filebeat teamplate

1.     {
2.       "order": 1,
3.       "index_patterns": [
4.         "fb-*"
5.       ],
6.       "settings": {
7.         "index": {
8.           "mapping": {
9.             "total_fields": {
10.               "limit": "10000"
11.             }
12.           },
13.           "refresh_interval": "5s",
14.           "number_of_shards": "3",
15.           "number_of_replicas": "0"
16.         }
17.       },
18.       "mappings": {
19.         "doc": {
20.           "_meta": {
21.             "version": "6.0.0"
22.           },
23.           "date_detection": false,
24.           "dynamic_templates": [
25.             {
26.               "fields": {
27.                 "mapping": {
28.                   "type": "keyword"
29.                 },
30.                 "match_mapping_type": "string",
31.                 "path_match": "fields.*"
32.               }
33.             },
34.             {
35.               "docker.container.labels": {
36.                 "mapping": {
37.                   "type": "keyword"
38.                 },
39.                 "match_mapping_type": "string",
40.                 "path_match": "docker.container.labels.*"
41.               }
42.             },
43.             {
44.               "strings_as_keyword": {
45.                 "mapping": {
46.                   "ignore_above": 1024,
47.                   "type": "keyword"
48.                 },
49.                 "match_mapping_type": "string"
50.               }
51.             }
52.           ],
53.           "properties": {
54.             "@timestamp": {
55.               "type": "date"
56.             },
57.             "geoip": {
58.               "properties": {
59.                 "city_name": {
60.                   "ignore_above": 1024,
61.                   "type": "keyword"
62.                 },
63.                 "continent_name": {
64.                   "ignore_above": 1024,
65.                   "type": "keyword"
66.                 },
67.                 "country_iso_code": {
68.                   "ignore_above": 1024,
69.                   "type": "keyword"
70.                 },
71.                 "location": {
72.                   "type": "geo_point"
73.                 },
74.                 "region_name": {
75.                   "ignore_above": 1024,
76.                   "type": "keyword"
77.                 }
78.               }
79.             },
80.             "apache2": {
81.               "properties": {
82.                 "access": {
83.                   "properties": {
84.                     "agent": {
85.                       "norms": false,
86.                       "type": "text"
87.                     },
88.                     "body_sent": {
89.                       "properties": {
90.                         "bytes": {
91.                           "type": "long"
92.                         }
93.                       }
94.                     },
95.                     "geoip": {
96.                       "properties": {
97.                         "city_name": {
98.                           "ignore_above": 1024,
99.                           "type": "keyword"
100.                         },
101.                         "continent_name": {
102.                           "ignore_above": 1024,
103.                           "type": "keyword"
104.                         },
105.                         "country_iso_code": {
106.                           "ignore_above": 1024,
107.                           "type": "keyword"
108.                         },
109.                         "location": {
110.                           "type": "geo_point"
111.                         },
112.                         "region_name": {
113.                           "ignore_above": 1024,
114.                           "type": "keyword"
115.                         }
116.                       }
117.                     },
118.                     "http_version": {
119.                       "ignore_above": 1024,
120.                       "type": "keyword"
121.                     },
122.                     "method": {
123.                       "ignore_above": 1024,
124.                       "type": "keyword"
125.                     },
126.                     "referrer": {
127.                       "ignore_above": 1024,
128.                       "type": "keyword"
129.                     },
130.                     "remote_ip": {
131.                       "ignore_above": 1024,
132.                       "type": "keyword"
133.                     },
134.                     "response_code": {
135.                       "type": "long"
136.                     },
137.                     "url": {
138.                       "ignore_above": 1024,
139.                       "type": "keyword"
140.                     },
141.                     "user_agent": {
142.                       "properties": {
143.                         "device": {
144.                           "ignore_above": 1024,
145.                           "type": "keyword"
146.                         },
147.                         "major": {
148.                           "type": "long"
149.                         },
150.                         "minor": {
151.                           "type": "long"
152.                         },
153.                         "name": {
154.                           "ignore_above": 1024,
155.                           "type": "keyword"
156.                         },
157.                         "os": {
158.                           "ignore_above": 1024,
159.                           "type": "keyword"
160.                         },
