个人中心
文章发布
退出
作者热门文章
- html - 出于某种原因,IE8 对我的 Sass 文件中继承的 html5 CSS 不友好?
- JMeter 在响应断言中使用 span 标签的问题
- html - 在 :hover and :active? 上具有不同效果的 CSS 动画
- html - 相对于居中的 html 内容固定的 CSS 重复背景?
27
4
我有一个配置文件是这样的:
input {
file {
path => "/home/kibana/Documents/external_noise.log"
type => "external_noise"
start_position => "beginning"
sincedb_path => "/dev/null"
}
}
filter {
grok {
match => { 'message' => '%{CISCOTIMESTAMP:timestamp} %{WORD:action}%{SPACE}%{DATA:logsource} %{DATA:interface} %{GREEDYDATA:kvpairs}' }
}
kv {
source => "kvpairs"
field_split => ";"
value_split => ":"
remove_field => "kvpairs"
}
mutate {
remove_field => [ "message" ]
}
geoip {
source => "src"
target => "geoip"
database => "/etc/logstash/GeoLiteCity.dat"
add_field => [ "[geoip][coordinates]", "%{[geoip][longitude]}" ]
add_field => [ "[geoip][coordinates]", "%{[geoip][latitude]}" ]
}
mutate {
convert => [ " [geoip][coordinates]", "float"]
}
date {
match => [ "timestamp" , "MMM dd HH:mm:ss" ]
target => "@timestamp"
}
if "_grokparsefailure" in [tags] {
drop {}
}
}
output {
stdout {
codec => rubydebug
}
elasticsearch {
action => "index"
host => "localhost"
index => "external-%{+dd.MM.YYYY}"
workers => 1
}
}
Jan 1 22:54:17 drop %LOGSOURCE% >eth1 rule: 7; rule_uid: {C1336766-9489-4049-9817-50584D83A245}; src: 70.77.116.190; dst: %DSTIP%; proto: tcp; product: VPN-1 & FireWall-1; service: 445; s_port: 2612;
Jan 1 22:54:22 drop %LOGSOURCE% >eth1 rule: 7; rule_uid: {C1336766-9489-4049-9817-50584D83A245}; src: 61.164.41.144; dst: %DSTIP%; proto: udp; product: VPN-1 & FireWall-1; service: 5060; s_port: 5069;
Jan 1 22:54:23 drop %LOGSOURCE% >eth1 rule: 7; rule_uid: {C1336766-9489-4049-9817-50584D83A245}; src: 69.55.245.136; dst: %DSTIP%; proto: tcp; product: VPN-1 & FireWall-1; service: 445; s_port: 2970;
Jan 1 22:54:41 drop %LOGSOURCE% >eth1 rule: 7; rule_uid: {C1336766-9489-4049-9817-50584D83A245}; src: 95.104.65.30; dst: %DSTIP%; proto: tcp; product: VPN-1 & FireWall-1; service: 445; s_port: 2565;
Jan 1 22:54:43 drop %LOGSOURCE% >eth1 rule: 7; rule_uid: {C1336766-9489-4049-9817-50584D83A245}; src: 222.186.24.11; dst: %DSTIP%; proto: tcp; product: VPN-1 & FireWall-1; service: 2967; s_port: 6000;
Jan 1 22:54:54 drop %LOGSOURCE% >eth1 rule: 7; rule_uid: {C1336766-9489-4049-9817-50584D83A245}; src: 74.204.108.202; dst: %DSTIP%; proto: udp; product: VPN-1 & FireWall-1; service: 137; s_port: 53038;
Jan 1 22:55:10 drop %LOGSOURCE% >eth1 rule: 7; rule_uid: {C1336766-9489-4049-9817-50584D83A245}; src: 71.111.186.26; dst: %DSTIP%; proto: tcp; product: VPN-1 & FireWall-1; service: 445; s_port: 38548;
geoip,但显示未找到结果。我的
geoip配置有问题吗?我下载了数据库,对此我没有任何问题。但是,似乎
geoip无法读取我的存储IP地址的
src吗?另外,我扩展了字段表。我没有看到一些新的
geoip字段,其中包含有关被映射到实际地理位置的
src IP地址的信息。
最佳答案
您唯一的问题是kv过滤器由于空格而无法正确拆分字段。
现在,当logstash解析您的日志时,您将收到如下事件:
{
"@version" => "1",
"@timestamp" => "2015-01-01T22:15:13.000Z",
"host" => "iMac-de-Consulthys.local",
"path" => "/home/kibana/Documents/external_noise.log",
"type" => "external_noise",
"timestamp" => "Jan 1 23:15:13",
"action" => "drop",
"logsource" => "%LOGSOURCE%",
"interface" => ">eth1",
" rule" => " 7",
" rule_uid" => " {C1336766-9489-4049-9817-50584D83A245}",
" src" => " 218.8.245.123",
" dst" => " %DSTIP%",
" proto" => " tcp",
" product" => " VPN-1&FireWall-1",
" service" => " 2967",
" s_port" => " 6000",
