2019/07/29 elastic stack geoip(05)

最新推荐文章于 2024-04-03 10:55:33 发布
最新推荐文章于 2024-04-03 10:55:33 发布
阅读量242 收藏
点赞数
分类专栏: 第46 加薪技能-企业级开源日志解决方案ELK实战
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_42227818/article/details/97644706
版权

之前讲的是如何从logstash从不同的数据源读取数据,以及如何使用grok,这样的filter来完成数据的正规化,json化,output配置将书数据输出何处,
logstash是配置将数据如何输出到集群中

除了grok显示正规化,还可以定义每一个对应的名称
filter {
grok {
match => {
“message” => “%{IPORHOST:clientip} [%{HTTPDATE:time}] “%{WORD:verb} %{URIPATHPARAM:request} HTTP/%{NUMBER:httpversion}” %{NUMBER:http_status_code} %{NUMBER:bytes} “(?<http_referer>\S+)” “(?<http_user_agent>\S+)” “(?<http_x_forwarded_for>\S+)””
}
remote_field: message 可以把message移除,只保留分片以后的
}
}

			nginx.remote.ip
			[nginx][remote][ip] 需要这么写来自定义

https://www.elastic.co/guide/en/logstash/current/logstash-config-for-filebeat-modules.html#parsing-apache2在这里插入图片描述input {
beats {
port => 5044
host => “0.0.0.0”
}
}
filter {
if [fileset][module] == “nginx” {
if [fileset][name] == “access” {
grok {
match => { “message” => ["%{IPORHOST:[nginx][access][remote_ip]} - %{DATA:[nginx][access][user_name]} [%{HTTPDATE:[nginx][access][time]}] “%{WORD:[nginx][access][method]} %{DATA:[nginx][access][url]} HTTP/%{NUMBER:[nginx][access][http_version]}” %{NUMBER:[nginx][access][response_code]} %{NUMBER:[nginx][access][body_sent][bytes]} “%{DATA:[nginx][access][referrer]}” “%{DATA:[nginx][access][agent]}”"] }
remove_field => “message”
}
mutate {
add_field => { “read_timestamp” => “%{@timestamp}” }
}
date { filter过滤器 完成日期转换
match => [ “[nginx][access][time]”, “dd/MMM/YYYY:HⓂ️s Z” ]
remove_field => “[nginx][access][time]”
}
useragent {
source => “[nginx][access][agent]”
target => “[nginx][access][user_agent]”
remove_field => “[nginx][access][agent]”
}
geoip {
source => “[nginx][access][remote_ip]” 把原来访问的地址,
target => “[nginx][access][geoip]” 转换成geoip,不是转换,只是新增一个字段,可以下载ip地址库放到geoip
}
}
else if [fileset][name] == “error” {
grok {
match => { “message” => ["%{DATA:[nginx][error][time]} [%{DATA:[nginx][error][level]}] %{NUMBER:[nginx][error][pid]}#%{NUMBER:[nginx][error][tid]}: (*%{NUMBER:[nginx][error][connection_id]} )?%{GREEDYDATA:[nginx][error][message]}"] }
remove_field => “message”
}
mutate {
rename => { “@timestamp” => “read_timestamp” } 完成字段名转换
}
date {
match => [ “[nginx][error][time]”, “YYYY/MM/dd HⓂ️s” ]
remove_field => “[nginx][error][time]”
}
}
}
}
output {
elasticsearch {
hosts => localhost
manage_template => false
index => “%{[@metadata][beat]}-%{[@metadata][version]}-%{+YYYY.MM.dd}”
}
}

https://www.elastic.co/guide/en/logstash/current/plugins-filters-geoip.html
会告诉你去哪里下载库在这里插入图片描述
els1.x版本用1版本,els5.x版本用2版本https://dev.maxmind.com/geoip/geoip2/geolite2/在这里插入图片描述
有精确到国家和城市的,整个文件每隔一段时间就更新,所以要及时更新在这里插入图片描述
数据库应该放在logstash主机上,被geoip来过滤使用在这里插入图片描述
把logstash停止服务,把之前的数据删除在这里插入图片描述
下面需要修改logstash的配置文件
在这里插入图片描述
将来可以输入多个源,然后输出的时候判定 哪个类型往哪里输出
filter {
grok {
match => { “message” => ["%{IPORHOST:[nginx][access][remote_ip]} - %{DATA:[nginx][access][user_name]} [%{HTTPDATE:[nginx
][access][time]}] “%{WORD:[nginx][access][method]} %{DATA:[nginx][access][url]} HTTP/%{NUMBER:[nginx][access][http_version]}
" %{NUMBER:[nginx][access][response_code]} %{NUMBER:[nginx][access][body_sent][bytes]} “%{DATA:[nginx][access][referrer]}” "
%{DATA:[nginx][access][agent]}”"] }
remove_field => “message”
}
date {
match => [ “[nginx][access][time]”, “dd/MMM/YYYY:HⓂ️s Z” ]
remove_field => “[nginx][access][time]”
}
useragent {
source => “[nginx][access][agent]” 客户端浏览器
target => “[nginx][access][user_agent]”
remove_field => “[nginx][access][agent]”
}
geoip {
source => “[nginx][access][remote_ip]”
target => “geoip”
database => “/etc/logstash/GeoLite2-City.mmdb”
}