161.                         "os_major": {
162.                           "type": "long"
163.                         },
164.                         "os_minor": {
165.                           "type": "long"
166.                         },
167.                         "os_name": {
168.                           "ignore_above": 1024,
169.                           "type": "keyword"
170.                         },
171.                         "patch": {
172.                           "ignore_above": 1024,
173.                           "type": "keyword"
174.                         }
175.                       }
176.                     },
177.                     "user_name": {
178.                       "ignore_above": 1024,
179.                       "type": "keyword"
180.                     }
181.                   }
182.                 },
183.                 "error": {
184.                   "properties": {
185.                     "client": {
186.                       "ignore_above": 1024,
187.                       "type": "keyword"
188.                     },
189.                     "level": {
190.                       "ignore_above": 1024,
191.                       "type": "keyword"
192.                     },
193.                     "message": {
194.                       "norms": false,
195.                       "type": "text"
196.                     },
197.                     "module": {
198.                       "ignore_above": 1024,
199.                       "type": "keyword"
200.                     },
201.                     "pid": {
202.                       "type": "long"
203.                     },
204.                     "tid": {
205.                       "type": "long"
206.                     }
207.                   }
208.                 }
209.               }
210.             },
211.             "auditd": {
212.               "properties": {
213.                 "log": {
214.                   "properties": {
215.                     "a0": {
216.                       "ignore_above": 1024,
217.                       "type": "keyword"
218.                     },
219.                     "acct": {
220.                       "ignore_above": 1024,
221.                       "type": "keyword"
222.                     },
223.                     "geoip": {
224.                       "properties": {
225.                         "city_name": {
226.                           "ignore_above": 1024,
227.                           "type": "keyword"
228.                         },
229.                         "continent_name": {
230.                           "ignore_above": 1024,
231.                           "type": "keyword"
232.                         },
233.                         "country_iso_code": {
234.                           "ignore_above": 1024,
235.                           "type": "keyword"
236.                         },
237.                         "location": {
238.                           "type": "geo_point"
239.                         },
240.                         "region_name": {
241.                           "ignore_above": 1024,
242.                           "type": "keyword"
243.                         }
244.                       }
245.                     },
246.                     "item": {
247.                       "ignore_above": 1024,
248.                       "type": "keyword"
249.                     },
250.                     "items": {
251.                       "ignore_above": 1024,
252.                       "type": "keyword"
253.                     },
254.                     "new_auid": {
255.                       "ignore_above": 1024,
256.                       "type": "keyword"
257.                     },
258.                     "new_ses": {
259.                       "ignore_above": 1024,
260.                       "type": "keyword"
261.                     },
262.                     "old_auid": {
263.                       "ignore_above": 1024,
264.                       "type": "keyword"
265.                     },
266.                     "old_ses": {
267.                       "ignore_above": 1024,
268.                       "type": "keyword"
269.                     },
270.                     "pid": {
271.                       "ignore_above": 1024,
272.                       "type": "keyword"
273.                     },
274.                     "ppid": {
275.                       "ignore_above": 1024,
276.                       "type": "keyword"
277.                     },
278.                     "record_type": {
279.                       "ignore_above": 1024,
280.                       "type": "keyword"
281.                     },
282.                     "res": {
283.                       "ignore_above": 1024,
284.                       "type": "keyword"
285.                     },
286.                     "sequence": {
287.                       "type": "long"
288.                     }
289.                   }
290.                 }
291.               }
292.             },
293.             "beat": {
294.               "properties": {
295.                 "hostname": {
296.                   "ignore_above": 1024,
297.                   "type": "keyword"
298.                 },
299.                 "name": {
300.                   "ignore_above": 1024,
301.                   "type": "keyword"
302.                 },
303.                 "timezone": {
304.                   "ignore_above": 1024,
305.                   "type": "keyword"
306.                 },
307.                 "version": {
308.                   "ignore_above": 1024,
309.                   "type": "keyword"
