ecs-cyagent-template

1. {
2.   "ecs-cyagent-template" : {
3.     "order" : 1,
4.     "index_patterns" : [
5.       "ecs-cyagent-*"
6.     ],
7.     "settings" : {
8.       "index" : {
9.         "lifecycle" : {
10.           "name" : "ecs-cyagent-policy",
11.           "rollover_alias" : "ecs-cyagent-alias"
12.         },
13.         "mapping" : {
14.           "total_fields" : {
15.             "limit" : "10000"
16.           }
17.         },
18.         "refresh_interval" : "5s",
19.         "number_of_shards" : "1",
20.         "number_of_replicas" : "1"
21.       }
22.     },
23.     "mappings" : {
24.       "_meta" : {
25.         "version" : "1.6.0-dev"
26.       },
27.       "dynamic_templates" : [
28.         {
29.           "strings_as_keyword" : {
30.             "mapping" : {
31.               "ignore_above" : 1024,
32.               "type" : "keyword"
33.             },
34.             "match_mapping_type" : "string"
35.           }
36.         }
37.       ],
38.       "date_detection" : false,
39.       "properties" : {
40.         "container" : {
41.           "properties" : {
42.             "image" : {
43.               "properties" : {
44.                 "name" : {
45.                   "ignore_above" : 1024,
46.                   "type" : "keyword"
47.                 },
48.                 "tag" : {
49.                   "ignore_above" : 1024,
50.                   "type" : "keyword"
51.                 }
52.               }
53.             },
54.             "name" : {
55.               "ignore_above" : 1024,
56.               "type" : "keyword"
57.             },
58.             "runtime" : {
59.               "ignore_above" : 1024,
60.               "type" : "keyword"
61.             },
62.             "id" : {
63.               "ignore_above" : 1024,
64.               "type" : "keyword"
65.             },
66.             "labels" : {
67.               "type" : "object"
68.             }
69.           }
70.         },
71.         "server" : {
72.           "properties" : {
73.             "nat" : {
74.               "properties" : {
75.                 "port" : {
76.                   "type" : "long"
77.                 },
78.                 "ip" : {
79.                   "type" : "ip"
80.                 }
81.               }
82.             },
83.             "address" : {
84.               "ignore_above" : 1024,
85.               "type" : "keyword"
86.             },
87.             "top_level_domain" : {
88.               "ignore_above" : 1024,
89.               "type" : "keyword"
90.             },
91.             "ip" : {
92.               "type" : "ip"
93.             },
94.             "mac" : {
95.               "ignore_above" : 1024,
96.               "type" : "keyword"
97.             },
98.             "packets" : {
99.               "type" : "long"
100.             },
101.             "geo" : {
102.               "properties" : {
103.                 "continent_name" : {
104.                   "ignore_above" : 1024,
105.                   "type" : "keyword"
106.                 },
107.                 "region_iso_code" : {
108.                   "ignore_above" : 1024,
109.                   "type" : "keyword"
110.                 },
111.                 "city_name" : {
112.                   "ignore_above" : 1024,
113.                   "type" : "keyword"
114.                 },
115.                 "country_iso_code" : {
116.                   "ignore_above" : 1024,
117.                   "type" : "keyword"
118.                 },
119.                 "country_name" : {
120.                   "ignore_above" : 1024,
121.                   "type" : "keyword"
122.                 },
123.                 "name" : {
124.                   "ignore_above" : 1024,
125.                   "type" : "keyword"
126.                 },
127.                 "location" : {
128.                   "type" : "geo_point"
129.                 },
130.                 "region_name" : {
131.                   "ignore_above" : 1024,
132.                   "type" : "keyword"
133.                 }
134.               }
135.             },
136.             "as" : {
137.               "properties" : {
138.                 "number" : {
139.                   "type" : "long"
140.                 },
141.                 "organization" : {
142.                   "properties" : {
143.                     "name" : {
144.                       "ignore_above" : 1024,
145.                       "fields" : {
146.                         "text" : {
147.                           "norms" : false,
148.                           "type" : "text"
149.                         }
150.                       },
151.                       "type" : "keyword"
152.                     }
153.                   }
154.                 }
155.               }
156.             },
157.             "registered_domain" : {
158.               "ignore_above" : 1024,
159.               "type" : "keyword"
160.             },
161.             "port" : {
162.               "type" : "long"
163.             },
164.             "bytes" : {
165.               "type" : "long"
166.             },
167.             "domain" : {
168.               "ignore_above" : 1024,
169.               "type" : "keyword"
170.             },
171.             "user" : {
172.               "properties" : {
173.                 "full_name" : {
174.                   "ignore_above" : 1024,
175.                   "fields" : {
176.                     "text" : {
177.                       "norms" : false,
178.                       "type" : "text"
179.                     }
180.                   },
181.                   "type" : "keyword"
182.                 },
183.                 "domain" : {
184.                   "ignore_above" : 1024,
185.                   "type" : "keyword"
186.                 },
187.                 "name" : {
188.                   "ignore_above" : 1024,
189.                   "fields" : {
190.                     "text" : {
191.                       "norms" : false,
192.                       "type" : "text"
193.                     }
194.                   },
195.                   "type" : "keyword"
196.                 },
197.                 "id" : {
198.                   "ignore_above" : 1024,
199.                   "type" : "keyword"
200.                 },
201.                 "email" : {
202.                   "ignore_above" : 1024,
203.                   "type" : "keyword"
204.                 },
205.                 "hash" : {
206.                   "ignore_above" : 1024,
207.                   "type" : "keyword"
208.                 },
209.                 "group" : {
210.                   "properties" : {
211.                     "domain" : {
212.                       "ignore_above" : 1024,
213.                       "type" : "keyword"
214.                     },
215.                     "name" : {
216.                       "ignore_above" : 1024,
217.                       "type" : "keyword"
218.                     },
219.                     "id" : {
220.                       "ignore_above" : 1024,
221.                       "type" : "keyword"
222.                     }
223.                   }
224.                 }
225.               }
226.             }
227.           }
228.         },
229.         "agent" : {
230.           "properties" : {
231.             "name" : {
232.               "ignore_above" : 1024,
233.               "type" : "keyword"
234.             },
235.             "id" : {
236.               "ignore_above" : 1024,
237.               "type" : "keyword"
238.             },
239.             "ephemeral_id" : {
240.               "ignore_above" : 1024,
241.               "type" : "keyword"
242.             },
243.             "type" : {
244.               "ignore_above" : 1024,
245.               "type" : "keyword"
246.             },
247.             "version" : {
248.               "ignore_above" : 1024,
249.               "type" : "keyword"
250.             }
251.           }
252.         },
253.         "log" : {
254.           "properties" : {
255.             "original" : {
256.               "ignore_above" : 1024,
257.               "index" : false,
258.               "type" : "keyword",
259.               "doc_values" : false
260.             },
261.             "level" : {
262.               "ignore_above" : 1024,
263.               "type" : "keyword"
264.             },
265.             "logger" : {
266.               "ignore_above" : 1024,
267.               "type" : "keyword"
268.             },
269.             "origin" : {
270.               "properties" : {
271.                 "file" : {
272.                   "properties" : {
273.                     "line" : {
274.                       "type" : "integer"
275.                     },
276.                     "name" : {
277.                       "ignore_above" : 1024,
278.                       "type" : "keyword"
279.                     }
280.                   }
281.                 },
282.                 "function" : {
283.                   "ignore_above" : 1024,
284.                   "type" : "keyword"
285.                 }
286.               }
287.             },
288.             "syslog" : {
289.               "type" : "object",
290.               "properties" : {
291.                 "severity" : {
292.                   "properties" : {
293.                     "code" : {
294.                       "type" : "long"
295.                     },
296.                     "name" : {
297.                       "ignore_above" : 1024,
298.                       "type" : "keyword"
299.                     }
300.                   }
301.                 },
302.                 "priority" : {
303.                   "type" : "long"
304.                 },
305.                 "facility" : {
306.                   "properties" : {
307.                     "code" : {
308.                       "type" : "long"
309.                     },
310.                     "name" : {
311.                       "ignore_above" : 1024,
312.                       "type" : "keyword"
313.                     }
314.                   }
315.                 }
316.               }
317.             }
318.           }
319.         },
320.         "destination" : {
321.           "properties" : {
322.             "nat" : {
323.               "properties" : {
324.                 "port" : {
325.                   "type" : "long"
326.                 },
327.                 "ip" : {
328.                   "type" : "ip"
329.                 }
330.               }
331.             },
332.             "address" : {
333.               "ignore_above" : 1024,
334.               "type" : "keyword"
335.             },
336.             "top_level_domain" : {
337.               "ignore_above" : 1024,
338.               "type" : "keyword"
339.             },
340.             "ip" : {
341.               "type" : "ip"
342.             },
343.             "mac" : {
344.               "ignore_above" : 1024,
345.               "type" : "keyword"
346.             },
347.             "packets" : {
348.               "type" : "long"
349.             },
350.             "geo" : {
351.               "properties" : {
352.                 "continent_name" : {
353.                   "ignore_above" : 1024,
354.                   "type" : "keyword"
355.                 },
356.                 "region_iso_code" : {
357.                   "ignore_above" : 1024,
358.                   "type" : "keyword"
359.                 },
360.                 "city_name" : {
361.                   "ignore_above" : 1024,
362.                   "type" : "keyword"
363.                 },
364.                 "country_iso_code" : {
365.                   "ignore_above" : 1024,
366.                   "type" : "keyword"
367.                 },
368.                 "country_name" : {
369.                   "ignore_above" : 1024,
370.                   "type" : "keyword"
371.                 },
372.                 "name" : {
373.                   "ignore_above" : 1024,
374.                   "type" : "keyword"
375.                 },
376.                 "location" : {
377.                   "type" : "geo_point"
378.                 },
379.                 "region_name" : {
380.                   "ignore_above" : 1024,
381.                   "type" : "keyword"
382.                 }