			}   
			
			output {                                                                                                     
				elasticsearch {                                                                                      
					hosts => ["node1:9200","node2:9200","node3:9200"]                                            
					index => "logstash-ngxaccesslog-%{+YYYY.MM.dd}"                                              
				}                                                                                                    
			}

下载数据库放到目录中,解压展开,展开后是个目录在这里插入图片描述在这里插入图片描述在这里插入图片描述在这里插入图片描述
启动之后正常访问应该会导出到els集群中在这里插入图片描述
基于kibana可以查看信息在这里插入图片描述
试试用x-forward-for伪装地址在这里插入图片描述
现在还都是固定的同一地址在这里插入图片描述
直接写日志试试
在这里插入图片描述在这里插入图片描述
有地址显示在这里插入图片描述
现在就可以添加图在这里插入图片描述在这里插入图片描述在这里插入图片描述
利用柱状图看下,删除在这里插入图片描述
重新创建一次在这里插入图片描述
可能是kibana对之前做了缓存,重启服务在这里插入图片描述
再次生成几行在这里插入图片描述在这里插入图片描述
确实有数据,geoip的解析没有问题在这里插入图片描述
先删除在这里插入图片描述
重新加一个在这里插入图片描述修改配置文件,重新生成索引在这里插入图片描述在这里插入图片描述在这里插入图片描述
之前假入的数据都echo,时间一样,所以显示不出来15分内的在这里插入图片描述在这里插入图片描述
之前假入的数据都echo,时间一样,所以显示不出来15分内的在这里插入图片描述在这里插入图片描述在这里插入图片描述filter {
grok {
match => { “message” => ["%{IPORHOST:[nginx][access][remote_ip]} - %{DATA:[nginx][access][user_name]} [%{HTTPDATE:[nginx
][access][time]}] “%{WORD:[nginx][access][method]} %{DATA:[nginx][access][url]} HTTP/%{NUMBER:[nginx][access][http_version]}
" %{NUMBER:[nginx][access][response_code]} %{NUMBER:[nginx][access][body_sent][bytes]} “%{DATA:[nginx][access][referrer]}” "
%{DATA:[nginx][access][agent]}”"] }
remove_field => “message”
}
date {
match => [ “[nginx][access][time]”, “dd/MMM/YYYY:HⓂ️s Z” ]
remove_field => “[nginx][access][time]”
}
useragent {
source => “[nginx][access][agent]”
target => “[nginx][access][user_agent]”
remove_field => “[nginx][access][agent]”
}
geoip {
source => “[nginx][access][remote_ip]”
target => “geoip”
database => “/etc/logstash/GeoLite2-City.mmdb”
}

			}   
			
			output {                                                                                                     
				elasticsearch {                                                                                      
					hosts => ["node1:9200","node2:9200","node3:9200"]                                            
					index => "logstash-ngxaccesslog-%{+YYYY.MM.dd}"                   
				}                                                                                                    
			}

			注意:
				1、输出的日志文件名必须以“logstash-”开头,方可将geoip.location的type自动设定为"geo_point";
				2、target => "geoip"
			
	除了使用grok filter plugin实现日志输出json化之外,还可以直接配置服务输出为json格式;

修改下日志信息在这里插入图片描述在这里插入图片描述
暂时还是不行在这里插入图片描述
geohash找不到是因为把经纬度的字符串转换成了浮点型,这两个类型需要是geo_point的类型,必须是这种类型,否则识别不了在这里插入图片描述
对logstash创建一个可视化在这里插入图片描述在这里插入图片描述之前可以选择但是不显示,因为生成的索引必须以logstash开头在这里插入图片描述
类型必须是geopoint才能识别在这里插入图片描述
**对应的索引名必须以logstash开头2
2.对应的属性就是geoip_point
**
注意:
1、输出的日志文件名必须以“logstash-”开头,方可将geoip.location的type自动设定为"geo_point";
2、target => "geoip"