310.                 }
311.               }
312.             },
313.             "docker": {
314.               "properties": {
315.                 "container": {
316.                   "properties": {
317.                     "id": {
318.                       "ignore_above": 1024,
319.                       "type": "keyword"
320.                     },
321.                     "image": {
322.                       "ignore_above": 1024,
323.                       "type": "keyword"
324.                     },
325.                     "labels": {
326.                       "type": "object"
327.                     },
328.                     "name": {
329.                       "ignore_above": 1024,
330.                       "type": "keyword"
331.                     }
332.                   }
333.                 }
334.               }
335.             },
336.             "error": {
337.               "properties": {
338.                 "code": {
339.                   "type": "long"
340.                 },
341.                 "message": {
342.                   "norms": false,
343.                   "type": "text"
344.                 },
345.                 "type": {
346.                   "ignore_above": 1024,
347.                   "type": "keyword"
348.                 }
349.               }
350.             },
351.             "fields": {
352.               "type": "object"
353.             },
354.             "fileset": {
355.               "properties": {
356.                 "module": {
357.                   "ignore_above": 1024,
358.                   "type": "keyword"
359.                 },
360.                 "name": {
361.                   "ignore_above": 1024,
362.                   "type": "keyword"
363.                 }
364.               }
365.             },
366.             "icinga": {
367.               "properties": {
368.                 "debug": {
369.                   "properties": {
370.                     "facility": {
371.                       "ignore_above": 1024,
372.                       "type": "keyword"
373.                     },
374.                     "message": {
375.                       "norms": false,
376.                       "type": "text"
377.                     },
378.                     "severity": {
379.                       "ignore_above": 1024,
380.                       "type": "keyword"
381.                     }
382.                   }
383.                 },
384.                 "main": {
385.                   "properties": {
386.                     "facility": {
387.                       "ignore_above": 1024,
388.                       "type": "keyword"
389.                     },
390.                     "message": {
391.                       "norms": false,
392.                       "type": "text"
393.                     },
394.                     "severity": {
395.                       "ignore_above": 1024,
396.                       "type": "keyword"
397.                     }
398.                   }
399.                 },
400.                 "startup": {
401.                   "properties": {
402.                     "facility": {
403.                       "ignore_above": 1024,
404.                       "type": "keyword"
405.                     },
406.                     "message": {
407.                       "norms": false,
408.                       "type": "text"
409.                     },
410.                     "severity": {
411.                       "ignore_above": 1024,
412.                       "type": "keyword"
413.                     }
414.                   }
415.                 }
416.               }
417.             },
418.             "kubernetes": {
419.               "properties": {
420.                 "annotations": {
421.                   "type": "object"
422.                 },
423.                 "container": {
424.                   "properties": {
425.                     "image": {
426.                       "ignore_above": 1024,
427.                       "type": "keyword"
428.                     },
429.                     "name": {
430.                       "ignore_above": 1024,
431.                       "type": "keyword"
432.                     }
433.                   }
434.                 },
435.                 "labels": {
436.                   "type": "object"
437.                 },
438.                 "namespace": {
439.                   "ignore_above": 1024,
440.                   "type": "keyword"
441.                 },
442.                 "pod": {
443.                   "properties": {
444.                     "name": {
445.                       "ignore_above": 1024,
446.                       "type": "keyword"
447.                     }
448.                   }
449.                 }
450.               }
451.             },
452.             "message": {
453.               "norms": false,
454.               "type": "text"
455.             },
456.             "meta": {
457.               "properties": {
458.                 "cloud": {
459.                   "properties": {
460.                     "availability_zone": {
461.                       "ignore_above": 1024,
462.                       "type": "keyword"
463.                     },
464.                     "instance_id": {
465.                       "ignore_above": 1024,
466.                       "type": "keyword"
467.                     },
468.                     "instance_name": {
469.                       "ignore_above": 1024,
470.                       "type": "keyword"
471.                     },
472.                     "machine_type": {
473.                       "ignore_above": 1024,
