5.01에서 데이터의 지리적 지도를 만들려고 하는데 Kibana작동하지 않습니다. 사실 geoip.field메뉴에 필요한 것조차 없었어요.
처리되어 logstash탄력적 검색으로 들어가는 IntelMQ에서 데이터를 보내고 있습니다. 수신된 필드에는 다음만 있습니다.source_ip
무엇을 해야 할까요?
답변1
지리 데이터를 에 전달하려면 IP 주소를 참조하는 필드를 처리하는 필터를 elasticsearch만들고 지리 데이터가 포함된 새 필드를 만들어야 합니다 .logstash
이 기사를 바탕으로GeoIP 및 ELK를 사용하여 사용자 위치를 매핑하는 방법은 무엇입니까?
나의 새로운 것들은 /etc/logstash/conf.d다음과 같습니다:
filter {
geoip {
source => "source_ip"
target => "geoip"
database => "/etc/logstash/GeoLiteCity.dat"
add_field => [ "[geoip][coordinates]", "%{[geoip][longitude]}" ]
add_field => [ "[geoip][coordinates]", "%{[geoip][latitude]}" ]
}
mutate {
convert => [ "[geoip][coordinates]", "float"]
}
}
logstash이 로그를 적용한 후에는 재부팅 하고 로그를 주의 깊게 확인해야 합니다 /var/log/logstash.
따라서 최종 결과는 다음과 같습니다.
