logstash之filter-Geoip寻找日志ip的经纬度和城市及Key-value拆分

最新推荐文章于 2024-05-16 05:12:50 发布
最新推荐文章于 2024-05-16 05:12:50 发布
阅读量1.5k 收藏 3
点赞数
分类专栏: ELK 文章标签: Logstash filter-Geoip
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_44062339/article/details/103221294
版权

geoip查询

logstash可以将nginx的非格式化日志进行格式化(参考https://blog.csdn.net/weixin_44062339/article/details/103221269),那么在nginx的日志中有IP;往往会根据ip定位当前的地理位置,
然后在kibana上以高德地图做展示;
Vim /conf/template/geoip.conf
启动:bin/logstash -f /usr/local/elk/logstash-5.5.2/conf/template/geoip.conf
向控制台输入nginx日志:

119.151.192.24 - - [10/May/2018:12:12:40 +0800] "GET /plugins/ml/ml.svg HTTP/1.1" 304 0 "http://hadoop01/app/kibana" "Mozilla/5.0 (Macintosh; Intel Mac OS X 10_12_6) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/66.0.3359.139 Safari/537.36" "-"

截图展示:
在这里插入图片描述
为了更准确的定位ip的经纬度,可以下载GeoLite2-City.mmdb的ip-经纬度库
下载地址:
http://geolite.maxmind.com/download/geoip/database/GeoLite2-City.mmdb.gz

例子1

input{
        stdin{}
}

filter{
        grok{
                match=>{
                        "message" => "%{IPORHOST:remote_addr} - %{NGUSER:remote_addr} \[%{HTTPDATE:time_local}\] \"(?:%{WORD:request} %{NOTSPACE:request}(?: HTTP/%{NUMBER:httpversion})?|%{DATA:rawrequest})\" %{NUMBER:status} %{NUMBER:body_bytes_sent} %{QS:http_referer} %{QS:http_user_agent} %{NOTSPACE:http_x_forwarded_for}"
                }
        }
        geoip{
                source => "remote_addr"
                database => "/export/servers/elk/logstash-5.5.2/GeoLite2-City.mmdb"
        }
}

output{
        stdout{
                codec=> rubydebug
        }
}

例子2

input{
        stdin{}
}

filter{
        grok{
                match=>{
                        "message" => "%{IPORHOST:remote_addr} - %{NGUSER:remote_addr} \[%{HTTPDATE:time_local}\] \"(?:%{WORD:request} %{NOTSPACE:request}(?: HTTP/%{NUMBER:httpversion})?|%{DATA:rawrequest})\" %{NUMBER:status} %{NUMBER:body_bytes_sent} %{QS:http_referer} %{QS:http_user_agent} %{NOTSPACE:http_x_forwarded_for}"
                }
        }
        geoip{
                source => "remote_addr"
                database => "/export/servers/elk/logstash-5.5.2/GeoLite2-City.mmdb"
                target => "geoip"
                add_field => ["[geoip][coordinates]" , "&{[geoip][latitude]}"]
                add_field => ["[geoip][coordinates]" , "&{[geoip][longitude]}"]
                fields => ["country_name" , "region_name" , "city_name" , "latitude" , "longitude"]
                #remove_field => {[geoip][latitude] , []}   
     }
}

output{
        stdout{
                codec=> rubydebug
        }
}

Key-value拆分

在采集的日志中,往往出现类似于这样的URL:

https://www.baidu.com/s?wd=哈哈,这就是测试&a=1&b=2&c=3&d=4&e=5

类似这种url,字段的信息是按照&拼接而成的,所以需要把这些url进行拆分
Vim k_v_split.conf

input {
    stdin {
    }
}
filter {
         kv {
                prefix => "key_"
                source => "message"
                field_split => "&" 
                value_split => "="
            }
}
output {
    stdout{codec=>rubydebug}
}

