ELK 之 logstash 利用 IP 获取地理位置

最新推荐文章于 2023-07-04 14:54:38 发布
最新推荐文章于 2023-07-04 14:54:38 发布
阅读量1.9k 收藏 1
点赞数 1
分类专栏: Elasticsearch7.7 文档翻译 文章标签: elasticsearch
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/wei_bo_cai/article/details/113869474
版权

ELK 之 logstash 利用 IP 获取地理位置 geoip

摘要

在平常使用时,利用logstash获取日志信息,有时需要将日志中的IP地址转换成坐标或是实际的位置,这里提供一种可行的解决方案。(笔者实际生产环境中使用这种方案,仅供参考)

解决方案

将原始IP,利用Maxmind GeoLite2 databases数据库转换成geoip可以参考官方文档

这里利用两种过滤器,首先利用dissect解析日志,其次利用geoip将IP转换成坐标地址。

input {
   
    file {
   
        path => "/home/server/logs/web_log.log*" #要监听的日志文件路径 
        type => web_log #TODO 日志类型
        exclude => "*.gz"       #不想监听的文件规则,基于glob匹配语法
        start_position => "end"   #第一次丛头开始读取文件 beginning or end
        stat_interval => "3"    #定时检查文件是否更新,默认1s
    }
}

filter {
   
    dissect {
   
      mapping => {
   
        message => "%{username}###%{url}###%{method}###%{start_time}###%{ip}"
      }
    }
   geoip {
   