383.               }
384.             },
385.             "as" : {
386.               "properties" : {
387.                 "number" : {
388.                   "type" : "long"
389.                 },
390.                 "organization" : {
391.                   "properties" : {
392.                     "name" : {
393.                       "ignore_above" : 1024,
394.                       "fields" : {
395.                         "text" : {
396.                           "norms" : false,
397.                           "type" : "text"
398.                         }
399.                       },
400.                       "type" : "keyword"
401.                     }
402.                   }
403.                 }
404.               }
405.             },
406.             "registered_domain" : {
407.               "ignore_above" : 1024,
408.               "type" : "keyword"
409.             },
410.             "port" : {
411.               "type" : "long"
412.             },
413.             "bytes" : {
414.               "type" : "long"
415.             },
416.             "domain" : {
417.               "ignore_above" : 1024,
418.               "type" : "keyword"
419.             },
420.             "user" : {
421.               "properties" : {
422.                 "full_name" : {
423.                   "ignore_above" : 1024,
424.                   "fields" : {
425.                     "text" : {
426.                       "norms" : false,
427.                       "type" : "text"
428.                     }
429.                   },
430.                   "type" : "keyword"
431.                 },
432.                 "domain" : {
433.                   "ignore_above" : 1024,
434.                   "type" : "keyword"
435.                 },
436.                 "name" : {
437.                   "ignore_above" : 1024,
438.                   "fields" : {
439.                     "text" : {
440.                       "norms" : false,
441.                       "type" : "text"
442.                     }
443.                   },
444.                   "type" : "keyword"
445.                 },
446.                 "id" : {
447.                   "ignore_above" : 1024,
448.                   "type" : "keyword"
449.                 },
450.                 "email" : {
451.                   "ignore_above" : 1024,
452.                   "type" : "keyword"
453.                 },
454.                 "hash" : {
455.                   "ignore_above" : 1024,
456.                   "type" : "keyword"
457.                 },
458.                 "group" : {
459.                   "properties" : {
460.                     "domain" : {
461.                       "ignore_above" : 1024,
462.                       "type" : "keyword"
463.                     },
464.                     "name" : {
465.                       "ignore_above" : 1024,
466.                       "type" : "keyword"
467.                     },
468.                     "id" : {
469.                       "ignore_above" : 1024,
470.                       "type" : "keyword"
471.                     }
472.                   }
473.                 }
474.               }
475.             }
476.           }
477.         },
478.         "rule" : {
479.           "properties" : {
480.             "reference" : {
481.               "ignore_above" : 1024,
482.               "type" : "keyword"
483.             },
484.             "license" : {
485.               "ignore_above" : 1024,
486.               "type" : "keyword"
487.             },
488.             "author" : {
489.               "ignore_above" : 1024,
490.               "type" : "keyword"
491.             },
492.             "name" : {
493.               "ignore_above" : 1024,
494.               "type" : "keyword"
495.             },
496.             "ruleset" : {
497.               "ignore_above" : 1024,
498.               "type" : "keyword"
499.             },
500.             "description" : {
501.               "ignore_above" : 1024,
502.               "type" : "keyword"
503.             },
504.             "id" : {
505.               "ignore_above" : 1024,
506.               "type" : "keyword"
507.             },
508.             "category" : {
509.               "ignore_above" : 1024,
510.               "type" : "keyword"
511.             },
512.             "uuid" : {
513.               "ignore_above" : 1024,
514.               "type" : "keyword"
515.             },
516.             "version" : {
517.               "ignore_above" : 1024,
518.               "type" : "keyword"
519.             }
520.           }
521.         },
522.         "source" : {
523.           "properties" : {
524.             "nat" : {
525.               "properties" : {
526.                 "port" : {
527.                   "type" : "long"
528.                 },
529.                 "ip" : {
530.                   "type" : "ip"
531.                 }
532.               }
533.             },
534.             "address" : {
535.               "ignore_above" : 1024,
536.               "type" : "keyword"
537.             },
538.             "top_level_domain" : {
539.               "ignore_above" : 1024,
540.               "type" : "keyword"
541.             },
542.             "ip" : {
543.               "type" : "ip"
544.             },
545.             "mac" : {
546.               "ignore_above" : 1024,
547.               "type" : "keyword"
548.             },
549.             "packets" : {
550.               "type" : "long"
551.             },
552.             "geo" : {
553.               "properties" : {
554.                 "continent_name" : {
555.                   "ignore_above" : 1024,
556.                   "type" : "keyword"
557.                 },
558.                 "region_iso_code" : {
559.                   "ignore_above" : 1024,
560.                   "type" : "keyword"
561.                 },
562.                 "city_name" : {
563.                   "ignore_above" : 1024,
564.                   "type" : "keyword"
565.                 },
566.                 "country_iso_code" : {
567.                   "ignore_above" : 1024,
568.                   "type" : "keyword"
569.                 },
570.                 "country_name" : {
571.                   "ignore_above" : 1024,
572.                   "type" : "keyword"
573.                 },
574.                 "name" : {
575.                   "ignore_above" : 1024,
576.                   "type" : "keyword"
577.                 },
578.                 "location" : {
579.                   "type" : "geo_point"
580.                 },
581.                 "region_name" : {
582.                   "ignore_above" : 1024,
583.                   "type" : "keyword"
584.                 }
585.               }
586.             },
587.             "as" : {
588.               "properties" : {
589.                 "number" : {
590.                   "type" : "long"
591.                 },
592.                 "organization" : {
593.                   "properties" : {
594.                     "name" : {
595.                       "ignore_above" : 1024,
596.                       "fields" : {
597.                         "text" : {
598.                           "norms" : false,
599.                           "type" : "text"
600.                         }
601.                       },
602.                       "type" : "keyword"
603.                     }
604.                   }
605.                 }
606.               }
607.             },
608.             "registered_domain" : {
609.               "ignore_above" : 1024,
610.               "type" : "keyword"
611.             },
612.             "port" : {
613.               "type" : "long"
614.             },
615.             "bytes" : {
616.               "type" : "long"
617.             },
618.             "domain" : {
619.               "ignore_above" : 1024,
620.               "type" : "keyword"
621.             },
622.             "user" : {
623.               "properties" : {
624.                 "full_name" : {
625.                   "ignore_above" : 1024,
626.                   "fields" : {
627.                     "text" : {
628.                       "norms" : false,
629.                       "type" : "text"
630.                     }
631.                   },
632.                   "type" : "keyword"
633.                 },
634.                 "domain" : {
635.                   "ignore_above" : 1024,
636.                   "type" : "keyword"
637.                 },
638.                 "name" : {
639.                   "ignore_above" : 1024,
640.                   "fields" : {
641.                     "text" : {
642.                       "norms" : false,
643.                       "type" : "text"
644.                     }
645.                   },
646.                   "type" : "keyword"
647.                 },
648.                 "id" : {
649.                   "ignore_above" : 1024,
650.                   "type" : "keyword"
651.                 },
652.                 "email" : {
653.                   "ignore_above" : 1024,
654.                   "type" : "keyword"
655.                 },
656.                 "hash" : {
657.                   "ignore_above" : 1024,
658.                   "type" : "keyword"
659.                 },
660.                 "group" : {
661.                   "properties" : {
662.                     "domain" : {
663.                       "ignore_above" : 1024,
664.                       "type" : "keyword"
665.                     },
666.                     "name" : {
667.                       "ignore_above" : 1024,
668.                       "type" : "keyword"
669.                     },
670.                     "id" : {
671.                       "ignore_above" : 1024,
672.                       "type" : "keyword"
673.                     }
674.                   }
675.                 }
676.               }
677.             }
678.           }
679.         },
680.         "error" : {
681.           "properties" : {
682.             "code" : {
683.               "ignore_above" : 1024,
684.               "type" : "keyword"
685.             },
686.             "id" : {
687.               "ignore_above" : 1024,
688.               "type" : "keyword"
689.             },
690.             "stack_trace" : {
691.               "ignore_above" : 1024,
692.               "index" : false,
693.               "fields" : {
694.                 "text" : {
695.                   "norms" : false,
696.                   "type" : "text"
697.                 }
698.               },
699.               "type" : "keyword",
700.               "doc_values" : false
701.             },
702.             "message" : {
703.               "norms" : false,
704.               "type" : "text"
705.             },
706.             "type" : {
707.               "ignore_above" : 1024,
708.               "type" : "keyword"
709.             }
710.           }
711.         },
712.         "interface" : {
713.           "properties" : {
714.             "name" : {
715.               "ignore_above" : 1024,
716.               "type" : "keyword"
717.             },
718.             "alias" : {
719.               "ignore_above" : 1024,
720.               "type" : "keyword"
721.             },
722.             "id" : {
723.               "ignore_above" : 1024,
724.               "type" : "keyword"
725.             }
726.           }
727.         },
728.         "network" : {
729.           "properties" : {
730.             "transport" : {
731.               "ignore_above" : 1024,
732.               "type" : "keyword"
733.             },
734.             "type" : {
735.               "ignore_above" : 1024,
736.               "type" : "keyword"
737.             },
738.             "inner" : {
739.               "type" : "object",
740.               "properties" : {
741.                 "vlan" : {
742.                   "properties" : {
743.                     "name" : {
744.                       "ignore_above" : 1024,
745.                       "type" : "keyword"
746.                     },
747.                     "id" : {
748.                       "ignore_above" : 1024,
749.                       "type" : "keyword"
750.                     }
751.                   }
752.                 }
753.               }
754.             },
755.             "packets" : {
756.               "type" : "long"