启动:bin/logstash -f /usr/local/elk/logstash-5.5.2/conf/template/k_v_split.conf
向控制台输入:

https://www.baidu.com/s?wd=哈哈,这就是测试&a=1&b=2&c=3&d=4&e=5

结果截图:
在这里插入图片描述

跟攀博学Java编程
关注
  • 0
    点赞
  • 3
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
Logstashfilter学习(官网)(GROK+GEO IP+FINGERPRINT+DATE)
qq_34646817的博客
07-27 4396
写在前面:logstash的插件有很多,即使filter的插件也有很多,因为生产马上要实践了,这边做一个归类总结 学习来源:官方文档 基本说明 官方的文档里面,主要讲了以下几个filter的作用。 首先,filter的定义是为了即时解析和转换您的数据 当数据从源传输到存储时,Logstash过滤器会解析每个事件,识别命名字段以构建结构,并将它们转换为汇聚在通用格式上,...
logstash-filter-geoip-cn.zip
03-27
logstash使用geoip插件解析出来的地理信息是英文。通过GeoIP获取ip所属地,并将国家转换为中文。
logstash常用的filter插件-grok、geoip
lpx1249115962的博客
08-27 365
将解析后的结果存储到指定的字段,若不指定,则默认覆盖原有的"@timestamp"字段哟!# 将Geoip解析的数据放在一个字段中,若不指定,则默认放在"geoip"字段中.# 如果设置为UTC时间,时区是不准确的!
logstash过滤器插件filter详解及实例_logstash filter 时间戳
最新发布
2401_84715926的博客
05-16 1026
这个时候我们更加能理解grok使用正则匹配数据了。需要注意的是:正则中,匹配空格和中括号要加上转义符。
logstash filter geoip 转换IP为详细地址等内容。
weixin_30690833的博客
07-24 777
使用logstash geoip筛选器可以将ip地址解析为更丰富的内容。 结果类似于这样: "geoip": { "city_name": "Ürümqi", "continent_code": "AS", "country_code2": "CN", "country_code3": "CN", "country_name": "China", "dma_code":...
logstash 自定义生成 geoip/自定义的经纬度转换为 geo_point 类型
浮生若梦
11-03 3572
geo_point 的几种类型 首先将经纬度的值赋给新的变量 geoip.location,然后将其转化为float类型,要注意的是【经度,纬度】,数组格式经度在前。 mutate { add_field => ["[geoip][latitude]", "%{[lat]}"] add_field => ["[geoip][longitude]", "%...
logstash利用geoip获取IP地理位置信息
Jepson的博客
07-04 943
我们在用logstash收集日志时,有时需要将日志中的IP地址映射出具体的地理位置信息,logstashgeoip过滤器提供了这个功能.由于geoip为免费IP库,存在部分IP无法获取到省份城市信息。GeoLite2-City.mmdb 可在。logstash中默认的geoip插件位于。
logstash-filter-geoip-6.0.0.jar
03-12
使用详情参考 https://blog.csdn.net/huanglizhang/article/details/114694575
logstash-filter-multiline
05-30
Logstash插件 这是的插件。 它是完全免费和完全开源的。 许可证是 Apache 2.0,这意味着您可以随意以任何方式使用它。 文档 Logstash 提供了基础设施来自动为这个插件生成文档。 我们使用asciidoc格式编写文档,...
logstash-filter-sequence:日志过滤器序列
06-05
bin/plugin install /opt/logstash-filter-sequence/logstash-filter-sequence-0.1.1.gem 这个插件的代码最初来自这里: : 在 Logstash 中使用: 在您可能拥有的任何多行过滤器之后使用: sequence{} 从弹性...
logstash-logback-encoder:Logback JSON编码器和附加器
02-03
最初是为了支持的JSON格式的输出而的,但现在已经演变为针对JSON和其他Jackson数据格式的高度可配置的通用结构化日志记录机制。 输出的结构及其包含的数据是完全可配置的。 内容: 将其包含在您的项目中 Maven风格...
logstash过滤器插件filter详解及实例
weixin_33957648的博客
01-23 1593
1、logstash过滤器插件filter 1.1、grok正则捕获 grok是一个十分强大的logstash filter插件,他可以通过正则解析任意文本,将非结构化日志数据弄成结构化和方便查询的结构。他是目前logstash 中解析非结构化日志数据最好的方式 grok的语法规则是: %{语法:语义} “语法”指的是匹配的模式。例如使用NUMBER模式可以匹配出数字,I...