474.                       "type": "keyword"
475.                     },
476.                     "project_id": {
477.                       "ignore_above": 1024,
478.                       "type": "keyword"
479.                     },
480.                     "provider": {
481.                       "ignore_above": 1024,
482.                       "type": "keyword"
483.                     },
484.                     "region": {
485.                       "ignore_above": 1024,
486.                       "type": "keyword"
487.                     }
488.                   }
489.                 }
490.               }
491.             },
492.             "mysql": {
493.               "properties": {
494.                 "error": {
495.                   "properties": {
496.                     "level": {
497.                       "ignore_above": 1024,
498.                       "type": "keyword"
499.                     },
500.                     "message": {
501.                       "norms": false,
502.                       "type": "text"
503.                     },
504.                     "thread_id": {
505.                       "type": "long"
506.                     },
507.                     "timestamp": {
508.                       "ignore_above": 1024,
509.                       "type": "keyword"
510.                     }
511.                   }
512.                 },
513.                 "slowlog": {
514.                   "properties": {
515.                     "host": {
516.                       "ignore_above": 1024,
517.                       "type": "keyword"
518.                     },
519.                     "id": {
520.                       "type": "long"
521.                     },
522.                     "ip": {
523.                       "ignore_above": 1024,
524.                       "type": "keyword"
525.                     },
526.                     "lock_time": {
527.                       "properties": {
528.                         "sec": {
529.                           "type": "float"
530.                         }
531.                       }
532.                     },
533.                     "query": {
534.                       "ignore_above": 1024,
535.                       "type": "keyword"
536.                     },
537.                     "query_time": {
538.                       "properties": {
539.                         "sec": {
540.                           "type": "float"
541.                         }
542.                       }
543.                     },
544.                     "rows_examined": {
545.                       "type": "long"
546.                     },
547.                     "rows_sent": {
548.                       "type": "long"
549.                     },
550.                     "timestamp": {
551.                       "type": "long"
552.                     },
553.                     "user": {
554.                       "ignore_above": 1024,
555.                       "type": "keyword"
556.                     }
557.                   }
558.                 }
559.               }
560.             },
561.             "nginx": {
562.               "properties": {
563.                 "access": {
564.                   "properties": {
565.                     "agent": {
566.                       "norms": false,
567.                       "type": "text"
568.                     },
569.                     "body_sent": {
570.                       "properties": {
571.                         "bytes": {
572.                           "type": "long"
573.                         }
574.                       }
575.                     },
576.                     "geoip": {
577.                       "properties": {
578.                         "city_name": {
579.                           "ignore_above": 1024,
580.                           "type": "keyword"
581.                         },
582.                         "continent_name": {
583.                           "ignore_above": 1024,
584.                           "type": "keyword"
585.                         },
586.                         "country_iso_code": {
587.                           "ignore_above": 1024,
588.                           "type": "keyword"
589.                         },
590.                         "location": {
591.                           "type": "geo_point"
592.                         },
593.                         "region_name": {
594.                           "ignore_above": 1024,
595.                           "type": "keyword"
596.                         }
597.                       }
598.                     },
599.                     "http_version": {
600.                       "ignore_above": 1024,
601.                       "type": "keyword"
602.                     },
603.                     "method": {
604.                       "ignore_above": 1024,
605.                       "type": "keyword"
606.                     },
607.                     "referrer": {
608.                       "ignore_above": 1024,
609.                       "type": "keyword"
610.                     },
611.                     "remote_ip": {
612.                       "ignore_above": 1024,
613.                       "type": "keyword"
614.                     },
615.                     "response_code": {
616.                       "type": "long"
617.                     },
618.                     "url": {
619.                       "ignore_above": 1024,
620.                       "type": "keyword"
621.                     },
622.                     "user_agent": {
623.                       "properties": {