757.             },
758.             "community_id" : {
759.               "ignore_above" : 1024,
760.               "type" : "keyword"
761.             },
762.             "forwarded_ip" : {
763.               "type" : "ip"
764.             },
765.             "protocol" : {
766.               "ignore_above" : 1024,
767.               "type" : "keyword"
768.             },
769.             "application" : {
770.               "ignore_above" : 1024,
771.               "type" : "keyword"
772.             },
773.             "vlan" : {
774.               "properties" : {
775.                 "name" : {
776.                   "ignore_above" : 1024,
777.                   "type" : "keyword"
778.                 },
779.                 "id" : {
780.                   "ignore_above" : 1024,
781.                   "type" : "keyword"
782.                 }
783.               }
784.             },
785.             "bytes" : {
786.               "type" : "long"
787.             },
788.             "name" : {
789.               "ignore_above" : 1024,
790.               "type" : "keyword"
791.             },
792.             "iana_number" : {
793.               "ignore_above" : 1024,
794.               "type" : "keyword"
795.             },
796.             "direction" : {
797.               "ignore_above" : 1024,
798.               "type" : "keyword"
799.             }
800.           }
801.         },
802.         "cloud" : {
803.           "properties" : {
804.             "availability_zone" : {
805.               "ignore_above" : 1024,
806.               "type" : "keyword"
807.             },
808.             "instance" : {
809.               "properties" : {
810.                 "name" : {
811.                   "ignore_above" : 1024,
812.                   "type" : "keyword"
813.                 },
814.                 "id" : {
815.                   "ignore_above" : 1024,
816.                   "type" : "keyword"
817.                 }
818.               }
819.             },
820.             "provider" : {
821.               "ignore_above" : 1024,
822.               "type" : "keyword"
823.             },
824.             "machine" : {
825.               "properties" : {
826.                 "type" : {
827.                   "ignore_above" : 1024,
828.                   "type" : "keyword"
829.                 }
830.               }
831.             },
832.             "region" : {
833.               "ignore_above" : 1024,
834.               "type" : "keyword"
835.             },
836.             "account" : {
837.               "properties" : {
838.                 "id" : {
839.                   "ignore_above" : 1024,
840.                   "type" : "keyword"
841.                 }
842.               }
843.             }
844.           }
845.         },
846.         "geo" : {
847.           "properties" : {
848.             "continent_name" : {
849.               "ignore_above" : 1024,
850.               "type" : "keyword"
851.             },
852.             "region_iso_code" : {
853.               "ignore_above" : 1024,
854.               "type" : "keyword"
855.             },
856.             "city_name" : {
857.               "ignore_above" : 1024,
858.               "type" : "keyword"
859.             },
860.             "country_iso_code" : {
861.               "ignore_above" : 1024,
862.               "type" : "keyword"
863.             },
864.             "country_name" : {
865.               "ignore_above" : 1024,
866.               "type" : "keyword"
867.             },
868.             "name" : {
869.               "ignore_above" : 1024,
870.               "type" : "keyword"
871.             },
872.             "location" : {
873.               "type" : "geo_point"
874.             },
875.             "region_name" : {
876.               "ignore_above" : 1024,
877.               "type" : "keyword"
878.             }
879.           }
880.         },
881.         "observer" : {
882.           "properties" : {
883.             "product" : {
884.               "ignore_above" : 1024,
885.               "type" : "keyword"
886.             },
887.             "os" : {
888.               "properties" : {
889.                 "kernel" : {
890.                   "ignore_above" : 1024,
891.                   "type" : "keyword"
892.                 },
893.                 "name" : {
894.                   "ignore_above" : 1024,
895.                   "fields" : {
896.                     "text" : {
897.                       "norms" : false,
898.                       "type" : "text"
899.                     }
900.                   },
901.                   "type" : "keyword"
902.                 },
903.                 "family" : {
904.                   "ignore_above" : 1024,
905.                   "type" : "keyword"
906.                 },
907.                 "version" : {
908.                   "ignore_above" : 1024,
909.                   "type" : "keyword"
910.                 },
911.                 "platform" : {
912.                   "ignore_above" : 1024,
913.                   "type" : "keyword"
914.                 },
915.                 "full" : {
916.                   "ignore_above" : 1024,
917.                   "fields" : {
918.                     "text" : {
919.                       "norms" : false,
920.                       "type" : "text"
921.                     }
922.                   },
923.                   "type" : "keyword"
924.                 }
925.               }
926.             },
927.             "ip" : {
928.               "type" : "ip"
929.             },
930.             "serial_number" : {
931.               "ignore_above" : 1024,
932.               "type" : "keyword"
933.             },
934.             "type" : {
935.               "ignore_above" : 1024,
936.               "type" : "keyword"
937.             },
938.             "version" : {
939.               "ignore_above" : 1024,
940.               "type" : "keyword"
941.             },
942.             "mac" : {
943.               "ignore_above" : 1024,
944.               "type" : "keyword"
945.             },
946.             "egress" : {
947.               "type" : "object",
948.               "properties" : {
949.                 "vlan" : {
950.                   "properties" : {
951.                     "name" : {
952.                       "ignore_above" : 1024,
953.                       "type" : "keyword"
954.                     },
955.                     "id" : {
956.                       "ignore_above" : 1024,
957.                       "type" : "keyword"
958.                     }
959.                   }
960.                 },
961.                 "zone" : {
962.                   "ignore_above" : 1024,
963.                   "type" : "keyword"
964.                 },
965.                 "interface" : {
966.                   "properties" : {
967.                     "name" : {
968.                       "ignore_above" : 1024,
969.                       "type" : "keyword"
970.                     },
971.                     "alias" : {
972.                       "ignore_above" : 1024,
973.                       "type" : "keyword"
974.                     },
975.                     "id" : {
976.                       "ignore_above" : 1024,
977.                       "type" : "keyword"
978.                     }
979.                   }
980.                 }
981.               }
982.             },
983.             "geo" : {
984.               "properties" : {
985.                 "continent_name" : {
986.                   "ignore_above" : 1024,
987.                   "type" : "keyword"
988.                 },
989.                 "region_iso_code" : {
990.                   "ignore_above" : 1024,
991.                   "type" : "keyword"
992.                 },
993.                 "city_name" : {
994.                   "ignore_above" : 1024,
995.                   "type" : "keyword"
996.                 },
997.                 "country_iso_code" : {
998.                   "ignore_above" : 1024,
999.                   "type" : "keyword"
1000.                 },
1001.                 "country_name" : {
1002.                   "ignore_above" : 1024,
1003.                   "type" : "keyword"
1004.                 },
1005.                 "name" : {
1006.                   "ignore_above" : 1024,
1007.                   "type" : "keyword"
1008.                 },
1009.                 "location" : {
1010.                   "type" : "geo_point"
1011.                 },
1012.                 "region_name" : {
1013.                   "ignore_above" : 1024,
1014.                   "type" : "keyword"
1015.                 }
1016.               }
1017.             },
1018.             "ingress" : {
1019.               "type" : "object",
1020.               "properties" : {
1021.                 "vlan" : {
1022.                   "properties" : {
1023.                     "name" : {
1024.                       "ignore_above" : 1024,
1025.                       "type" : "keyword"
1026.                     },
1027.                     "id" : {
1028.                       "ignore_above" : 1024,
1029.                       "type" : "keyword"
1030.                     }
1031.                   }
1032.                 },
1033.                 "zone" : {
1034.                   "ignore_above" : 1024,
1035.                   "type" : "keyword"
1036.                 },
1037.                 "interface" : {
1038.                   "properties" : {
1039.                     "name" : {
1040.                       "ignore_above" : 1024,
1041.                       "type" : "keyword"
1042.                     },
1043.                     "alias" : {
1044.                       "ignore_above" : 1024,
1045.                       "type" : "keyword"
1046.                     },
1047.                     "id" : {
1048.                       "ignore_above" : 1024,
1049.                       "type" : "keyword"
1050.                     }
1051.                   }
1052.                 }
1053.               }
1054.             },
1055.             "hostname" : {
1056.               "ignore_above" : 1024,
1057.               "type" : "keyword"
1058.             },
1059.             "vendor" : {
1060.               "ignore_above" : 1024,
1061.               "type" : "keyword"
1062.             },
1063.             "name" : {
1064.               "ignore_above" : 1024,
1065.               "type" : "keyword"
1066.             }
1067.           }
1068.         },
1069.         "trace" : {
1070.           "properties" : {
1071.             "id" : {
1072.               "ignore_above" : 1024,
1073.               "type" : "keyword"
1074.             }
1075.           }
1076.         },
1077.         "file" : {
1078.           "properties" : {
1079.             "owner" : {
1080.               "ignore_above" : 1024,
1081.               "type" : "keyword"
1082.             },
1083.             "extension" : {
1084.               "ignore_above" : 1024,
1085.               "type" : "keyword"
1086.             },
1087.             "gid" : {
1088.               "ignore_above" : 1024,
1089.               "type" : "keyword"
1090.             },
1091.             "drive_letter" : {
1092.               "ignore_above" : 1,
1093.               "type" : "keyword"
1094.             },
1095.             "created" : {
1096.               "type" : "date"
1097.             },
1098.             "accessed" : {
1099.               "type" : "date"
1100.             },
1101.             "mtime" : {
1102.               "type" : "date"
1103.             },
1104.             "type" : {
1105.               "ignore_above" : 1024,
1106.               "type" : "keyword"
1107.             },
1108.             "directory" : {
1109.               "ignore_above" : 1024,
1110.               "type" : "keyword"
1111.             },
1112.             "target_path" : {
1113.               "ignore_above" : 1024,
1114.               "fields" : {
1115.                 "text" : {
1116.                   "norms" : false,
1117.                   "type" : "text"
1118.                 }
1119.               },
1120.               "type" : "keyword"
1121.             },
1122.             "inode" : {
1123.               "ignore_above" : 1024,
1124.               "type" : "keyword"
1125.             },
1126.             "mode" : {
