GeoIp elasticsearch 搭建 继续上一步ELK 搭建

最新推荐文章于 2024-04-03 10:55:33 发布
最新推荐文章于 2024-04-03 10:55:33 发布
阅读量1.5k 收藏
点赞数
分类专栏: elasticsearch
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/u014017121/article/details/70821033
版权 
安装GeoIP数据库

	cd /usr/local/logstash/etc
	curl -O "http://geolite.maxmind.com/download/geoip/database/GeoLiteCity.dat.gz"
	gunzip GeoLiteCity.dat.gz

	如果 gunzip 不存在 安装方法 : yum -y install gzip gunzip(centos)  (apt-get install gzip gunzip)

	filter {
		geoip {
	    source => "cientIp"    #设置解析IP地址的字段
	    target => "geoip"    #将geoip数据保存到一个字段内
	    database => "/usr/local/logstash-2.3.2/etc/GeoLiteCity.dat"    #IP地址数据库 可以不指定 使用默认
	  }
	}
	geoip 插件的 "source" 字段可以是任一处理后的字段,比如 "client_ip",但是字段内容却需要小心!geoip 库内只存有公共网络上的 IP 信息,查询不到结果的,会直接返回 null,而 logstash 的 geoip 插件对 null 结果的处理是:不生成对应的 geoip.字段。

	input{
		file {
	        path => "/usr/local/logs/access.log" #你的日志文件
	        start_position => beginning
	        ignore_older => 0
	    }
	}
	filter{
		geoip{
			source=>"ip"
		}
	}
	output{
		elasticsearch{
			hosts=>"localhost"
			index=>"domain"
			document_id => "%{id}" #指定 对应 的 _id 防止 重复插入数据
		}
	}

	{
	  "mappings": {
	    "my_type": {
	      "properties": {
	        "id": {
	          "type": "string"
	        },
	        "ip": {
	          "type": "string"
	        }
	      }
	    }
	  }
	}

	案例 1 自定义 字段转换 读取文件内容

	input{
		file {
	        path => "/usr/local/logs/access.log" #你的日志文件
	        start_position => beginning
	        ignore_older => 0
	    }
	}
	filter{
		mutate{
	        gsub=>["message","\r",""]
	    }
	    mutate{
	        split=>["message",","]
	    }
	    mutate{
	        add_field=>{
	            "id"=>"%{[message][0]}"
	            "ip"=>"%{[message][1]}"
	        }
	    }
	    mutate{
	        remove_field=>"message"
	        remove_field=>"host"
	        remove_field=>"path"
	    }
		geoip{
			source=>"ip"
		}
	}
	output{
		elasticsearch{
			hosts=>"localhost"
			index=>"domain"
		}
	}
	// 执行  echo '50,121.xx.xx.6' > access.log 或者 echo '50,121.xx.xx.6' >> access.log

	案例 2 直接操作 logstash
	input{
		stdin{}
	}
	filter{
		mutate{
	        gsub=>["message","\r",""]
	    }
	    mutate{
	        split=>["message",","]
	    }
	    mutate{
	        add_field=>{
	            "id"=>"%{[message][0]}"
	            "ip"=>"%{[message][1]}"
	        }
	    }
	    mutate{
	        remove_field=>"message"
	        remove_field=>"host"
	        remove_field=>"path"
	    }
		geoip{
			source=>"ip"
		}
	}
	output{
		elasticsearch{
			hosts=>"localhost"
			index=>"domain2"
		}
	}
	// 运行 ./bin/logstsh
	输入 121.xx.xx.xx,10(这个和logstsh 存储顺序相反)

