Last active
July 26, 2016 12:45
-
-
Save aarsla/a7d93cc94e1b8d05c4bcd0ce298ba28c to your computer and use it in GitHub Desktop.
Elasticsearch Suricata index template
This file contains hidden or bidirectional Unicode text that may be interpreted or compiled differently than what appears below. To review, open the file in an editor that reveals hidden Unicode characters.
Learn more about bidirectional Unicode characters
| { | |
| "template": "suricata-*", | |
| "settings": { | |
| "index": { | |
| "number_of_shards": "2", | |
| "number_of_replicas": "1" | |
| } | |
| }, | |
| "mappings": { | |
| "SuricataIDPS": { | |
| "properties": { | |
| "@timestamp": { | |
| "type": "date", | |
| "format": "strict_date_optional_time||epoch_millis" | |
| }, | |
| "@version": { | |
| "type": "string" | |
| }, | |
| "alert": { | |
| "properties": { | |
| "action": { | |
| "type": "string", | |
| "fields": { | |
| "raw": { | |
| "type": "string", | |
| "index": "not_analyzed" | |
| } | |
| } | |
| }, | |
| "category": { | |
| "type": "string", | |
| "fields": { | |
| "raw": { | |
| "type": "string", | |
| "index": "not_analyzed" | |
| } | |
| } | |
| }, | |
| "gid": { | |
| "type": "long" | |
| }, | |
| "rev": { | |
| "type": "long" | |
| }, | |
| "severity": { | |
| "type": "long" | |
| }, | |
| "signature": { | |
| "type": "string", | |
| "fields": { | |
| "raw": { | |
| "type": "string", | |
| "index": "not_analyzed" | |
| } | |
| } | |
| }, | |
| "signature_id": { | |
| "type": "long" | |
| } | |
| } | |
| }, | |
| "app_proto": { | |
| "type": "string", | |
| "fields": { | |
| "raw": { | |
| "type": "string", | |
| "index": "not_analyzed" | |
| } | |
| } | |
| }, | |
| "beat": { | |
| "properties": { | |
| "hostname": { | |
| "type": "string", | |
| "fields": { | |
| "raw": { | |
| "type": "string", | |
| "index": "not_analyzed" | |
| } | |
| } | |
| }, | |
| "name": { | |
| "type": "string", | |
| "fields": { | |
| "raw": { | |
| "type": "string", | |
| "index": "not_analyzed" | |
| } | |
| } | |
| } | |
| } | |
| }, | |
| "dest_ip": { | |
| "type": "string", | |
| "fields": { | |
| "raw": { | |
| "type": "string", | |
| "index": "not_analyzed" | |
| } | |
| } | |
| }, | |
| "dest_port": { | |
| "type": "long", | |
| "fields": { | |
| "raw": { | |
| "type": "string", | |
| "index": "not_analyzed" | |
| } | |
| } | |
| }, | |
| "dns": { | |
| "properties": { | |
| "id": { | |
| "type": "long" | |
| }, | |
| "rcode": { | |
| "type": "string", | |
| "fields": { | |
| "raw": { | |
| "type": "string", | |
| "index": "not_analyzed" | |
| } | |
| } | |
| }, | |
| "rdata": { | |
| "type": "string", | |
| "fields": { | |
| "raw": { | |
| "type": "string", | |
| "index": "not_analyzed" | |
| } | |
| } | |
| }, | |
| "rrname": { | |
| "type": "string", | |
| "fields": { | |
| "raw": { | |
| "type": "string", | |
| "index": "not_analyzed" | |
| } | |
| } | |
| }, | |
| "rrtype": { | |
| "type": "string", | |
| "fields": { | |
| "raw": { | |
| "type": "string", | |
| "index": "not_analyzed" | |
| } | |
| } | |
| }, | |
| "ttl": { | |
| "type": "long" | |
| }, | |
| "tx_id": { | |
| "type": "long" | |
| }, | |
| "type": { | |
| "type": "string", | |
| "fields": { | |
| "raw": { | |
| "type": "string", | |
| "index": "not_analyzed" | |
| } | |
| } | |