1127.               "ignore_above" : 1024,
1128.               "type" : "keyword"
1129.             },
1130.             "path" : {
1131.               "ignore_above" : 1024,
1132.               "fields" : {
1133.                 "text" : {
1134.                   "norms" : false,
1135.                   "type" : "text"
1136.                 }
1137.               },
1138.               "type" : "keyword"
1139.             },
1140.             "uid" : {
1141.               "ignore_above" : 1024,
1142.               "type" : "keyword"
1143.             },
1144.             "code_signature" : {
1145.               "properties" : {
1146.                 "valid" : {
1147.                   "type" : "boolean"
1148.                 },
1149.                 "trusted" : {
1150.                   "type" : "boolean"
1151.                 },
1152.                 "subject_name" : {
1153.                   "ignore_above" : 1024,
1154.                   "type" : "keyword"
1155.                 },
1156.                 "exists" : {
1157.                   "type" : "boolean"
1158.                 },
1159.                 "status" : {
1160.                   "ignore_above" : 1024,
1161.                   "type" : "keyword"
1162.                 }
1163.               }
1164.             },
1165.             "size" : {
1166.               "type" : "long"
1167.             },
1168.             "mime_type" : {
1169.               "ignore_above" : 1024,
1170.               "type" : "keyword"
1171.             },
1172.             "pe" : {
1173.               "properties" : {
1174.                 "file_version" : {
1175.                   "ignore_above" : 1024,
1176.                   "type" : "keyword"
1177.                 },
1178.                 "product" : {
1179.                   "ignore_above" : 1024,
1180.                   "type" : "keyword"
1181.                 },
1182.                 "description" : {
1183.                   "ignore_above" : 1024,
1184.                   "type" : "keyword"
1185.                 },
1186.                 "company" : {
1187.                   "ignore_above" : 1024,
1188.                   "type" : "keyword"
1189.                 },
1190.                 "original_file_name" : {
1191.                   "ignore_above" : 1024,
1192.                   "type" : "keyword"
1193.                 }
1194.               }
1195.             },
1196.             "name" : {
1197.               "ignore_above" : 1024,
1198.               "type" : "keyword"
1199.             },
1200.             "ctime" : {
1201.               "type" : "date"
1202.             },
1203.             "attributes" : {
1204.               "ignore_above" : 1024,
1205.               "type" : "keyword"
1206.             },
1207.             "device" : {
1208.               "ignore_above" : 1024,
1209.               "type" : "keyword"
1210.             },
1211.             "hash" : {
1212.               "properties" : {
1213.                 "sha1" : {
1214.                   "ignore_above" : 1024,
1215.                   "type" : "keyword"
1216.                 },
1217.                 "sha256" : {
1218.                   "ignore_above" : 1024,
1219.                   "type" : "keyword"
1220.                 },
1221.                 "sha512" : {
1222.                   "ignore_above" : 1024,
1223.                   "type" : "keyword"
1224.                 },
1225.                 "md5" : {
1226.                   "ignore_above" : 1024,
1227.                   "type" : "keyword"
1228.                 }
1229.               }
1230.             },
1231.             "group" : {
1232.               "ignore_above" : 1024,
1233.               "type" : "keyword"
1234.             }
1235.           }
1236.         },
1237.         "code_signature" : {
1238.           "properties" : {
1239.             "valid" : {
1240.               "type" : "boolean"
1241.             },
1242.             "trusted" : {
1243.               "type" : "boolean"
1244.             },
1245.             "subject_name" : {
1246.               "ignore_above" : 1024,
1247.               "type" : "keyword"
1248.             },
1249.             "exists" : {
1250.               "type" : "boolean"
1251.             },
1252.             "status" : {
1253.               "ignore_above" : 1024,
1254.               "type" : "keyword"
1255.             }
1256.           }
1257.         },
1258.         "ecs" : {
1259.           "properties" : {
1260.             "version" : {
1261.               "ignore_above" : 1024,
1262.               "type" : "keyword"
1263.             }
1264.           }
1265.         },
1266.         "related" : {
1267.           "properties" : {
1268.             "ip" : {
1269.               "type" : "ip"
1270.             },
1271.             "user" : {
1272.               "ignore_above" : 1024,
1273.               "type" : "keyword"
1274.             },
1275.             "hash" : {
1276.               "ignore_above" : 1024,
1277.               "type" : "keyword"
1278.             }
1279.           }
1280.         },
1281.         "vlan" : {
1282.           "properties" : {
1283.             "name" : {
1284.               "ignore_above" : 1024,
1285.               "type" : "keyword"
1286.             },
1287.             "id" : {
1288.               "ignore_above" : 1024,
1289.               "type" : "keyword"
1290.             }
1291.           }
1292.         },
1293.         "host" : {
1294.           "properties" : {
1295.             "geo" : {
1296.               "properties" : {
1297.                 "continent_name" : {
1298.                   "ignore_above" : 1024,
1299.                   "type" : "keyword"
1300.                 },
1301.                 "region_iso_code" : {
1302.                   "ignore_above" : 1024,
1303.                   "type" : "keyword"
1304.                 },
1305.                 "city_name" : {
1306.                   "ignore_above" : 1024,
1307.                   "type" : "keyword"
1308.                 },
1309.                 "country_iso_code" : {
1310.                   "ignore_above" : 1024,
1311.                   "type" : "keyword"
1312.                 },
1313.                 "country_name" : {
1314.                   "ignore_above" : 1024,
1315.                   "type" : "keyword"
1316.                 },
1317.                 "name" : {
1318.                   "ignore_above" : 1024,
1319.                   "type" : "keyword"
1320.                 },
1321.                 "location" : {
1322.                   "type" : "geo_point"
1323.                 },
1324.                 "region_name" : {
1325.                   "ignore_above" : 1024,
1326.                   "type" : "keyword"
1327.                 }
1328.               }
1329.             },
1330.             "hostname" : {
1331.               "ignore_above" : 1024,
1332.               "type" : "keyword"
1333.             },
1334.             "os" : {
1335.               "properties" : {
1336.                 "kernel" : {
1337.                   "ignore_above" : 1024,
1338.                   "type" : "keyword"
1339.                 },
1340.                 "name" : {
1341.                   "ignore_above" : 1024,
1342.                   "fields" : {
1343.                     "text" : {
1344.                       "norms" : false,
1345.                       "type" : "text"
1346.                     }
1347.                   },
1348.                   "type" : "keyword"
1349.                 },
1350.                 "family" : {
1351.                   "ignore_above" : 1024,
1352.                   "type" : "keyword"
1353.                 },
1354.                 "version" : {
1355.                   "ignore_above" : 1024,
1356.                   "type" : "keyword"
1357.                 },
1358.                 "platform" : {
1359.                   "ignore_above" : 1024,
1360.                   "type" : "keyword"
1361.                 },
1362.                 "full" : {
1363.                   "ignore_above" : 1024,
1364.                   "fields" : {
1365.                     "text" : {
1366.                       "norms" : false,
1367.                       "type" : "text"
1368.                     }
1369.                   },
1370.                   "type" : "keyword"
1371.                 }
1372.               }
1373.             },
1374.             "domain" : {
1375.               "ignore_above" : 1024,
1376.               "type" : "keyword"
1377.             },
1378.             "ip" : {
1379.               "type" : "ip"
1380.             },
1381.             "name" : {
1382.               "ignore_above" : 1024,
1383.               "type" : "keyword"
1384.             },
1385.             "id" : {
1386.               "ignore_above" : 1024,
1387.               "type" : "keyword"
1388.             },
1389.             "type" : {
1390.               "ignore_above" : 1024,
1391.               "type" : "keyword"
1392.             },
1393.             "user" : {
1394.               "properties" : {
1395.                 "full_name" : {
1396.                   "ignore_above" : 1024,
1397.                   "fields" : {
1398.                     "text" : {
1399.                       "norms" : false,
1400.                       "type" : "text"
1401.                     }
1402.                   },
1403.                   "type" : "keyword"
1404.                 },
1405.                 "domain" : {
1406.                   "ignore_above" : 1024,
1407.                   "type" : "keyword"
1408.                 },
1409.                 "name" : {
1410.                   "ignore_above" : 1024,
1411.                   "fields" : {
1412.                     "text" : {
1413.                       "norms" : false,
1414.                       "type" : "text"
1415.                     }
1416.                   },
1417.                   "type" : "keyword"
1418.                 },
1419.                 "id" : {
1420.                   "ignore_above" : 1024,
1421.                   "type" : "keyword"
1422.                 },
1423.                 "email" : {
1424.                   "ignore_above" : 1024,
1425.                   "type" : "keyword"
1426.                 },
1427.                 "hash" : {
1428.                   "ignore_above" : 1024,
1429.                   "type" : "keyword"
1430.                 },
1431.                 "group" : {
1432.                   "properties" : {
1433.                     "domain" : {
1434.                       "ignore_above" : 1024,
1435.                       "type" : "keyword"
1436.                     },
1437.                     "name" : {
1438.                       "ignore_above" : 1024,
1439.                       "type" : "keyword"
1440.                     },
1441.                     "id" : {
1442.                       "ignore_above" : 1024,
1443.                       "type" : "keyword"
1444.                     }
1445.                   }
1446.                 }
1447.               }
1448.             },
1449.             "mac" : {
1450.               "ignore_above" : 1024,
1451.               "type" : "keyword"
1452.             },
1453.             "architecture" : {
1454.               "ignore_above" : 1024,
1455.               "type" : "keyword"
1456.             },
1457.             "uptime" : {
1458.               "type" : "long"
1459.             }
1460.           }
1461.         },
1462.         "client" : {
1463.           "properties" : {
1464.             "nat" : {
1465.               "properties" : {
1466.                 "port" : {
1467.                   "type" : "long"
1468.                 },
1469.                 "ip" : {
1470.                   "type" : "ip"
1471.                 }
1472.               }
1473.             },
1474.             "address" : {
1475.               "ignore_above" : 1024,
1476.               "type" : "keyword"
1477.             },
1478.             "top_level_domain" : {
1479.               "ignore_above" : 1024,
1480.               "type" : "keyword"
1481.             },
1482.             "ip" : {
1483.               "type" : "ip"
1484.             },
1485.             "mac" : {
1486.               "ignore_above" : 1024,
1487.               "type" : "keyword"
1488.             },
1489.             "packets" : {
1490.               "type" : "long"
1491.             },
1492.             "geo" : {
1493.               "properties" : {