624.                         "device": {
625.                           "ignore_above": 1024,
626.                           "type": "keyword"
627.                         },
628.                         "major": {
629.                           "type": "long"
630.                         },
631.                         "minor": {
632.                           "type": "long"
633.                         },
634.                         "name": {
635.                           "ignore_above": 1024,
636.                           "type": "keyword"
637.                         },
638.                         "os": {
639.                           "ignore_above": 1024,
640.                           "type": "keyword"
641.                         },
642.                         "os_major": {
643.                           "type": "long"
644.                         },
645.                         "os_minor": {
646.                           "type": "long"
647.                         },
648.                         "os_name": {
649.                           "ignore_above": 1024,
650.                           "type": "keyword"
651.                         },
652.                         "patch": {
653.                           "ignore_above": 1024,
654.                           "type": "keyword"
655.                         }
656.                       }
657.                     },
658.                     "user_name": {
659.                       "ignore_above": 1024,
660.                       "type": "keyword"
661.                     }
662.                   }
663.                 },
664.                 "error": {
665.                   "properties": {
666.                     "connection_id": {
667.                       "type": "long"
668.                     },
669.                     "level": {
670.                       "ignore_above": 1024,
671.                       "type": "keyword"
672.                     },
673.                     "message": {
674.                       "norms": false,
675.                       "type": "text"
676.                     },
677.                     "pid": {
678.                       "type": "long"
679.                     },
680.                     "tid": {
681.                       "type": "long"
682.                     }
683.                   }
684.                 }
685.               }
686.             },
687.             "offset": {
688.               "type": "long"
689.             },
690.             "prospector": {
691.               "properties": {
692.                 "type": {
693.                   "ignore_above": 1024,
694.                   "type": "keyword"
695.                 }
696.               }
697.             },
698.             "read_timestamp": {
699.               "ignore_above": 1024,
700.               "type": "keyword"
701.             },
702.             "redis": {
703.               "properties": {
704.                 "log": {
705.                   "properties": {
706.                     "level": {
707.                       "ignore_above": 1024,
708.                       "type": "keyword"
709.                     },
710.                     "message": {
711.                       "norms": false,
712.                       "type": "text"
713.                     },
714.                     "pid": {
715.                       "type": "long"
716.                     },
717.                     "role": {
718.                       "ignore_above": 1024,
719.                       "type": "keyword"
720.                     }
721.                   }
722.                 },
723.                 "slowlog": {
724.                   "properties": {
725.                     "args": {
726.                       "ignore_above": 1024,
727.                       "type": "keyword"
728.                     },
729.                     "cmd": {
730.                       "ignore_above": 1024,
731.                       "type": "keyword"
732.                     },
733.                     "duration": {
734.                       "properties": {
735.                         "us": {
736.                           "type": "long"
737.                         }
738.                       }
739.                     },
740.                     "id": {
741.                       "type": "long"
742.                     },
743.                     "key": {
744.                       "ignore_above": 1024,
745.                       "type": "keyword"
746.                     }
747.                   }
748.                 }
749.               }
750.             },
751.             "source": {
752.               "ignore_above": 1024,
753.               "type": "keyword"
754.             },
755.             "system": {
756.               "properties": {
757.                 "auth": {
758.                   "properties": {
759.                     "groupadd": {
760.                       "properties": {
761.                         "gid": {
762.                           "type": "long"
763.                         },
764.                         "name": {
765.                           "ignore_above": 1024,
766.                           "type": "keyword"
767.                         }
768.                       }
769.                     },
770.                     "hostname": {
771.                       "ignore_above": 1024,
772.                       "type": "keyword"
773.                     },
774.                     "message": {
775.                       "ignore_above": 1024,
776.                       "type": "keyword"
777.                     },
778.                     "pid": {
779.                       "type": "long"
