logstash配置文件,grok过滤,geoip地理

已于 2025-04-30 15:30:47 修改
阅读量983 收藏 1
点赞数
分类专栏: Linux 文章标签: linux
于 2021-03-04 16:20:43 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_44221035/article/details/114369495
版权

logstash配置文件。

input {
    beats {
        port => 5044
    }
}
input {
    syslog {
        port => 514
    }
}

filter{
	#去除#号开头
    if ([message] =~ "^#") {
        drop {}
    }
    #匹配filetype值为Cache开头。
    if ([filetype] =~ "^Cache") {
    	#进行grok正则匹配message字段值,下文会有正则
        grok {
            patterns_dir => "/etc/logstash/nginx/nginx"
            match => { "message" => "%{NGINXACCESS}" }
            remove_field => ["message"]
        }
        #匹配非私网ip地址
        if [ClientIP] !~ "^127\.|^192\.168\.|^172\.1[6-9]\.|^172\.2[0-9]\.|^172\.3[01]\.|^10\." {
        	#通过geoip库获取ip的地理信息,从而进行kiban——map
            geoip {
                source => "ClientIP" #ip字段
                target => "geoip"
                database => "/etc/logstash/db/GeoLite2-City.mmdb" #数据库存放路径
                #只留取需要字段,在新版ekl中不需要去创建多余字段,获取经纬数据直接使用location字段即可
                fields => ["city_name","continent_code","country_code2","country_code3","country_name","dma_code","ip","location","postal_code","region_name","timezone"]
            }
        }
        #删除grok匹配后多余的字段,主要是filebeat收集后会添加许多多余字段
        mutate{
            remove_field => ["log"]
            remove_field => ["host"]
            remove_field => ["architecture"]
            remove_field => ["ecs"]
            remove_field => ["agent"]
            remove_field => ["http_referrer"]
            remove_field => ["tags"]
            remove_field => ["input"]
            remove_field => ["httpagent"]
        }
    }
    if ([filetype] =~ "^Fastdfs_Tracker") {
        grok {
            patterns_dir => "/etc/logstash/nginx/nginx"
            match => { "message" => "%{FASTDFSNGINX}" }
            remove_field => ["message"]
         }
        mutate{
            remove_field => ["auth"]
            remove_field => ["tags"]
            remove_field => ["agent"]
            remove_field => ["ecs"]
            remove_field => ["log"]
            remove_field => ["input"]
            remove_field => ["host"]
        }

    }
    if ([filetype] =~ "^Fastdfs_Storage") {
        grok {
            patterns_dir => "/etc/logstash/nginx/nginx"
            match => { "message" => "%{STORAGENGINX}" }
            remove_field => ["message"]
         }
        mutate{
            remove_field => ["auth"]
            remove_field => ["tags"]
            remove_field => ["agent"]
            remove_field => ["ecs"]
            remove_field => ["log"]
            remove_field => ["input"]
            remove_field => ["host"]
        }
    }
}

output {
    if ([filetype] =~ "^Cache") {
        elasticsearch{
            index => "cache-%{+YYYY.MM}" #创建index,每月创建一个
            hosts => ["host_ip:9200"]
            user => "elastic" #没有做验证这个不需要
            password => "password"
        }
    }
    if ([filetype] =~ "^Fastdfs_Tracker") {
        elasticsearch{
            index => "tracker-%{+YYYY.MM}"
            hosts => ["host_ip:9200"]
            user => "elastic"
            password => "password"
        }
    }
    if ([filetype] =~ "^Fastdfs_Storage") {
        elasticsearch{
            index => "storage-%{+YYYY.MM}"
            hosts => ["host_ip:9200"]
            user => "elastic"
            password => "password"
        }
    }
    if ([host] =~ "x.x.x.x") {   #匹配syslog日志
        elasticsearch{
            index => "syslog-%{+YYYY.MM}"
            hosts => ["host_ip:9200"]
            user => "elastic"
            password => "password"
        }
    }
}

logstash添加ca证书并用jdbc读取数据库信息和mail简单报警操作

input {
    syslog {
        port => 514
    }
    jdbc {
        jdbc_connection_string => "jdbc:mysql://x.x.x.x:3306/sitex3"
        jdbc_user => "usr_sitex3"
        jdbc_password => "passwd"
        jdbc_validate_connection => true
        jdbc_driver_library => "/etc/logstash/mysql/mysql-connector-java-8.0.23.jar"
        jdbc_driver_class => "com.mysql.jdbc.Driver"
        jdbc_paging_enabled => "true"
        jdbc_page_size => "50000"
        schedule => "*/1 * * * *"
        statement => "SELECT * from t_login_logout_events where operate_time > :sql_last_value"
        type => "user_login"  #添加字段
    }
}