1494.                 "continent_name" : {
1495.                   "ignore_above" : 1024,
1496.                   "type" : "keyword"
1497.                 },
1498.                 "region_iso_code" : {
1499.                   "ignore_above" : 1024,
1500.                   "type" : "keyword"
1501.                 },
1502.                 "city_name" : {
1503.                   "ignore_above" : 1024,
1504.                   "type" : "keyword"
1505.                 },
1506.                 "country_iso_code" : {
1507.                   "ignore_above" : 1024,
1508.                   "type" : "keyword"
1509.                 },
1510.                 "country_name" : {
1511.                   "ignore_above" : 1024,
1512.                   "type" : "keyword"
1513.                 },
1514.                 "name" : {
1515.                   "ignore_above" : 1024,
1516.                   "type" : "keyword"
1517.                 },
1518.                 "location" : {
1519.                   "type" : "geo_point"
1520.                 },
1521.                 "region_name" : {
1522.                   "ignore_above" : 1024,
1523.                   "type" : "keyword"
1524.                 }
1525.               }
1526.             },
1527.             "as" : {
1528.               "properties" : {
1529.                 "number" : {
1530.                   "type" : "long"
1531.                 },
1532.                 "organization" : {
1533.                   "properties" : {
1534.                     "name" : {
1535.                       "ignore_above" : 1024,
1536.                       "fields" : {
1537.                         "text" : {
1538.                           "norms" : false,
1539.                           "type" : "text"
1540.                         }
1541.                       },
1542.                       "type" : "keyword"
1543.                     }
1544.                   }
1545.                 }
1546.               }
1547.             },
1548.             "registered_domain" : {
1549.               "ignore_above" : 1024,
1550.               "type" : "keyword"
1551.             },
1552.             "port" : {
1553.               "type" : "long"
1554.             },
1555.             "bytes" : {
1556.               "type" : "long"
1557.             },
1558.             "domain" : {
1559.               "ignore_above" : 1024,
1560.               "type" : "keyword"
1561.             },
1562.             "user" : {
1563.               "properties" : {
1564.                 "full_name" : {
1565.                   "ignore_above" : 1024,
1566.                   "fields" : {
1567.                     "text" : {
1568.                       "norms" : false,
1569.                       "type" : "text"
1570.                     }
1571.                   },
1572.                   "type" : "keyword"
1573.                 },
1574.                 "domain" : {
1575.                   "ignore_above" : 1024,
1576.                   "type" : "keyword"
1577.                 },
1578.                 "name" : {
1579.                   "ignore_above" : 1024,
1580.                   "fields" : {
1581.                     "text" : {
1582.                       "norms" : false,
1583.                       "type" : "text"
1584.                     }
1585.                   },
1586.                   "type" : "keyword"
1587.                 },
1588.                 "id" : {
1589.                   "ignore_above" : 1024,
1590.                   "type" : "keyword"
1591.                 },
1592.                 "email" : {
1593.                   "ignore_above" : 1024,
1594.                   "type" : "keyword"
1595.                 },
1596.                 "hash" : {
1597.                   "ignore_above" : 1024,
1598.                   "type" : "keyword"
1599.                 },
1600.                 "group" : {
1601.                   "properties" : {
1602.                     "domain" : {
1603.                       "ignore_above" : 1024,
1604.                       "type" : "keyword"
1605.                     },
1606.                     "name" : {
1607.                       "ignore_above" : 1024,
1608.                       "type" : "keyword"
1609.                     },
1610.                     "id" : {
1611.                       "ignore_above" : 1024,
1612.                       "type" : "keyword"
1613.                     }
1614.                   }
1615.                 }
1616.               }
1617.             }
1618.           }
1619.         },
1620.         "event" : {
1621.           "properties" : {
1622.             "severity" : {
1623.               "type" : "long"
1624.             },
1625.             "code" : {
1626.               "ignore_above" : 1024,
1627.               "type" : "keyword"
1628.             },
1629.             "original" : {
1630.               "ignore_above" : 1024,
1631.               "index" : false,
1632.               "type" : "keyword",
1633.               "doc_values" : false
1634.             },
1635.             "risk_score" : {
1636.               "type" : "float"
1637.             },
1638.             "created" : {
1639.               "type" : "date"
1640.             },
1641.             "kind" : {
1642.               "ignore_above" : 1024,
1643.               "type" : "keyword"
1644.             },
1645.             "timezone" : {
1646.               "ignore_above" : 1024,
1647.               "type" : "keyword"
1648.             },
1649.             "module" : {
1650.               "ignore_above" : 1024,
1651.               "type" : "keyword"
1652.             },
1653.             "start" : {
1654.               "type" : "date"
1655.             },
1656.             "type" : {
1657.               "ignore_above" : 1024,
1658.               "type" : "keyword"
1659.             },
1660.             "url" : {
1661.               "ignore_above" : 1024,
1662.               "type" : "keyword"
1663.             },
1664.             "duration" : {
1665.               "type" : "long"
1666.             },
1667.             "reference" : {
1668.               "ignore_above" : 1024,
1669.               "type" : "keyword"
1670.             },
1671.             "sequence" : {
1672.               "type" : "long"
1673.             },
1674.             "ingested" : {
1675.               "type" : "date"
1676.             },
1677.             "provider" : {
1678.               "ignore_above" : 1024,
1679.               "type" : "keyword"
1680.             },
1681.             "risk_score_norm" : {
1682.               "type" : "float"
1683.             },
1684.             "action" : {
1685.               "ignore_above" : 1024,
1686.               "type" : "keyword"
1687.             },
1688.             "end" : {
1689.               "type" : "date"
1690.             },
1691.             "id" : {
1692.               "ignore_above" : 1024,
1693.               "type" : "keyword"
1694.             },
1695.             "category" : {
1696.               "ignore_above" : 1024,
1697.               "type" : "keyword"
1698.             },
1699.             "dataset" : {
1700.               "ignore_above" : 1024,
1701.               "type" : "keyword"
1702.             },
1703.             "hash" : {
1704.               "ignore_above" : 1024,
1705.               "type" : "keyword"
1706.             },
1707.             "outcome" : {
1708.               "ignore_above" : 1024,
1709.               "type" : "keyword"
1710.             }
1711.           }
1712.         },
1713.         "user_agent" : {
1714.           "properties" : {
1715.             "original" : {
1716.               "ignore_above" : 1024,
1717.               "fields" : {
1718.                 "text" : {
1719.                   "norms" : false,
1720.                   "type" : "text"
1721.                 }
1722.               },
1723.               "type" : "keyword"
1724.             },
1725.             "os" : {
1726.               "properties" : {
1727.                 "kernel" : {
1728.                   "ignore_above" : 1024,
1729.                   "type" : "keyword"
1730.                 },
1731.                 "name" : {
1732.                   "ignore_above" : 1024,
1733.                   "fields" : {
1734.                     "text" : {
1735.                       "norms" : false,
1736.                       "type" : "text"
1737.                     }
1738.                   },
1739.                   "type" : "keyword"
1740.                 },
1741.                 "family" : {
1742.                   "ignore_above" : 1024,
1743.                   "type" : "keyword"
1744.                 },
1745.                 "version" : {
1746.                   "ignore_above" : 1024,
1747.                   "type" : "keyword"
1748.                 },
1749.                 "platform" : {
1750.                   "ignore_above" : 1024,
1751.                   "type" : "keyword"
1752.                 },
1753.                 "full" : {
1754.                   "ignore_above" : 1024,
1755.                   "fields" : {
1756.                     "text" : {
1757.                       "norms" : false,
1758.                       "type" : "text"
1759.                     }
1760.                   },
1761.                   "type" : "keyword"
1762.                 }
1763.               }
1764.             },
1765.             "name" : {
1766.               "ignore_above" : 1024,
1767.               "type" : "keyword"
1768.             },
1769.             "device" : {
1770.               "properties" : {
1771.                 "name" : {
1772.                   "ignore_above" : 1024,
1773.                   "type" : "keyword"
1774.                 }
1775.               }
1776.             },
1777.             "version" : {
1778.               "ignore_above" : 1024,
1779.               "type" : "keyword"
1780.             }
1781.           }
1782.         },
1783.         "timestamp" : {
1784.           "type" : "date"
1785.         },
1786.         "group" : {
1787.           "properties" : {
1788.             "domain" : {
1789.               "ignore_above" : 1024,
1790.               "type" : "keyword"
1791.             },
1792.             "name" : {
1793.               "ignore_above" : 1024,
1794.               "type" : "keyword"
1795.             },
1796.             "id" : {
1797.               "ignore_above" : 1024,
1798.               "type" : "keyword"
1799.             }
1800.           }
1801.         },
1802.         "registry" : {
1803.           "properties" : {
1804.             "hive" : {
1805.               "ignore_above" : 1024,
1806.               "type" : "keyword"
1807.             },
1808.             "path" : {
1809.               "ignore_above" : 1024,
1810.               "type" : "keyword"
1811.             },
1812.             "data" : {
1813.               "properties" : {
1814.                 "strings" : {
1815.                   "ignore_above" : 1024,
1816.                   "type" : "keyword"
1817.                 },
1818.                 "bytes" : {
1819.                   "ignore_above" : 1024,
1820.                   "type" : "keyword"
1821.                 },
1822.                 "type" : {
1823.                   "ignore_above" : 1024,
1824.                   "type" : "keyword"
1825.                 }
1826.               }
1827.             },
1828.             "value" : {
1829.               "ignore_above" : 1024,
1830.               "type" : "keyword"
1831.             },
1832.             "key" : {
1833.               "ignore_above" : 1024,
1834.               "type" : "keyword"
1835.             }
1836.           }
1837.         },
1838.         "process" : {
1839.           "properties" : {
1840.             "parent" : {
1841.               "properties" : {
1842.                 "pgid" : {
1843.                   "type" : "long"
1844.                 },
1845.                 "start" : {
1846.                   "type" : "date"
1847.                 },
1848.                 "pid" : {
1849.                   "type" : "long"
1850.                 },
1851.                 "working_directory" : {
1852.                   "ignore_above" : 1024,
1853.                   "fields" : {
1854.                     "text" : {
1855.                       "norms" : false,
1856.                       "type" : "text"
1857.                     }
1858.                   },
1859.                   "type" : "keyword"