     source => "ip"
     target => "geoip"
     # 可以指定IP数据库 database => "/server/Ge
最低0.47元/天 解锁文章
伟菜
关注
  • 1
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 1
    评论
专栏目录
Logstash数据处理服务的过滤插件GeoIP解析IP地址的地理位置
江晓龙的博客
07-13 1002
GeoIP插件可以根据Maxmind Geolite2数据库中的数据展现出相关IP地址的地理位置信息。使用GeoIP获取IP地址的地理位置信息需要事先准备一个数据库,这个数据库中需要记录有关IP的地址位置信息,当然这个IP需要是公网IP,私网IP是无法获取其地理信息的。Maxmind Geolite2数据库企业版经纬度精确,免费版精确度略低。GeoIP常用字段:Geo相关数据库文件的下载地址: 3.配置Logstash使用GeoIP获取用户IP的地址位置信息 使用geoip之前先要使用grok过滤出用户IP
使用logstash进行ip映射(主机名或系统名)
点火三周的专栏
04-04 6690
文章目录需求场景解决方案测试示例性能测试与调优 需求场景 当使用elasticsearch进行日志数据可视化的时候,往往会遇到需要IP地址无法human-reading的情况。这时,我们需要将IP地址进行一定的格式转换,将其转换为主机名(hostname)或者系统名(application/service name)。 以WAF的日志为例,里面的dst_ip记录了被攻击的主机ip,scr_ip记录...
logstash ELK
11-05
Logstash 是一个开源的数据收集引擎,它具有备实时数据传输能力。它可以统一过滤来自不同源的数据,并按照开发者的制定的规范输出到目的地。
logstash利用geoip获取IP地理位置信息
Jepson的博客
07-04 904
我们在用logstash收集日志时,有时需要将日志中的IP地址映射出具体的地理位置信息logstash中geoip过滤器提供了这个功能.由于geoip为免费IP库,存在部分IP无法获取到省份城市信息。GeoLite2-City.mmdb 可在。logstash中默认的geoip插件位于。
ELK(15):ELK显示Nginx日志中访客ip地理位置
weixin_30407613的博客
07-25 738
ELK(15):ELK显示Nginx日志中访客ip地理位置 https://www.cnblogs.com/ahaii/p/7410421.html https://www.cnblogs.com/dance-walter/p/10144804.html 本文采用的是普通方式 pipline+es插件方式请移步 https://www.elastic.co/guide/...
logstash匹配路径字段
zsx18273117003的博客
05-27 1064
方法一:使用grok插件 1. d:/usr2/local/etc/logstash/pipeline1目录下logstash.conf配置文件 input { stdin { } } filter { grok { # 匹配路徑 /usr/share/filebeat/log/apps/butler/filebeat5.log中的butler match => {message => "^/%{DATA}/%{DATA}/%{DATA
GeoLite2-City(logstash IP资源库)
10-26
在IT行业中,这样的数据对于实现IP地址到地理位置的映射至关重要。 Logstash是Elastic Stack(以前称为ELK Stack)的一部分,是一个开源的数据收集和处理工具。它可以从各种数据源接收数据,转换并将其发送到存储...
elk:elasticsearch+logstash+kibana
07-14
2. **过滤器插件**: 可自定义过滤逻辑,如grok解析日志格式,mutate修改字段值,geoip获取IP地理位置信息等。 3. **输出插件**: 支持Elasticsearch、stdout、Kafka等多种输出目标。 4. **线性扩展**: 通过添加更多的...
ELK之GEOIP数据库包
03-21
当我们谈论“ELK之GEOIP数据库包”,我们指的是一个增强ELK功能的插件,该插件利用GEOIP(地理定位)数据来解析和显示用户的地理位置信息ElasticsearchELK堆栈的核心,它是一个分布式、RESTful风格的搜索和...
logstash-6.6.1.tar.gz
02-22
例如,可以使用正则表达式提取特定字段,或者通过geoip 插件解析IP地址获取地理位置信息。6.6.1 版本可能优化了过滤性能或增加了新功能。 3. **数据输出**:处理完的数据可以被发送到各种目的地,包括Elasticsearch...
GeoIP2-ISP.mmdb.rar
02-07
在安全领域,IP地理位置信息可以用于识别和阻止恶意IP地址的活动,比如DDoS攻击。同时,对于合规性要求较高的业务,了解用户的位置信息也有助于满足某些地区的数据保护法规。 GeoIP2-ISP.mmdb数据库的更新至关重要...
logstash filter geoip 转换IP为详细地址等内容。
weixin_30690833的博客
07-24 775
使用logstash geoip筛选器可以将ip地址解析为更丰富的内容。 结果类似于这样: "geoip": { "city_name": "Ürümqi", "continent_code": "AS", "country_code2": "CN", "country_code3": "CN", "country_name": "China", "dma_code":...
logstash配置文件,grok过滤,geoip地理
weixin_44221035的博客
03-04 821
logstash配置文件。 input { beats { port => 5044 } } filter{ #去除#号开头 if ([message] =~ "^#") { drop {} } #匹配filetype值为Cache开头。 if ([filetype] =~ "^Cache") { #进行grok正则匹配message字段值,下文会有正则 grok {
logstash 内网IP字段信息丰富
weixin_43828710的博客
07-11 880
对内网IP进行字段信息丰富,字段扩展 由于Geoip插件依赖的数据源文件GeoLite2-City.mmdb只包含了外网IP城市信息,因此只能够对外网IP进行字段信息丰富,主要原因在于Geoip插件依赖的数据源GeoLite2-City。 而GeoLite2-City.mmdb是一种二进制文件 logstash提供了多种filter plugin,其中有些插件可以用来进行字段丰富,在这些插件中Jdbc_static filter 和 Translate filter plugin...
Elasticsearch 常用操作、对接Logstash以及处理本地IP、ECS规范(干货满满)
特别享受思考问题的过程
07-03 1801
经过前面两篇博文之后,现在已经有了article数据、可以查询相关数据。那接下来就是在这个基础上继续完善
ELK日志-logstash的tcp日志收集使用nginx反向代理之后获取真实的IP地址
lnkToKing的博客
04-03 1748
logstash 的配置:proxy_protocol 设置为 true input { #开启远程输入日志服务 tcp { port => "4560" mode => "server" type => "log4j2" proxy_protocol => true #开启后能获取到代理IP...
Docker+ELK生产环境IP设置清单
大鹏
11-18 221
待整理
Logstash
二两天涯的专栏
05-22 1286
Logstash是一个开源的日志管理工具。 项目地址:http://logstash.net/ Logstash安装使用以下组件: LogstashElasticsearchRedisNginxKibana 服务端: fqdn: dev.kanbier.lan (should be resolvable!)ip: 10.37.129.8 安装所需的软件 作者更喜欢使用RPM包
logstash 中配置GeoIP解析地理信息
smile_lty的博客
04-16 4704
  logstash中配置的GeoIP的数据库解析ip了,这里是用了开源的ip数据源,用来分析客户端的ip归属地。官网在这里:MAXMIND   下载GeoLiteCity数据库 wget http://geolite.maxmind.com/download/geoip/database/GeoLite2-City.tar.gz tar -zxvf GeoLite2-City.tar.gz...
ELK logstash 配置
最新发布
09-22
ELKElasticsearch, Logstash, Kibana)是一个开源的日志分析平台,其中Logstash是用于日志收集、处理和转发的工具。在Logstash中,可以使用配置文件来定义输入(input)、过滤器(filter)和输出(output)等部分。 配置文件通常使用.conf文件扩展名,并包含以下基本语法组成: input { # 输入配置 } filter { # 过滤器配置 } output { # 输出配置 } 在输入部分(input),可以选择不同的插件来指定数据源。在你提供的引用中,有两个插件示例: syslog {}:用于接收和处理Syslog协议的日志消息。 file { path => "/var/log/messages" start_position => "beginning" }:用于读取指定文件的日志内容。 在过滤器部分(filter),可以使用不同的插件对输入的日志进行处理和转换。 在输出部分(output),可以使用不同的插件将处理后的日志发送到指定的目标,比如保存到文件、发送到Elasticsearch等。 ELK配置文件的具体内容和参数会根据实际需求和环境而有所不同,可以根据具体情况进行配置调整。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值