logstash 将数据库中的经纬度 转化成 geo_point 类型
u012666689的专栏
10-25 5620
最近在使用ELK工具,主要是使用kibana进行数据可视化,该工具非常方便,墙裂推荐!!! 要使用coordinate map时,需要将数据转换成它需要的geo_point类型,网上有很多使用geoip插件将ip转换成经纬度的教程,这里没有ip,只有经纬度数据。 下图为geo_point的几种形式,这里我采用的是最后一种,数组的格式 由于我不太懂这里面的语法,只是简单的使用,所以这里...
Logstash geoip filter 插件获取中文地区名称
笑叹风尘的专栏
03-12 1168
Logstash geoip filter 插件获取中文地区名称 Logstash geoip filter 插件默认获取的地区为英文,可以通过修改源代码获取自己想要的显示语言,拉取源代码: git clone https://github.com/logstash-plugins/logstash-filter-geoip.git 修改 src/main/java/org/logstash/filters/GeoIPFilter.java 代码示例如下,优先获取中文地区名称,如果获取不到,则返回默
监控三剑客ELK之Logstash日志收集教程
03-06
Elasticsearch/Logstash/Kibana作为目前开源领域炙手可热的监控三剑客声名大噪。ELK三者各司其职,作为构建在Lucene基础上的搜索引擎,和另外一个著名的工具solr功能和应用场景有些重叠,只是看起来Elasticsearch风头更胜。而ELK从log抽取到图形展示全套功能齐全为同属elastic的Elasticsearch更是添了不少分,做到了1+1大于2。 Logstash:数据收集引擎。它支持动态的从各种数据源搜集数据,并对数据进行过滤、分析、丰富、统一格式等操作,然后存储到用户指定的位置; 本套教程将会带大家进行Logstash的环境配置和基本的实操,让大家能够熟悉适用Logstash技术。
第一次使用GeoLite2-City.mmdb的经历---通过ip地址获取经纬度以及该ip地址所属地区
热门推荐
不肯过江东丶
01-06 1万+
利用GeoLite2-City.mmdb实现通过IP地址获取经纬度以及该IP的所属地区 本人最近在写一个小的练手项目,想加上访问记录的功能(即获取访问者的ip地址从而获取到该访问者的经纬度,判断是在哪个地区访问的页面同时将信息插入进数据库中从而生成一份详细的访问记录)。网上很多可以实现此功能的API,例如腾讯、百度等,但是由于需要申请专属KEY,而且必须是在线访问的,所以最终选择了使用GeoLit...
ELK logstash 过滤插件:GeoIP
小楼一夜听春雨,深巷明朝卖杏花
12-29 2181
过滤插件:GeoIP Description The GeoIP filter adds information about the geographical location of IP addresses, based on data from the Maxmind GeoLite2 databases. GeoIP过滤器根据来自Maxmind GeoLite2数据库的数据添加有关IP地址地理位置的信息。 过滤插件:GeoIP(能够将日志当中的IP解析为具体的地理位置,这个必须要有数据.
ELK详解(二十四)——geoip画访问地域热图
永远是少年
04-11 3023
今天继续给大家介绍Linux运维相关知识,本文主要内容是Logstash配置geoip,使用Kibana画访问热点地图。 一、Logstash安装geoip插件 二、Logstash配置 三、Kibana绘图展示
logstash 6.3.2 geoip
wanglei_storage的博客
09-12 3495
一、GEOIP 1、说明 GeoLite2 数据库是一个免费的 IP 地理定位数据库,与 MaxMind 的 GeoIP2 数据库有一定可比性,但不如后者准确。GeoLite2 Country 与 City 数据库在每月的第一个周二更新。GeoLite2 ASN 数据库的更新时间为每周二。 IP 地理定位在本质上缺乏准确性。地点通常接近人口的中心。 由 GeoIP 数据库提供的任何地点均不应...
logstash No such sub-command 'install logstash-filter-kubernetes'
05-09
如果你在安装 Logstash 的 Kubernetes 过滤插件时遇到了 `No such sub-command 'install logstash-filter-kubernetes'` 的错误,可能是因为你使用的 Logstash 版本不支持 `install` 子命令。 从 Logstash 6.0 版本开始,插件的安装方式已经发生了变化。现在,你需要使用 `logstash-plugin` 命令来安装插件。因此,正确的命令应该是: ``` bin/logstash-plugin install logstash-filter-kubernetes ``` 请注意,`bin/` 取决于你安装 Logstash 的位置。 如果你使用的是旧版本的 Logstash,你可以通过在命令前添加 `plugin` 来安装插件,例如: ``` bin/plugin install logstash-filter-kubernetes ``` 但是,这种方式在 Logstash 6.0 中已经被弃用,所以你应该尽快升级到新版本。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值