { - "ignore_above": 1024, - "type": "keyword" - }, - "response_code": { - "type": "long" - }, - "url": { - "ignore_above": 1024, - "type": "keyword" - }, - "user_agent": { - "properties": { - "device": { - "ignore_above": 1024, - "type": "keyword" - }, - "major": { - "type": "long" - }, - "minor": { - "type": "long" - }, - "name": { - "ignore_above": 1024, - "type": "keyword" - }, - "os": { - "ignore_above": 1024, - "type": "keyword" - }, - "os_major": { - "type": "long" - }, - "os_minor": { - "type": "long" - }, - "os_name": { - "ignore_above": 1024, - "type": "keyword" - }, - "patch": { - "ignore_above": 1024, - "type": "keyword" - } - } - }, - "user_name": { - "ignore_above": 1024, - "type": "keyword" - } - } - }, - "error": { - "properties": { - "client": { - "ignore_above": 1024, - "type": "keyword" - }, - "code": { - "type": "long" - }, - "level": { - "ignore_above": 1024, - "type": "keyword" - }, - "message": { - "norms": false, - "type": "text" - }, - "module": { - "ignore_above": 1024, - "type": "keyword" - }, - "pid": { - "type": "long" - }, - "tid": { - "type": "long" - }, - "type": { - "ignore_above": 1024, - "type": "keyword" - } - } - } - } - }, - "auditd": { - "properties": { - "log": { - "properties": { - "a0": { - "ignore_above": 1024, - "type": "keyword" - }, - "acct": { - "ignore_above": 1024, - "type": "keyword" - }, - "geoip": { - "properties": { - "city_name": { - "ignore_above": 1024, - "type": "keyword" - }, - "continent_name": { - "ignore_above": 1024, - "type": "keyword" - }, - "country_iso_code": { - "ignore_above": 1024, - "type": "keyword" - }, - "location": { - "type": "geo_point" - }, - "region_name": { - "ignore_above": 1024, - "type": "keyword" - } - } - }, - "item": { - "ignore_above": 1024, - "type": "keyword" - }, - "items": { - "ignore_above": 1024, - "type": "keyword" - }, - "new_auid": { - "ignore_above": 1024, - "type": "keyword" - }, - "new_ses": { - "ignore_above": 1024, - "type": "keyword" - }, - "old_auid": { - "ignore_above": 1024, - "type": "keyword" - }, - "old_ses": { - "ignore_above": 1024, - "type": "keyword" - }, - "pid": { - "ignore_above": 1024, - "type": "keyword" - }, - "ppid": { - "ignore_above": 1024, - "type": "keyword" - }, - "record_type": { - "ignore_above": 1024, - "type": "keyword" - }, - "res": { - "ignore_above": 1024, - "type": "keyword" - }, - "sequence": { - "type": "long" - } - } - } - } - }, - "fileset": { - "properties": { - "module": { - "ignore_above": 1024, - "type": "keyword" - }, - "name": { - "ignore_above": 1024, - "type": "keyword" - } - } - }, - "icinga": { - "properties": { - "debug": { - "properties": { - "facility": { - "ignore_above": 1024, - "type": "keyword" - }, - "message": { - "norms": false, - "type": "text" - }, - "severity": { - "ignore_above": 1024, - "type": "keyword" - } - } - }, - "main": { - "properties": { - "facility": { - "ignore_above": 1024, - "type": "keyword" - }, - "message": { - "norms": false, - "type": "text" - }, - "severity": { - "ignore_above": 1024, - "type": "keyword" - } - } - }, - "startup": { - "properties": { - "facility": { - "ignore_above": 1024, - "type": "keyword" - }, - "message": { - "norms": false, - "type": "text" - }, - "severity": { - "ignore_above": 1024, - "type": "keyword" - } - } - } - } - }, - "kafka": { - "properties": { - "log": { - "properties": { - "class": { - "norms": false, - "type": "text" - }, - "component": { - "ignore_above": 1024, - "type": "keyword" - }, - "level": { - "ignore_above": 1024, - "type": "keyword" - }, - "message": { - "norms": false, - "type": "text" - }, - "timestamp": { - "ignore_above": 1024, - "type": "keyword" - }, - "trace": { - "properties": { - "class": { - "ignore_above": 1024, - "type": "keyword" - }, - "full": { - "norms": false, - "type": "text" - }, - "message": { - "norms": false, - "type": "text" - } - } - } - } - } - } - }, - "logstash": { - "properties": { - "log": { - "properties": { - "level": { - "ignore_above": 1024, - "type": "keyword" - }, - "log_event": { - "type": "object" - }, - "message": { - "norms": false, - "type": "text" - }, - "module": { - "ignore_above": 1024, - "type": "keyword" - }, - "thread": { - "norms": false, - "type": "text" - } - } - }, - "slowlog": { - "properties": { - "event": { - "norms": false, - "type": "text" - }, - "level": { - "ignore_above": 1024, - "type": "keyword" - }, - "message": { - "norms": false, - "type": "text" - }, - "module": { - "ignore_above": 1024, - "type": "keyword" - }, - "plugin_name": { - "ignore_above": 1024, - "type": "keyword" - }, - "plugin_params": { - "norms": false, - "type": "text" - }, - "plugin_params_object": { - "type": "object" - }, - "plugin_type": { - "ignore_above": 1024, - "type": "keyword" - }, - "thread": { - "norms": false, - "type": "text" - }, - "took_in_millis": { - "type": "long" - }, - "took_in_nanos": { - "type": "long" - } - } - } - } - }, - "mysql": { - "properties": { - "error": { - "properties": { - "level": { - "ignore_above": 1024, - "type": "keyword" - }, - "message": { - "norms": false, - "type": "text" - }, - "thread_id": { - "type": "long" - }, - "timestamp": { - "ignore_above": 1024, - "type": "keyword" - } - } - }, - "slowlog": { - "properties": { - "host": { - "ignore_above": 1024, - "type": "keyword" - }, - "id": { - "type": "long" - }, - "ip": { - "ignore_above": 1024, - "type": "keyword" - }, - "lock_time": { - "properties": { - "sec": { - "type": "float" - } - } - }, - "query": { - "ignore_above": 1024, - "type": "keyword" - }, - "query_time": { - "properties": { - "sec": { - "type": "float" - } - } - }, - "rows_examined": { - "type": "long" - }, - "rows_sent": { - "type": "long" - }, - "timestamp": { - "type": "long" - }, - "user": { - "ignore_above": 1024, - "type": "keyword" - } - } - } - } - }, - "nginx": { - "properties": { - "access": { - "properties": { - "agent": { - "norms": false, - "type": "text" - }, - "body_sent": { - "properties": { - "bytes": { - "type": "long" - } - } - }, - "geoip": { - "properties": { - "city_name": { - "ignore_above": 1024, - "type": "keyword" - }, - "continent_name": { - "ignore_above": 1024, - "type": "keyword" - }, - "country_iso_code": { - "ignore_above": 1024, - "type": "keyword" - }, - "location": { - "type": "geo_point" - }, - "region_name": { - "ignore_above": 1024, - "type": "keyword" - } - } - }, - "http_version": { - "ignore_above": 1024, - "type": "keyword" - }, - "method": { - "ignore_above": 1024, - "type": "keyword" - }, - "referrer": { - "ignore_above": 1024, - "type": "keyword" - }, - "remote_ip": { - "ignore_above": 1024, - "type": "keyword" - }, - "response_code": { - "type": "long" - }, - "url": { - "ignore_above": 1024, - "type": "keyword" - }, - "user_agent": { - "properties": { - "device": { - "ignore_above": 1024, - "type": "keyword" - }, - "major": { - "type": "long" - }, - "minor": { - "type": "long" - }, - "name": { - "ignore_above": 1024, - "type": "keyword" - }, - "os": { - "ignore_above": 1024, - "type": "keyword" - }, - "os_major": { - "type": "long" - }, - "os_minor": { - "type": "long" - }, - "os_name": { - "ignore_above": 1024, - "type": "keyword" - }, - "patch": { - "ignore_above": 1024, - "type": "keyword" - } - } - }, - "user_name": { - "ignore_above": 1024, - "type": "keyword" - } - } - }, - "error": { - "properties": { - "connection_id": { - "type": "long" - }, - "level": { - "ignore_above": 1024, - "type": "keyword" - }, - "message": { - "norms": false, - "type": "text" - }, - "pid": { - "type": "long" - }, - "tid": { - "type": "long" - } - } - } - } - }, - "offset": { - "type": "long" - }, - "postgresql": { - "properties": { - "log": { - "properties": { - "database": { - "ignore_above": 1024, - "type": "keyword" - }, - "duration": { - "type": "float" - }, - "level": { - "ignore_above": 1024, - "type": "keyword" - }, - "message": { - "norms": false, - "type": "text" - }, - "query": { - "ignore_above": 1024, - "type": "keyword" - }, - "thread_id": { - "type": "long" - }, - "timestamp": { - "ignore_above": 1024, - "type": "keyword" - }, - "timezone": { - "ignore_above": 1024, - "type": "keyword" - }, - "user": { - "ignore_above": 1024, - "type": "keyword" - } - } - } - } - }, - "prospector": { - "properties": { - "type": { - "ignore_above": 1024, - "type": "keyword" - } - } - }, - "read_timestamp": { - "ignore_above": 1024, - "type": "keyword" - }, - "redis": { - "properties": { - "log": { - "properties": { - "level": { - "ignore_above": 1024, - "type": "keyword" - }, - "message": { - "norms": false, - "type": "text" - }, - "pid": { - "type": "long" - }, - "role": { - "ignore_above": 1024, - "type": "keyword" - } - } - }, - "slowlog": { - "properties": { - "args": { - "ignore_above": 1024, - "type": "keyword" - }, - "cmd": { - "ignore_above": 1024, - "type": "keyword" - }, - "duration": { - "properties": { - "us": { - "type": "long" - } - } - }, - "id": { - "type": "long" - }, - "key": { - "ignore_above": 1024, - "type": "keyword" - } - } - } - } - }, - "stream": { - "ignore_above": 1024, - "type": "keyword" - }, - "system": { - "properties": { - "auth": { - "properties": { - "groupadd": { - "properties": { - "gid": { - "type": "long" - }, - "name": { - "ignore_above": 1024, - "type": "keyword" - } - } - }, - "hostname": { - "ignore_above": 1024, - "type": "keyword" - }, - "message": { - "ignore_above": 1024, - "type": "keyword" - }, - "pid": { - "type": "long" - }, - "program": { - "ignore_above": 1024, - "type": "keyword" - }, - "ssh": { - "properties": { - "dropped_ip": { - "type": "ip" - }, - "event": { - "ignore_above": 1024, - "type": "keyword" - }, - "geoip": { - "properties": { - "city_name": { - "ignore_above": 1024, - "type": "keyword" - }, - "continent_name": { - "ignore_above": 1024, - "type": "keyword" - }, - "country_iso_code": { - "ignore_above": 1024, - "type": "keyword" - }, - "location": { - "type": "geo_point" - }, - "region_name": { - "ignore_above": 1024, - "type": "keyword" - } - } - }, - "ip": { - "type": "ip" - }, - "method": { - "ignore_above": 1024, - "type": "keyword" - }, - "port": { - "type": "long" - }, - "signature": { - "ignore_above": 1024, - "type": "keyword" - } - } - }, - "sudo": { - "properties": { - "command": { - "ignore_above": 1024, - "type": "keyword" - }, - "error": { - "ignore_above": 1024, - "type": "keyword" - }, - "pwd": { - "ignore_above": 1024, - "type": "keyword" - }, - "tty": { - "ignore_above": 1024, - "type": "keyword" - }, - "user": { - "ignore_above": 1024, - "type": "keyword" - } - } - }, - "timestamp": { - "ignore_above": 1024, - "type": "keyword" - }, - "user": { - "ignore_above": 1024, - "type": "keyword" - }, - "useradd": { - "properties": { - "gid": { - "type": "long" - }, - "home": { - "ignore_above": 1024, - "type": "keyword" - }, - "name": { - "ignore_above": 1024, - "type": "keyword" - }, - "shell": { - "ignore_above": 1024, - "type": "keyword" - }, - "uid": { - "type": "long" - } - } - } - } - }, - "syslog": { - "properties": { - "hostname": { - "ignore_above": 1024, - "type": "keyword" - }, - "message": { - "ignore_above": 1024, - "type": "keyword" - }, - "pid": { - "ignore_above": 1024, - "type": "keyword" - }, - "program": { - "ignore_above": 1024, - "type": "keyword" - }, - "timestamp": { - "ignore_above": 1024, - "type": "keyword" - } - } - } - } - }, - "traefik": { - "properties": { - "access": { - "properties": { - "agent": { - "norms": false, - "type": "text" - }, - "backend_url": { - "norms": false, - "type": "text" - }, - "body_sent": { - "properties": { - "bytes": { - "type": "long" - } - } - }, - "frontend_name": { - "norms": false, - "type": "text" - }, - "geoip": { - "properties": { - "city_name": { - "ignore_above": 1024, - "type": "keyword" - }, - "continent_name": { - "ignore_above": 1024, - "type": "keyword" - }, - "country_iso_code": { - "ignore_above": 1024, - "type": "keyword" - }, - "location": { - "type": "geo_point" - }, - "region_name": { - "ignore_above": 1024, - "type": "keyword" - } - } - }, - "http_version": { - "ignore_above": 1024, - "type": "keyword" - }, - "method": { - "ignore_above": 1024, - "type": "keyword" - }, - "referrer": { - "ignore_above": 1024, - "type": "keyword" - }, - "remote_ip": { - "ignore_above": 1024, - "type": "keyword" - }, - "request_count": { - "type": "long" - }, - "response_code": { - "type": "long" - }, - "url": { - "ignore_above": 1024, - "type": "keyword" - }, - "user_agent": { - "properties": { - "device": { - "ignore_above": 1024, - "type": "keyword" - }, - "major": { - "type": "long" - }, - "minor": { - "type": "long" - }, - "name": { - "ignore_above": 1024, - "type": "keyword" - }, - "os": { - "ignore_above": 1024, - "type": "keyword" - }, - "os_major": { - "type": "long" - }, - "os_minor": { - "type": "long" - }, - "os_name": { - "ignore_above": 1024, - "type": "keyword" - }, - "patch": { - "ignore_above": 1024, - "type": "keyword" - } - } - }, - "user_name": { - "ignore_above": 1024, - "type": "keyword" - } - } - } - } - } - } - } - }, - "order": 1, - "settings": { - "index": { - "mapping": { - "total_fields": { - "limit": 10000 - } - }, - "number_of_replicas": 0, - "number_of_shards": 1, - "refresh_interval": "30s" - } - } -} diff --git a/salt/logstash/pipelines/templates/so/logstash-bro-template.json b/salt/logstash/pipelines/templates/so/logstash-bro-template.json deleted file mode 100644 index 124d3c92c..000000000 --- a/salt/logstash/pipelines/templates/so/logstash-bro-template.json +++ /dev/null @@ -1,3619 +0,0 @@ -{ - "index_patterns": ["logstash-ids-*", "logstash-firewall-*", "logstash-syslog-*", "logstash-bro-*", "logstash-import-*", "logstash-beats-*"], - "version":50001, - "order" : 0, - "settings":{ - "number_of_replicas":0, - "number_of_shards":1, - "index.refresh_interval":"30s" - }, - "mappings":{ - "doc":{ - "dynamic": false, - "date_detection": false, - "properties":{ - "@timestamp":{ - "type":"date" - }, - "@version":{ - "type":"keyword" - }, - "geoip":{ - "dynamic":true, - "properties":{ - "ip":{ - "type":"ip" - }, - "location":{ - "type":"geo_point" - }, - "latitude":{ - "type":"half_float" - }, - "longitude":{ - "type":"half_float" - } - } - }, - "destination_geo":{ - "dynamic":true, - "properties":{ - "ip":{ - "type":"ip" - }, - "location":{ - "type":"geo_point" - }, - "latitude":{ - "type":"half_float" - }, - "longitude":{ - "type":"half_float" - } - } - }, - "source_geo":{ - "dynamic":true, - "properties":{ - "ip":{ - "type":"ip" - }, - "location":{ - "type":"geo_point" - }, - "latitude":{ - "type":"half_float" - }, - "longitude":{ - "type":"half_float" - } - } - }, - "signature_info":{ - "type":"keyword" - }, - "aa":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "ack":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "action":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "additional_info":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "age":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "alert":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "alert_level":{ - "type":"long", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "analyzer":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "answers":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "assigned_ip":{ - "type":"ip", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "auth":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "authentication_attempts":{ - "type":"long" - }, - "authentication_method":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "authentication_success":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "basic_constraints":{ - "type":"object", - "properties":{ - "path_len": { - "type": "text" - } - } - }, - "basic_constraints_ca":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "basic_constraints_path_length":{ - "type":"long" - }, - "bound_port":{ - "type":"long" - }, - "call_id":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "category":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "cc":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "certificate_chain_count":{ - "type":"long" - }, - "certificate_chain_fuids":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "certificate_common_name":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "certificate_common_name_frequency_score":{ - "type":"long" - }, - "certificate_common_name_length":{ - "type":"long" - }, - "certificate_count":{ - "type":"long" - }, - "certificate_country_code":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "certificate_curve":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "certificate_exponent":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "certificate_issuer":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "certificate_key_algorithm":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "certificate_key_length":{ - "type":"long" - }, - "certificate_key_type":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "certificate_locality":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "certificate_not_valid_after":{ - "type":"date" - }, - "certificate_not_valid_before":{ - "type":"date" - }, - "certificate_number_days_valid":{ - "type":"long" - }, - "certificate_organization":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "certificate_organization_unit":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "certificate_permanent":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "certificate_serial":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "certificate_serial_number":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "certificate_signing_algorithm":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "certificate_state":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "certificate_subject":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "certificate_type":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "certificate_version":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "checksum":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "cipher":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "cipher_algorithm":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "class":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "classification":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "client":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "client_build":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "client_certificate_chain_fuids":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "client_certificate_subject":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "client_certificate_fuid":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "client_digital_product_id":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "client_fqdn":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "client_issuer":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "client_ip": { - "type":"ip", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "client_major_version":{ - "type":"long", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "client_message":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "client_minor_version":{ - "type":"long", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "client_name":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "client_subject":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "command":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "community":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "company":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "compile_ts":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "compression_algorithm":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "connect_info":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "connection_state":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "connection_state_description":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "content_type":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "cookie":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "creation_date":{ - "type":"date" - }, - "creation_time":{ - "type":"date" - }, - "client_host_key_algorithms":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "current_directory":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "curve":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "data_channel_destination_ip":{ - "type":"ip" - }, - "data_channel_destination_port":{ - "type":"long" - }, - "data_channel_passive":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "data_channel_source_ip":{ - "type":"ip" - }, - "data_length":{ - "type":"long" - }, - "date":{ - "type":"text" - }, - "dcc_file_name":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "dcc_file_size":{ - "type":"long" - }, - "dcc_mime_type":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "depth":{ - "type":"long" - }, - "description":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "desktop_height":{ - "type":"long" - }, - "desktop_name":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "desktop_width":{ - "type":"long" - }, - "dest_is_ipv6":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "destination":{ - "type":"object", - "dynamic": true - }, - "destination_city":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "destination_geo.city_name":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "destination_geo.continent_code":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "destination_geo.dma_code":{ - "type":"long" - }, - "destination_geo.ip":{ - "type":"ip" - }, - "destination_geo.latitude":{ - "type":"long" - }, - "destination_geo.location":{ - "type":"geo_point" - }, - "destination_geo.longitude":{ - "type":"long", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "destination_geo.postal_code":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "destination_geo.region_code":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "destination_geo.country_name":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "destination_geo.region_name":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "destination_geo.timezone":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "destination_hostname":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "destination_ip":{ - "type":"ip" - }, - "destination_ips":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "destination_latitude":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "destination_longitude":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "destination_port":{ - "type":"long" - }, - "destination_port_name":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "destination_region":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "details":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "dir":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "direction":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "display_string":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "domain_age":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "domain_name":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "dropped":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "duration":{ - "type":"long" - }, - "valid_from":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "enabled":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "encryption_level":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "encryption_method":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "endpoint":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "entry":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "entry_location":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "error_message":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "escalated_user":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "established":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "event_id":{ - "type":"long" - }, - "event_timestamp":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "event_type":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "exception":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "extracted":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "extracted_cutoff":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "facility":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "fc_reply":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "fc_request":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "file_description":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "file_ip":{ - "type":"ip", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "file_mime_type":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "file_name":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "file_size":{ - "type":"long" - }, - "first_received":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "flow_label":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "forwardable":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "framed_addr":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "freq_virtual_host":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "frequency_scores":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "from":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "ftp_argument":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "ftp_command":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "fuid":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "fuids":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "function":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "geoip.ip":{ - "type":"ip" - }, - "geoip.latitude":{ - "type":"long" - }, - "geoip.location":{ - "type":"geo_point" - }, - "geoip.longitude":{ - "type":"long" - }, - "get_bulk_requests":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "get_requests":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "get_responses":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "gid":{ - "type":"long" - }, - "has_cert_table":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "has_debug_data":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "has_export_table":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "has_import_table":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "hassh":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "hassh_algorithms":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "hassh_server":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "hassh_server_algorithms":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "hassh_version":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "height":{ - "type":"long" - }, - "helo":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "highest_registered_domain":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "highest_registered_domain_frequency_score":{ - "type":"long" - }, - "history":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "hop_limit":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "host":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "host_key":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "host_key_algorithm":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "hostname":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "id":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "iin":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "image_path":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "in_reply_to":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "indicator":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "indicator_type":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "info_code":{ - "type":"long" - }, - "info_message":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "initiated":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "integrity_level":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "interface":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "ip_version":{ - "type":"long" - }, - "ipv4_ecn":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "ips":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "ipv4_flags":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "ipv4_id":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "ipv4_offset":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "ipv4_protocol":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "ipv4_protocol_id":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "ipv4_protocol_length":{ - "type":"long" - }, - "ipv4_tos":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "ipv4_ttl":{ - "type":"long" - }, - "irc_command":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "irc_username":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "is_64bit":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "is_exe":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "is_orig":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "is_source_ipv6":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "is_webmail":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "issuer_common_name":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "issuer_common_name_frequency_score":{ - "type":"long" - }, - "issuer_common_name_length":{ - "type":"long" - }, - "issuer_country_code":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "issuer_distinguished_name":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "issuer_locality":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "issuer_organization":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "issuer_organization_frequency_score":{ - "type":"long" - }, - "issuer_organization_unit":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "issuer_serial_number":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "issuer_state":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "ja3":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "ja3s":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "kerberos_success":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "kex_algorithm":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "keyboard_layout":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "last_alert":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "last_reply":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "launch_string":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "lease_time":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "length":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "local_orig":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "local_respond":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "location":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "log_name":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "log_timestamp":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "logged":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "logon_guid":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "logon_id":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "logstash_time":{ - "type":"long" - }, - "mac":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "mac_algorithm":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "machine":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "mail_date":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "mail_from":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "matched":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "md5":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "message":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "message_id":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "message_types":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "method":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "mimetype":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "missed_bytes":{ - "type":"long" - }, - "missing_bytes":{ - "type":"long" - }, - "msg":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "mysql_argument":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "mysql_command":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "mysql_success":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "n":{ - "type":"long" - }, - "name":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "named_pipe":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "native_file_system":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "next_protocol":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "nick":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "note":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "notice":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "ntlm_success":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "num_packets":{ - "type":"long" - }, - "object_size":{ - "type":"long" - }, - "operation":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "options":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "orig_filenames":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "orig_fuids":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "orig_mime_types":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "original_bytes":{ - "type":"long" - }, - "original_country_code":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "original_ip_bytes":{ - "type":"long" - }, - "original_packets":{ - "type":"long" - }, - "os":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "ossec_agent_name":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "ossec_timestamp":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "overflow_bytes":{ - "type":"long" - }, - "p":{ - "type":"long" - }, - "parent_domain":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "parent_domain_frequency_score":{ - "type":"long" - }, - "parent_domain_length":{ - "type":"long" - }, - "parent_image_path":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "parent_process_guid":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "parent_process_id":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "parent_process_name":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "password":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "path":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "peer":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "peer_description":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "pesha1":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "pesha256":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "pid":{ - "type":"long", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "port":{ - "type":"long", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "prev_name":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "priority":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "process":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "process_arguments":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "process_guid":{ - "type":"long" - }, - "process_id":{ - "type":"long", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "process_name":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "profile":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "program":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "protocol":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "protocol_id":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "protocol_version":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "proxied":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "query":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "query_class":{ - "type":"long" - }, - "query_class_name":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "query_length":{ - "type":"long" - }, - "query_type":{ - "type":"long" - }, - "query_type_name":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "ra":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "rcode":{ - "type":"long" - }, - "rcode_name":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "rd":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "reason":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "recipient_to":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "referrer":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "rejected":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "remote_ip":{ - "type":"ip" - }, - "remote_location":{ - "type":"object", - "properties":{ - "country_code": { - "type": "text" - } - } - }, - "renewable":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "reply_code":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "reply_message":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "reply_to":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "request_body_len":{ - "type":"long" - }, - "request_body_length":{ - "type":"long" - }, - "request_from":{ - "type":"text" - }, - "request_path":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "request_port":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "request_timestamp":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "request_to":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "request_type":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "requested_color_depth":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "requested_resource":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "requested_ip": { - "type":"ip", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "resp_filenames":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "resp_fuids":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "resp_mime_types":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "respond_bytes":{ - "type":"long" - }, - "respond_country_code":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "respond_ip_bytes":{ - "type":"long" - }, - "respond_packets":{ - "type":"long" - }, - "response":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "response_body_len":{ - "type":"long" - }, - "response_body_length":{ - "type":"long" - }, - "response_from":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "response_path":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "response_to":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "result":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "resumed":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "rev":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "rig":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "rows":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "rtt":{ - "type":"float", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "rule":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "rule_number":{ - "type":"long" - }, - "rule_signature":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "rule_type":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "san_dns":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "second_received":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "section_names":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "security_protocol":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "seen_bytes":{ - "type":"long" - }, - "seen_node":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "seen_where":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "sensor_name":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "seq":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "sequence_number":{ - "type":"long" - }, - "server":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "server_certificate_fuid":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "server_certificate_subject":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "server_dns_computer_name":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "server_ip": { - "type":"ip", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "server_major_version":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "server_message":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "server_minor_version":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "server_name":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "server_name_frequency_score":{ - "type":"long" - }, - "server_name_length":{ - "type":"long" - }, - "server_nb_computer_name":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "server_tree_name":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "service":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "set_requests":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "severity":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "sha1":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "sha256":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "share_flag":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "share_type":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "sid":{ - "type":"long" - }, - "signer":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "site":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "size":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "software_type":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "source":{ - "type":"object", - "dynamic": true - }, - "source_geo.city_name":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "source_geo.continent_code":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "source_geo.dma_code":{ - "type":"long" - }, - "source_geo.ip":{ - "type":"ip" - }, - "source_geo.latitude":{ - "type":"long" - }, - "source_geo.location":{ - "type":"geo_point" - }, - "source_geo.longitude":{ - "type":"long" - }, - "source_geo.postal_code":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "source_geo.region_code":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "source_geo.region_name":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "source_geo.timezone":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "source_hostname":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "source_ip":{ - "type":"ip" - }, - "source_ips":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "source_port":{ - "type":"long" - }, - "source_port_name":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "sources":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "server_host_key_algorithms":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "status":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "status_code":{ - "type":"long" - }, - "status_message":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "status_msg":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "sub_msg":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "sub_rule_number":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "subdomain":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "subdomain_frequency_score":{ - "type":"long" - }, - "subdomain_length":{ - "type":"long" - }, - "subject":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "subsystem":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "suppress_for":{ - "type":"long" - }, - "syslog-facility":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "syslog-file_name":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "syslog-host":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "syslog-host_from":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "syslog-legacy_msghdr":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "syslog-pid":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "syslog-priority":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "syslog-sourceip":{ - "type":"ip" - }, - "syslog-tags":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "sysmon_timestamp":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "tags":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "target_filename":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "tc":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "tcp_flags":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "terminal_id":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "valid_till":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - - "timed_out":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "times_accessed":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "times_changed":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "times_created":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "times_modified":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "timestamp":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "tld.subdomain":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "tls":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "to":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "top_level_domain":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "total_bytes":{ - "type":"long" - }, - "tracker_id":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "trans_depth":{ - "type":"long" - }, - "transaction_id":{ - "type":"long" - }, - "ttls":{ - "type":"text" - }, - "tty":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "tunnel_parents":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "tunnel_type":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "type":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "uid":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "unparsed_version":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "up_since":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "urg":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "uri":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "uri_length":{ - "type":"long" - }, - "username":{ - "type":"text", - "fields": { - "keyword":{ - "type":"keyword" - } - } - }, - "user_agent":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "useragent":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "useragent_length":{ - "type":"long" - }, - "uses_aslr":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "uses_code_integrity":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "uses_dep":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "uses_seh":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "validation_status":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "value":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "version":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "version_additional_info":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "version_major":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "version_minor":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "version_minor2":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "version_minor3":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "virtual_host":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "virtual_host_frequency_score":{ - "type":"long" - }, - "virtual_host_length":{ - "type":"long" - }, - "warning":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "width":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "window":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "x_originating_ip":{ - "type":"ip" - }, - "year":{ - "type":"long" - }, - "z":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - } - } - } - } -} diff --git a/salt/logstash/pipelines/templates/so/logstash-ossec-template.json b/salt/logstash/pipelines/templates/so/logstash-ossec-template.json deleted file mode 100644 index b44ae69a9..000000000 --- a/salt/logstash/pipelines/templates/so/logstash-ossec-template.json +++ /dev/null @@ -1,3486 +0,0 @@ -{ - "index_patterns": ["logstash-ossec*"], - "version":50001, - "order" : 1, - "settings":{ - "index": { - "mapping": { - "total_fields": { - "limit": 10000 - } - } - }, - "number_of_replicas":0, - "number_of_shards":1, - "index.refresh_interval":"30s" - }, - "mappings":{ - "doc":{ - "dynamic": false, - "date_detection": false, - "properties":{ - "@timestamp":{ - "type":"date" - }, - "@version":{ - "type":"keyword" - }, - "geoip":{ - "dynamic":true, - "properties":{ - "ip":{ - "type":"ip" - }, - "location":{ - "type":"geo_point" - }, - "latitude":{ - "type":"half_float" - }, - "longitude":{ - "type":"half_float" - } - } - }, - "destination_geo":{ - "dynamic":true, - "properties":{ - "ip":{ - "type":"ip" - }, - "location":{ - "type":"geo_point" - }, - "latitude":{ - "type":"half_float" - }, - "longitude":{ - "type":"half_float" - } - } - }, - "source_geo":{ - "dynamic":true, - "properties":{ - "ip":{ - "type":"ip" - }, - "location":{ - "type":"geo_point" - }, - "latitude":{ - "type":"half_float" - }, - "longitude":{ - "type":"half_float" - } - } - }, - "signature_info":{ - "type":"keyword" - }, - "aa":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "ack":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "action":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "additional_info":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "age":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "agent":{ - "type":"object", - "dynamic": true - }, - "alert":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "alert_level":{ - "type":"long", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "analyzer":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "answers":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "assigned_ip":{ - "type":"ip", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "auth":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "authentication_attempts":{ - "type":"long" - }, - "authentication_method":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "authentication_success":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "basic_constraints":{ - "type":"object", - "properties":{ - "path_len": { - "type": "text" - } - } - }, - "basic_constraints_ca":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "basic_constraints_path_length":{ - "type":"long" - }, - "bound_port":{ - "type":"long" - }, - "call_id":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "category":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "cc":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "certificate_chain_count":{ - "type":"long" - }, - "certificate_chain_fuids":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "certificate_common_name":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "certificate_common_name_frequency_score":{ - "type":"long" - }, - "certificate_common_name_length":{ - "type":"long" - }, - "certificate_count":{ - "type":"long" - }, - "certificate_country_code":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "certificate_curve":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "certificate_exponent":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "certificate_issuer":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "certificate_key_algorithm":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "certificate_key_length":{ - "type":"long" - }, - "certificate_key_type":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "certificate_locality":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "certificate_not_valid_after":{ - "type":"date" - }, - "certificate_not_valid_before":{ - "type":"date" - }, - "certificate_number_days_valid":{ - "type":"long" - }, - "certificate_organization":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "certificate_organization_unit":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "certificate_permanent":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "certificate_serial":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "certificate_serial_number":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "certificate_signing_algorithm":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "certificate_state":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "certificate_subject":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "certificate_type":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "certificate_version":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "checksum":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "cipher":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "cipher_algorithm":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "class":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "classification":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "client":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "client_build":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "client_certificate_chain_fuids":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "client_certificate_subject":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "client_certificate_fuid":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "client_digital_product_id":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "client_issuer":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "client_major_version":{ - "type":"long", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "client_minor_version":{ - "type":"long", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "client_name":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "client_subject":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "command":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "community":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "company":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "compile_ts":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "compression_algorithm":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "connect_info":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "connection_state":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "connection_state_description":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "content_type":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "cookie":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "creation_date":{ - "type":"date" - }, - "creation_time":{ - "type":"date" - }, - "current_directory":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "curve":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "data":{ - "type":"object", - "dynamic": true - }, - "data_channel_destination_ip":{ - "type":"ip" - }, - "data_channel_destination_port":{ - "type":"long" - }, - "data_channel_passive":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "data_channel_source_ip":{ - "type":"ip" - }, - "data_length":{ - "type":"long" - }, - "date":{ - "type":"text" - }, - "dcc_file_name":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "dcc_file_size":{ - "type":"long" - }, - "dcc_mime_type":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "decoder":{ - "type":"object", - "dynamic": true - }, - "depth":{ - "type":"long" - }, - "description":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "desktop_height":{ - "type":"long" - }, - "desktop_name":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "desktop_width":{ - "type":"long" - }, - "dest_is_ipv6":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "destination_city":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "destination_geo.city_name":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "destination_geo.continent_code":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "destination_geo.dma_code":{ - "type":"long" - }, - "destination_geo.ip":{ - "type":"ip" - }, - "destination_geo.latitude":{ - "type":"long" - }, - "destination_geo.location":{ - "type":"geo_point" - }, - "destination_geo.longitude":{ - "type":"long", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "destination_geo.postal_code":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "destination_geo.region_code":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "destination_geo.country_name":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "destination_geo.region_name":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "destination_geo.timezone":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "destination_hostname":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "destination_ip":{ - "type":"ip" - }, - "destination_ips":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "destination_latitude":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "destination_longitude":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "destination_port":{ - "type":"long" - }, - "destination_port_name":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "destination_region":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "details":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "dir":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "direction":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "display_string":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "domain_age":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "domain_name":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "dropped":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "duration":{ - "type":"long" - }, - "valid_from":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "enabled":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "encryption_level":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "encryption_method":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "endpoint":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "entry":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "entry_location":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "error_message":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "escalated_user":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "established":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "event_id":{ - "type":"long" - }, - "event_timestamp":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "event_type":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "exception":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "extracted":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "extracted_cutoff":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "facility":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "fc_reply":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "fc_request":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "file_description":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "file_ip":{ - "type":"ip", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "file_mime_type":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "file_name":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "file_size":{ - "type":"long" - }, - "first_received":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "flow_label":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "forwardable":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "framed_addr":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "freq_virtual_host":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "frequency_scores":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "from":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "ftp_argument":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "ftp_command":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "fuid":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "fuids":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "full_log":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "function":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "geoip.ip":{ - "type":"ip" - }, - "geoip.latitude":{ - "type":"long" - }, - "geoip.location":{ - "type":"geo_point" - }, - "geoip.longitude":{ - "type":"long" - }, - "get_bulk_requests":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "get_requests":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "get_responses":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "gid":{ - "type":"long" - }, - "has_cert_table":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "has_debug_data":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "has_export_table":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "has_import_table":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "height":{ - "type":"long" - }, - "helo":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "highest_registered_domain":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "highest_registered_domain_frequency_score":{ - "type":"long" - }, - "history":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "hop_limit":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "host":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "host_key":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "host_key_algorithm":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "hostname":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "id":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "iin":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "image_path":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "in_reply_to":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "indicator":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "indicator_type":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "info_code":{ - "type":"long" - }, - "info_message":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "initiated":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "integrity_level":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "interface":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "ip_version":{ - "type":"long" - }, - "ipv4_ecn":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "ips":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "ipv4_flags":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "ipv4_id":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "ipv4_offset":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "ipv4_protocol":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "ipv4_protocol_id":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "ipv4_protocol_length":{ - "type":"long" - }, - "ipv4_tos":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "ipv4_ttl":{ - "type":"long" - }, - "irc_command":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "irc_username":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "is_64bit":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "is_exe":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "is_orig":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "is_source_ipv6":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "is_webmail":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "issuer_common_name":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "issuer_common_name_frequency_score":{ - "type":"long" - }, - "issuer_common_name_length":{ - "type":"long" - }, - "issuer_country_code":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "issuer_distinguished_name":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "issuer_locality":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "issuer_organization":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "issuer_organization_frequency_score":{ - "type":"long" - }, - "issuer_organization_unit":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "issuer_serial_number":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "issuer_state":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "kerberos_success":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "kex_algorithm":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "keyboard_layout":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "last_alert":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "last_reply":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "launch_string":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "lease_time":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "length":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "local_orig":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "local_respond":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "location":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "log_name":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "log_timestamp":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "logged":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "logon_guid":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "logon_id":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "logstash_time":{ - "type":"long" - }, - "mac":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "mac_algorithm":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "machine":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "mail_date":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "mail_from":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "manager":{ - "type":"object", - "dynamic": true - }, - "matched":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "md5":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "message":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "message_id":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "method":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "mimetype":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "missed_bytes":{ - "type":"long" - }, - "missing_bytes":{ - "type":"long" - }, - "msg":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "mysql_argument":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "mysql_command":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "mysql_success":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "n":{ - "type":"long" - }, - "name":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "named_pipe":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "native_file_system":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "next_protocol":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "nick":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "note":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "notice":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "ntlm_success":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "num_packets":{ - "type":"long" - }, - "object_size":{ - "type":"long" - }, - "operation":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "options":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "orig_filenames":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "orig_fuids":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "orig_mime_types":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "original_bytes":{ - "type":"long" - }, - "original_country_code":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "original_ip_bytes":{ - "type":"long" - }, - "original_packets":{ - "type":"long" - }, - "os":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "ossec_agent_name":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "ossec_timestamp":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "overflow_bytes":{ - "type":"long" - }, - "p":{ - "type":"long" - }, - "parent_domain":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "parent_domain_frequency_score":{ - "type":"long" - }, - "parent_domain_length":{ - "type":"long" - }, - "parent_image_path":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "parent_process_guid":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "parent_process_id":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "parent_process_name":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "password":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "path":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "peer":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "peer_description":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "pesha1":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "pesha256":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "pid":{ - "type":"long", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "port":{ - "type":"long", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "predecoder":{ - "type":"object", - "dynamic": true - }, - "prev_name":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "priority":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "process":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "process_arguments":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "process_guid":{ - "type":"long" - }, - "process_id":{ - "type":"long", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "process_name":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "profile":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "program":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "protocol":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "protocol_id":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "protocol_version":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "proxied":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "query":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "query_class":{ - "type":"long" - }, - "query_class_name":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "query_length":{ - "type":"long" - }, - "query_type":{ - "type":"long" - }, - "query_type_name":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "ra":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "rcode":{ - "type":"long" - }, - "rcode_name":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "rd":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "reason":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "recipient_to":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "referrer":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "rejected":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "remote_ip":{ - "type":"ip" - }, - "remote_location":{ - "type":"object", - "properties":{ - "country_code": { - "type": "text" - } - } - }, - "renewable":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "reply_code":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "reply_message":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "reply_to":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "request_body_len":{ - "type":"long" - }, - "request_body_length":{ - "type":"long" - }, - "request_from":{ - "type":"text" - }, - "request_path":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "request_port":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "request_timestamp":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "request_to":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "request_type":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "requested_color_depth":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "requested_resource":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "resp_filenames":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "resp_fuids":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "resp_mime_types":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "respond_bytes":{ - "type":"long" - }, - "respond_country_code":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "respond_ip_bytes":{ - "type":"long" - }, - "respond_packets":{ - "type":"long" - }, - "response":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "response_body_len":{ - "type":"long" - }, - "response_body_length":{ - "type":"long" - }, - "response_from":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "response_path":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "response_to":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "result":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "resumed":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "rev":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "rig":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "rows":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "rtt":{ - "type":"float", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "wazuh-rule":{ - "type":"object", - "dynamic": true - }, - "rule_number":{ - "type":"long" - }, - "rule_type":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "san_dns":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "second_received":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "section_names":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "security_protocol":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "seen_bytes":{ - "type":"long" - }, - "seen_node":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "seen_where":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "sensor_name":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "seq":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "sequence_number":{ - "type":"long" - }, - "server":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "server_certificate_fuid":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "server_certificate_subject":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "server_major_version":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "server_minor_version":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "server_name":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "server_name_frequency_score":{ - "type":"long" - }, - "server_name_length":{ - "type":"long" - }, - "service":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "set_requests":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "severity":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "sha1":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "sha256":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "share_flag":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "share_type":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "sid":{ - "type":"long" - }, - "signer":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "site":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "size":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "software_type":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "source_geo.city_name":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "source_geo.continent_code":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "source_geo.dma_code":{ - "type":"long" - }, - "source_geo.ip":{ - "type":"ip" - }, - "source_geo.latitude":{ - "type":"long" - }, - "source_geo.location":{ - "type":"geo_point" - }, - "source_geo.longitude":{ - "type":"long" - }, - "source_geo.postal_code":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "source_geo.region_code":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "source_geo.region_name":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "source_geo.timezone":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "source_hostname":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "source_ip":{ - "type":"ip" - }, - "source_ips":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "source_port":{ - "type":"long" - }, - "source_port_name":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "sources":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "status":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "status_code":{ - "type":"long" - }, - "status_message":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "status_msg":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "sub_msg":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "sub_rule_number":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "subdomain":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "subdomain_frequency_score":{ - "type":"long" - }, - "subdomain_length":{ - "type":"long" - }, - "subject":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "subsystem":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "suppress_for":{ - "type":"long" - }, - "syscheck":{ - "type":"object", - "dynamic": true - }, - "syslog-facility":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "syslog-file_name":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "syslog-host":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "syslog-host_from":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "syslog-legacy_msghdr":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "syslog-pid":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "syslog-priority":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "syslog-sourceip":{ - "type":"ip" - }, - "syslog-tags":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "sysmon_timestamp":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "tags":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "target_filename":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "tc":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "tcp_flags":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "terminal_id":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "valid_till":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - - "timed_out":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "times_accessed":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "times_changed":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "times_created":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "times_modified":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "timestamp":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "tld.subdomain":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "tls":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "to":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "top_level_domain":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "total_bytes":{ - "type":"long" - }, - "tracker_id":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "trans_depth":{ - "type":"long" - }, - "transaction_id":{ - "type":"long" - }, - "ttls":{ - "type":"text" - }, - "tty":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "tunnel_parents":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "tunnel_type":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "type":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "uid":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "unparsed_version":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "up_since":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "urg":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "uri":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "uri_length":{ - "type":"long" - }, - "username":{ - "type":"text", - "fields": { - "keyword":{ - "type":"keyword" - } - } - }, - "user_agent":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "useragent":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "useragent_length":{ - "type":"long" - }, - "uses_aslr":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "uses_code_integrity":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "uses_dep":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "uses_seh":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "validation_status":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "value":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "version":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "version_additional_info":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "version_major":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "version_minor":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "version_minor2":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "version_minor3":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "virtual_host":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "virtual_host_frequency_score":{ - "type":"long" - }, - "virtual_host_length":{ - "type":"long" - }, - "warning":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "width":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "window":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "x_originating_ip":{ - "type":"ip" - }, - "year":{ - "type":"long" - }, - "z":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - } - } - } - } -} diff --git a/salt/logstash/pipelines/templates/so/logstash-strelka-template.json b/salt/logstash/pipelines/templates/so/logstash-strelka-template.json deleted file mode 100644 index 34b937b87..000000000 --- a/salt/logstash/pipelines/templates/so/logstash-strelka-template.json +++ /dev/null @@ -1,24 +0,0 @@ -{ - "index_patterns": ["logstash-strelka-*"], - "version":50001, - "order" : 0, - "settings":{ - "number_of_replicas":0, - "number_of_shards":1, - "index.refresh_interval":"30s" - }, - "mappings":{ - "doc":{ - "dynamic": false, - "date_detection": false, - "properties":{ - "@timestamp":{ - "type":"date" - }, - "@version":{ - "type":"keyword" - } - } - } - } -} diff --git a/salt/logstash/pipelines/templates/so/logstash-template.json b/salt/logstash/pipelines/templates/so/logstash-template.json deleted file mode 100644 index 124d3c92c..000000000 --- a/salt/logstash/pipelines/templates/so/logstash-template.json +++ /dev/null @@ -1,3619 +0,0 @@ -{ - "index_patterns": ["logstash-ids-*", "logstash-firewall-*", "logstash-syslog-*", "logstash-bro-*", "logstash-import-*", "logstash-beats-*"], - "version":50001, - "order" : 0, - "settings":{ - "number_of_replicas":0, - "number_of_shards":1, - "index.refresh_interval":"30s" - }, - "mappings":{ - "doc":{ - "dynamic": false, - "date_detection": false, - "properties":{ - "@timestamp":{ - "type":"date" - }, - "@version":{ - "type":"keyword" - }, - "geoip":{ - "dynamic":true, - "properties":{ - "ip":{ - "type":"ip" - }, - "location":{ - "type":"geo_point" - }, - "latitude":{ - "type":"half_float" - }, - "longitude":{ - "type":"half_float" - } - } - }, - "destination_geo":{ - "dynamic":true, - "properties":{ - "ip":{ - "type":"ip" - }, - "location":{ - "type":"geo_point" - }, - "latitude":{ - "type":"half_float" - }, - "longitude":{ - "type":"half_float" - } - } - }, - "source_geo":{ - "dynamic":true, - "properties":{ - "ip":{ - "type":"ip" - }, - "location":{ - "type":"geo_point" - }, - "latitude":{ - "type":"half_float" - }, - "longitude":{ - "type":"half_float" - } - } - }, - "signature_info":{ - "type":"keyword" - }, - "aa":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "ack":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "action":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "additional_info":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "age":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "alert":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "alert_level":{ - "type":"long", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "analyzer":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "answers":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "assigned_ip":{ - "type":"ip", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "auth":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "authentication_attempts":{ - "type":"long" - }, - "authentication_method":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "authentication_success":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "basic_constraints":{ - "type":"object", - "properties":{ - "path_len": { - "type": "text" - } - } - }, - "basic_constraints_ca":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "basic_constraints_path_length":{ - "type":"long" - }, - "bound_port":{ - "type":"long" - }, - "call_id":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "category":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "cc":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "certificate_chain_count":{ - "type":"long" - }, - "certificate_chain_fuids":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "certificate_common_name":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "certificate_common_name_frequency_score":{ - "type":"long" - }, - "certificate_common_name_length":{ - "type":"long" - }, - "certificate_count":{ - "type":"long" - }, - "certificate_country_code":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "certificate_curve":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "certificate_exponent":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "certificate_issuer":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "certificate_key_algorithm":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "certificate_key_length":{ - "type":"long" - }, - "certificate_key_type":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "certificate_locality":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "certificate_not_valid_after":{ - "type":"date" - }, - "certificate_not_valid_before":{ - "type":"date" - }, - "certificate_number_days_valid":{ - "type":"long" - }, - "certificate_organization":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "certificate_organization_unit":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "certificate_permanent":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "certificate_serial":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "certificate_serial_number":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "certificate_signing_algorithm":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "certificate_state":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "certificate_subject":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "certificate_type":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "certificate_version":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "checksum":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "cipher":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "cipher_algorithm":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "class":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "classification":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "client":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "client_build":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "client_certificate_chain_fuids":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "client_certificate_subject":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "client_certificate_fuid":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "client_digital_product_id":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "client_fqdn":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "client_issuer":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "client_ip": { - "type":"ip", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "client_major_version":{ - "type":"long", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "client_message":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "client_minor_version":{ - "type":"long", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "client_name":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "client_subject":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "command":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "community":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "company":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "compile_ts":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "compression_algorithm":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "connect_info":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "connection_state":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "connection_state_description":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "content_type":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "cookie":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "creation_date":{ - "type":"date" - }, - "creation_time":{ - "type":"date" - }, - "client_host_key_algorithms":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "current_directory":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "curve":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "data_channel_destination_ip":{ - "type":"ip" - }, - "data_channel_destination_port":{ - "type":"long" - }, - "data_channel_passive":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "data_channel_source_ip":{ - "type":"ip" - }, - "data_length":{ - "type":"long" - }, - "date":{ - "type":"text" - }, - "dcc_file_name":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "dcc_file_size":{ - "type":"long" - }, - "dcc_mime_type":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "depth":{ - "type":"long" - }, - "description":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "desktop_height":{ - "type":"long" - }, - "desktop_name":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "desktop_width":{ - "type":"long" - }, - "dest_is_ipv6":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "destination":{ - "type":"object", - "dynamic": true - }, - "destination_city":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "destination_geo.city_name":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "destination_geo.continent_code":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "destination_geo.dma_code":{ - "type":"long" - }, - "destination_geo.ip":{ - "type":"ip" - }, - "destination_geo.latitude":{ - "type":"long" - }, - "destination_geo.location":{ - "type":"geo_point" - }, - "destination_geo.longitude":{ - "type":"long", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "destination_geo.postal_code":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "destination_geo.region_code":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "destination_geo.country_name":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "destination_geo.region_name":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "destination_geo.timezone":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "destination_hostname":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "destination_ip":{ - "type":"ip" - }, - "destination_ips":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "destination_latitude":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "destination_longitude":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "destination_port":{ - "type":"long" - }, - "destination_port_name":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "destination_region":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "details":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "dir":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "direction":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "display_string":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "domain_age":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "domain_name":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "dropped":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "duration":{ - "type":"long" - }, - "valid_from":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "enabled":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "encryption_level":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "encryption_method":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "endpoint":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "entry":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "entry_location":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "error_message":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "escalated_user":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "established":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "event_id":{ - "type":"long" - }, - "event_timestamp":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "event_type":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "exception":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "extracted":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "extracted_cutoff":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "facility":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "fc_reply":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "fc_request":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "file_description":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "file_ip":{ - "type":"ip", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "file_mime_type":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "file_name":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "file_size":{ - "type":"long" - }, - "first_received":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "flow_label":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "forwardable":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "framed_addr":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "freq_virtual_host":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "frequency_scores":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "from":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "ftp_argument":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "ftp_command":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "fuid":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "fuids":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "function":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "geoip.ip":{ - "type":"ip" - }, - "geoip.latitude":{ - "type":"long" - }, - "geoip.location":{ - "type":"geo_point" - }, - "geoip.longitude":{ - "type":"long" - }, - "get_bulk_requests":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "get_requests":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "get_responses":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "gid":{ - "type":"long" - }, - "has_cert_table":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "has_debug_data":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "has_export_table":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "has_import_table":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "hassh":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "hassh_algorithms":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "hassh_server":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "hassh_server_algorithms":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "hassh_version":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "height":{ - "type":"long" - }, - "helo":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "highest_registered_domain":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "highest_registered_domain_frequency_score":{ - "type":"long" - }, - "history":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "hop_limit":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "host":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "host_key":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "host_key_algorithm":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "hostname":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "id":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "iin":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "image_path":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "in_reply_to":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "indicator":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "indicator_type":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "info_code":{ - "type":"long" - }, - "info_message":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "initiated":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "integrity_level":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "interface":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "ip_version":{ - "type":"long" - }, - "ipv4_ecn":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "ips":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "ipv4_flags":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "ipv4_id":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "ipv4_offset":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "ipv4_protocol":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "ipv4_protocol_id":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "ipv4_protocol_length":{ - "type":"long" - }, - "ipv4_tos":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "ipv4_ttl":{ - "type":"long" - }, - "irc_command":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "irc_username":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "is_64bit":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "is_exe":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "is_orig":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "is_source_ipv6":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "is_webmail":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "issuer_common_name":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "issuer_common_name_frequency_score":{ - "type":"long" - }, - "issuer_common_name_length":{ - "type":"long" - }, - "issuer_country_code":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "issuer_distinguished_name":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "issuer_locality":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "issuer_organization":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "issuer_organization_frequency_score":{ - "type":"long" - }, - "issuer_organization_unit":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "issuer_serial_number":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "issuer_state":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "ja3":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "ja3s":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "kerberos_success":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "kex_algorithm":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "keyboard_layout":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "last_alert":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "last_reply":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "launch_string":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "lease_time":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "length":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "local_orig":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "local_respond":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "location":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "log_name":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "log_timestamp":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "logged":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "logon_guid":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "logon_id":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "logstash_time":{ - "type":"long" - }, - "mac":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "mac_algorithm":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "machine":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "mail_date":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "mail_from":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "matched":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "md5":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "message":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "message_id":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "message_types":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "method":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "mimetype":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "missed_bytes":{ - "type":"long" - }, - "missing_bytes":{ - "type":"long" - }, - "msg":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "mysql_argument":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "mysql_command":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "mysql_success":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "n":{ - "type":"long" - }, - "name":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "named_pipe":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "native_file_system":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "next_protocol":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "nick":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "note":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "notice":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "ntlm_success":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "num_packets":{ - "type":"long" - }, - "object_size":{ - "type":"long" - }, - "operation":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "options":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "orig_filenames":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "orig_fuids":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "orig_mime_types":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "original_bytes":{ - "type":"long" - }, - "original_country_code":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "original_ip_bytes":{ - "type":"long" - }, - "original_packets":{ - "type":"long" - }, - "os":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "ossec_agent_name":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "ossec_timestamp":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "overflow_bytes":{ - "type":"long" - }, - "p":{ - "type":"long" - }, - "parent_domain":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "parent_domain_frequency_score":{ - "type":"long" - }, - "parent_domain_length":{ - "type":"long" - }, - "parent_image_path":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "parent_process_guid":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "parent_process_id":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "parent_process_name":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "password":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "path":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "peer":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "peer_description":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "pesha1":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "pesha256":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "pid":{ - "type":"long", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "port":{ - "type":"long", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "prev_name":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "priority":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "process":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "process_arguments":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "process_guid":{ - "type":"long" - }, - "process_id":{ - "type":"long", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "process_name":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "profile":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "program":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "protocol":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "protocol_id":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "protocol_version":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "proxied":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "query":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "query_class":{ - "type":"long" - }, - "query_class_name":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "query_length":{ - "type":"long" - }, - "query_type":{ - "type":"long" - }, - "query_type_name":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "ra":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "rcode":{ - "type":"long" - }, - "rcode_name":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "rd":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "reason":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "recipient_to":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "referrer":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "rejected":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "remote_ip":{ - "type":"ip" - }, - "remote_location":{ - "type":"object", - "properties":{ - "country_code": { - "type": "text" - } - } - }, - "renewable":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "reply_code":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "reply_message":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "reply_to":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "request_body_len":{ - "type":"long" - }, - "request_body_length":{ - "type":"long" - }, - "request_from":{ - "type":"text" - }, - "request_path":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "request_port":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "request_timestamp":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "request_to":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "request_type":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "requested_color_depth":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "requested_resource":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "requested_ip": { - "type":"ip", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "resp_filenames":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "resp_fuids":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "resp_mime_types":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "respond_bytes":{ - "type":"long" - }, - "respond_country_code":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "respond_ip_bytes":{ - "type":"long" - }, - "respond_packets":{ - "type":"long" - }, - "response":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "response_body_len":{ - "type":"long" - }, - "response_body_length":{ - "type":"long" - }, - "response_from":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "response_path":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "response_to":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "result":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "resumed":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "rev":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "rig":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "rows":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "rtt":{ - "type":"float", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "rule":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "rule_number":{ - "type":"long" - }, - "rule_signature":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "rule_type":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "san_dns":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "second_received":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "section_names":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "security_protocol":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "seen_bytes":{ - "type":"long" - }, - "seen_node":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "seen_where":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "sensor_name":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "seq":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "sequence_number":{ - "type":"long" - }, - "server":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "server_certificate_fuid":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "server_certificate_subject":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "server_dns_computer_name":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "server_ip": { - "type":"ip", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "server_major_version":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "server_message":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "server_minor_version":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "server_name":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "server_name_frequency_score":{ - "type":"long" - }, - "server_name_length":{ - "type":"long" - }, - "server_nb_computer_name":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "server_tree_name":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "service":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "set_requests":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "severity":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "sha1":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "sha256":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "share_flag":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "share_type":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "sid":{ - "type":"long" - }, - "signer":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "site":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "size":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "software_type":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "source":{ - "type":"object", - "dynamic": true - }, - "source_geo.city_name":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "source_geo.continent_code":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "source_geo.dma_code":{ - "type":"long" - }, - "source_geo.ip":{ - "type":"ip" - }, - "source_geo.latitude":{ - "type":"long" - }, - "source_geo.location":{ - "type":"geo_point" - }, - "source_geo.longitude":{ - "type":"long" - }, - "source_geo.postal_code":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "source_geo.region_code":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "source_geo.region_name":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "source_geo.timezone":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "source_hostname":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "source_ip":{ - "type":"ip" - }, - "source_ips":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "source_port":{ - "type":"long" - }, - "source_port_name":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "sources":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "server_host_key_algorithms":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "status":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "status_code":{ - "type":"long" - }, - "status_message":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "status_msg":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "sub_msg":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "sub_rule_number":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "subdomain":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "subdomain_frequency_score":{ - "type":"long" - }, - "subdomain_length":{ - "type":"long" - }, - "subject":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "subsystem":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "suppress_for":{ - "type":"long" - }, - "syslog-facility":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "syslog-file_name":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "syslog-host":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "syslog-host_from":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "syslog-legacy_msghdr":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "syslog-pid":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "syslog-priority":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "syslog-sourceip":{ - "type":"ip" - }, - "syslog-tags":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "sysmon_timestamp":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "tags":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "target_filename":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "tc":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "tcp_flags":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "terminal_id":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "valid_till":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - - "timed_out":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "times_accessed":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "times_changed":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "times_created":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "times_modified":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "timestamp":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "tld.subdomain":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "tls":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "to":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "top_level_domain":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "total_bytes":{ - "type":"long" - }, - "tracker_id":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "trans_depth":{ - "type":"long" - }, - "transaction_id":{ - "type":"long" - }, - "ttls":{ - "type":"text" - }, - "tty":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "tunnel_parents":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "tunnel_type":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "type":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "uid":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "unparsed_version":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "up_since":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "urg":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "uri":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "uri_length":{ - "type":"long" - }, - "username":{ - "type":"text", - "fields": { - "keyword":{ - "type":"keyword" - } - } - }, - "user_agent":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "useragent":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "useragent_length":{ - "type":"long" - }, - "uses_aslr":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "uses_code_integrity":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "uses_dep":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "uses_seh":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "validation_status":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "value":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "version":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "version_additional_info":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "version_major":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "version_minor":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "version_minor2":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "version_minor3":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "virtual_host":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "virtual_host_frequency_score":{ - "type":"long" - }, - "virtual_host_length":{ - "type":"long" - }, - "warning":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "width":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "window":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "x_originating_ip":{ - "type":"ip" - }, - "year":{ - "type":"long" - }, - "z":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - } - } - } - } -} diff --git a/salt/logstash/pipelines/templates/so/so-ossec-template.json b/salt/logstash/pipelines/templates/so/so-ossec-template.json deleted file mode 100644 index 8012eced8..000000000 --- a/salt/logstash/pipelines/templates/so/so-ossec-template.json +++ /dev/null @@ -1,3466 +0,0 @@ -{ - "index_patterns": ["so-ossec*"], - "version":50001, - "order" : 1, - "settings":{ - "index": { - "mapping": { - "total_fields": { - "limit": 10000 - } - } - }, - "number_of_replicas":0, - "number_of_shards":1, - "index.refresh_interval":"30s" - }, - "mappings":{ - "doc":{ - "dynamic": false, - "date_detection": false, - "properties":{ - "@timestamp":{ - "type":"date" - }, - "@version":{ - "type":"keyword" - }, - "geoip":{ - "dynamic":true, - "properties":{ - "ip":{ - "type":"ip" - }, - "location":{ - "type":"geo_point" - }, - "latitude":{ - "type":"half_float" - }, - "longitude":{ - "type":"half_float" - } - } - }, - "destination_geo":{ - "dynamic":true, - "properties":{ - "ip":{ - "type":"ip" - }, - "location":{ - "type":"geo_point" - }, - "latitude":{ - "type":"half_float" - }, - "longitude":{ - "type":"half_float" - } - } - }, - "source_geo":{ - "dynamic":true, - "properties":{ - "ip":{ - "type":"ip" - }, - "location":{ - "type":"geo_point" - }, - "latitude":{ - "type":"half_float" - }, - "longitude":{ - "type":"half_float" - } - } - }, - "signature_info":{ - "type":"keyword" - }, - "aa":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "ack":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "action":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "additional_info":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "age":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "agent":{ - "type":"object", - "dynamic": true - }, - "alert":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "alert_level":{ - "type":"long", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "analyzer":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "answers":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "assigned_ip":{ - "type":"ip", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "auth":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "authentication_attempts":{ - "type":"long" - }, - "authentication_method":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "authentication_success":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "basic_constraints":{ - "type":"object", - "properties":{ - "path_len": { - "type": "text" - } - } - }, - "basic_constraints_ca":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "basic_constraints_path_length":{ - "type":"long" - }, - "bound_port":{ - "type":"long" - }, - "call_id":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "category":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "cc":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "certificate_chain_count":{ - "type":"long" - }, - "certificate_chain_fuids":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "certificate_common_name":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "certificate_common_name_frequency_score":{ - "type":"long" - }, - "certificate_common_name_length":{ - "type":"long" - }, - "certificate_count":{ - "type":"long" - }, - "certificate_country_code":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "certificate_curve":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "certificate_exponent":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "certificate_issuer":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "certificate_key_algorithm":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "certificate_key_length":{ - "type":"long" - }, - "certificate_key_type":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "certificate_locality":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "certificate_not_valid_after":{ - "type":"date" - }, - "certificate_not_valid_before":{ - "type":"date" - }, - "certificate_number_days_valid":{ - "type":"long" - }, - "certificate_organization":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "certificate_organization_unit":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "certificate_permanent":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "certificate_serial":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "certificate_serial_number":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "certificate_signing_algorithm":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "certificate_state":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "certificate_subject":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "certificate_type":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "certificate_version":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "checksum":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "cipher":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "cipher_algorithm":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "class":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "classification":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "client":{ - "type":"object", - "dynamic": true - }, - "client_build":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "client_certificate_chain_fuids":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "client_certificate_subject":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "client_certificate_fuid":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "client_digital_product_id":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "client_issuer":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "client_major_version":{ - "type":"long", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "client_minor_version":{ - "type":"long", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "client_name":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "client_subject":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "command":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "community":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "company":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "compile_ts":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "compression_algorithm":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "connect_info":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "connection_state":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "connection_state_description":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "content_type":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "cookie":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "creation_date":{ - "type":"date" - }, - "creation_time":{ - "type":"date" - }, - "current_directory":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "curve":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "data":{ - "type":"object", - "dynamic": true - }, - "data_channel_destination_ip":{ - "type":"ip" - }, - "data_channel_destination_port":{ - "type":"long" - }, - "data_channel_passive":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "data_channel_source_ip":{ - "type":"ip" - }, - "data_length":{ - "type":"long" - }, - "date":{ - "type":"text" - }, - "dcc_file_name":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "dcc_file_size":{ - "type":"long" - }, - "dcc_mime_type":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "decoder":{ - "type":"object", - "dynamic": true - }, - "depth":{ - "type":"long" - }, - "description":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "desktop_height":{ - "type":"long" - }, - "desktop_name":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "desktop_width":{ - "type":"long" - }, - "dest_is_ipv6":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "destination_city":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "destination_geo.city_name":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "destination_geo.continent_code":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "destination_geo.dma_code":{ - "type":"long" - }, - "destination_geo.ip":{ - "type":"ip" - }, - "destination_geo.latitude":{ - "type":"long" - }, - "destination_geo.location":{ - "type":"geo_point" - }, - "destination_geo.longitude":{ - "type":"long", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "destination_geo.postal_code":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "destination_geo.region_code":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "destination_geo.country_name":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "destination_geo.region_name":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "destination_geo.timezone":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "destination_hostname":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "destination_ip":{ - "type":"ip" - }, - "destination_ips":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "destination_latitude":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "destination_longitude":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "destination_port":{ - "type":"long" - }, - "destination_port_name":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "destination_region":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "details":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "dir":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "direction":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "display_string":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "domain_age":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "domain_name":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "dropped":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "duration":{ - "type":"long" - }, - "valid_from":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "enabled":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "encryption_level":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "encryption_method":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "endpoint":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "entry":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "entry_location":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "error_message":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "escalated_user":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "established":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "event_id":{ - "type":"long" - }, - "event_timestamp":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "event_type":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "exception":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "extracted":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "extracted_cutoff":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "facility":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "fc_reply":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "fc_request":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "file_description":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "file_ip":{ - "type":"ip", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "file_mime_type":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "file_name":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "file_size":{ - "type":"long" - }, - "first_received":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "flow_label":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "forwardable":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "framed_addr":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "freq_virtual_host":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "frequency_scores":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "from":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "ftp_argument":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "ftp_command":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "fuid":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "fuids":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "full_log":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "function":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "geoip.ip":{ - "type":"ip" - }, - "geoip.latitude":{ - "type":"long" - }, - "geoip.location":{ - "type":"geo_point" - }, - "geoip.longitude":{ - "type":"long" - }, - "get_bulk_requests":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "get_requests":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "get_responses":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "gid":{ - "type":"long" - }, - "has_cert_table":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "has_debug_data":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "has_export_table":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "has_import_table":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "height":{ - "type":"long" - }, - "helo":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "highest_registered_domain":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "highest_registered_domain_frequency_score":{ - "type":"long" - }, - "history":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "hop_limit":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "host":{ - "type":"object", - "dynamic": true - }, - "host_key":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "host_key_algorithm":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "hostname":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "id":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "iin":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "image_path":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "in_reply_to":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "indicator":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "indicator_type":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "info_code":{ - "type":"long" - }, - "info_message":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "initiated":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "integrity_level":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "interface":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "ip_version":{ - "type":"long" - }, - "ipv4_ecn":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "ips":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "ipv4_flags":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "ipv4_id":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "ipv4_offset":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "ipv4_protocol":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "ipv4_protocol_id":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "ipv4_protocol_length":{ - "type":"long" - }, - "ipv4_tos":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "ipv4_ttl":{ - "type":"long" - }, - "irc_command":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "irc_username":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "is_64bit":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "is_exe":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "is_orig":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "is_source_ipv6":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "is_webmail":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "issuer_common_name":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "issuer_common_name_frequency_score":{ - "type":"long" - }, - "issuer_common_name_length":{ - "type":"long" - }, - "issuer_country_code":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "issuer_distinguished_name":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "issuer_locality":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "issuer_organization":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "issuer_organization_frequency_score":{ - "type":"long" - }, - "issuer_organization_unit":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "issuer_serial_number":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "issuer_state":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "kerberos_success":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "kex_algorithm":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "keyboard_layout":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "last_alert":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "last_reply":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "launch_string":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "lease_time":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "length":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "local_orig":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "local_respond":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "location":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "log_name":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "log_timestamp":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "logged":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "logon_guid":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "logon_id":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "logstash_time":{ - "type":"long" - }, - "mac":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "mac_algorithm":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "machine":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "mail_date":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "mail_from":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "manager":{ - "type":"object", - "dynamic": true - }, - "matched":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "md5":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "message":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "message_id":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "method":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "mimetype":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "missed_bytes":{ - "type":"long" - }, - "missing_bytes":{ - "type":"long" - }, - "msg":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "mysql_argument":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "mysql_command":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "mysql_success":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "n":{ - "type":"long" - }, - "name":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "named_pipe":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "native_file_system":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "next_protocol":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "nick":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "note":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "notice":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "ntlm_success":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "num_packets":{ - "type":"long" - }, - "object_size":{ - "type":"long" - }, - "operation":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "options":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "orig_filenames":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "orig_fuids":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "orig_mime_types":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "original_bytes":{ - "type":"long" - }, - "original_country_code":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "original_ip_bytes":{ - "type":"long" - }, - "original_packets":{ - "type":"long" - }, - "os":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "ossec_agent_name":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "ossec_timestamp":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "overflow_bytes":{ - "type":"long" - }, - "p":{ - "type":"long" - }, - "parent_domain":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "parent_domain_frequency_score":{ - "type":"long" - }, - "parent_domain_length":{ - "type":"long" - }, - "parent_image_path":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "parent_process_guid":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "parent_process_id":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "parent_process_name":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "password":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "path":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "peer":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "peer_description":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "pesha1":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "pesha256":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "pid":{ - "type":"long", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "port":{ - "type":"long", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "predecoder":{ - "type":"object", - "dynamic": true - }, - "prev_name":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "priority":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "process_arguments":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "process_guid":{ - "type":"long" - }, - "process_id":{ - "type":"long", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "process_name":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "profile":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "program":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "protocol":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "protocol_id":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "protocol_version":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "proxied":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "query":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "query_class":{ - "type":"long" - }, - "query_class_name":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "query_length":{ - "type":"long" - }, - "query_type":{ - "type":"long" - }, - "query_type_name":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "ra":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "rcode":{ - "type":"long" - }, - "rcode_name":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "rd":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "reason":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "recipient_to":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "referrer":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "rejected":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "remote_ip":{ - "type":"ip" - }, - "remote_location":{ - "type":"object", - "properties":{ - "country_code": { - "type": "text" - } - } - }, - "renewable":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "reply_code":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "reply_message":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "reply_to":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "request_body_len":{ - "type":"long" - }, - "request_body_length":{ - "type":"long" - }, - "request_from":{ - "type":"text" - }, - "request_path":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "request_port":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "request_timestamp":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "request_to":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "request_type":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "requested_color_depth":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "requested_resource":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "resp_filenames":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "resp_fuids":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "resp_mime_types":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "respond_bytes":{ - "type":"long" - }, - "respond_country_code":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "respond_ip_bytes":{ - "type":"long" - }, - "respond_packets":{ - "type":"long" - }, - "response":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "response_body_len":{ - "type":"long" - }, - "response_body_length":{ - "type":"long" - }, - "response_from":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "response_path":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "response_to":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "result":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "resumed":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "rev":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "rig":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "rows":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "rtt":{ - "type":"float", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "wazuh-rule":{ - "type":"object", - "dynamic": true - }, - "rule_number":{ - "type":"long" - }, - "rule_type":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "san_dns":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "second_received":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "section_names":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "security_protocol":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "seen_bytes":{ - "type":"long" - }, - "seen_node":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "seen_where":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "sensor_name":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "seq":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "sequence_number":{ - "type":"long" - }, - "server":{ - "type":"object", - "dynamic": true - }, - "server_certificate_fuid":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "server_certificate_subject":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "server_major_version":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "server_minor_version":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "server_name":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "server_name_frequency_score":{ - "type":"long" - }, - "server_name_length":{ - "type":"long" - }, - "service":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "set_requests":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "severity":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "sha1":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "sha256":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "share_flag":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "share_type":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "sid":{ - "type":"long" - }, - "signer":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "site":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "size":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "software_type":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "source_geo.city_name":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "source_geo.continent_code":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "source_geo.dma_code":{ - "type":"long" - }, - "source_geo.ip":{ - "type":"ip" - }, - "source_geo.latitude":{ - "type":"long" - }, - "source_geo.location":{ - "type":"geo_point" - }, - "source_geo.longitude":{ - "type":"long" - }, - "source_geo.postal_code":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "source_geo.region_code":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "source_geo.region_name":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "source_geo.timezone":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "source_hostname":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "source_ip":{ - "type":"ip" - }, - "source_ips":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "source_port":{ - "type":"long" - }, - "source_port_name":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "sources":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "status":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "status_code":{ - "type":"long" - }, - "status_message":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "status_msg":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "sub_msg":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "sub_rule_number":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "subdomain":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "subdomain_frequency_score":{ - "type":"long" - }, - "subdomain_length":{ - "type":"long" - }, - "subject":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "subsystem":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "suppress_for":{ - "type":"long" - }, - "syscheck":{ - "type":"object", - "dynamic": true - }, - "syslog-facility":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "syslog-file_name":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "syslog-host":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "syslog-host_from":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "syslog-legacy_msghdr":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "syslog-pid":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "syslog-priority":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "syslog-sourceip":{ - "type":"ip" - }, - "syslog-tags":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "sysmon_timestamp":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "tags":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "target_filename":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "tc":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "tcp_flags":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "terminal_id":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "valid_till":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - - "timed_out":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "times_accessed":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "times_changed":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "times_created":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "times_modified":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "timestamp":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "tld.subdomain":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "tls":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "to":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "top_level_domain":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "total_bytes":{ - "type":"long" - }, - "tracker_id":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "trans_depth":{ - "type":"long" - }, - "transaction_id":{ - "type":"long" - }, - "ttls":{ - "type":"text" - }, - "tty":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "tunnel_parents":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "tunnel_type":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "type":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "uid":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "unparsed_version":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "up_since":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "urg":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "uri":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "uri_length":{ - "type":"long" - }, - "username":{ - "type":"text", - "fields": { - "keyword":{ - "type":"keyword" - } - } - }, - "user_agent":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "useragent":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "useragent_length":{ - "type":"long" - }, - "uses_aslr":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "uses_code_integrity":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "uses_dep":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "uses_seh":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "validation_status":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "value":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "version":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "version_additional_info":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "version_major":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "version_minor":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "version_minor2":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "version_minor3":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "virtual_host":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "virtual_host_frequency_score":{ - "type":"long" - }, - "virtual_host_length":{ - "type":"long" - }, - "warning":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "width":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "window":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "x_originating_ip":{ - "type":"ip" - }, - "year":{ - "type":"long" - }, - "z":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - } - } - } - } -} diff --git a/salt/logstash/pipelines/templates/so/so-strelka-template.json b/salt/logstash/pipelines/templates/so/so-strelka-template.json deleted file mode 100644 index 80d35f7e5..000000000 --- a/salt/logstash/pipelines/templates/so/so-strelka-template.json +++ /dev/null @@ -1,24 +0,0 @@ -{ - "index_patterns": ["so-strelka-*"], - "version":50001, - "order" : 0, - "settings":{ - "number_of_replicas":0, - "number_of_shards":1, - "index.refresh_interval":"30s" - }, - "mappings":{ - "doc":{ - "dynamic": false, - "date_detection": false, - "properties":{ - "@timestamp":{ - "type":"date" - }, - "@version":{ - "type":"keyword" - } - } - } - } -} diff --git a/salt/logstash/pipelines/templates/so/so-template.json b/salt/logstash/pipelines/templates/so/so-template.json deleted file mode 100644 index b2d48f555..000000000 --- a/salt/logstash/pipelines/templates/so/so-template.json +++ /dev/null @@ -1,3600 +0,0 @@ -{ - "index_patterns": ["so-ids-*", "so-firewall-*", "so-syslog-*", "so-zeek-*", "so-import-*", "so-beats-*"], - "version":50001, - "order" : 0, - "settings":{ - "number_of_replicas":0, - "number_of_shards":1, - "index.refresh_interval":"30s" - }, - "mappings":{ - "doc":{ - "dynamic": false, - "date_detection": false, - "properties":{ - "@timestamp":{ - "type":"date" - }, - "@version":{ - "type":"keyword" - }, - "geoip":{ - "dynamic":true, - "properties":{ - "ip":{ - "type":"ip" - }, - "location":{ - "type":"geo_point" - }, - "latitude":{ - "type":"half_float" - }, - "longitude":{ - "type":"half_float" - } - } - }, - "destination_geo":{ - "dynamic":true, - "properties":{ - "ip":{ - "type":"ip" - }, - "location":{ - "type":"geo_point" - }, - "latitude":{ - "type":"half_float" - }, - "longitude":{ - "type":"half_float" - } - } - }, - "source_geo":{ - "dynamic":true, - "properties":{ - "ip":{ - "type":"ip" - }, - "location":{ - "type":"geo_point" - }, - "latitude":{ - "type":"half_float" - }, - "longitude":{ - "type":"half_float" - } - } - }, - "signature_info":{ - "type":"keyword" - }, - "aa":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "ack":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "action":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "additional_info":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "age":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "alert":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "alert_level":{ - "type":"long", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "analyzer":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "answers":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "assigned_ip":{ - "type":"ip", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "auth":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "authentication_attempts":{ - "type":"long" - }, - "authentication_method":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "authentication_success":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "basic_constraints":{ - "type":"object", - "properties":{ - "path_len": { - "type": "text" - } - } - }, - "basic_constraints_ca":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "basic_constraints_path_length":{ - "type":"long" - }, - "bound_port":{ - "type":"long" - }, - "call_id":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "category":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "cc":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "certificate_chain_count":{ - "type":"long" - }, - "certificate_chain_fuids":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "certificate_common_name":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "certificate_common_name_frequency_score":{ - "type":"long" - }, - "certificate_common_name_length":{ - "type":"long" - }, - "certificate_count":{ - "type":"long" - }, - "certificate_country_code":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "certificate_curve":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "certificate_exponent":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "certificate_issuer":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "certificate_key_algorithm":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "certificate_key_length":{ - "type":"long" - }, - "certificate_key_type":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "certificate_locality":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "certificate_not_valid_after":{ - "type":"date" - }, - "certificate_not_valid_before":{ - "type":"date" - }, - "certificate_number_days_valid":{ - "type":"long" - }, - "certificate_organization":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "certificate_organization_unit":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "certificate_permanent":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "certificate_serial":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "certificate_serial_number":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "certificate_signing_algorithm":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "certificate_state":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "certificate_subject":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "certificate_type":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "certificate_version":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "checksum":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "cipher":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "cipher_algorithm":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "class":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "classification":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "client":{ - "type":"object", - "dynamic": true - }, - "client_build":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "client_certificate_chain_fuids":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "client_certificate_subject":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "client_certificate_fuid":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "client_digital_product_id":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "client_fqdn":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "client_issuer":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "client_ip": { - "type":"ip", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "client_major_version":{ - "type":"long", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "client_message":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "client_minor_version":{ - "type":"long", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "client_name":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "client_subject":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "command":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "community":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "company":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "compile_ts":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "compression_algorithm":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "connect_info":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "connection_state":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "connection_state_description":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "content_type":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "cookie":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "creation_date":{ - "type":"date" - }, - "creation_time":{ - "type":"date" - }, - "client_host_key_algorithms":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "current_directory":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "curve":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "data_channel_destination_ip":{ - "type":"ip" - }, - "data_channel_destination_port":{ - "type":"long" - }, - "data_channel_passive":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "data_channel_source_ip":{ - "type":"ip" - }, - "data_length":{ - "type":"long" - }, - "date":{ - "type":"text" - }, - "dcc_file_name":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "dcc_file_size":{ - "type":"long" - }, - "dcc_mime_type":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "depth":{ - "type":"long" - }, - "description":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "desktop_height":{ - "type":"long" - }, - "desktop_name":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "desktop_width":{ - "type":"long" - }, - "dest_is_ipv6":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "destination":{ - "type":"object", - "dynamic": true - }, - "destination_city":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "destination_geo.city_name":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "destination_geo.continent_code":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "destination_geo.dma_code":{ - "type":"long" - }, - "destination_geo.ip":{ - "type":"ip" - }, - "destination_geo.latitude":{ - "type":"long" - }, - "destination_geo.location":{ - "type":"geo_point" - }, - "destination_geo.longitude":{ - "type":"long", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "destination_geo.postal_code":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "destination_geo.region_code":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "destination_geo.country_name":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "destination_geo.region_name":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "destination_geo.timezone":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "destination_hostname":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "destination_ip":{ - "type":"ip" - }, - "destination_ips":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "destination_latitude":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "destination_longitude":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "destination_port":{ - "type":"long" - }, - "destination_port_name":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "destination_region":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "details":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "dir":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "direction":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "display_string":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "domain_age":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "domain_name":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "dropped":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "duration":{ - "type":"long" - }, - "valid_from":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "enabled":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "encryption_level":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "encryption_method":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "endpoint":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "entry":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "entry_location":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "error_message":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "escalated_user":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "established":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "event_id":{ - "type":"long" - }, - "event_timestamp":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "event_type":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "exception":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "extracted":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "extracted_cutoff":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "facility":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "fc_reply":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "fc_request":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "file_description":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "file_ip":{ - "type":"ip", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "file_mime_type":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "file_name":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "file_size":{ - "type":"long" - }, - "first_received":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "flow_label":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "forwardable":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "framed_addr":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "freq_virtual_host":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "frequency_scores":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "from":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "ftp_argument":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "ftp_command":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "fuid":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "fuids":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "function":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "geoip.ip":{ - "type":"ip" - }, - "geoip.latitude":{ - "type":"long" - }, - "geoip.location":{ - "type":"geo_point" - }, - "geoip.longitude":{ - "type":"long" - }, - "get_bulk_requests":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "get_requests":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "get_responses":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "gid":{ - "type":"long" - }, - "has_cert_table":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "has_debug_data":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "has_export_table":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "has_import_table":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "hassh":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "hassh_algorithms":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "hassh_server":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "hassh_server_algorithms":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "hassh_version":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "height":{ - "type":"long" - }, - "helo":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "highest_registered_domain":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "highest_registered_domain_frequency_score":{ - "type":"long" - }, - "history":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "hop_limit":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "host":{ - "type":"object", - "dynamic": true - }, - "host_key":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "host_key_algorithm":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "hostname":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "id":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "iin":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "image_path":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "in_reply_to":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "indicator":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "indicator_type":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "info_code":{ - "type":"long" - }, - "info_message":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "initiated":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "integrity_level":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "interface":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "ip_version":{ - "type":"long" - }, - "ipv4_ecn":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "ips":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "ipv4_flags":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "ipv4_id":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "ipv4_offset":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "ipv4_protocol":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "ipv4_protocol_id":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "ipv4_protocol_length":{ - "type":"long" - }, - "ipv4_tos":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "ipv4_ttl":{ - "type":"long" - }, - "irc_command":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "irc_username":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "is_64bit":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "is_exe":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "is_orig":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "is_source_ipv6":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "is_webmail":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "issuer_common_name":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "issuer_common_name_frequency_score":{ - "type":"long" - }, - "issuer_common_name_length":{ - "type":"long" - }, - "issuer_country_code":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "issuer_distinguished_name":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "issuer_locality":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "issuer_organization":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "issuer_organization_frequency_score":{ - "type":"long" - }, - "issuer_organization_unit":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "issuer_serial_number":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "issuer_state":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "ja3":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "ja3s":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "kerberos_success":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "kex_algorithm":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "keyboard_layout":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "last_alert":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "last_reply":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "launch_string":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "lease_time":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "length":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "local_orig":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "local_respond":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "location":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "log_name":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "log_timestamp":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "logged":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "logon_guid":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "logon_id":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "logstash_time":{ - "type":"long" - }, - "mac":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "mac_algorithm":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "machine":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "mail_date":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "mail_from":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "matched":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "md5":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "message":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "message_id":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "message_types":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "method":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "mimetype":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "missed_bytes":{ - "type":"long" - }, - "missing_bytes":{ - "type":"long" - }, - "msg":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "mysql_argument":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "mysql_command":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "mysql_success":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "n":{ - "type":"long" - }, - "name":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "named_pipe":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "native_file_system":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "next_protocol":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "nick":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "note":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "notice":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "ntlm_success":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "num_packets":{ - "type":"long" - }, - "object_size":{ - "type":"long" - }, - "operation":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "options":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "orig_filenames":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "orig_fuids":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "orig_mime_types":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "original_bytes":{ - "type":"long" - }, - "original_country_code":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "original_ip_bytes":{ - "type":"long" - }, - "original_packets":{ - "type":"long" - }, - "os":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "ossec_agent_name":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "ossec_timestamp":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "overflow_bytes":{ - "type":"long" - }, - "p":{ - "type":"long" - }, - "parent_domain":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "parent_domain_frequency_score":{ - "type":"long" - }, - "parent_domain_length":{ - "type":"long" - }, - "parent_image_path":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "parent_process_guid":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "parent_process_id":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "parent_process_name":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "password":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "path":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "peer":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "peer_description":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "pesha1":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "pesha256":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "pid":{ - "type":"long", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "port":{ - "type":"long", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "prev_name":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "priority":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "process_arguments":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "process_guid":{ - "type":"long" - }, - "process_id":{ - "type":"long", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "process_name":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "profile":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "program":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "protocol":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "protocol_id":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "protocol_version":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "proxied":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "query":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "query_class":{ - "type":"long" - }, - "query_class_name":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "query_length":{ - "type":"long" - }, - "query_type":{ - "type":"long" - }, - "query_type_name":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "ra":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "rcode":{ - "type":"long" - }, - "rcode_name":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "rd":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "reason":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "recipient_to":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "referrer":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "rejected":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "remote_ip":{ - "type":"ip" - }, - "remote_location":{ - "type":"object", - "properties":{ - "country_code": { - "type": "text" - } - } - }, - "renewable":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "reply_code":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "reply_message":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "reply_to":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "request_body_len":{ - "type":"long" - }, - "request_body_length":{ - "type":"long" - }, - "request_from":{ - "type":"text" - }, - "request_path":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "request_port":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "request_timestamp":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "request_to":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "request_type":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "requested_color_depth":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "requested_resource":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "requested_ip": { - "type":"ip", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "resp_filenames":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "resp_fuids":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "resp_mime_types":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "respond_bytes":{ - "type":"long" - }, - "respond_country_code":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "respond_ip_bytes":{ - "type":"long" - }, - "respond_packets":{ - "type":"long" - }, - "response":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "response_body_len":{ - "type":"long" - }, - "response_body_length":{ - "type":"long" - }, - "response_from":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "response_path":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "response_to":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "result":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "resumed":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "rev":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "rig":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "rows":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "rtt":{ - "type":"float", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "rule":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "rule_number":{ - "type":"long" - }, - "rule_signature":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "rule_type":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "san_dns":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "second_received":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "section_names":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "security_protocol":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "seen_bytes":{ - "type":"long" - }, - "seen_node":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "seen_where":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "sensor_name":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "seq":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "sequence_number":{ - "type":"long" - }, - "server":{ - "type":"object", - "dynamic": true - } - }, - "server_certificate_fuid":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "server_certificate_subject":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "server_dns_computer_name":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "server_ip": { - "type":"ip", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "server_major_version":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "server_message":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "server_minor_version":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "server_name":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "server_name_frequency_score":{ - "type":"long" - }, - "server_name_length":{ - "type":"long" - }, - "server_nb_computer_name":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "server_tree_name":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "service":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "set_requests":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "severity":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "sha1":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "sha256":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "share_flag":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "share_type":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "sid":{ - "type":"long" - }, - "signer":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "site":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "size":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "software_type":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "source":{ - "type":"object", - "dynamic": true - }, - "source_geo.city_name":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "source_geo.continent_code":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "source_geo.dma_code":{ - "type":"long" - }, - "source_geo.ip":{ - "type":"ip" - }, - "source_geo.latitude":{ - "type":"long" - }, - "source_geo.location":{ - "type":"geo_point" - }, - "source_geo.longitude":{ - "type":"long" - }, - "source_geo.postal_code":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "source_geo.region_code":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "source_geo.region_name":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "source_geo.timezone":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "source_hostname":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "source_ip":{ - "type":"ip" - }, - "source_ips":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "source_port":{ - "type":"long" - }, - "source_port_name":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "sources":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "server_host_key_algorithms":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "status":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "status_code":{ - "type":"long" - }, - "status_message":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "status_msg":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "sub_msg":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "sub_rule_number":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "subdomain":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "subdomain_frequency_score":{ - "type":"long" - }, - "subdomain_length":{ - "type":"long" - }, - "subject":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "subsystem":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "suppress_for":{ - "type":"long" - }, - "syslog-facility":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "syslog-file_name":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "syslog-host":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "syslog-host_from":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "syslog-legacy_msghdr":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "syslog-pid":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "syslog-priority":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "syslog-sourceip":{ - "type":"ip" - }, - "syslog-tags":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "sysmon_timestamp":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "tags":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "target_filename":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "tc":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "tcp_flags":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "terminal_id":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "valid_till":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - - "timed_out":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "times_accessed":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "times_changed":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "times_created":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "times_modified":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "timestamp":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "tld.subdomain":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "tls":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "to":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "top_level_domain":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "total_bytes":{ - "type":"long" - }, - "tracker_id":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "trans_depth":{ - "type":"long" - }, - "transaction_id":{ - "type":"long" - }, - "ttls":{ - "type":"text" - }, - "tty":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "tunnel_parents":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "tunnel_type":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "type":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "uid":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "unparsed_version":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "up_since":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "urg":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "uri":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "uri_length":{ - "type":"long" - }, - "username":{ - "type":"text", - "fields": { - "keyword":{ - "type":"keyword" - } - } - }, - "user_agent":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "useragent":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "useragent_length":{ - "type":"long" - }, - "uses_aslr":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "uses_code_integrity":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "uses_dep":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "uses_seh":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "validation_status":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "value":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "version":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "version_additional_info":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "version_major":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "version_minor":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "version_minor2":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "version_minor3":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "virtual_host":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "virtual_host_frequency_score":{ - "type":"long" - }, - "virtual_host_length":{ - "type":"long" - }, - "warning":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "width":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "window":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "x_originating_ip":{ - "type":"ip" - }, - "year":{ - "type":"long" - }, - "z":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - } - } - } - } -} diff --git a/salt/logstash/pipelines/templates/so/so-zeek-template.json b/salt/logstash/pipelines/templates/so/so-zeek-template.json index a1d1c410b..61a95c0e7 100644 --- a/salt/logstash/pipelines/templates/so/so-zeek-template.json +++ b/salt/logstash/pipelines/templates/so/so-zeek-template.json @@ -1,3599 +1,10 @@ { "index_patterns": ["so-zeek-*"], "version":50001, - "order" : 0, + "order" : 11, "settings":{ "number_of_replicas":0, "number_of_shards":1, "index.refresh_interval":"30s" - }, - "mappings":{ - "doc":{ - "dynamic": false, - "date_detection": false, - "properties":{ - "@timestamp":{ - "type":"date" - }, - "@version":{ - "type":"keyword" - }, - "geoip":{ - "dynamic":true, - "properties":{ - "ip":{ - "type":"ip" - }, - "location":{ - "type":"geo_point" - }, - "latitude":{ - "type":"half_float" - }, - "longitude":{ - "type":"half_float" - } - } - }, - "destination_geo":{ - "dynamic":true, - "properties":{ - "ip":{ - "type":"ip" - }, - "location":{ - "type":"geo_point" - }, - "latitude":{ - "type":"half_float" - }, - "longitude":{ - "type":"half_float" - } - } - }, - "source_geo":{ - "dynamic":true, - "properties":{ - "ip":{ - "type":"ip" - }, - "location":{ - "type":"geo_point" - }, - "latitude":{ - "type":"half_float" - }, - "longitude":{ - "type":"half_float" - } - } - }, - "signature_info":{ - "type":"keyword" - }, - "aa":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "ack":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "action":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "additional_info":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "age":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "alert":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "alert_level":{ - "type":"long", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "analyzer":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "answers":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "assigned_ip":{ - "type":"ip", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "auth":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "authentication_attempts":{ - "type":"long" - }, - "authentication_method":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "authentication_success":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "basic_constraints":{ - "type":"object", - "properties":{ - "path_len": { - "type": "text" - } - } - }, - "basic_constraints_ca":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "basic_constraints_path_length":{ - "type":"long" - }, - "bound_port":{ - "type":"long" - }, - "call_id":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "category":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "cc":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "certificate_chain_count":{ - "type":"long" - }, - "certificate_chain_fuids":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "certificate_common_name":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "certificate_common_name_frequency_score":{ - "type":"long" - }, - "certificate_common_name_length":{ - "type":"long" - }, - "certificate_count":{ - "type":"long" - }, - "certificate_country_code":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "certificate_curve":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "certificate_exponent":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "certificate_issuer":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "certificate_key_algorithm":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "certificate_key_length":{ - "type":"long" - }, - "certificate_key_type":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "certificate_locality":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "certificate_not_valid_after":{ - "type":"date" - }, - "certificate_not_valid_before":{ - "type":"date" - }, - "certificate_number_days_valid":{ - "type":"long" - }, - "certificate_organization":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "certificate_organization_unit":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "certificate_permanent":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "certificate_serial":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "certificate_serial_number":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "certificate_signing_algorithm":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "certificate_state":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "certificate_subject":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "certificate_type":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "certificate_version":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "checksum":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "cipher":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "cipher_algorithm":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "class":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "classification":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "client":{ - "type":"object", - "dynamic": true - }, - "client_build":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "client_certificate_chain_fuids":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "client_certificate_subject":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "client_certificate_fuid":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "client_digital_product_id":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "client_fqdn":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "client_issuer":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "client_ip": { - "type":"ip", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "client_major_version":{ - "type":"long", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "client_message":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "client_minor_version":{ - "type":"long", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "client_name":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "client_subject":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "command":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "community":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "company":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "compile_ts":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "compression_algorithm":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "connect_info":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "connection_state":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "connection_state_description":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "content_type":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "cookie":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "creation_date":{ - "type":"date" - }, - "creation_time":{ - "type":"date" - }, - "client_host_key_algorithms":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "current_directory":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "curve":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "data_channel_destination_ip":{ - "type":"ip" - }, - "data_channel_destination_port":{ - "type":"long" - }, - "data_channel_passive":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "data_channel_source_ip":{ - "type":"ip" - }, - "data_length":{ - "type":"long" - }, - "date":{ - "type":"text" - }, - "dcc_file_name":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "dcc_file_size":{ - "type":"long" - }, - "dcc_mime_type":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "depth":{ - "type":"long" - }, - "description":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "desktop_height":{ - "type":"long" - }, - "desktop_name":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "desktop_width":{ - "type":"long" - }, - "dest_is_ipv6":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "destination":{ - "type":"object", - "dynamic": true - }, - "destination_city":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "destination_geo.city_name":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "destination_geo.continent_code":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "destination_geo.dma_code":{ - "type":"long" - }, - "destination_geo.ip":{ - "type":"ip" - }, - "destination_geo.latitude":{ - "type":"long" - }, - "destination_geo.location":{ - "type":"geo_point" - }, - "destination_geo.longitude":{ - "type":"long", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "destination_geo.postal_code":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "destination_geo.region_code":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "destination_geo.country_name":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "destination_geo.region_name":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "destination_geo.timezone":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "destination_hostname":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "destination_ip":{ - "type":"ip" - }, - "destination_ips":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "destination_latitude":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "destination_longitude":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "destination_port":{ - "type":"long" - }, - "destination_port_name":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "destination_region":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "details":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "dir":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "direction":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "display_string":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "domain_age":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "domain_name":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "dropped":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "duration":{ - "type":"long" - }, - "valid_from":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "enabled":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "encryption_level":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "encryption_method":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "endpoint":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "entry":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "entry_location":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "error_message":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "escalated_user":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "established":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "event_id":{ - "type":"long" - }, - "event_timestamp":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "event_type":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "exception":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "extracted":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "extracted_cutoff":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "facility":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "fc_reply":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "fc_request":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "file_description":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "file_ip":{ - "type":"ip", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "file_mime_type":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "file_name":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "file_size":{ - "type":"long" - }, - "first_received":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "flow_label":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "forwardable":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "framed_addr":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "freq_virtual_host":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "frequency_scores":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "from":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "ftp_argument":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "ftp_command":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "fuid":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "fuids":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "function":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "geoip.ip":{ - "type":"ip" - }, - "geoip.latitude":{ - "type":"long" - }, - "geoip.location":{ - "type":"geo_point" - }, - "geoip.longitude":{ - "type":"long" - }, - "get_bulk_requests":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "get_requests":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "get_responses":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "gid":{ - "type":"long" - }, - "has_cert_table":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "has_debug_data":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "has_export_table":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "has_import_table":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "hassh":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "hassh_algorithms":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "hassh_server":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "hassh_server_algorithms":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "hassh_version":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "height":{ - "type":"long" - }, - "helo":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "highest_registered_domain":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "highest_registered_domain_frequency_score":{ - "type":"long" - }, - "history":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "hop_limit":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "host":{ - "type":"object", - "dynamic": true - }, - "host_key":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "host_key_algorithm":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "hostname":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "id":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "iin":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "image_path":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "in_reply_to":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "indicator":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "indicator_type":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "info_code":{ - "type":"long" - }, - "info_message":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "initiated":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "integrity_level":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "interface":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "ip_version":{ - "type":"long" - }, - "ipv4_ecn":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "ips":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "ipv4_flags":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "ipv4_id":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "ipv4_offset":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "ipv4_protocol":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "ipv4_protocol_id":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "ipv4_protocol_length":{ - "type":"long" - }, - "ipv4_tos":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "ipv4_ttl":{ - "type":"long" - }, - "irc_command":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "irc_username":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "is_64bit":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "is_exe":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "is_orig":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "is_source_ipv6":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "is_webmail":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "issuer_common_name":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "issuer_common_name_frequency_score":{ - "type":"long" - }, - "issuer_common_name_length":{ - "type":"long" - }, - "issuer_country_code":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "issuer_distinguished_name":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "issuer_locality":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "issuer_organization":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "issuer_organization_frequency_score":{ - "type":"long" - }, - "issuer_organization_unit":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "issuer_serial_number":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "issuer_state":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "ja3":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "ja3s":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "kerberos_success":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "kex_algorithm":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "keyboard_layout":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "last_alert":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "last_reply":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "launch_string":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "lease_time":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "length":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "local_orig":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "local_respond":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "location":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "log_name":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "log_timestamp":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "logged":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "logon_guid":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "logon_id":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "logstash_time":{ - "type":"long" - }, - "mac":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "mac_algorithm":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "machine":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "mail_date":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "mail_from":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "matched":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "md5":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "message":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "message_id":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "message_types":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "method":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "mimetype":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "missed_bytes":{ - "type":"long" - }, - "missing_bytes":{ - "type":"long" - }, - "msg":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "mysql_argument":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "mysql_command":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "mysql_success":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "n":{ - "type":"long" - }, - "name":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "named_pipe":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "native_file_system":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "next_protocol":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "nick":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "note":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "notice":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "ntlm_success":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "num_packets":{ - "type":"long" - }, - "object_size":{ - "type":"long" - }, - "operation":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "options":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "orig_filenames":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "orig_fuids":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "orig_mime_types":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "original_bytes":{ - "type":"long" - }, - "original_country_code":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "original_ip_bytes":{ - "type":"long" - }, - "original_packets":{ - "type":"long" - }, - "os":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "ossec_agent_name":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "ossec_timestamp":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "overflow_bytes":{ - "type":"long" - }, - "p":{ - "type":"long" - }, - "parent_domain":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "parent_domain_frequency_score":{ - "type":"long" - }, - "parent_domain_length":{ - "type":"long" - }, - "parent_image_path":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "parent_process_guid":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "parent_process_id":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "parent_process_name":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "password":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "path":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "peer":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "peer_description":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "pesha1":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "pesha256":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "pid":{ - "type":"long", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "port":{ - "type":"long", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "prev_name":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "priority":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "process_arguments":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "process_guid":{ - "type":"long" - }, - "process_id":{ - "type":"long", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "process_name":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "profile":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "program":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "protocol":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "protocol_id":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "protocol_version":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "proxied":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "query":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "query_class":{ - "type":"long" - }, - "query_class_name":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "query_length":{ - "type":"long" - }, - "query_type":{ - "type":"long" - }, - "query_type_name":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "ra":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "rcode":{ - "type":"long" - }, - "rcode_name":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "rd":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "reason":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "recipient_to":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "referrer":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "rejected":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "remote_ip":{ - "type":"ip" - }, - "remote_location":{ - "type":"object", - "properties":{ - "country_code": { - "type": "text" - } - } - }, - "renewable":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "reply_code":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "reply_message":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "reply_to":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "request_body_len":{ - "type":"long" - }, - "request_body_length":{ - "type":"long" - }, - "request_from":{ - "type":"text" - }, - "request_path":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "request_port":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "request_timestamp":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "request_to":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "request_type":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "requested_color_depth":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "requested_resource":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "requested_ip": { - "type":"ip", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "resp_filenames":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "resp_fuids":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "resp_mime_types":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "respond_bytes":{ - "type":"long" - }, - "respond_country_code":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "respond_ip_bytes":{ - "type":"long" - }, - "respond_packets":{ - "type":"long" - }, - "response":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "response_body_len":{ - "type":"long" - }, - "response_body_length":{ - "type":"long" - }, - "response_from":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "response_path":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "response_to":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "result":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "resumed":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "rev":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "rig":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "rows":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "rtt":{ - "type":"float", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "rule":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "rule_number":{ - "type":"long" - }, - "rule_signature":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "rule_type":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "san_dns":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "second_received":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "section_names":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "security_protocol":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "seen_bytes":{ - "type":"long" - }, - "seen_node":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "seen_where":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "sensor_name":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "seq":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "sequence_number":{ - "type":"long" - }, - "server":{ - "type":"object", - "dynamic": "true - }, - "server_certificate_fuid":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "server_certificate_subject":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "server_dns_computer_name":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "server_ip": { - "type":"ip", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "server_major_version":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "server_message":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "server_minor_version":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "server_name":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "server_name_frequency_score":{ - "type":"long" - }, - "server_name_length":{ - "type":"long" - }, - "server_nb_computer_name":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "server_tree_name":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "service":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "set_requests":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "severity":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "sha1":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "sha256":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "share_flag":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "share_type":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "sid":{ - "type":"long" - }, - "signer":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "site":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "size":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "software_type":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "source":{ - "type":"object", - "dynamic": true - }, - "source_geo.city_name":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "source_geo.continent_code":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "source_geo.dma_code":{ - "type":"long" - }, - "source_geo.ip":{ - "type":"ip" - }, - "source_geo.latitude":{ - "type":"long" - }, - "source_geo.location":{ - "type":"geo_point" - }, - "source_geo.longitude":{ - "type":"long" - }, - "source_geo.postal_code":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "source_geo.region_code":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "source_geo.region_name":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "source_geo.timezone":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "source_hostname":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "source_ip":{ - "type":"ip" - }, - "source_ips":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "source_port":{ - "type":"long" - }, - "source_port_name":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "sources":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "server_host_key_algorithms":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "status":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "status_code":{ - "type":"long" - }, - "status_message":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "status_msg":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "sub_msg":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "sub_rule_number":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "subdomain":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "subdomain_frequency_score":{ - "type":"long" - }, - "subdomain_length":{ - "type":"long" - }, - "subject":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "subsystem":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "suppress_for":{ - "type":"long" - }, - "syslog-facility":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "syslog-file_name":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "syslog-host":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "syslog-host_from":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "syslog-legacy_msghdr":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "syslog-pid":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "syslog-priority":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "syslog-sourceip":{ - "type":"ip" - }, - "syslog-tags":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "sysmon_timestamp":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "tags":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "target_filename":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "tc":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "tcp_flags":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "terminal_id":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "valid_till":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - - "timed_out":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "times_accessed":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "times_changed":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "times_created":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "times_modified":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "timestamp":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "tld.subdomain":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "tls":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "to":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "top_level_domain":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "total_bytes":{ - "type":"long" - }, - "tracker_id":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "trans_depth":{ - "type":"long" - }, - "transaction_id":{ - "type":"long" - }, - "ttls":{ - "type":"text" - }, - "tty":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "tunnel_parents":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "tunnel_type":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "type":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "uid":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "unparsed_version":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "up_since":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "urg":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "uri":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "uri_length":{ - "type":"long" - }, - "username":{ - "type":"text", - "fields": { - "keyword":{ - "type":"keyword" - } - } - }, - "user_agent":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "useragent":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "useragent_length":{ - "type":"long" - }, - "uses_aslr":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "uses_code_integrity":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "uses_dep":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "uses_seh":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "validation_status":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "value":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "version":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "version_additional_info":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "version_major":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "version_minor":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "version_minor2":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "version_minor3":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "virtual_host":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "virtual_host_frequency_score":{ - "type":"long" - }, - "virtual_host_length":{ - "type":"long" - }, - "warning":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "width":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "window":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - }, - "x_originating_ip":{ - "type":"ip" - }, - "year":{ - "type":"long" - }, - "z":{ - "type":"text", - "fields":{ - "keyword":{ - "type":"keyword" - } - } - } - } - } } } From d48c2723ba5ea3cfc80ed6c2c13c86b660aa9a1c Mon Sep 17 00:00:00 2001 From: Wes Lambert Date: Sat, 14 Mar 2020 12:02:52 +0000 Subject: [PATCH 3/7] modify default templates --- .../templates/so/so-common-template.json | 355 ++++++++++++++++++ 1 file changed, 355 insertions(+) create mode 100644 salt/logstash/pipelines/templates/so/so-common-template.json diff --git a/salt/logstash/pipelines/templates/so/so-common-template.json b/salt/logstash/pipelines/templates/so/so-common-template.json new file mode 100644 index 000000000..06ac47f66 --- /dev/null +++ b/salt/logstash/pipelines/templates/so/so-common-template.json @@ -0,0 +1,355 @@ +{ + "index_patterns": ["so-ids-*", "so-firewall-*", "so-syslog-*", "so-zeek-*", "so-import-*", "so-ossec-*", "so-strelka", "so-beats-*"], + "version":50001, + "order" : 10, + "settings":{ + "number_of_replicas":0, + "number_of_shards":1, + "index.refresh_interval":"30s" + }, + "mappings":{ + "doc":{ + "dynamic": false, + "date_detection": false, + "properties":{ + "@timestamp":{ + "type":"date" + }, + "@version":{ + "type":"keyword" + }, + "geoip":{ + "dynamic":true, + "properties":{ + "ip":{ + "type":"ip" + }, + "location":{ + "type":"geo_point" + }, + "latitude":{ + "type":"half_float" + }, + "longitude":{ + "type":"half_float" + } + } + }, + "destination_geo":{ + "dynamic":true, + "properties":{ + "ip":{ + "type":"ip" + }, + "location":{ + "type":"geo_point" + }, + "latitude":{ + "type":"half_float" + }, + "longitude":{ + "type":"half_float" + } + } + }, + "source_geo":{ + "dynamic":true, + "properties":{ + "ip":{ + "type":"ip" + }, + "location":{ + "type":"geo_point" + }, + "latitude":{ + "type":"half_float" + }, + "longitude":{ + "type":"half_float" + } + } + }, + "agent":{ + "type":"object", + "dynamic": true + }, + "as":{ + "type":"object", + "dynamic": true + }, + "alert":{ + "type":"object", + "dynamic": true + }, + "client":{ + "type":"object", + "dynamic": true + }, + "cloud":{ + "type":"object", + "dynamic": true + }, + "code_signature":{ + "type":"object", + "dynamic": true + }, + "connection":{ + "type":"object", + "dynamic": true + }, + "container":{ + "type":"object", + "dynamic": true + }, + "data":{ + "type":"object", + "dynamic": true + }, + "dce_rpc":{ + "type":"object", + "dynamic": true + }, + "destination":{ + "type":"object", + "dynamic": true + }, + "dhcp":{ + "type":"object", + "dynamic": true + }, + "dnp3":{ + "type":"object", + "dynamic": true + }, + "dns":{ + "type":"object", + "dynamic": true + }, + "dll":{ + "type":"object", + "dynamic": true + }, + "ecs":{ + "type":"object", + "dynamic": true + }, + "error":{ + "type":"object", + "dynamic": true + }, + "event":{ + "type":"object", + "dynamic": true + }, + "file":{ + "type":"object", + "dynamic": true + }, + "flow":{ + "type":"object", + "dynamic": true + }, + "ftp":{ + "type":"object", + "dynamic": true + }, + "geo":{ + "type":"object", + "dynamic": true + }, + "group":{ + "type":"object", + "dynamic": true + }, + "hash":{ + "type":"object", + "dynamic": true + }, + "host":{ + "type":"object", + "dynamic": true + }, + "http":{ + "type":"object", + "dynamic": true + }, + "ingest":{ + "type":"object", + "dynamic": true + }, + "interface":{ + "type":"object", + "dynamic": true + }, + "kerberos":{ + "type":"object", + "dynamic": true + }, + "log":{ + "type":"object", + "dynamic": true + }, + "manager":{ + "type":"object", + "dynamic": true + }, + "modbus":{ + "type":"object", + "dynamic": true + }, + "network":{ + "type":"object", + "dynamic": true + }, + "ntlm":{ + "type":"object", + "dynamic": true + }, + "observer":{ + "type":"object", + "dynamic": true + }, + "organization":{ + "type":"object", + "dynamic": true + }, + "os":{ + "type":"object", + "dynamic": true + }, + "package":{ + "type":"object", + "dynamic": true + }, + "pe":{ + "type":"object", + "dynamic": true + }, + "process":{ + "type":"object", + "dynamic": true + }, + "radius":{ + "type":"object", + "dynamic": true + }, + "rdp":{ + "type":"object", + "dynamic": true + }, + "registry":{ + "type":"object", + "dynamic": true + }, + "related":{ + "type":"object", + "dynamic": true + }, + "rfb":{ + "type":"object", + "dynamic": true + }, + "rule":{ + "type":"object", + "dynamic": true + }, + "server":{ + "type":"object", + "dynamic": true + }, + "service":{ + "type":"object", + "dynamic": true + }, + "sip":{ + "type":"object", + "dynamic": true + }, + "smb":{ + "type":"object", + "dynamic": true + }, + "smtp":{ + "type":"object", + "dynamic": true + }, + "snmp":{ + "type":"object", + "dynamic": true + }, + "socks":{ + "type":"object", + "dynamic": true + }, + "software":{ + "type":"object", + "dynamic": true + }, + "source":{ + "type":"object", + "dynamic": true + }, + "ssh":{ + "type":"object", + "dynamic": true + }, + "ssl":{ + "type":"object", + "dynamic": true + }, + "tags":{ + "type":"text", + "fields":{ + "keyword":{ + "type":"keyword" + } + } + }, + "threat":{ + "type":"object", + "dynamic": true + }, + "tls":{ + "type":"object", + "dynamic": true + }, + "trace":{ + "type":"object", + "dynamic": true + }, + "tunnel":{ + "type":"object", + "dynamic": true + }, + "user":{ + "type":"object", + "dynamic": true + }, + "user_agent":{ + "type":"object", + "dynamic": true + }, + "version":{ + "type":"object", + "dynamic": true + }, + "vlan":{ + "type":"object", + "dynamic": true + }, + "vulnerability":{ + "type":"object", + "dynamic": true + }, + "weird":{ + "type":"object", + "dynamic": true + }, + "x509":{ + "type":"object", + "dynamic": true + } + } + } + } +} From c52220330b08d86923c6ee157782631789e35525 Mon Sep 17 00:00:00 2001 From: Wes Lambert Date: Sat, 14 Mar 2020 12:03:32 +0000 Subject: [PATCH 4/7] modify pipelines --- salt/elasticsearch/files/ingest/common | 17 +++--- salt/elasticsearch/files/ingest/ossec.alert | 53 +++++++++++++++++++ salt/elasticsearch/files/ingest/strelka.file | 12 +++++ .../elasticsearch/files/ingest/suricata.alert | 11 ++++ .../files/ingest/suricata.common | 14 +++++ salt/elasticsearch/files/ingest/zeek.common | 4 +- salt/elasticsearch/files/ingest/zeek.conn | 16 +----- salt/elasticsearch/files/ingest/zeek.dpd | 5 +- salt/elasticsearch/files/ingest/zeek.http | 2 +- salt/elasticsearch/files/ingest/zeek.tunnel | 1 - salt/elasticsearch/files/ingest/zeek.tunnels | 4 +- salt/elasticsearch/files/ingest/zeek.weird | 1 - 12 files changed, 103 insertions(+), 37 deletions(-) create mode 100644 salt/elasticsearch/files/ingest/ossec.alert create mode 100644 salt/elasticsearch/files/ingest/strelka.file create mode 100644 salt/elasticsearch/files/ingest/suricata.alert create mode 100644 salt/elasticsearch/files/ingest/suricata.common diff --git a/salt/elasticsearch/files/ingest/common b/salt/elasticsearch/files/ingest/common index 2d1dde973..f9d6199ba 100644 --- a/salt/elasticsearch/files/ingest/common +++ b/salt/elasticsearch/files/ingest/common @@ -1,17 +1,10 @@ { "description" : "common", "processors" : [ - { - "rename": { - "field": "type", - "target_field": "event_type", - "ignore_missing": true - } - }, { "geoip": { "field": "destination.ip", - "target_field": "destination_geo", + "target_field": "geo", "database_file": "GeoLite2-City.mmdb", "ignore_missing": true, "properties": ["ip", "country_iso_code", "country_name", "continent_name", "region_iso_code", "region_name", "city_name", "timezone", "location"] @@ -20,7 +13,7 @@ { "geoip": { "field": "source.ip", - "target_field": "source_geo", + "target_field": "geo", "database_file": "GeoLite2-City.mmdb", "ignore_missing": true, "properties": ["ip", "country_iso_code", "country_name", "continent_name", "region_iso_code", "region_name", "city_name", "timezone", "location"] @@ -41,10 +34,12 @@ "ignore_failure": true, "index_name_format": "yyyy.MM.dd" } - }, + }, + { "rename": { "field": "module", "target_field": "event.module", "ignore_missing": true } }, + { "rename": { "field": "dataset", "target_field": "event.dataset", "ignore_missing": true } }, { "remove": { - "field": [ "index_name_prefix"], + "field": [ "index_name_prefix", "beat"], "ignore_failure": false } } diff --git a/salt/elasticsearch/files/ingest/ossec.alert b/salt/elasticsearch/files/ingest/ossec.alert new file mode 100644 index 000000000..39362c4ed --- /dev/null +++ b/salt/elasticsearch/files/ingest/ossec.alert @@ -0,0 +1,53 @@ +{ + "description" : "ossec", + "processors" : [ + { "json": { "field": "message", "target_field": "message2", "ignore_failure": true } }, + { "rename": { "field": "message2.agent", "target_field": "agent", "ignore_missing": true } }, + { "rename": { "field": "message2.data", "target_field": "data", "ignore_missing": true } }, + { "rename": { "field": "message2.decoder", "target_field": "decoder", "ignore_missing": true } }, + { "rename": { "field": "message2.full_log", "target_field": "log.full", "ignore_missing": true } }, + { "rename": { "field": "message2.id", "target_field": "log.id.id", "ignore_missing": true } }, + { "rename": { "field": "message2.location", "target_field": "location", "ignore_missing": true } }, + { "rename": { "field": "message2.manager", "target_field": "manager", "ignore_missing": true } }, + { "rename": { "field": "message2.predecoder", "target_field": "predecoder", "ignore_missing": true } }, + { "rename": { "field": "message2.timestamp", "target_field": "timestamp", "ignore_missing": true } }, + { "rename": { "field": "message2.previous_log", "target_field": "log.previous_log", "ignore_missing": true } }, + { "rename": { "field": "message2.previous_output", "target_field": "log.previous_output", "ignore_missing": true } }, + { "rename": { "field": "message2.rule", "target_field": "rule", "ignore_missing": true } }, + { "rename": { "field": "data.command", "target_field": "command", "ignore_missing": true } }, + { "rename": { "field": "data.dstip", "target_field": "destination.ip", "ignore_missing": true } }, + { "rename": { "field": "data.dstport", "target_field": "destination.port", "ignore_missing": true } }, + { "rename": { "field": "data.dstuser", "target_field": "user.escalated", "ignore_missing": true } }, + { "rename": { "field": "data.srcip", "target_field": "source.ip", "ignore_missing": true } }, + { "rename": { "field": "data.win.eventdata.destinationHostname", "target_field": "destination.hostname", "ignore_missing": true } }, + { "rename": { "field": "data.win.eventdata.destinationIp", "target_field": "destination.ip", "ignore_missing": true } }, + { "rename": { "field": "data.win.eventdata.destinationPort", "target_field": "destination.port", "ignore_missing": true } }, + { "rename": { "field": "data.win.eventdata.image", "target_field": "image_path", "ignore_missing": true } }, + { "rename": { "field": "data.win.eventdata.parentImage", "target_field": "parent_image_path", "ignore_missing": true } }, + { "rename": { "field": "data.win.eventdata.sourceHostname", "target_field": "source.hostname", "ignore_missing": true } }, + { "rename": { "field": "data.win.eventdata.sourceIp", "target_field": "source_ip", "ignore_missing": true } }, + { "rename": { "field": "data.win.eventdata.sourcePort", "target_field": "source.port", "ignore_missing": true } }, + { "rename": { "field": "data.win.eventdata.targetFilename", "target_field": "file.target", "ignore_missing": true } }, + { "rename": { "field": "data.win.eventdata.user", "target_field": "user.name", "ignore_missing": true } }, + { "rename": { "field": "data.win.system.eventID", "target_field": "event.code", "ignore_missing": true } }, + { "rename": { "field": "predecoder.program_name", "target_field": "process.name", "ignore_missing": true } }, + { "set": { "if": "ctx.rule.level == 1", "field": "rule.category", "value": "None" } }, + { "set": { "if": "ctx.rule.level == 2", "field": "rule.category", "value": "System low priority notification" } }, + { "set": { "if": "ctx.rule.level == 3", "field": "rule.category", "value": "Successful/authorized event" } }, + { "set": { "if": "ctx.rule.level == 4", "field": "rule.category", "value": "System low priority error" } }, + { "set": { "if": "ctx.rule.level == 5", "field": "rule.category", "value": "User generated error" } }, + { "set": { "if": "ctx.rule.level == 6", "field": "rule.category", "value": "Low relevance attack" } }, + { "set": { "if": "ctx.rule.level == 7", "field": "rule.category", "value": "\"Bad word\" matching" } }, + { "set": { "if": "ctx.rule.level == 8", "field": "rule.category", "value": "First time seen" } }, + { "set": { "if": "ctx.rule.level == 9", "field": "rule.category", "value": "Error from invalid source" } }, + { "set": { "if": "ctx.rule.level == 10", "field": "rule.category", "value": "Multiple user generated errors" } }, + { "set": { "if": "ctx.rule.level == 11", "field": "rule.category", "value": "Integrity checking warning" } }, + { "set": { "if": "ctx.rule.level == 12", "field": "rule.category", "value": "High importance event" } }, + { "set": { "if": "ctx.rule.level == 13", "field": "rule.category", "value": "Unusal error (high importance)" } }, + { "set": { "if": "ctx.rule.level == 14", "field": "rule.category", "value": "High importance security event" } }, + { "set": { "if": "ctx.rule.level == 15", "field": "rule.category", "value": "Severe attack" } }, + { "append": { "if": "ctx.rule.level != null", "field": "tags", "value": ["alert"] } }, + { "remove": { "field": [ "predecoder", "decoder" ], "ignore_missing": true, "ignore_failure": false } }, + { "pipeline": { "name": "common" } } + ] +} diff --git a/salt/elasticsearch/files/ingest/strelka.file b/salt/elasticsearch/files/ingest/strelka.file new file mode 100644 index 000000000..8652fb912 --- /dev/null +++ b/salt/elasticsearch/files/ingest/strelka.file @@ -0,0 +1,12 @@ +{ + "description" : "strelka", + "processors" : [ + { "json": { "field": "message", "target_field": "message2", "ignore_failure": true } }, + { "rename": { "field": "message2.file", "target_field": "file", "ignore_missing": true } }, + { "rename": { "field": "message2.scan", "target_field": "scan", "ignore_missing": true } }, + { "rename": { "field": "message2.request", "target_field": "request", "ignore_missing": true } }, + { "rename": { "field": "scan.hash", "target_field": "file.hash", "ignore_missing": true } }, + { "remove": { "field": ["host", "path"], "ignore_missing": true } }, + { "pipeline": { "name": "common" } } + ] +} diff --git a/salt/elasticsearch/files/ingest/suricata.alert b/salt/elasticsearch/files/ingest/suricata.alert new file mode 100644 index 000000000..d58715f8a --- /dev/null +++ b/salt/elasticsearch/files/ingest/suricata.alert @@ -0,0 +1,11 @@ +{ + "description" : "suricata.alert", + "processors" : [ + { "json": { "field": "message", "target_field": "message2", "ignore_failure": true } }, + { "rename":{ "field": "message2.comunity_id", "target_field": "network.comunity_id", "ignore_failure": true } }, + { "rename":{ "field": "message2.alert", "target_field": "rule", "ignore_failure": true } }, + { "rename":{ "field": "rule.signature", "target_field": "rule.name", "ignore_failure": true } }, + { "rename":{ "field": "rule.ref", "target_field": "rule.version", "ignore_failure": true } }, + { "pipeline": { "name": "suricata.common" } } + ] +} diff --git a/salt/elasticsearch/files/ingest/suricata.common b/salt/elasticsearch/files/ingest/suricata.common new file mode 100644 index 000000000..79876d366 --- /dev/null +++ b/salt/elasticsearch/files/ingest/suricata.common @@ -0,0 +1,14 @@ +{ + "description" : "suricata.common", + "processors" : [ + { "rename":{ "field": "message2.proto", "target_field": "network.transport", "ignore_failure": true } }, + { "rename":{ "field": "message2.flow_id", "target_field": "event.id", "ignore_failure": true } }, + { "rename":{ "field": "message2.comunity_id", "target_field": "network.comunity_id", "ignore_failure": true } }, + { "rename":{ "field": "message2.src_ip", "target_field": "source.ip", "ignore_failure": true } }, + { "rename":{ "field": "message2.src_port", "target_field": "source.port", "ignore_failure": true } }, + { "rename":{ "field": "message2.dest_ip", "target_field": "destination.ip", "ignore_failure": true } }, + { "rename":{ "field": "message2.dest_port", "target_field": "destination.port", "ignore_failure": true } }, + { "remove": { "field": ["message2"], "ignore_failure": true } }, + { "pipeline": { "name": "common" } } + ] +} diff --git a/salt/elasticsearch/files/ingest/zeek.common b/salt/elasticsearch/files/ingest/zeek.common index cc854fab0..85902ffa5 100644 --- a/salt/elasticsearch/files/ingest/zeek.common +++ b/salt/elasticsearch/files/ingest/zeek.common @@ -1,7 +1,7 @@ { "description" : "zeek.common", "processors" : [ - { "rename": { "field": "@timestamp", "target_field": "es.timestamp", "ignore_missing": true } }, + { "rename": { "field": "@timestamp", "target_field": "ingest.timestamp", "ignore_missing": true } }, { "rename": { "field": "message2.uid", "target_field": "log.id.uid", "ignore_missing": true } }, { "dot_expander": { "field": "id.orig_h", "path": "message2", "ignore_failure": true } }, { "rename": { "field": "message2.id.orig_h", "target_field": "source.ip", "ignore_missing": true } }, @@ -15,8 +15,6 @@ { "dot_expander": { "field": "id.resp_p", "path": "message2", "ignore_failure": true } }, { "rename": { "field": "message2.id.resp_p", "target_field": "destination.port", "ignore_missing": true } }, { "set": { "field": "server.port", "value": "{{destination.port}}" } }, - { "set": { "field": "event.module", "value": "zeek" } }, - { "grok": { "field": "event_type", "patterns": ["zeek.%{WORD:event.dataset}"] } }, { "date": { "field": "message2.ts", "target_field": "@timestamp", "formats": ["ISO8601", "UNIX"], "ignore_failure": true } }, { "remove": { "field": ["message2.ts", "path"], "ignore_failure": true } }, { "pipeline": { "name": "common" } } diff --git a/salt/elasticsearch/files/ingest/zeek.conn b/salt/elasticsearch/files/ingest/zeek.conn index d7878aa0b..3c6da2718 100644 --- a/salt/elasticsearch/files/ingest/zeek.conn +++ b/salt/elasticsearch/files/ingest/zeek.conn @@ -1,7 +1,7 @@ { "description" : "zeek.conn", "processors" : [ - { "remove": { "field": ["host"], "ignore_failure": false } }, + { "remove": { "field": ["host"], "ignore_failure": true } }, { "json": { "field": "message", "target_field": "message2", "ignore_failure": true } }, { "rename": { "field": "message2.proto", "target_field": "network.transport", "ignore_missing": true } }, { "rename": { "field": "message2.service", "target_field": "network.protocol", "ignore_missing": true } }, @@ -21,20 +21,6 @@ { "rename": { "field": "message2.orig_cc", "target_field": "client.country_code","ignore_missing": true } }, { "rename": { "field": "message2.resp_cc", "target_field": "server.country_code", "ignore_missing": true } }, { "rename": { "field": "message2.sensorname", "target_field": "observer.name", "ignore_missing": true } }, - { "script": { "lang": "painless", "source": "ctx.connection.bytes.total = (ctx.client.bytes + ctx.server.bytes)", "ignore_failure": true } }, - { "set": { "if": "ctx.connection.state == 'S0'", "field": "connection.state_description", "value": "Connection attempt seen, no reply" } }, - { "set": { "if": "ctx.connection.state == 'S1'", "field": "connection.state_description", "value": "Connection established, not terminated" } }, - { "set": { "if": "ctx.connection.state == 'S2'", "field": "connection.state_description", "value": "Connection established and close attempt by originator seen (but no reply from responder)" } }, - { "set": { "if": "ctx.connection.state == 'S3'", "field": "connection.state_description", "value": "Connection established and close attempt by responder seen (but no reply from originator)" } }, - { "set": { "if": "ctx.connection.state == 'SF'", "field": "connection.state_description", "value": "Normal SYN/FIN completion" } }, - { "set": { "if": "ctx.connection.state == 'REJ'", "field": "connection.state_description", "value": "Connection attempt rejected" } }, - { "set": { "if": "ctx.connection.state == 'RSTO'", "field": "connection.state_description", "value": "Connection established, originator aborted (sent a RST)" } }, - { "set": { "if": "ctx.connection.state == 'RSTR'", "field": "connection.state_description", "value": "Established, responder aborted" } }, - { "set": { "if": "ctx.connection.state == 'RSTOS0'","field": "connection.state_description", "value": "Originator sent a SYN followed by a RST, we never saw a SYN-ACK from the responder" } }, - { "set": { "if": "ctx.connection.state == 'RSTRH'", "field": "connection.state_description", "value": "Responder sent a SYN ACK followed by a RST, we never saw a SYN from the (purported) originator" } }, - { "set": { "if": "ctx.connection.state == 'SH'", "field": "connection.state_description", "value": "Originator sent a SYN followed by a FIN, we never saw a SYN ACK from the responder (hence the connection was 'half' open)" } }, - { "set": { "if": "ctx.connection.state == 'SHR'", "field": "connection.state_description", "value": "Responder sent a SYN ACK followed by a FIN, we never saw a SYN from the originator" } }, - { "set": { "if": "ctx.connection.state == 'OTH'", "field": "connection.state_description", "value": "No SYN seen, just midstream traffic (a 'partial connection' that was not later closed)" } }, { "pipeline": { "name": "zeek.common" } } ] } diff --git a/salt/elasticsearch/files/ingest/zeek.dpd b/salt/elasticsearch/files/ingest/zeek.dpd index ce46cdc47..59ceed368 100644 --- a/salt/elasticsearch/files/ingest/zeek.dpd +++ b/salt/elasticsearch/files/ingest/zeek.dpd @@ -3,7 +3,6 @@ "processors" : [ { "remove": { "field": ["host"], "ignore_failure": true } }, { "json": { "field": "message", "target_field": "message2", "ignore_failure": true } }, - { "rename": { "field": "message2.uid", "target_field": "uid", "ignore_missing": true } }, { "dot_expander": { "field": "id.orig_h", "path": "message2", "ignore_failure": true } }, { "rename": { "field": "message2.id.orig_h", "target_field": "source.ip", "ignore_missing": true } }, { "dot_expander": { "field": "id.orig_p", "path": "message2", "ignore_failure": true } }, @@ -13,8 +12,8 @@ { "dot_expander": { "field": "id.resp_p", "path": "message2", "ignore_failure": true } }, { "rename": { "field": "message2.id.resp_p", "target_field": "destination.port", "ignore_missing": true } }, { "rename": { "field": "message2.proto", "target_field": "network.protocol", "ignore_missing": true } }, - { "rename": { "field": "message2.analyzer", "target_field": "analyzer", "ignore_missing": true } }, - { "rename": { "field": "message2.failure_reason", "target_field": "failure_reason", "ignore_missing": true } }, + { "rename": { "field": "message2.analyzer", "target_field": "observer.analyzer", "ignore_missing": true } }, + { "rename": { "field": "message2.failure_reason", "target_field": "error.reason", "ignore_missing": true } }, { "pipeline": { "name": "zeek.common" } } ] } diff --git a/salt/elasticsearch/files/ingest/zeek.http b/salt/elasticsearch/files/ingest/zeek.http index 1ac3ae42b..a1354044c 100644 --- a/salt/elasticsearch/files/ingest/zeek.http +++ b/salt/elasticsearch/files/ingest/zeek.http @@ -2,7 +2,7 @@ "description" : "zeek.http", "processors" : [ { "remove": { "field": ["host"], "ignore_failure": true } }, - { "json": { "field": "message", "target_field": "message2", "ignore_failure": true } }, + { "json": { "field": "message", "target_field": "message2", "ignore_failure": true } }, { "rename": { "field": "message2.trans_depth", "target_field": "http.trans_depth", "ignore_missing": true } }, { "rename": { "field": "message2.method", "target_field": "http.method", "ignore_missing": true } }, { "rename": { "field": "message2.host", "target_field": "http.virtual_host", "ignore_missing": true } }, diff --git a/salt/elasticsearch/files/ingest/zeek.tunnel b/salt/elasticsearch/files/ingest/zeek.tunnel index 78eb6eba8..66250091e 100644 --- a/salt/elasticsearch/files/ingest/zeek.tunnel +++ b/salt/elasticsearch/files/ingest/zeek.tunnel @@ -2,7 +2,6 @@ "description" : "zeek.tunnel", "processors" : [ { "remove": { "field": ["host"], "ignore_failure": true } }, - { "set": { "field": "event_type", "value": "zeek.tunnels" } }, { "pipeline": { "name": "zeek.tunnels" } } ] } diff --git a/salt/elasticsearch/files/ingest/zeek.tunnels b/salt/elasticsearch/files/ingest/zeek.tunnels index 5d8b7f8bf..bcddb61df 100644 --- a/salt/elasticsearch/files/ingest/zeek.tunnels +++ b/salt/elasticsearch/files/ingest/zeek.tunnels @@ -12,8 +12,8 @@ { "rename": { "field": "message2.id.resp_h", "target_field": "destination.ip", "ignore_missing": true } }, { "dot_expander": { "field": "id.resp_p", "path": "message2", "ignore_failure": true } }, { "rename": { "field": "message2.id.resp_p", "target_field": "destination.port", "ignore_missing": true } }, - { "rename": { "field": "message2.tunnel_type", "target_field": "tunnel_type", "ignore_missing": true } }, - { "rename": { "field": "message2.action", "target_field": "action", "ignore_missing": true } }, + { "rename": { "field": "message2.tunnel_type", "target_field": "tunnel.type", "ignore_missing": true } }, + { "rename": { "field": "message2.action", "target_field": "event.action", "ignore_missing": true } }, { "pipeline": { "name": "zeek.common" } } ] } diff --git a/salt/elasticsearch/files/ingest/zeek.weird b/salt/elasticsearch/files/ingest/zeek.weird index 43d552888..7e2643fe4 100644 --- a/salt/elasticsearch/files/ingest/zeek.weird +++ b/salt/elasticsearch/files/ingest/zeek.weird @@ -2,7 +2,6 @@ "description" : "zeek.weird", "processors" : [ { "remove": { "field": ["host"], "ignore_failure": true } }, - { "json": { "field": "message", "target_field": "message2", "ignore_failure": true } }, { "rename": { "field": "message2.name", "target_field": "weird.name", "ignore_missing": true } }, { "rename": { "field": "message2.addl", "target_field": "weird.additional_info", "ignore_missing": true } }, { "rename": { "field": "message2.notice", "target_field": "weird.notice", "ignore_missing": true } }, From d2016d3ff287ebb4a9b2408981f58af88d0d685c Mon Sep 17 00:00:00 2001 From: Wes Lambert Date: Sat, 14 Mar 2020 12:05:16 +0000 Subject: [PATCH 5/7] modify Filebeat config --- salt/filebeat/etc/filebeat.yml | 94 ++++++++++++++++++++++++---------- 1 file changed, 67 insertions(+), 27 deletions(-) diff --git a/salt/filebeat/etc/filebeat.yml b/salt/filebeat/etc/filebeat.yml index 2eb2092f4..08d0db71e 100644 --- a/salt/filebeat/etc/filebeat.yml +++ b/salt/filebeat/etc/filebeat.yml @@ -19,7 +19,7 @@ name: {{ HOSTNAME }} # Sets log level. The default log level is info. # Available log levels are: error, warning, info, debug -logging.level: error +logging.level: debug # Enable debug output for selected components. To enable all selectors use ["*"] # Other available selectors are "beat", "publish", "service" @@ -80,9 +80,13 @@ filebeat.prospectors: paths: - /nsm/zeek/logs/current/{{ LOGNAME }}.log fields: - type: bro_{{ LOGNAME }} + module: zeek + dataset: {{ LOGNAME }} + processors: + - drop_fields: + fields: ["source", "prospector", "input", "offset", "beat"] + fields_under_root: true - tags: ["bro"] clean_removed: false close_removed: false @@ -93,8 +97,13 @@ filebeat.prospectors: paths: - /suricata/eve.json fields: - type: ids - engine: suricata + module: suricata + dataset: alert + + processors: + - drop_fields: + fields: ["source", "prospector", "input", "offset", "beat"] + fields_under_root: true clean_removed: false close_removed: false @@ -106,19 +115,25 @@ filebeat.prospectors: paths: - /wazuh/alerts/alerts.json fields: - type: ossec + module: ossec + dataset: alert + + processors: + - drop_fields: + fields: ["source", "prospector", "input", "offset", "beat"] + fields_under_root: true clean_removed: false close_removed: false - - type: log - paths: - - /wazuh/archives/archives.json - fields: - type: ossec_archive - fields_under_root: true - clean_removed: false - close_removed: false +# - type: log +# paths: +# - /wazuh/archives/archives.json +# fields: +# type: ossec_archive +# fields_under_root: true +# clean_removed: false +# close_removed: false {%- endif %} @@ -129,6 +144,11 @@ filebeat.prospectors: - /osquery/logs/result.log fields: type: osquery + + processors: + - drop_fields: + fields: ["source", "prospector", "input", "offset", "beat"] + fields_under_root: true clean_removed: false close_removed: false @@ -141,34 +161,56 @@ filebeat.prospectors: paths: - /opt/so/log/strelka/strelka.log fields: - type: strelka + module: strelka + dataset: file + + processors: + - drop_fields: + fields: ["source", "prospector", "input", "offset", "beat"] + fields_under_root: true clean_removed: false close_removed: false {%- endif %} #----------------------------- Logstash output --------------------------------- -output.logstash: - # Boolean flag to enable or disable the output module. +output.elasticsearch: enabled: true + hosts: ["{{ MASTER }}:9200"] + pipelines: + - pipeline: "%{[module]}.%{[dataset]}" + indices: + - index: "so-zeek-%{+yyyy.MM.dd}" + when.contains: + module: "zeek" + - index: "so-ids-%{+yyyy.MM.dd}" + when.contains: + module: "suricata" + - index: "so-ossec-%{+yyyy.MM.dd}" + when.contains: + module: "ossec" + +#output.logstash: + # Boolean flag to enable or disable the output module. + #enabled: true # The Logstash hosts - hosts: ["{{ MASTER }}:5644"] + #hosts: ["{{ MASTER }}:5644"] # Number of workers per Logstash host. - worker: 1 + #worker: 1 # Set gzip compression level. - compression_level: 3 + #compression_level: 3 # Enable SSL support. SSL is automatically enabled, if any SSL setting is set. - ssl.enabled: true + #ssl.enabled: true # Configure SSL verification mode. If `none` is configured, all server hosts # and certificates will be accepted. In this mode, SSL based connections are # susceptible to man-in-the-middle attacks. Use only for testing. Default is # `full`. - ssl.verification_mode: full + #ssl.verification_mode: full # List of supported/valid TLS versions. By default all TLS versions 1.0 up to # 1.2 are enabled. @@ -176,16 +218,14 @@ output.logstash: # Optional SSL configuration options. SSL is off by default. # List of root certificates for HTTPS server verifications - ssl.certificate_authorities: ["/usr/share/filebeat/intraca.crt"] + #ssl.certificate_authorities: ["/usr/share/filebeat/intraca.crt"] # Certificate for SSL client authentication - ssl.certificate: "/usr/share/filebeat/filebeat.crt" + #ssl.certificate: "/usr/share/filebeat/filebeat.crt" # Client Certificate Key - ssl.key: "/usr/share/filebeat/filebeat.key" + #ssl.key: "/usr/share/filebeat/filebeat.key" -# Elasticsearch template settings -#setup.template.settings: # A dictionary of settings to place into the settings.index dictionary # of the Elasticsearch template. For more details, please check From b6ba8e483dbb09b8709259e55ad9a3238e87542b Mon Sep 17 00:00:00 2001 From: Wes Lambert Date: Sat, 14 Mar 2020 12:06:32 +0000 Subject: [PATCH 6/7] update ES init --- salt/elasticsearch/init.sls | 6 ++++++ 1 file changed, 6 insertions(+) diff --git a/salt/elasticsearch/init.sls b/salt/elasticsearch/init.sls index a97a2ae0f..07d75abfb 100644 --- a/salt/elasticsearch/init.sls +++ b/salt/elasticsearch/init.sls @@ -143,3 +143,9 @@ so-elasticsearch-pipelines-file: so-elasticsearch-pipelines: cmd.run: - name: /opt/so/conf/elasticsearch/so-elasticsearch-pipelines {{ esclustername }} + +so-elasticsearch-templates: + cmd.run: + - name: /usr/sbin/so-elasticsearch-templates + - cwd: / + From 85c1873f4d9e8deea337035327cfcc72a75003d9 Mon Sep 17 00:00:00 2001 From: Wes Lambert Date: Sat, 14 Mar 2020 12:10:06 +0000 Subject: [PATCH 7/7] switch logging to error --- salt/filebeat/etc/filebeat.yml | 2 +- 1 file changed, 1 insertion(+), 1 deletion(-) diff --git a/salt/filebeat/etc/filebeat.yml b/salt/filebeat/etc/filebeat.yml index 08d0db71e..e350b5798 100644 --- a/salt/filebeat/etc/filebeat.yml +++ b/salt/filebeat/etc/filebeat.yml @@ -19,7 +19,7 @@ name: {{ HOSTNAME }} # Sets log level. The default log level is info. # Available log levels are: error, warning, info, debug -logging.level: debug +logging.level: error # Enable debug output for selected components. To enable all selectors use ["*"] # Other available selectors are "beat", "publish", "service"