除了使用grok filter plugin实现日志输出json化之外,还可以直接配置服务输出为json格式;

调整下日志时间教近的,这些信息可以正常输出在这里插入图片描述在这里插入图片描述
保存一下在这里插入图片描述
每一次日志输出都靠grok日志转换的,事实上可以在nginx直接让日志输出成json格式

除了使用grok filter plugin实现日志输出json化之外,还可以直接配置服务输出为json格式;在这里插入图片描述在这里插入图片描述在这里插入图片描述
可以让直接日志信息输出为json格式,就不用grok进行转换,apache,tomcat,nginx都可以

48N6E
关注
专栏目录
Elastic Stack ELK日志分析平台介绍及使用
AI天才研究院
08-04 1540
18年,Elasticsearch、Logstash、Kibana(ELK)以及Apache Kafka等开源技术在数据处理和日志分析领域广受关注。作为一款开源分布式搜索和分析引擎,Elastic Stack 无疑是最热门的企业级日志解决方案之一。基于它的ELK组件架构可以快速搭建日志分析平台,支持复杂日志检索、提取、分析功能,具备强大的可视化能力,还可以通过RESTful API接口调用或Python客户端进行扩展。ELK是ELK Stack中的最后一环,用于将日志信息实时地收集、存储、分析并呈现给用户。
Elastic Stack 概述
weixin_45880055的博客
04-24 3194
文章目录一、Elastic Stack简介三、elasticsearch四、logstash二、Beats五、kibana六、常见架构 一、Elastic Stack简介 “ELK”是三个开源项目的首字母缩写,这三个项目分别是:Elasticsearch、Logstash 和 Kibana。Elasticsearch 是一个搜索和分析引擎。Logstash 是服务器端数据处理管道,能够同时从多个来源采集数据,转换数据,然后将数据发送到诸如 Elasticsearch 等“存储库”中。Kibana 则可以让用
Elasticsearch:运用 geoip 处理器来丰富数据
Elastic 中国社区官方博客
05-13 4661
geoip处理器根据来自Maxmind数据库的数据添加有关IP地址地理位置的信息。 默认情况下,该处理器将此信息添加到geoip字段下。 geoip处理器可以解析IPv4和IPv6地址。 默认情况下,ingest-geoip模块与Maxmind的GeoLite2 城市,GeoLite2国家/地区和GeoLite2 ASN geoip2数据库一起提供,可根据CCA-ShareAlike 4.0许可使用。 有关更多详细信息,请参见http://dev.maxmind.com/geoip/geoip2/geol
ElasticSearch 实战:摄取节点 - GeoIP以及Grok处理器
最新发布
qq_33240556的博客
04-03 520
Elasticsearch的摄取节点(Ingest Node)中,GeoIP和Grok处理器是非常实用且常用的两种数据预处理工具,分别用于处理地理位置信息和解析半结构化文本数据。
Nginx日志分析系统——Elastic Stack的系列产品的使用
不愿意做鱼的小鲸鱼の博客
04-18 1376
目录1、Nginx日志分析系统1.1、项目需求2、部署安装Nginx3、Beats 简介4、Filebeat4.1、架构4.2、部署与运行4.3、读取文件4.4、自定义字段4.5、输出到Elasticsearch4.6、Filebeat工作原理4.7、读取Nginx日志文件4.7、Module4.7.1、nginx module 配置4.7.2、配置filebeat4.7.3、测试4.7.4、启动...
Elasticsearch启动报updatejava.net.UnknownHostException: geoip.elastic.co错误
ANULI的博客
12-20 5641
Elasticsearch启动报updatejava.net.UnknownHostException: geoip.elastic.co错误,无法通过localhost"9200访问。
Elasticsearch部署中的两大常见问题及其解决方案
Narutolxy的博客
10-26 2515
Elasticsearch是一个强大的工具,但在部署和配置时可能会遇到问题。通过了解可能的问题和解决方案,我们可以更有效地利用Elasticsearch并避免潜在的陷阱。希望本文能帮助那些在Elasticsearch部署中遇到问题的人。如果您有任何其他的经验或解决方案,欢迎在评论区分享!
Elastic Stack 技术指南
05-15
Elastic Stack 技术指南》是一本专注于Elastic Stack技术的实用手册。Elastic Stack是一套强大的开源工具集合,它由Elasticsearch、Logstash、Kibana和Beats四大组件组成。Elastic Stack以其强大的搜索和分析能力...
使用elasticstack实现log提取与搜索
陈海龙的格物之路
10-22 788
了解elastic stack中主要组件的职责,掌握如何使完成提取log和搜索log。