filter {
    if [host] == "x.x.x.x" {
        grok {
            patterns_dir => "/etc/logstash/syslog/ips"
            match => { "message" => "%{IPS}" }
        }
        if [status] == "255" {
            grok {
                patterns_dir => "/etc/logstash/syslog/ips"
                match => { "message" => "%{LOGIN}" }
            }
        }
    }
}

output{
    if [host] == "x.x.x.x" {
    #邮件告警配置,匹配某个字段进行报警,也可以做正则进行内容匹配
#        email {
#            port => 25
#            address => "mail.xxxx.com.cn"
#            username => "xxxxxxxx@xxxx.com.cn"
#            password => "xxxxxx"
#            authentication => "plain"
#            use_tls => false
#            from => "xxxxxxxx@xxxx.com.cn"
#            subject  => "Warning: waf"
#            to  => "xxxxxxxx@xxxx.com.cn"
#            via => "smtp"
#            body => "告警信息:%{message}"
#        }
        elasticsearch{
            cacert => "/etc/logstash/ca/client-ca.cer"
            ssl => true
            ssl_certificate_verification => false
            index => "waf-%{+YYYY.MM}"
            hosts => ["https://x.x.x.x:9200"]
            user => "elastic"
            password => "passwd"
        }
    }
# 数据哭登录日志
    if [type] == "xiniu_login" {
        elasticsearch{
            cacert => "/etc/logstash/ca/client-ca.cer"
            ssl => true
            ssl_certificate_verification => false
            index => "xiniu-login-%{+YYYY.MM}"
            hosts => ["https://x.x.x.x:9200"]
            user => "elastic"
            password => "passwd"
        }
    }

Grok配置文件

/etc/logstash/nginx/nginx文件配置

NGINXACCESS %{IP:ClientIP}\| %{HTTPDUSER:ident}\|%{HOSTNAME:domain}\| %{WORD:request_method} %{NOTSPACE:request} HTTP/%{NUMBER:httpversion}\|  %{NUMBER:status:int}\| \"%{GREEDYDATA:http_referrer}\"\|  \"%{GREEDYDATA:httpagent}\"\|%{NUMBER:body_sent:int}\| %{NUMBER:request_time:float}\| (%{NUMBER:response_time:float}|-)
FASTDFSNGINX %{IP:clientip} - %{USER:auth} \[%{HTTPDATE:timestamp}\] \"%{WORD:request_method} %{NOTSPACE:request} HTTP/%{NUMBER:httpversion}\" %{NUMBER:status:int} %{NUMBER:sc_bytes:int} \"(?:%{URI:referrer}|-)\" \"%{GREEDYDATA:agent}\"
STORAGENGINX %{IP:clientip} - %{USER:auth} \[%{HTTPDATE:timestamp}\] \"%{WORD:request_method} %{NOTSPACE:request} HTTP/%{NUMBER:httpversion}\" %{NUMBER:status:int} %{NUMBER:sc_bytes:int} \"(?:%{URI:referrer}|-)\" \"%{GREEDYDATA:agent}\"
FTP \(%{NUMBER:id}\) %{DATE_CH:date} %{TIME:time} - (?<type>\(not logged in\)|ftp_log) \(%{IP:ip}\)\> %{GREEDYDATA:data}

以下是一位大神的nginx正则匹配的对照表,我使用的是kibana自带grok进行调试 原文连接https://www.cnblogs.com/lize3379/p/6118788.html
在这里插入图片描述
在这里插入图片描述

Grok预定义正则

vim /usr/share/logstash/vendor/bundle/jruby/2.5.0/gems/logstash-patterns-core-4.1.2/patterns/grok-patterns
USERNAME [a-zA-Z0-9._-]+
USER %{USERNAME}
EMAILLOCALPART [a-zA-Z][a-zA-Z0-9_.+-=:]+
EMAILADDRESS %{EMAILLOCALPART}@%{HOSTNAME}
INT (?:[+-]?(?:[0-9]+))
BASE10NUM (?<![0-9.+-])(?>[+-]?(?:(?:[0-9]+(?:\.[0-9]+)?)|(?:\.[0-9]+)))
NUMBER (?:%{BASE10NUM})
BASE16NUM (?<![0-9A-Fa-f])(?:[+-]?(?:0x)?(?:[0-9A-Fa-f]+))
BASE16FLOAT \b(?<![0-9A-Fa-f.])(?:[+-]?(?:0x)?(?:(?:[0-9A-Fa-f]+(?:\.[0-9A-Fa-f]*)?)|(?:\.[0-9A-Fa-f]+)))\b