1860.                 },
1861.                 "thread" : {
1862.                   "properties" : {
1863.                     "name" : {
1864.                       "ignore_above" : 1024,
1865.                       "type" : "keyword"
1866.                     },
1867.                     "id" : {
1868.                       "type" : "long"
1869.                     }
1870.                   }
1871.                 },
1872.                 "entity_id" : {
1873.                   "ignore_above" : 1024,
1874.                   "type" : "keyword"
1875.                 },
1876.                 "title" : {
1877.                   "ignore_above" : 1024,
1878.                   "fields" : {
1879.                     "text" : {
1880.                       "norms" : false,
1881.                       "type" : "text"
1882.                     }
1883.                   },
1884.                   "type" : "keyword"
1885.                 },
1886.                 "executable" : {
1887.                   "ignore_above" : 1024,
1888.                   "fields" : {
1889.                     "text" : {
1890.                       "norms" : false,
1891.                       "type" : "text"
1892.                     }
1893.                   },
1894.                   "type" : "keyword"
1895.                 },
1896.                 "ppid" : {
1897.                   "type" : "long"
1898.                 },
1899.                 "uptime" : {
1900.                   "type" : "long"
1901.                 },
1902.                 "args" : {
1903.                   "ignore_above" : 1024,
1904.                   "type" : "keyword"
1905.                 },
1906.                 "code_signature" : {
1907.                   "properties" : {
1908.                     "valid" : {
1909.                       "type" : "boolean"
1910.                     },
1911.                     "trusted" : {
1912.                       "type" : "boolean"
1913.                     },
1914.                     "subject_name" : {
1915.                       "ignore_above" : 1024,
1916.                       "type" : "keyword"
1917.                     },
1918.                     "exists" : {
1919.                       "type" : "boolean"
1920.                     },
1921.                     "status" : {
1922.                       "ignore_above" : 1024,
1923.                       "type" : "keyword"
1924.                     }
1925.                   }
1926.                 },
1927.                 "exit_code" : {
1928.                   "type" : "long"
1929.                 },
1930.                 "name" : {
1931.                   "ignore_above" : 1024,
1932.                   "fields" : {
1933.                     "text" : {
1934.                       "norms" : false,
1935.                       "type" : "text"
1936.                     }
1937.                   },
1938.                   "type" : "keyword"
1939.                 },
1940.                 "args_count" : {
1941.                   "type" : "long"
1942.                 },
1943.                 "command_line" : {
1944.                   "ignore_above" : 1024,
1945.                   "fields" : {
1946.                     "text" : {
1947.                       "norms" : false,
1948.                       "type" : "text"
1949.                     }
1950.                   },
1951.                   "type" : "keyword"
1952.                 },
1953.                 "hash" : {
1954.                   "properties" : {
1955.                     "sha1" : {
1956.                       "ignore_above" : 1024,
1957.                       "type" : "keyword"
1958.                     },
1959.                     "sha256" : {
1960.                       "ignore_above" : 1024,
1961.                       "type" : "keyword"
1962.                     },
1963.                     "sha512" : {
1964.                       "ignore_above" : 1024,
1965.                       "type" : "keyword"
1966.                     },
1967.                     "md5" : {
1968.                       "ignore_above" : 1024,
1969.                       "type" : "keyword"
1970.                     }
1971.                   }
1972.                 }
1973.               }
1974.             },
1975.             "pgid" : {
1976.               "type" : "long"
1977.             },
1978.             "start" : {
1979.               "type" : "date"
1980.             },
1981.             "pid" : {
1982.               "type" : "long"
1983.             },
1984.             "working_directory" : {
1985.               "ignore_above" : 1024,
1986.               "fields" : {
1987.                 "text" : {
1988.                   "norms" : false,
1989.                   "type" : "text"
1990.                 }
1991.               },
1992.               "type" : "keyword"
1993.             },
1994.             "thread" : {
1995.               "properties" : {
1996.                 "name" : {
1997.                   "ignore_above" : 1024,
1998.                   "type" : "keyword"
1999.                 },
2000.                 "id" : {
2001.                   "type" : "long"
2002.                 }
2003.               }
2004.             },
2005.             "entity_id" : {
2006.               "ignore_above" : 1024,
2007.               "type" : "keyword"
2008.             },
2009.             "title" : {
2010.               "ignore_above" : 1024,
2011.               "fields" : {
2012.                 "text" : {
2013.                   "norms" : false,
2014.                   "type" : "text"
2015.                 }
2016.               },
2017.               "type" : "keyword"
2018.             },
2019.             "executable" : {
2020.               "ignore_above" : 1024,
2021.               "fields" : {
2022.                 "text" : {
2023.                   "norms" : false,
2024.                   "type" : "text"
2025.                 }
2026.               },
2027.               "type" : "keyword"
2028.             },
2029.             "ppid" : {
2030.               "type" : "long"
2031.             },
2032.             "uptime" : {
2033.               "type" : "long"
2034.             },
2035.             "args" : {
2036.               "ignore_above" : 1024,
2037.               "type" : "keyword"
2038.             },
2039.             "code_signature" : {
2040.               "properties" : {
2041.                 "valid" : {
2042.                   "type" : "boolean"
2043.                 },
2044.                 "trusted" : {
2045.                   "type" : "boolean"
2046.                 },
2047.                 "subject_name" : {
2048.                   "ignore_above" : 1024,
2049.                   "type" : "keyword"
2050.                 },
2051.                 "exists" : {
2052.                   "type" : "boolean"
2053.                 },
2054.                 "status" : {
2055.                   "ignore_above" : 1024,
2056.                   "type" : "keyword"
2057.                 }
2058.               }
2059.             },
2060.             "pe" : {
2061.               "properties" : {
2062.                 "file_version" : {
2063.                   "ignore_above" : 1024,
2064.                   "type" : "keyword"
2065.                 },
2066.                 "product" : {
2067.                   "ignore_above" : 1024,
2068.                   "type" : "keyword"
2069.                 },
2070.                 "description" : {
2071.                   "ignore_above" : 1024,
2072.                   "type" : "keyword"
2073.                 },
2074.                 "company" : {
2075.                   "ignore_above" : 1024,
2076.                   "type" : "keyword"
2077.                 },
2078.                 "original_file_name" : {
2079.                   "ignore_above" : 1024,
2080.                   "type" : "keyword"
2081.                 }
2082.               }
2083.             },
2084.             "exit_code" : {
2085.               "type" : "long"
2086.             },
2087.             "name" : {
2088.               "ignore_above" : 1024,
2089.               "fields" : {
2090.                 "text" : {
2091.                   "norms" : false,
2092.                   "type" : "text"
2093.                 }
2094.               },
2095.               "type" : "keyword"
2096.             },
2097.             "args_count" : {
2098.               "type" : "long"
2099.             },
2100.             "command_line" : {
2101.               "ignore_above" : 1024,
2102.               "fields" : {
2103.                 "text" : {
2104.                   "norms" : false,
2105.                   "type" : "text"
2106.                 }
2107.               },
2108.               "type" : "keyword"
2109.             },
2110.             "hash" : {
2111.               "properties" : {
2112.                 "sha1" : {
2113.                   "ignore_above" : 1024,
2114.                   "type" : "keyword"
2115.                 },
2116.                 "sha256" : {
2117.                   "ignore_above" : 1024,
2118.                   "type" : "keyword"
2119.                 },
2120.                 "sha512" : {
2121.                   "ignore_above" : 1024,
2122.                   "type" : "keyword"
2123.                 },
2124.                 "md5" : {
2125.                   "ignore_above" : 1024,
2126.                   "type" : "keyword"
2127.                 }
2128.               }
2129.             }
2130.           }
2131.         },
2132.         "package" : {
2133.           "properties" : {
2134.             "installed" : {
2135.               "type" : "date"
2136.             },
2137.             "build_version" : {
2138.               "ignore_above" : 1024,
2139.               "type" : "keyword"
2140.             },
2141.             "description" : {
2142.               "ignore_above" : 1024,
2143.               "type" : "keyword"
2144.             },
2145.             "type" : {
2146.               "ignore_above" : 1024,
2147.               "type" : "keyword"
2148.             },
2149.             "version" : {
2150.               "ignore_above" : 1024,
2151.               "type" : "keyword"
2152.             },
2153.             "reference" : {
2154.               "ignore_above" : 1024,
2155.               "type" : "keyword"
2156.             },
2157.             "license" : {
2158.               "ignore_above" : 1024,
2159.               "type" : "keyword"
2160.             },
2161.             "path" : {
2162.               "ignore_above" : 1024,
2163.               "type" : "keyword"
2164.             },
2165.             "install_scope" : {
2166.               "ignore_above" : 1024,
2167.               "type" : "keyword"
2168.             },
2169.             "size" : {
2170.               "type" : "long"
2171.             },
2172.             "checksum" : {
2173.               "ignore_above" : 1024,
2174.               "type" : "keyword"
2175.             },
2176.             "name" : {
2177.               "ignore_above" : 1024,
2178.               "type" : "keyword"
2179.             },
2180.             "architecture" : {
2181.               "ignore_above" : 1024,
2182.               "type" : "keyword"
2183.             }
2184.           }
2185.         },
2186.         "os" : {
2187.           "properties" : {
2188.             "kernel" : {
2189.               "ignore_above" : 1024,
2190.               "type" : "keyword"
2191.             },
2192.             "name" : {
2193.               "ignore_above" : 1024,
2194.               "fields" : {
2195.                 "text" : {
2196.                   "norms" : false,
2197.                   "type" : "text"
2198.                 }
2199.               },
2200.               "type" : "keyword"
2201.             },
2202.             "family" : {
2203.               "ignore_above" : 1024,
2204.               "type" : "keyword"
2205.             },
2206.             "version" : {
2207.               "ignore_above" : 1024,
2208.               "type" : "keyword"
2209.             },
2210.             "platform" : {
2211.               "ignore_above" : 1024,
2212.               "type" : "keyword"
2213.             },
2214.             "full" : {
2215.               "ignore_above" : 1024,
2216.               "fields" : {
2217.                 "text" : {
2218.                   "norms" : false,
2219.                   "type" : "text"
