<div><br></div><div><div class="gmail_quote"><div dir="ltr" class="gmail_attr">On Sat, Oct 19, 2019 at 1:01 PM Brian Dye &lt;<a href="mailto:brian@corelight.com">brian@corelight.com</a>&gt; wrote:<br></div><blockquote class="gmail_quote" style="margin:0px 0px 0px 0.8ex;border-left-width:1px;border-left-style:solid;padding-left:1ex;border-left-color:rgb(204,204,204)"><div dir="ltr">All,<div><br></div><div>Following up on my brief comments at ZeekWeek, happy to share that we&#39;ve developed a mapping of Zeek fields to the Elastic Common Schema.  It is posted at <a href="https://github.com/corelight/ecs-mapping" target="_blank">https://github.com/corelight/ecs-mapping</a> - looking forward to feedback and of course if there are any issues let us know (big thanks to Richard, cc&#39;d above, for his work as the first deployment!). We&#39;ll work to update this as the ECS revs - there are several field they don&#39;t have in the schema yet. Happy mapping!</div></div></blockquote><div dir="auto"><br></div><div dir="auto">This is great!</div><div dir="auto"><br></div><div dir="auto">The project README notes:</div><div dir="auto"><br></div><div dir="auto">&gt; <span style="font-family:-apple-system,BlinkMacSystemFont,&quot;Segoe UI&quot;,Helvetica,Arial,sans-serif,&quot;Apple Color Emoji&quot;,&quot;Segoe UI Emoji&quot;;font-size:15px;color:rgb(36,41,46)">The mapping can be done using either an ElasticSearch ingest node or directly in Kibana</span></div><div dir="auto"><span style="font-family:-apple-system,BlinkMacSystemFont,&quot;Segoe UI&quot;,Helvetica,Arial,sans-serif,&quot;Apple Color Emoji&quot;,&quot;Segoe UI Emoji&quot;;font-size:15px;color:rgb(36,41,46)"><br></span></div><div dir="auto"><span style="font-family:-apple-system,BlinkMacSystemFont,&quot;Segoe UI&quot;,Helvetica,Arial,sans-serif,&quot;Apple Color Emoji&quot;,&quot;Segoe UI Emoji&quot;;font-size:15px;color:rgb(36,41,46)">For users that ingest and enrich through a Logstash pipeline, how does this apply? (i.e. would they then have to maintain ingestion content in multiple layers)?</span></div><div dir="auto"><span style="font-family:-apple-system,BlinkMacSystemFont,&quot;Segoe UI&quot;,Helvetica,Arial,sans-serif,&quot;Apple Color Emoji&quot;,&quot;Segoe UI Emoji&quot;;font-size:15px;color:rgb(36,41,46)"><br></span></div><blockquote class="gmail_quote" style="margin:0px 0px 0px 0.8ex;border-left-width:1px;border-left-style:solid;padding-left:1ex;border-left-color:rgb(204,204,204)"><div dir="ltr"><div></div></div></blockquote></div></div>-- <br><div dir="ltr" class="gmail_signature" data-smartmail="gmail_signature">Darren Spruell<br><a href="mailto:phatbuckett@gmail.com">phatbuckett@gmail.com</a></div>