POSINT \b(?:[1-9][0-9]*)\b
NONNEGINT \b(?:[0-9]+)\b
WORD \b\w+\b
NOTSPACE \S+
SPACE \s*
DATA .*?
GREEDYDATA .*
QUOTEDSTRING (?>(?<!\\)(?>"(?>\\.|[^\\"]+)+"|""|(?>'(?>\\.|[^\\']+)+')|''|(?>`(?>\\.|[^\\`]+)+`)|``))
UUID [A-Fa-f0-9]{8}-(?:[A-Fa-f0-9]{4}-){3}[A-Fa-f0-9]{12}
# URN, allowing use of RFC 2141 section 2.3 reserved characters
MAC (?:%{CISCOMAC}|%{WINDOWSMAC}|%{COMMONMAC})
CISCOMAC (?:(?:[A-Fa-f0-9]{4}\.){2}[A-Fa-f0-9]{4})
WINDOWSMAC (?:(?:[A-Fa-f0-9]{2}-){5}[A-Fa-f0-9]{2})
COMMONMAC (?:(?:[A-Fa-f0-9]{2}:){5}[A-Fa-f0-9]{2})
IP (?:%{IPV6}|%{IPV4})
HOSTNAME \b(?:[0-9A-Za-z][0-9A-Za-z-]{0,62})(?:\.(?:[0-9A-Za-z][0-9A-Za-z-]{0,62}))*(\.?|\b)
IPORHOST (?:%{IP}|%{HOSTNAME})
HOSTPORT %{IPORHOST}:%{POSINT}

# paths
PATH (?:%{UNIXPATH}|%{WINPATH})
UNIXPATH (/([\w_%!$@:.,+~-]+|\\.)*)+
TTY (?:/dev/(pts|tty([pq])?)(\w+)?/?(?:[0-9]+))
WINPATH (?>[A-Za-z]+:|\\)(?:\\[^\\?*]*)+
URIPROTO [A-Za-z]([A-Za-z0-9+\-.]+)+
URIHOST %{IPORHOST}(?::%{POSINT:port})?
# uripath comes loosely from RFC1738, but mostly from what Firefox
# doesn't turn into %XX
URIPATH (?:/[A-Za-z0-9$.+!*'(){},~:;=@#%&_\-]*)+
#URIPARAM \?(?:[A-Za-z0-9]+(?:=(?:[^&]*))?(?:&(?:[A-Za-z0-9]+(?:=(?:[^&]*))?)?)*)?
URIPARAM \?[A-Za-z0-9$.+!*'|(){},~@#%&/=:;_?\-\[\]<>]*
URIPATHPARAM %{URIPATH}(?:%{URIPARAM})?
URI %{URIPROTO}://(?:%{USER}(?::[^@]*)?@)?(?:%{URIHOST})?(?:%{URIPATHPARAM})?

# Months: January, Feb, 3, 03, 12, December
MONTHNUM (?:0?[1-9]|1[0-2])
MONTHNUM2 (?:0[1-9]|1[0-2])
MONTHDAY (?:(?:0[1-9])|(?:[12][0-9])|(?:3[01])|[1-9])
TTY (?:/dev/(pts|tty([pq])?)(\w+)?/?(?:[0-9]+))
WINPATH (?>[A-Za-z]+:|\\)(?:\\[^\\?*]*)+
URIPROTO [A-Za-z]([A-Za-z0-9+\-.]+)+
URIHOST %{IPORHOST}(?::%{POSINT:port})?
# uripath comes loosely from RFC1738, but mostly from what Firefox
# doesn't turn into %XX
URIPATH (?:/[A-Za-z0-9$.+!*'(){},~:;=@#%&_\-]*)+
#URIPARAM \?(?:[A-Za-z0-9]+(?:=(?:[^&]*))?(?:&(?:[A-Za-z0-9]+(?:=(?:[^&]*))?)?)*)?
URIPARAM \?[A-Za-z0-9$.+!*'|(){},~@#%&/=:;_?\-\[\]<>]*
URIPATHPARAM %{URIPATH}(?:%{URIPARAM})?
URI %{URIPROTO}://(?:%{USER}(?::[^@]*)?@)?(?:%{URIHOST})?(?:%{URIPATHPARAM})?