2220.                 }
2221.               },
2222.               "type" : "keyword"
2223.             }
2224.           }
2225.         },
2226.         "dll" : {
2227.           "properties" : {
2228.             "path" : {
2229.               "ignore_above" : 1024,
2230.               "type" : "keyword"
2231.             },
2232.             "code_signature" : {
2233.               "properties" : {
2234.                 "valid" : {
2235.                   "type" : "boolean"
2236.                 },
2237.                 "trusted" : {
2238.                   "type" : "boolean"
2239.                 },
2240.                 "subject_name" : {
2241.                   "ignore_above" : 1024,
2242.                   "type" : "keyword"
2243.                 },
2244.                 "exists" : {
2245.                   "type" : "boolean"
2246.                 },
2247.                 "status" : {
2248.                   "ignore_above" : 1024,
2249.                   "type" : "keyword"
2250.                 }
2251.               }
2252.             },
2253.             "pe" : {
2254.               "properties" : {
2255.                 "file_version" : {
2256.                   "ignore_above" : 1024,
2257.                   "type" : "keyword"
2258.                 },
2259.                 "product" : {
2260.                   "ignore_above" : 1024,
2261.                   "type" : "keyword"
2262.                 },
2263.                 "description" : {
2264.                   "ignore_above" : 1024,
2265.                   "type" : "keyword"
2266.                 },
2267.                 "company" : {
2268.                   "ignore_above" : 1024,
2269.                   "type" : "keyword"
2270.                 },
2271.                 "original_file_name" : {
2272.                   "ignore_above" : 1024,
2273.                   "type" : "keyword"
2274.                 }
2275.               }
2276.             },
2277.             "name" : {
2278.               "ignore_above" : 1024,
2279.               "type" : "keyword"
2280.             },
2281.             "hash" : {
2282.               "properties" : {
2283.                 "sha1" : {
2284.                   "ignore_above" : 1024,
2285.                   "type" : "keyword"
2286.                 },
2287.                 "sha256" : {
2288.                   "ignore_above" : 1024,
2289.                   "type" : "keyword"
2290.                 },
2291.                 "sha512" : {
2292.                   "ignore_above" : 1024,
2293.                   "type" : "keyword"
2294.                 },
2295.                 "md5" : {
2296.                   "ignore_above" : 1024,
2297.                   "type" : "keyword"
2298.                 }
2299.               }
2300.             }
2301.           }
2302.         },
2303.         "dns" : {
2304.           "properties" : {
2305.             "op_code" : {
2306.               "ignore_above" : 1024,
2307.               "type" : "keyword"
2308.             },
2309.             "resolved_ip" : {
2310.               "type" : "ip"
2311.             },
2312.             "response_code" : {
2313.               "ignore_above" : 1024,
2314.               "type" : "keyword"
2315.             },
2316.             "question" : {
2317.               "properties" : {
2318.                 "registered_domain" : {
2319.                   "ignore_above" : 1024,
2320.                   "type" : "keyword"
2321.                 },
2322.                 "top_level_domain" : {
2323.                   "ignore_above" : 1024,
2324.                   "type" : "keyword"
2325.                 },
2326.                 "name" : {
2327.                   "ignore_above" : 1024,
2328.                   "type" : "keyword"
2329.                 },
2330.                 "subdomain" : {
2331.                   "ignore_above" : 1024,
2332.                   "type" : "keyword"
2333.                 },
2334.                 "type" : {
2335.                   "ignore_above" : 1024,
2336.                   "type" : "keyword"
2337.                 },
2338.                 "class" : {
2339.                   "ignore_above" : 1024,
2340.                   "type" : "keyword"
2341.                 }
2342.               }
2343.             },
2344.             "answers" : {
2345.               "type" : "object",
2346.               "properties" : {
2347.                 "data" : {
2348.                   "ignore_above" : 1024,
2349.                   "type" : "keyword"
2350.                 },
2351.                 "name" : {
2352.                   "ignore_above" : 1024,
2353.                   "type" : "keyword"
2354.                 },
2355.                 "type" : {
2356.                   "ignore_above" : 1024,
2357.                   "type" : "keyword"
2358.                 },
2359.                 "class" : {
2360.                   "ignore_above" : 1024,
2361.                   "type" : "keyword"
2362.                 },
2363.                 "ttl" : {
2364.                   "type" : "long"
2365.                 }
2366.               }
2367.             },
2368.             "header_flags" : {
2369.               "ignore_above" : 1024,
2370.               "type" : "keyword"
2371.             },
2372.             "id" : {
2373.               "ignore_above" : 1024,
2374.               "type" : "keyword"
2375.             },
2376.             "type" : {
2377.               "ignore_above" : 1024,
2378.               "type" : "keyword"
2379.             }
2380.           }
2381.         },
2382.         "vulnerability" : {
2383.           "properties" : {
2384.             "reference" : {
2385.               "ignore_above" : 1024,
2386.               "type" : "keyword"
2387.             },
2388.             "severity" : {
2389.               "ignore_above" : 1024,
2390.               "type" : "keyword"
2391.             },
2392.             "score" : {
2393.               "properties" : {
2394.                 "environmental" : {
2395.                   "type" : "float"
2396.                 },
2397.                 "version" : {
2398.                   "ignore_above" : 1024,
2399.                   "type" : "keyword"
2400.                 },
2401.                 "temporal" : {
2402.                   "type" : "float"
2403.                 },
2404.                 "base" : {
2405.                   "type" : "float"
2406.                 }
2407.               }
2408.             },
2409.             "report_id" : {
2410.               "ignore_above" : 1024,
2411.               "type" : "keyword"
2412.             },
2413.             "scanner" : {
2414.               "properties" : {
2415.                 "vendor" : {
2416.                   "ignore_above" : 1024,
2417.                   "type" : "keyword"
2418.                 }
2419.               }
2420.             },
2421.             "description" : {
2422.               "ignore_above" : 1024,
2423.               "fields" : {
2424.                 "text" : {
2425.                   "norms" : false,
2426.                   "type" : "text"
2427.                 }
2428.               },
2429.               "type" : "keyword"
2430.             },
2431.             "id" : {
2432.               "ignore_above" : 1024,
2433.               "type" : "keyword"
2434.             },
2435.             "category" : {
2436.               "ignore_above" : 1024,
2437.               "type" : "keyword"
2438.             },
2439.             "classification" : {
2440.               "ignore_above" : 1024,
2441.               "type" : "keyword"
2442.             },
2443.             "enumeration" : {
2444.               "ignore_above" : 1024,
2445.               "type" : "keyword"
2446.             }
2447.           }
2448.         },
2449.         "message" : {
2450.           "norms" : false,
2451.           "type" : "text"
2452.         },
2453.         "url" : {
2454.           "properties" : {
2455.             "extension" : {
2456.               "ignore_above" : 1024,
2457.               "type" : "keyword"
2458.             },
2459.             "original" : {
2460.               "ignore_above" : 1024,
2461.               "fields" : {
2462.                 "text" : {
2463.                   "norms" : false,
2464.                   "type" : "text"
2465.                 }
2466.               },
2467.               "type" : "keyword"
2468.             },
2469.             "scheme" : {
2470.               "ignore_above" : 1024,
2471.               "type" : "keyword"
2472.             },
2473.             "top_level_domain" : {
2474.               "ignore_above" : 1024,
2475.               "type" : "keyword"
2476.             },
2477.             "query" : {
2478.               "ignore_above" : 1024,
2479.               "type" : "keyword"
2480.             },
2481.             "path" : {
2482.               "ignore_above" : 1024,
2483.               "type" : "keyword"
2484.             },
2485.             "fragment" : {
2486.               "ignore_above" : 1024,
2487.               "type" : "keyword"
2488.             },
2489.             "password" : {
2490.               "ignore_above" : 1024,
2491.               "type" : "keyword"
2492.             },
2493.             "registered_domain" : {
2494.               "ignore_above" : 1024,
2495.               "type" : "keyword"
2496.             },
2497.             "port" : {
2498.               "type" : "long"
2499.             },
2500.             "domain" : {
2501.               "ignore_above" : 1024,
2502.               "type" : "keyword"
2503.             },
2504.             "full" : {
2505.               "ignore_above" : 1024,
2506.               "fields" : {
2507.                 "text" : {
2508.                   "norms" : false,
2509.                   "type" : "text"
2510.                 }
2511.               },
2512.               "type" : "keyword"
2513.             },
2514.             "username" : {
2515.               "ignore_above" : 1024,
2516.               "type" : "keyword"
2517.             }
2518.           }
2519.         },
2520.         "labels" : {
2521.           "type" : "object"
2522.         },
2523.         "tags" : {
2524.           "ignore_above" : 1024,
2525.           "type" : "keyword"
2526.         },
2527.         "as" : {
2528.           "properties" : {
2529.             "number" : {
2530.               "type" : "long"
2531.             },
2532.             "organization" : {
2533.               "properties" : {
2534.                 "name" : {
2535.                   "ignore_above" : 1024,
2536.                   "fields" : {
2537.                     "text" : {
2538.                       "norms" : false,
2539.                       "type" : "text"
2540.                     }
2541.                   },
2542.                   "type" : "keyword"
2543.                 }
2544.               }
2545.             }
2546.           }
2547.         },
2548.         "@timestamp" : {
2549.           "type" : "date"
2550.         },
2551.         "pe" : {
2552.           "properties" : {
2553.             "file_version" : {
2554.               "ignore_above" : 1024,
2555.               "type" : "keyword"
2556.             },
2557.             "product" : {
2558.               "ignore_above" : 1024,
2559.               "type" : "keyword"
2560.             },
2561.             "description" : {
2562.               "ignore_above" : 1024,
2563.               "type" : "keyword"
2564.             },
2565.             "company" : {
2566.               "ignore_above" : 1024,
2567.               "type" : "keyword"
2568.             },
2569.             "original_file_name" : {
2570.               "ignore_above" : 1024,
2571.               "type" : "keyword"
2572.             }
2573.           }
2574.         },
2575.         "service" : {
2576.           "properties" : {
2577.             "node" : {
2578.               "properties" : {
2579.                 "name" : {
2580.                   "ignore_above" : 1024,
2581.                   "type" : "keyword"
2582.                 }
2583.               }
2584.             },
2585.             "name" : {
2586.               "ignore_above" : 1024,
2587.               "type" : "keyword"
2588.             },
2589.             "id" : {
2590.               "ignore_above" : 1024,
2591.               "type" : "keyword"
2592.             },
2593.             "state" : {
2594.               "ignore_above" : 1024,