ElasticStack日志分析(2)Logstash-ES-kibana
benziwu的博客
09-23 139
elastic search是elastic stack核心的分布式搜索和分析引擎。logstash和beats有助于收集,聚合和丰富你的数据并将其存储在elastic search中,使用kibana,可以交互探索,可视化和共享数据的见解,并管理和监视堆栈,elasticsearch是发生索引、搜索、分析数据的地方支持的数据类型结构化文本非结构化文本数字数据地理空间数据elasticsearch是面向文档的,文档是所有可搜索数据的最小单位:日志文件中的日志项;
基于Centos 7.5安装单节点ES 7.15.2
weixin_36340771的博客
11-17 3247
环境概要 系统:centos 7 JDK: version 1.8 获得安装包 注意:如果没有安装shasum,使用"yum install shasum"安装 mkdir /opt/module cd /opt/module wget https://artifacts.elastic.co/downloads/elasticsearch/elasticsearch-7.15.2-linux-x86_64.tar.gz wget https://artifacts.elastic.co/download
elasticsearch7报错解决
博客
10-02 8210
elasticsearch7报错解决
启动ElasticSearch报错:error updating geoip database
热门推荐
ChrisJin的博客
12-22 2万+
ElasticSearch报错:error updating geoip database
Elasticsearch安装
分享式获得也是一种学习的态度
10-14 897
每个人都有惰性,但不断学习是好好生活的根本,共勉!
Elasticsearch + Kibana + ik分词器“介绍与使用
博客
06-02 3273
Elasticsearch 是一个分布式、RESTful 风格的搜索和数据分析引擎,能够解决不断涌现出的各种用例。 作为 Elastic Stack 的核心,它集中存储您的数据,帮助您发现意料之中以及意料之外的情况。
Elasticsearch:使用 GeoIP 丰富来自内部专用 IP 地址
Elastic 中国社区官方博客
09-16 1891
对于公共 IP,可以创建表来指定 IP 属于哪个城市的特定范围。但是,互联网的很大一部分是不同的。在世界上每个国家都有公司专用网络,其 IP 地址的格式为 10.0.0.0/8、172.16.0.0/12 或 192.168.0.0/16。这些 IP 地址往往没有有关地理位置的真实信息。因此,Elasticsearch 和 Logstash 中内置的 geoip 过滤器/处理器不适用于这些私有 IP。 Elasticsearch 和 Logstash 可以选择指定要使用的特定数据库文件(database
如何利用GeoIP与ELK(Elasticsearch、Logstash与Kibana)映射用户位置
zstack_org的博客
03-13 1万+
提供:ZStack云计算 系列教程本教程为在CentOS 7上利用Logstash与Kibana实现集中化日志记录系列五篇中的第五篇。本教程为利用ELK堆栈(Elasticsearch、Logstash与Kibana)在Ubuntu 14.04上实现集中化日志记录系列五篇中的第五篇。内容简介IP地理位置用于确定IP地址的物理位置,可被用于多种实际场景,包括内容个性化与流量分析等等。根据地理位置进行流
ElasticSearch 启动问题:“error downloading geoip database [GeoLite2-Country.mmdb]“
架构师小冯的专栏
12-07 3086
ElasticSearch 启动问题:"error downloading geoip database [GeoLite2-Country.mmdb]"
elasticsearch常见报错总结
有勇气的牛排博客
02-21 4680
1 error updating geoip database [GeoLite2-Country.mmdb] 在config/elasticsearch.yml中添加如下配置: ingest.geoip.downloader.enabled: false 2 deprecation logs failed: autoGeneratedTimestamp should not be set externally 参考文章: https://blog.csdn.net/w184167377/article
Elastic Stack:机器数据分析利器,详解优点与挑战
Elastic Stack,原ELK Stack在5.0版本之后的新称谓,是当前机器数据分析和实时日志处理领域的热门开源解决方案。它凭借其独特的特性在业界获得了广泛的认可。以下是Elastic Stack的核心组成部分及其关键优势: 1. ...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值