# Months: January, Feb, 3, 03, 12, December
MONTHNUM (?:0?[1-9]|1[0-2])
MONTHNUM2 (?:0[1-9]|1[0-2])
MONTHDAY (?:(?:0[1-9])|(?:[12][0-9])|(?:3[01])|[1-9])

# Years?
YEAR (?>\d\d){1,2}
HOUR (?:2[0123]|[01]?[0-9])
MINUTE (?:[0-5][0-9])
# '60' is a leap second in most time standards and thus is valid.
SECOND (?:(?:[0-5]?[0-9]|60)(?:[:.,][0-9]+)?)
TIME (?!<[0-9])%{HOUR}:%{MINUTE}(?::%{SECOND})(?![0-9])
# datestamp is YYYY/MM/DD-HH:MM:SS.UUUU (or something like it)
DATE_US %{MONTHNUM}[/-]%{MONTHDAY}[/-]%{YEAR}
DATE_EU %{MONTHDAY}[./-]%{MONTHNUM}[./-]%{YEAR}
ISO8601_TIMEZONE (?:Z|[+-]%{HOUR}(?::?%{MINUTE}))
ISO8601_SECOND (?:%{SECOND}|60)
TIMESTAMP_ISO8601 %{YEAR}-%{MONTHNUM}-%{MONTHDAY}[T ]%{HOUR}:?%{MINUTE}(?::?%{SECOND})?%{ISO8601_TIMEZONE}?
DATE %{DATE_US}|%{DATE_EU}
DATESTAMP %{DATE}[- ]%{TIME}
TZ (?:[APMCE][SD]T|UTC)
DATESTAMP_RFC822 %{DAY} %{MONTH} %{MONTHDAY} %{YEAR} %{TIME} %{TZ}
DATESTAMP_RFC2822 %{DAY}, %{MONTHDAY} %{MONTH} %{YEAR} %{TIME} %{ISO8601_TIMEZONE}
DATESTAMP_OTHER %{DAY} %{MONTH} %{MONTHDAY} %{TIME} %{TZ} %{YEAR}
DATESTAMP_EVENTLOG %{YEAR}%{MONTHNUM2}%{MONTHDAY}%{HOUR}%{MINUTE}%{SECOND}

# Syslog Dates: Month Day HH:MM:SS
SYSLOGTIMESTAMP %{MONTH} +%{MONTHDAY} %{TIME}
PROG [\x21-\x5a\x5c\x5e-\x7e]+
SYSLOGPROG %{PROG:program}(?:\[%{POSINT:pid}\])?
SYSLOGHOST %{IPORHOST}
SYSLOGFACILITY <%{NONNEGINT:facility}.%{NONNEGINT:priority}>
HTTPDATE %{MONTHDAY}/%{MONTH}/%{YEAR}:%{TIME} %{INT}

# Shortcuts
QS %{QUOTEDSTRING}

# Log formats
SYSLOGBASE %{SYSLOGTIMESTAMP:timestamp} (?:%{SYSLOGFACILITY} )?%{SYSLOGHOST:logsource} %{SYSLOGPROG}:

# Log Levels
LOGLEVEL ([Aa]lert|ALERT|[Tt]race|TRACE|[Dd]ebug|DEBUG|[Nn]otice|NOTICE|[Ii]nfo|INFO|[Ww]arn?(?:ing)?|WARN?(?:ING)?|[Ee]rr?(?:or)?|ERR?(?:OR)?|[Cc]rit?(?:ical)?|CRIT?(?:ICAL)?|[Ff]atal|FATAL|[Ss]evere|SEVERE|EMERG(?:ENCY)?|[Ee]merg(?:ency)?)