2595.               "type" : "keyword"
2596.             },
2597.             "ephemeral_id" : {
2598.               "ignore_above" : 1024,
2599.               "type" : "keyword"
2600.             },
2601.             "type" : {
2602.               "ignore_above" : 1024,
2603.               "type" : "keyword"
2604.             },
2605.             "version" : {
2606.               "ignore_above" : 1024,
2607.               "type" : "keyword"
2608.             }
2609.           }
2610.         },
2611.         "organization" : {
2612.           "properties" : {
2613.             "name" : {
2614.               "ignore_above" : 1024,
2615.               "fields" : {
2616.                 "text" : {
2617.                   "norms" : false,
2618.                   "type" : "text"
2619.                 }
2620.               },
2621.               "type" : "keyword"
2622.             },
2623.             "id" : {
2624.               "ignore_above" : 1024,
2625.               "type" : "keyword"
2626.             }
2627.           }
2628.         },
2629.         "http" : {
2630.           "properties" : {
2631.             "request" : {
2632.               "properties" : {
2633.                 "referrer" : {
2634.                   "ignore_above" : 1024,
2635.                   "type" : "keyword"
2636.                 },
2637.                 "method" : {
2638.                   "ignore_above" : 1024,
2639.                   "type" : "keyword"
2640.                 },
2641.                 "bytes" : {
2642.                   "type" : "long"
2643.                 },
2644.                 "body" : {
2645.                   "properties" : {
2646.                     "bytes" : {
2647.                       "type" : "long"
2648.                     },
2649.                     "content" : {
2650.                       "ignore_above" : 1024,
2651.                       "fields" : {
2652.                         "text" : {
2653.                           "norms" : false,
2654.                           "type" : "text"
2655.                         }
2656.                       },
2657.                       "type" : "keyword"
2658.                     }
2659.                   }
2660.                 }
2661.               }
2662.             },
2663.             "response" : {
2664.               "properties" : {
2665.                 "status_code" : {
2666.                   "type" : "long"
2667.                 },
2668.                 "bytes" : {
2669.                   "type" : "long"
2670.                 },
2671.                 "body" : {
2672.                   "properties" : {
2673.                     "bytes" : {
2674.                       "type" : "long"
2675.                     },
2676.                     "content" : {
2677.                       "ignore_above" : 1024,
2678.                       "fields" : {
2679.                         "text" : {
2680.                           "norms" : false,
2681.                           "type" : "text"
2682.                         }
2683.                       },
2684.                       "type" : "keyword"
2685.                     }
2686.                   }
2687.                 }
2688.               }
2689.             },
2690.             "version" : {
2691.               "ignore_above" : 1024,
2692.               "type" : "keyword"
2693.             }
2694.           }
2695.         },
2696.         "tls" : {
2697.           "properties" : {
2698.             "cipher" : {
2699.               "ignore_above" : 1024,
2700.               "type" : "keyword"
2701.             },
2702.             "established" : {
2703.               "type" : "boolean"
2704.             },
2705.             "server" : {
2706.               "properties" : {
2707.                 "not_after" : {
2708.                   "type" : "date"
2709.                 },
2710.                 "ja3s" : {
2711.                   "ignore_above" : 1024,
2712.                   "type" : "keyword"
2713.                 },
2714.                 "not_before" : {
2715.                   "type" : "date"
2716.                 },
2717.                 "subject" : {
2718.                   "ignore_above" : 1024,
2719.                   "type" : "keyword"
2720.                 },
2721.                 "certificate" : {
2722.                   "ignore_above" : 1024,
2723.                   "type" : "keyword"
2724.                 },
2725.                 "certificate_chain" : {
2726.                   "ignore_above" : 1024,
2727.                   "type" : "keyword"
2728.                 },
2729.                 "hash" : {
2730.                   "properties" : {
2731.                     "sha1" : {
2732.                       "ignore_above" : 1024,
2733.                       "type" : "keyword"
2734.                     },
2735.                     "sha256" : {
2736.                       "ignore_above" : 1024,
2737.                       "type" : "keyword"
2738.                     },
2739.                     "md5" : {
2740.                       "ignore_above" : 1024,
2741.                       "type" : "keyword"
2742.                     }
2743.                   }
2744.                 },
2745.                 "issuer" : {
2746.                   "ignore_above" : 1024,
2747.                   "type" : "keyword"
2748.                 }
2749.               }
2750.             },
2751.             "curve" : {
2752.               "ignore_above" : 1024,
2753.               "type" : "keyword"
2754.             },
2755.             "client" : {
2756.               "properties" : {
2757.                 "not_after" : {
2758.                   "type" : "date"
2759.                 },
2760.                 "server_name" : {
2761.                   "ignore_above" : 1024,
2762.                   "type" : "keyword"
2763.                 },
2764.                 "not_before" : {
2765.                   "type" : "date"
2766.                 },
2767.                 "subject" : {
2768.                   "ignore_above" : 1024,
2769.                   "type" : "keyword"
2770.                 },
2771.                 "supported_ciphers" : {
2772.                   "ignore_above" : 1024,
2773.                   "type" : "keyword"
2774.                 },
2775.                 "certificate" : {
2776.                   "ignore_above" : 1024,
2777.                   "type" : "keyword"
2778.                 },
2779.                 "ja3" : {
2780.                   "ignore_above" : 1024,
2781.                   "type" : "keyword"
2782.                 },
2783.                 "certificate_chain" : {
2784.                   "ignore_above" : 1024,
2785.                   "type" : "keyword"
2786.                 },
2787.                 "hash" : {
2788.                   "properties" : {
2789.                     "sha1" : {
2790.                       "ignore_above" : 1024,
2791.                       "type" : "keyword"
2792.                     },
2793.                     "sha256" : {
2794.                       "ignore_above" : 1024,
2795.                       "type" : "keyword"
2796.                     },
2797.                     "md5" : {
2798.                       "ignore_above" : 1024,
2799.                       "type" : "keyword"
2800.                     }
2801.                   }
2802.                 },
2803.                 "issuer" : {
2804.                   "ignore_above" : 1024,
2805.                   "type" : "keyword"
2806.                 }
2807.               }
2808.             },
2809.             "next_protocol" : {
2810.               "ignore_above" : 1024,
2811.               "type" : "keyword"
2812.             },
2813.             "resumed" : {
2814.               "type" : "boolean"
2815.             },
2816.             "version" : {
2817.               "ignore_above" : 1024,
2818.               "type" : "keyword"
2819.             },
2820.             "version_protocol" : {
2821.               "ignore_above" : 1024,
2822.               "type" : "keyword"
2823.             }
2824.           }
2825.         },
2826.         "threat" : {
2827.           "properties" : {
2828.             "framework" : {
2829.               "ignore_above" : 1024,
2830.               "type" : "keyword"
2831.             },
2832.             "technique" : {
2833.               "properties" : {
2834.                 "reference" : {
2835.                   "ignore_above" : 1024,
2836.                   "type" : "keyword"
2837.                 },
2838.                 "name" : {
2839.                   "ignore_above" : 1024,
2840.                   "fields" : {
2841.                     "text" : {
2842.                       "norms" : false,
2843.                       "type" : "text"
2844.                     }
2845.                   },
2846.                   "type" : "keyword"
2847.                 },
2848.                 "id" : {
2849.                   "ignore_above" : 1024,
2850.                   "type" : "keyword"
2851.                 }
2852.               }
2853.             },
2854.             "tactic" : {
2855.               "properties" : {
2856.                 "reference" : {
2857.                   "ignore_above" : 1024,
2858.                   "type" : "keyword"
2859.                 },
2860.                 "name" : {
2861.                   "ignore_above" : 1024,
2862.                   "type" : "keyword"
2863.                 },
2864.                 "id" : {
2865.                   "ignore_above" : 1024,
2866.                   "type" : "keyword"
2867.                 }
2868.               }
2869.             }
2870.           }
2871.         },
2872.         "user" : {
2873.           "properties" : {
2874.             "full_name" : {
2875.               "ignore_above" : 1024,
2876.               "fields" : {
2877.                 "text" : {
2878.                   "norms" : false,
2879.                   "type" : "text"
2880.                 }
2881.               },
2882.               "type" : "keyword"
2883.             },
2884.             "domain" : {
2885.               "ignore_above" : 1024,
2886.               "type" : "keyword"
2887.             },
2888.             "name" : {
2889.               "ignore_above" : 1024,
2890.               "fields" : {
2891.                 "text" : {
2892.                   "norms" : false,
2893.                   "type" : "text"
2894.                 }
2895.               },
2896.               "type" : "keyword"
2897.             },
2898.             "id" : {
2899.               "ignore_above" : 1024,
2900.               "type" : "keyword"
2901.             },
2902.             "email" : {
2903.               "ignore_above" : 1024,
2904.               "type" : "keyword"
2905.             },
2906.             "hash" : {
2907.               "ignore_above" : 1024,
2908.               "type" : "keyword"
2909.             },
2910.             "group" : {
2911.               "properties" : {
2912.                 "domain" : {
2913.                   "ignore_above" : 1024,
2914.                   "type" : "keyword"
2915.                 },
2916.                 "name" : {
2917.                   "ignore_above" : 1024,
2918.                   "type" : "keyword"
2919.                 },
2920.                 "id" : {
2921.                   "ignore_above" : 1024,
2922.                   "type" : "keyword"
2923.                 }
2924.               }
2925.             }
2926.           }
2927.         },
2928.         "hash" : {
2929.           "properties" : {
2930.             "sha1" : {
2931.               "ignore_above" : 1024,
2932.               "type" : "keyword"
2933.             },
2934.             "sha256" : {
2935.               "ignore_above" : 1024,
2936.               "type" : "keyword"
2937.             },
2938.             "sha512" : {
2939.               "ignore_above" : 1024,
2940.               "type" : "keyword"
2941.             },
2942.             "md5" : {
2943.               "ignore_above" : 1024,
2944.               "type" : "keyword"
2945.             }
2946.           }
2947.         },
2948.         "transaction" : {
2949.           "properties" : {
2950.             "id" : {
2951.               "ignore_above" : 1024,
2952.               "type" : "keyword"
2953.             }
2954.           }
2955.         }
2956.       }
2957.     },
2958.     "aliases" : { }
2959.   }
2960. }
2961.