记忆的残缺
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
Elasticsearch聚合分析:IP地址聚合详解与实战
禅与计算机程序设计艺术
05-13 910
1. 背景介绍 1.1 IP地址聚合的意义 在当今数字化时代,海量数据的处理和分析成为了各行各业的迫切需求。其中,IP地址作为网络世界中每个设备的唯一标识,蕴藏着丰富的用户信息和行为轨迹。对其进行聚合分析,可以挖掘出许多有价值的洞察,例如: 用户行为分析
Logstash过滤器--Geoip
春天的道路依然充满泥泞!
10-25 5720
Geoip过滤器可以给IP地址添加地理位置信息,包括归属地、经纬度等。Geoip参考的数据库是Maxmind,同时它也可以让用户设置自己的查询数据库。Geoip的基本配置geoip { source => ... }配置参数:1. add_fieldfilter { geoip { add_field => { "foo_%{somefield}" => "Hello worl
Elasticsearch:运用 geoip 处理器来丰富数据
Elastic 中国社区官方博客
05-13 4500
geoip处理器根据来自Maxmind数据库的数据添加有关IP地址地理位置的信息。 默认情况下,该处理器将此信息添加到geoip字段下。 geoip处理器可以解析IPv4和IPv6地址。 默认情况下,ingest-geoip模块与Maxmind的GeoLite2 城市,GeoLite2国家/地区和GeoLite2 ASN geoip2数据库一起提供,可根据CCA-ShareAlike 4.0许可使用。 有关更多详细信息,请参见http://dev.maxmind.com/geoip/geoip2/geol
Elasticsearch:使用 GeoIP 丰富来自内部专用 IP 地址
Elastic 中国社区官方博客
09-16 1813
对于公共 IP,可以创建表来指定 IP 属于哪个城市的特定范围。但是,互联网的很大一部分是不同的。在世界上每个国家都有公司专用网络,其 IP 地址的格式为 10.0.0.0/8、172.16.0.0/12 或 192.168.0.0/16。这些 IP 地址往往没有有关地理位置的真实信息。因此,Elasticsearch 和 Logstash 中内置的 geoip 过滤器/处理器不适用于这些私有 IP。 Elasticsearch 和 Logstash 可以选择指定要使用的特定数据库文件(database
ElasticSearch ingest-geoip插件
lpfasd123的博客
05-20 2001
ElasticSearch可以使用ingest-geoip插件可以对ip进行地理位置分析 这个插件需要Maxmind的GeoLite2 City,GeoLite2国家和GeoLite2 ASN geoip2数据库。有关更多详细信息,请参见http://dev.maxmind.com/geoip/geoip2/geolite2/,现在需要注册才能下载! 该geoip处理器可以与Maxmind的其他G...
elasticsearch-plugin ingest-geoip无法安装
u011913691的博客
12-26 2838
前言 本文使用使用elasticsearch-6.5.4 如果读者使用软件版本不同,建议去查看具体步骤 ingest-geoip 安装方式1 进入到es的安装目录下执行一下代码 sudo bin/elasticsearch-plugin install ingest-geoip 但是使用上面下载插件会出现一下两种情况: 下载速度太慢(20多M的我下载了将近一个小时) md5比对错误 这里就不贴...
ELK实现GeoIP定位全球访客.doc
06-29
ELK (Elasticsearch, Logstash, Kibana) 是一套强大的日志分析和可视化工具,常被用于收集、处理、存储和展示来自各种来源的日志数据。在本例中,我们将关注如何利用ELK栈中的Logstash和Kibana实现GeoIP定位,追踪并...
ELKGEOIP数据库包
03-21
在IT领域,ELKElasticsearch、Logstash、Kibana)是一个广泛使用的日志分析和可视化套件。这个组合使得数据收集、处理、存储和展示变得简单且高效。当我们谈论“ELKGEOIP数据库包”,我们指的是一个增强ELK功能...
elk:elasticsearch+logstash+kibana
07-14
ELKElasticsearch, Logstash, Kibana)是一个流行的开源日志分析和可视化解决方案,广泛用于收集、解析、存储和展示各种日志数据。这个压缩包包含了ELK堆栈的主要组件,版本为7.6.1,适用于Linux x86_64架构。 **...
ingest-geoip-6.5.4.zip
12-26
【ingest-geoip-6.5.4.zip】是一个针对ELKElasticsearch、Logstash、Kibana)生态系统的插件包,主要用于在数据处理阶段添加地理位置信息。这个压缩包包含了以下文件: 1. **jackson-databind-2.8.11.jar**:...
GeoIP2-ISP.mmdb.rar
02-07
GeoIP2-ISP.mmdb是一款用于IP地址到地理位置转换的数据库,特别适用于开发和ELKElasticsearch、Logstash、Kibana)生态系统的应用。这个数据库包含了全球范围内的互联网服务提供商(ISP)信息,使得你可以根据一个...
Porry社工库搭建系列教程
06-14
Porry社工库搭建系列教程
ELK搭建文档
10-18
Linux环境下面搭建ELK步骤,,, 进行日志抽取,备份等
geoip
zhaoyangjian724的专栏
01-11 568
[elk@Vsftp logstash]$ cat t1.conf input { stdin { } } filter { geoip { source =>"message" add_field =>["[geoip][aa]","%{[geoip][location]}"] } } output { stdout { codec =>rubyd
Elasticsearch摄取节点(十)——GeoIP以及Grok处理器
大风的博客
12-18 2574
IP解析处理器(GeoIP Processor) 处理器作用 GeoIP Processor主要是根据IP地址解析出具体的地理位置信息的处理器。此处理器需要配合Maxmind数据库中的数据。 ingest-geoip模块附带的GeoLite2 City、GeoLite2 Country和GeoLite2 ASN geoip2数据库,这些数据来自Maxmind。 geoip处理器可以与Maxmind...
ElasticSearch 实战:摄取节点 - GeoIP以及Grok处理器
最新发布
qq_33240556的博客
04-03 455
Elasticsearch的摄取节点(Ingest Node)中,GeoIP和Grok处理器是非常实用且常用的两种数据预处理工具,分别用于处理地理位置信息和解析半结构化文本数据。
Elasticsearch6.4专题之16:Ingest Node
天空之蓝的博客
11-10 3754
Ingest Node 文章目录Ingest NodePipeline Definition(管道定义)Ingest APIsPut Pipeline API(添加或更新pipeline)Get Pipeline API(获取Pipeline)Pipeline VersioningDelete Pipeline API(删除Pipeline)Simulate Pipeline API(模拟Pipe...
geoip是什么 linux_利用GeoIP数据库及API进行地理定位查询 Java
weixin_31174767的博客
01-16 742
地理定位查询的的数据库比较多,而且大多都开放一些free的版本国内的有纯真数据库等,但是他只提供文本的地理位置信息,不提供经纬度数据当应用到google map时,就不可以了国外的有MaxMind的GeoIP数据库、IP2Location数据库等,它们提供经纬度数据在此简单介绍下,MaxMind的GeoIP,此数据库用于国家的查询首先,在MaxMind官网下载所需资源GeoIP数据库下载地址:ht...
ELK搭建社工库
weixin_72667582的博客
08-10 1730
ELK是一款主流的日志平台架构,分布式,毫秒级响应的特性适用于大量数据的筛查,支持api接口访问内存:推荐配置:64G 可用配置:32G、16G 配置下限:8GCPU:双核到8核都可以 核数优先于单核的处理能力。硬盘:源文件约2.5倍的空间。
Elasticsearch启动报updatejava.net.UnknownHostException: geoip.elastic.co错误
05-22
这个错误通常是由于DNS解析问题导致的。请确保您的网络连接正常,并且...您可以在Elasticsearch的官方网站上找到这些文件的下载链接。 如果您仍然遇到问题,请尝试查看Elasticsearch的日志文件,以获取更多详细信息。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值