解决geoip的location不为geo_point格式

在使用geoip获取的经纬度时会遇到一个问题就是location的type是number类型的,这导致它不能被map直接使用,所以我们就需要对他的类型进行转换,需要创建一个新的模板,进行匹配。引用的原文连接 https://www.cnblogs.com/tielemao/p/13523564.html

PUT /_template/cache_log
{
  "index_patterns" : [
      "cache*" #匹配的索引
  ],
  "order" : 10,
  "mappings": {
    "properties": {
      "client_ip": {
        "type": "ip"
      },
      "geoip": {
        "dynamic": true,
        "type": "object",
        "properties": {
          "location": {
            "type": "geo_point"
          }
        }
      }
    }
  },
  "aliases" : {
      "tielemao_weblog" : { }
  }
}

在修改完成之后,需要将原始索引删除,还有将索引模式删除重建,具体我没有测试不删除是否可以。
这下再查看数据时已经变了,后面就直接可以使用。
在这里插入图片描述

效果图

在这里插入图片描述

Logstash数据处理服务的过滤插件GeoIP解析IP地址的地理位置
江晓龙的博客
07-13 1149
GeoIP插件可以根据Maxmind Geolite2数据库中的数据展现出相关IP地址的地理位置信息。使用GeoIP获取IP地址的地理位置信息需要事先准备一个数据库,这个数据库中需要记录有关IP的地址位置信息,当然这个IP需要是公网IP,私网IP是无法获取其地理信息的。Maxmind Geolite2数据库企业版经纬度精确,免费版精确度略低。GeoIP常用字段:Geo相关数据库文件的下载地址: 3.配置Logstash使用GeoIP获取用户IP的地址位置信息 使用geoip之前先要使用grok过滤出用户IP
Logstash数据处理服务的过滤插件Filter配置详解
江晓龙的博客
07-13 2158
Filter是Logstash配置文件中的一部分,也是较为重要的一部分,主要是针对收集来的日志数据做进一步的格式化处理。过滤常用插件:json、kv、grokgeoip、date过滤插件通用配置字段:JSON插件主要用于接收json格式的日志数据,将json数据进行解析,展开成logstash的数据结构,放到日志数据的最顶层通过json插件可以将json格式的日志数据中每一个键和值单独分离出来,方便在kibana上进行数据检索。常用字段配置::指定要解析的字段,一般是日志数据内容messages字段,在这
logstash利用geoip获取IP地理位置信息
Jepson的博客
07-04 1482
我们在用logstash收集日志时,有时需要将日志中的IP地址映射出具体的地理位置信息,logstashgeoip过滤器提供了这个功能.由于geoip为免费IP库,存在部分IP无法获取到省份城市信息。GeoLite2-City.mmdb 可在。logstash中默认的geoip插件位于。
Logstash模块之geoip
Lamar's Blog
11-01 9266
在对Logstash的实际应用中,为了从日志中ip获取到用户访问时的所在地,用到了geoip这个模块。刚开始使用时并未注意到一些细节,但在做数据分析的时候发现了geoip的坑
ELK之LogStash插件grokgeoip的配置使用
最新发布
一掬净土
10-17 812
后,往 /tmp/access.log 中新增一条数据,看输出:发现"clientip" 变成了 “cip” 和timestamp agent 字段已经没有了。后,往 /tmp/access.log 中新增一条数据,看输出:发现输出结果中新增了。geoip插件可以针对IP地址进行地理位置信息来源的查找。字段,并展示了地区、国家、省份、经纬度等地理位置信息。使用geoip过滤器插件,可以增强数据。
logstash 中配置GeoIP解析地理信息
smile_lty的博客
04-16 4791
  logstash中配置的GeoIP的数据库解析ip了,这里是用了开源的ip数据源,用来分析客户端的ip归属地。官网在这里:MAXMIND   下载GeoLiteCity数据库 wget http://geolite.maxmind.com/download/geoip/database/GeoLite2-City.tar.gz tar -zxvf GeoLite2-City.tar.gz...
Logstash过滤器--Geoip
春天的道路依然充满泥泞!
10-25 5809
Geoip过滤器可以给IP地址添加地理位置信息,包括归属地、经纬度等。Geoip参考的数据库是Maxmind,同时它也可以让用户设置自己的查询数据库。Geoip的基本配置:geoip { source => ... }配置参数:1. add_fieldfilter { geoip { add_field => { "foo_%{somefield}" => "Hello worl
Logstash配置语法
weixin_45880055的博客
08-11 4305