}
kv过滤器提取的所有字段的开头都有一个空格。这意味着
geoip过滤器找不到
src字段。
kv过滤器以修剪键和值,如下所示:
kv {
source => "kvpairs"
field_split => ";"
value_split => ":"
trim => "\s" <--- add this line
trimkey => "\s" <--- add this line
remove_field => "kvpairs"
}
geoip字段的精彩事件,如下所示:
{
"@version" => "1",
"@timestamp" => "2015-01-01T22:15:13.000Z",
"host" => "iMac-de-Consulthys.local",
"path" => "/home/kibana/Documents/external_noise.log",
"type" => "external_noise",
"timestamp" => "Jan 1 23:15:13",
"action" => "drop",
"logsource" => "%LOGSOURCE%",
"interface" => ">eth1",
"rule" => "7",
"rule_uid" => "{C1336766-9489-4049-9817-50584D83A245}",
"src" => "218.8.245.123",
"dst" => "%DSTIP%",
"proto" => "tcp",
"product" => "VPN-1&FireWall-1",
"service" => "2967",
"s_port" => "6000",
"geoip" => {
"ip" => "218.8.245.123",
"country_code2" => "CN",
"country_code3" => "CHN",
"country_name" => "China",
"continent_code" => "AS",
"region_name" => "08",
"city_name" => "Harbin",
"latitude" => 45.75,
"longitude" => 126.64999999999998,
"timezone" => "Asia/Harbin",
"real_region_name" => "Heilongjiang",
"location" => [
[0] 126.64999999999998,
[1] 45.75
],
"coordinates" => [
[0] 126.64999999999998,
[1] 45.75
]
}
}
关于elasticsearch - Geoip Logstash过滤器,我们在Stack Overflow上找到一个类似的问题: https://stackoverflow.com/questions/32389287/
27
4
0
关闭。这个问题不符合Stack Overflow guidelines .它目前不接受答案。 我们不允许提问寻求书籍、工具、软件库等的推荐。您可以编辑问题,以便用事实和引用来回答。 关闭 6 年前。
我发现 MaxMind 的 GeoIP 数据库的准确度是 99.5%(免费)或 99.8%(商业),如他们网站上公布的那样。有人知道 0.5% 和 0.2% 是多少吗? 他们是新分配的 IP 地址,还
我正在尝试使用 MaxMind GeoIP 数据库,我注意到 C API 提供了一堆不同的缓存模式作为 GeoIP_open 的标志。初始化调用。 GEOIP_MEMORY_CACHE GEOIP_C
在安装 geoip 时,我遇到了依赖冲突。我可以安装 geoip-database 和 geoip-database-extra 包,或者 geoip-database-contrib。我没有注意到它
对于我的 Django 应用程序,我试图通过 amdin 存储登录位置的日志。 我创建了一个中间件并尝试使用“django.contrib.gis.utils import GeoIP”来获取地理位置
尝试捆绑具有 gem geoip-c 但得到 Gem::Ext::BuildError: ERROR: Failed to build gem native extension. /Users/dur
如题,我想用golang做geoip,msg是json格式如下 {"type":"big_platform","xrealip":"8.8.8.8","scheme":"http","log_time
地理定位数据库的来源是什么http://www.maxmind.com/得到它的数据?据我了解,像 ARIN 和 RIPE 这样的 IP 注册机构只保存有关分配 IP 范围的公司的信息,因此它必须来自
我制作的一些网站存在垃圾邮件发送者的问题。我已经确保消息在发布之前必须得到批准,但最近情况变得更糟。 我只能看到所有垃圾邮件之间的一个链接。根据 geoiplookup,所有 IP 地址都是,来自中国
我要配置 GeoIP 根据共享服务器中的国家/地区 IP 地址将域重定向到子域。我创建了一个自定义的 php.ini 来导入 geoip.so 然后在我的 index.php 我添加了这段代码: 在
我有一个配置文件是这样的: input { file { path => "/home/kibana/Documents/external_noise.log" type
当事件从Logstash发送到具有默认indexName的elasticsearch时,geoip.location属于geo_point数据类型。由于geoip.location具有geo_poin
目前,我正在使用 Quova,但当用户使用移动网络(而非 WiFi)并在本国境外漫游时,我正在努力寻找/理解 GeoIP(针对国家/地区分辨率)的准确性。 如果设备的 IP 地址是从家庭网络分配的,那
我想知道你是否可以给我一个有效的代码,这样当有人从英国加载网站时,它会将用户重定向到/UK/然后如果他们从美国加载它会转到/US/如果他们'来自欧盟任何地方(英国除外)到/EU/ 我试过这个代码,它只
我安装了 PHP 5.4 和 GeoIP,但我无法让 GeoIP 工作。错误是: fatal error :在第 7 行/var/www/html/geoip/test.php 中调用未定义的函数 g
这是我正在使用的模块:http://wiki.nginx.org/HttpGeoipModule 据我所知,由于它是在 nginx 配置和 uwsgi 上配置的,因此看起来别无选择,只能让它在每个页面
我正在尝试使用 ELK 堆栈创建 GeoIP 数据,它可以在 Kibana 中可视化。 我最近在 Ubuntu Server 14.04 的虚拟实例上安装了 ELK 堆栈(Elastic Search
我在使用 geoip 阻止国家时遇到问题。当我使用我的托管帐户实用程序来阻止国家/地区时,它会在 .htaccess 中创建以下脚本。问题是它似乎不起作用(添加了美国但未被阻止)。 GeoIPEnab
我正在运行Elasticsearch 1.5.2版。 Logstash版本1.5.4。 大多数logstash设置为默认设置: geoip { source => "ipaddress"
这个问题是一个更具体问题的一般版本 asked here .但是,这些答案无法使用。 问题: geoIP数据的原始来源是什么? 许多网站会告诉我我的 IP 在哪里,但它们似乎都在使用来自不到 5 家公
我是一名优秀的程序员,十分优秀!