| } | |
| } | |
| }, | |
| "event_type": { | |
| "type": "string", | |
| "fields": { | |
| "raw": { | |
| "type": "string", | |
| "index": "not_analyzed" | |
| } | |
| } | |
| }, | |
| "fileinfo": { | |
| "properties": { | |
| "filename": { | |
| "type": "string", | |
| "fields": { | |
| "raw": { | |
| "type": "string", | |
| "index": "not_analyzed" | |
| } | |
| } | |
| }, | |
| "size": { | |
| "type": "long" | |
| }, | |
| "state": { | |
| "type": "string", | |
| "fields": { | |
| "raw": { | |
| "type": "string", | |
| "index": "not_analyzed" | |
| } | |
| } | |
| }, | |
| "stored": { | |
| "type": "boolean" | |
| }, | |
| "tx_id": { | |
| "type": "long" | |
| } | |
| } | |
| }, | |
| "flow_id": { | |
| "type": "long" | |
| }, | |
| "geoip": { | |
| "properties": { | |
| "area_code": { | |
| "type": "long" | |
| }, | |
| "city_name": { | |
| "type": "string", | |
| "fields": { | |
| "raw": { | |
| "type": "string", | |
| "index": "not_analyzed" | |
| } | |
| } | |
| }, | |
| "continent_code": { | |
| "type": "string", | |
| "fields": { | |
| "raw": { | |
| "type": "string", | |
| "index": "not_analyzed" | |
| } | |
| } | |
| }, | |
| "coordinates": { | |
| "type": "double" | |
| }, | |
| "country_code2": { | |
| "type": "string", | |
| "fields": { | |
| "raw": { | |
| "type": "string", | |
| "index": "not_analyzed" | |
| } | |
| } | |
| }, | |
| "country_code3": { | |
| "type": "string", | |
| "fields": { | |
| "raw": { | |
| "type": "string", | |
| "index": "not_analyzed" | |
| } | |
| } | |
| }, | |
| "country_name": { | |
| "type": "string", | |
| "fields": { | |
| "raw": { | |
| "type": "string", | |
| "index": "not_analyzed" | |
| } | |
| } | |
| }, | |
| "dma_code": { | |
| "type": "long" | |
| }, | |
| "ip": { | |
| "type": "string", | |
| "fields": { | |
| "raw": { | |
| "type": "string", | |
| "index": "not_analyzed" | |
| } | |
| } | |
| }, | |
| "latitude": { | |
| "type": "double" | |
| }, | |
| "location": { | |
| "type": "geo_point" | |
| }, | |
| "longitude": { | |
| "type": "double" | |
| }, | |
| "postal_code": { | |
| "type": "string", | |
| "fields": { | |
| "raw": { | |
| "type": "string", | |
| "index": "not_analyzed" | |
| } | |
| } | |
| }, | |
| "real_region_name": { | |
| "type": "string", | |
| "fields": { | |
| "raw": { | |
| "type": "string", | |
| "index": "not_analyzed" | |
| } | |
| } | |
| }, | |
| "region_name": { | |
| "type": "string", | |
| "fields": { | |
| "raw": { | |
| "type": "string", | |
| "index": "not_analyzed" | |
| } | |
| } | |
| }, | |
| "timezone": { | |
| "type": "string", | |
| "fields": { | |
| "raw": { | |
| "type": "string", | |
| "index": "not_analyzed" | |
| } | |
| } | |
| } | |
| } | |
| }, | |
| "host": { | |
| "type": "string", | |
| "fields": { | |
| "raw": { | |
| "type": "string", | |
| "index": "not_analyzed" | |
| } | |
| } | |
| }, | |
| "http": { | |
| "properties": { | |
| "hostname": { | |
| "type": "string", | |
| "fields": { | |
| "raw": { | |
| "type": "string", | |
| "index": "not_analyzed" | |
| } | |
| } | |
| }, | |
| "http_content_type": { | |
| "type": "string", | |
| "fields": { | |
| "raw": { | |
| "type": "string", | |
| "index": "not_analyzed" | |
| } | |
| } | |
| }, | |
| "http_method": { | |
| "type": "string", | |
| "fields": { | |
| "raw": { | |