文章目录Logstash基本语法组成Logstash输入插件(Input)Logstash编码插件(Codec)Logstash过滤器插件(Filter插件)Logstash输出插件(output) Logstash基本语法组成 logstash之所以功能强大和流行,还与其丰富的过滤器插件是分不开的,过滤器提供的并不单单是过滤的功能,还可以对进入过滤器的原始数据进行复杂的逻辑处理,甚至添加独特的事件到后续流程中。 Logstash配置文件有如下三部分组成,其中input、output部分是必须配置,filt
Logstash Grok过滤器的高级用法
# 1. Logstash Grok过滤器简介 ## 1.1 Grok过滤器的作用和原理 Grok过滤器是Logstash中一个非常强大和常用的插件,它用于对非结构化的日志数据进行解析和提取。...Grok过滤器可以通过在Logstash配置文件中定义
探索ELK:全面解析Logstash配置文件
一些常用的过滤器插件包括grok(用于解析和结构化非结构化数据)、mutate(用于修改字段,例如重命名、删除或修改字段值)、geoip(用于添加地理位置信息)等。 6. Logstash输出插件:输出插件负责将过滤后的数据...
logstash-filter-geoip-cn.zip
03-27
logstash使用geoip插件解析出来的地理信息是英文。通过GeoIP获取ip所属地,并将国家转换为中文。
【ELK】logstashgeoip.location获取及格式问题
nmjuzi的博客
04-24 1619
问题描述 一开始我的架构是nginx=>fieabeat6.5=>es6.5,在grafana中地图数据是能正常获取的 后来我将架构改为nginx=> 如图所示,数据是正常得到了location字段,但我想获取geoip.location得到的却是geoip.location.lon和geoip.location.lat ...
ELK logstash 过滤插件:GeoIP
小楼一夜听春雨,深巷明朝卖杏花
12-29 2523
过滤插件:GeoIP Description The GeoIP filter adds information about the geographical location of IP addresses, based on data from the Maxmind GeoLite2 databases. GeoIP过滤器根据来自Maxmind GeoLite2数据库的数据添加有关IP地址地理位置的信息。 过滤插件:GeoIP(能够将日志当中的IP解析为具体的地理位置,这个必须要有数据.
ELS-logstashgeoip使用
weixin_44288087的博客
01-17 760
logstashgrok可以对收集得数据进行过滤geoip可以对过滤后得数据字段再进行细分,然后根据内建得geoip库来得知访问得ip来自于哪个城市了。官方文档详解地址https://www.elastic.co/guide/en/logstash/current/logstash-config-for-filebeat-modules.html#pa...
logstash 6.3.2 geoip
wanglei_storage的博客
09-12 3637
一、GEOIP 1、说明 GeoLite2 数据库是一个免费的 IP 地理定位数据库,与 MaxMind 的 GeoIP2 数据库有一定可比性,但不如后者准确。GeoLite2 Country 与 City 数据库在每月的第一个周二更新。GeoLite2 ASN 数据库的更新时间为每周二。 IP 地理定位在本质上缺乏准确性。地点通常接近人口的中心。 由 GeoIP 数据库提供的任何地点均不应...
Logstash之filter学习(官网)(GROK+GEO IP+FINGERPRINT+DATE)
qq_34646817的博客
07-27 4619
写在前面:logstash的插件有很多,即使filter的插件也有很多,因为生产马上要实践了,这边做一个归类总结 学习来源:官方文档 基本说明 官方的文档里面,主要讲了以下几个filter的作用。 首先,filter的定义是为了即时解析和转换您的数据 当数据从源传输到存储时,Logstash过滤器会解析每个事件,识别命名字段以构建结构,并将它们转换为汇聚在通用格式上,...
Logstash系列之--Geoip地理信息汉化
m0_37911384的博客
03-27 2266
说明 我们使用默认的logstash-filter-geoip插件解析IP地理信息时,得到的结果是英文显示,有时候我们希望把他转化成中文,方便前端调用显示,这时候我们需要搭建geoip环境,修改jcity.getName()为city.getNames().get("zh-CN")。然后生成gem文件,安装到logstash中。 插件下载地址: https://download....
Logstash利用GeoIP库显示地图以及通过useragent显示浏览器
my_bai的博客
03-29 2315
一、下载GeoIP数据库 # cd /etc/logstash/ # wget http://geolite.maxmind.com/download/geoip/database/GeoLiteCity.dat.gz # gzip -d GeoLiteCity.dat.gz    Linux系统MaxMind提供了GeoIP更新程序,可以自动更新数据库。CentOS可以通过epe
logstash常用的filter插件-grokgeoip
lpx1249115962的博客
08-27 478
将解析后的结果存储到指定的字段,若不指定,则默认覆盖原有的"@timestamp"字段哟!# 将Geoip解析的数据放在一个字段中,若不指定,则默认放在"geoip"字段中.# 如果设置为UTC时间,时区是不准确的!
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值