780.                     },
781.                     "program": {
782.                       "ignore_above": 1024,
783.                       "type": "keyword"
784.                     },
785.                     "ssh": {
786.                       "properties": {
787.                         "dropped_ip": {
788.                           "type": "ip"
789.                         },
790.                         "event": {
791.                           "ignore_above": 1024,
792.                           "type": "keyword"
793.                         },
794.                         "geoip": {
795.                           "properties": {
796.                             "city_name": {
797.                               "ignore_above": 1024,
798.                               "type": "keyword"
799.                             },
800.                             "continent_name": {
801.                               "ignore_above": 1024,
802.                               "type": "keyword"
803.                             },
804.                             "country_iso_code": {
805.                               "ignore_above": 1024,
806.                               "type": "keyword"
807.                             },
808.                             "location": {
809.                               "type": "geo_point"
810.                             },
811.                             "region_name": {
812.                               "ignore_above": 1024,
813.                               "type": "keyword"
814.                             }
815.                           }
816.                         },
817.                         "ip": {
818.                           "type": "ip"
819.                         },
820.                         "method": {
821.                           "ignore_above": 1024,
822.                           "type": "keyword"
823.                         },
824.                         "port": {
825.                           "type": "long"
826.                         },
827.                         "signature": {
828.                           "ignore_above": 1024,
829.                           "type": "keyword"
830.                         }
831.                       }
832.                     },
833.                     "sudo": {
834.                       "properties": {
835.                         "command": {
836.                           "ignore_above": 1024,
837.                           "type": "keyword"
838.                         },
839.                         "error": {
840.                           "ignore_above": 1024,
841.                           "type": "keyword"
842.                         },
843.                         "pwd": {
844.                           "ignore_above": 1024,
845.                           "type": "keyword"
846.                         },
847.                         "tty": {
848.                           "ignore_above": 1024,
849.                           "type": "keyword"
850.                         },
851.                         "user": {
852.                           "ignore_above": 1024,
853.                           "type": "keyword"
854.                         }
855.                       }
856.                     },
857.                     "timestamp": {
858.                       "ignore_above": 1024,
859.                       "type": "keyword"
860.                     },
861.                     "user": {
862.                       "ignore_above": 1024,
863.                       "type": "keyword"
864.                     },
865.                     "useradd": {
866.                       "properties": {
867.                         "gid": {
868.                           "type": "long"
869.                         },
870.                         "home": {
871.                           "ignore_above": 1024,
872.                           "type": "keyword"
873.                         },
874.                         "name": {
875.                           "ignore_above": 1024,
876.                           "type": "keyword"
877.                         },
878.                         "shell": {
879.                           "ignore_above": 1024,
880.                           "type": "keyword"
881.                         },
882.                         "uid": {
883.                           "type": "long"
884.                         }
885.                       }
886.                     }
887.                   }
888.                 },
889.                 "syslog": {
890.                   "properties": {
891.                     "hostname": {
892.                       "ignore_above": 1024,
893.                       "type": "keyword"
894.                     },
895.                     "message": {
896.                       "ignore_above": 1024,
897.                       "type": "keyword"
898.                     },
899.                     "pid": {
900.                       "ignore_above": 1024,
901.                       "type": "keyword"
902.                     },
903.                     "program": {
904.                       "ignore_above": 1024,
905.                       "type": "keyword"
906.                     },
907.                     "timestamp": {
908.                       "ignore_above": 1024,
909.                       "type": "keyword"
910.                     }
911.                   }
912.                 }
913.               }
914.             },
915.             "tags": {
916.               "ignore_above": 1024,
917.               "type": "keyword"
918.             }
919.           }
920.         }
921.       },
922.       "aliases": {}
923.     }