| "type": "string", | |
| "index": "not_analyzed" | |
| } | |
| } | |
| }, | |
| "http_refer": { | |
| "type": "string", | |
| "fields": { | |
| "raw": { | |
| "type": "string", | |
| "index": "not_analyzed" | |
| } | |
| } | |
| }, | |
| "http_user_agent": { | |
| "type": "string", | |
| "fields": { | |
| "raw": { | |
| "type": "string", | |
| "index": "not_analyzed" | |
| } | |
| } | |
| }, | |
| "length": { | |
| "type": "long" | |
| }, | |
| "protocol": { | |
| "type": "string", | |
| "fields": { | |
| "raw": { | |
| "type": "string", | |
| "index": "not_analyzed" | |
| } | |
| } | |
| }, | |
| "redirect": { | |
| "type": "string", | |
| "fields": { | |
| "raw": { | |
| "type": "string", | |
| "index": "not_analyzed" | |
| } | |
| } | |
| }, | |
| "status": { | |
| "type": "long" | |
| }, | |
| "url": { | |
| "type": "string", | |
| "fields": { | |
| "raw": { | |
| "type": "string", | |
| "index": "not_analyzed" | |
| } | |
| } | |
| } | |
| } | |
| }, | |
| "in_iface": { | |
| "type": "string", | |
| "fields": { | |
| "raw": { | |
| "type": "string", | |
| "index": "not_analyzed" | |
| } | |
| } | |
| }, | |
| "input_type": { | |
| "type": "string", | |
| "fields": { | |
| "raw": { | |
| "type": "string", | |
| "index": "not_analyzed" | |
| } | |
| } | |
| }, | |
| "offset": { | |
| "type": "long" | |
| }, | |
| "proto": { | |
| "type": "string", | |
| "fields": { | |
| "raw": { | |
| "type": "string", | |
| "index": "not_analyzed" | |
| } | |
| } | |
| }, | |
| "source": { | |
| "type": "string", | |
| "fields": { | |
| "raw": { | |
| "type": "string", | |
| "index": "not_analyzed" | |
| } | |
| } | |
| }, | |
| "src_ip": { | |
| "type": "string", | |
| "fields": { | |
| "raw": { | |
| "type": "string", | |
| "index": "not_analyzed" | |
| } | |
| } | |
| }, | |
| "src_port": { | |
| "type": "long" | |
| }, | |
| "tags": { | |
| "type": "string", | |
| "fields": { | |
| "raw": { | |
| "type": "string", | |
| "index": "not_analyzed" | |
| } | |
| } | |
| }, | |
| "timestamp": { | |
| "type": "date", | |
| "format": "strict_date_optional_time||epoch_millis" | |
| }, | |
| "tls": { | |
| "properties": { | |
| "fingerprint": { | |
| "type": "string", | |
| "fields": { | |
| "raw": { | |
| "type": "string", | |
| "index": "not_analyzed" | |
| } | |
| } | |
| }, | |
| "issuerdn": { | |
| "type": "string", | |
| "fields": { | |
| "raw": { | |
| "type": "string", | |
| "index": "not_analyzed" | |
| } | |
| } | |
| }, | |
| "sni": { | |
| "type": "string", | |
| "fields": { | |
| "raw": { | |
| "type": "string", | |
| "index": "not_analyzed" | |
| } | |
| } | |
| }, | |
| "subject": { | |
| "type": "string", | |
| "fields": { | |
| "raw": { | |
| "type": "string", | |
| "index": "not_analyzed" | |
| } | |
| } | |
| }, | |
| "version": { | |
| "type": "string", | |
| "fields": { | |
| "raw": { | |
| "type": "string", | |
| "index": "not_analyzed" | |
| } | |
| } | |
| } | |
| } | |
| }, | |
| "tx_id": { | |
| "type": "long" | |
| }, | |
| "type": { | |
| "type": "string", | |
| "fields": { | |
| "raw": { | |
| "type": "string", | |
| "index": "not_analyzed" | |
| } | |
| } | |
| } | |
| } | |
| } | |
| }, | |
| "aliases": {} | |
| } |
Sign up for free
to join this conversation on GitHub.
Already have an account?
Sign in to comment