elasticsearch - Geoip Logstash过滤器-6ren

elasticsearch - Geoip Logstash过滤器

转载作者：行者123 更新时间：2023-12-03 02:01:05

26

4

我有一个配置文件是这样的:

input {
  file {
      path => "/home/kibana/Documents/external_noise.log"
      type => "external_noise"
      start_position => "beginning"
      sincedb_path => "/dev/null"
  }
}
filter {

grok {
match => { 'message' => '%{CISCOTIMESTAMP:timestamp} %{WORD:action}%{SPACE}%{DATA:logsource} %{DATA:interface} %{GREEDYDATA:kvpairs}' }

     }


kv   {
source => "kvpairs"
field_split => ";"
value_split => ":"
remove_field => "kvpairs"
}
mutate {
    remove_field => [ "message" ]

}
geoip {

source => "src"
target => "geoip"
database => "/etc/logstash/GeoLiteCity.dat"
add_field => [ "[geoip][coordinates]", "%{[geoip][longitude]}" ]
add_field => [ "[geoip][coordinates]", "%{[geoip][latitude]}" ]
}

 mutate {
convert => [ " [geoip][coordinates]", "float"]
}


date {
    match => [ "timestamp" , "MMM dd HH:mm:ss" ]
    target => "@timestamp"
    }

if "_grokparsefailure" in [tags] {
    drop {}
    }

}


output {

stdout {
    codec => rubydebug
        }
elasticsearch {
    action => "index"
    host => "localhost"
    index => "external-%{+dd.MM.YYYY}"
    workers => 1

}
}

我的示例日志文件是这些:

Jan 1 22:54:17 drop   %LOGSOURCE% >eth1 rule: 7; rule_uid: {C1336766-9489-4049-9817-50584D83A245}; src: 70.77.116.190; dst: %DSTIP%; proto: tcp; product: VPN-1 & FireWall-1; service: 445; s_port: 2612;
Jan 1 22:54:22 drop   %LOGSOURCE% >eth1 rule: 7; rule_uid: {C1336766-9489-4049-9817-50584D83A245}; src: 61.164.41.144; dst: %DSTIP%; proto: udp; product: VPN-1 & FireWall-1; service: 5060; s_port: 5069;
Jan 1 22:54:23 drop   %LOGSOURCE% >eth1 rule: 7; rule_uid: {C1336766-9489-4049-9817-50584D83A245}; src: 69.55.245.136; dst: %DSTIP%; proto: tcp; product: VPN-1 & FireWall-1; service: 445; s_port: 2970;
Jan 1 22:54:41 drop   %LOGSOURCE% >eth1 rule: 7; rule_uid: {C1336766-9489-4049-9817-50584D83A245}; src: 95.104.65.30; dst: %DSTIP%; proto: tcp; product: VPN-1 & FireWall-1; service: 445; s_port: 2565;
Jan 1 22:54:43 drop   %LOGSOURCE% >eth1 rule: 7; rule_uid: {C1336766-9489-4049-9817-50584D83A245}; src: 222.186.24.11; dst: %DSTIP%; proto: tcp; product: VPN-1 & FireWall-1; service: 2967; s_port: 6000;
Jan 1 22:54:54 drop   %LOGSOURCE% >eth1 rule: 7; rule_uid: {C1336766-9489-4049-9817-50584D83A245}; src: 74.204.108.202; dst: %DSTIP%; proto: udp; product: VPN-1 & FireWall-1; service: 137; s_port: 53038;
Jan 1 22:55:10 drop   %LOGSOURCE% >eth1 rule: 7; rule_uid: {C1336766-9489-4049-9817-50584D83A245}; src: 71.111.186.26; dst: %DSTIP%; proto: tcp; product: VPN-1 & FireWall-1; service: 445; s_port: 38548;

我尝试在Kibana上可视化 geoip，但显示未找到结果。我的 geoip配置有问题吗？我下载了数据库，对此我没有任何问题。但是，似乎 geoip无法读取我的存储IP地址的 src吗？另外，我扩展了字段表。我没有看到一些新的 geoip字段，其中包含有关被映射到实际地理位置的 src IP地址的信息。

需要一些帮助男孩

最佳答案

您唯一的问题是kv过滤器由于空格而无法正确拆分字段。

现在，当logstash解析您的日志时，您将收到如下事件:

{
      "@version" => "1",
    "@timestamp" => "2015-01-01T22:15:13.000Z",
          "host" => "iMac-de-Consulthys.local",
          "path" => "/home/kibana/Documents/external_noise.log",
          "type" => "external_noise",
     "timestamp" => "Jan 1 23:15:13",
        "action" => "drop",
     "logsource" => "%LOGSOURCE%",
     "interface" => ">eth1",
          " rule" => " 7",
      " rule_uid" => " {C1336766-9489-4049-9817-50584D83A245}",
           " src" => " 218.8.245.123",
           " dst" => " %DSTIP%",
         " proto" => " tcp",
       " product" => " VPN-1&FireWall-1",
       " service" => " 2967",
        " s_port" => " 6000",
}

您会注意到 kv过滤器提取的所有字段的开头都有一个空格。这意味着 geoip过滤器找不到 src字段。

因此，您要做的就是修改 kv过滤器以修剪键和值，如下所示:

kv   {
    source => "kvpairs"
    field_split => ";"
    value_split => ":"
    trim => "\s"                 <--- add this line
    trimkey => "\s"              <--- add this line
    remove_field => "kvpairs"
}

然后，您将获得带有正确创建的 geoip字段的精彩事件，如下所示:

{
      "@version" => "1",
    "@timestamp" => "2015-01-01T22:15:13.000Z",
          "host" => "iMac-de-Consulthys.local",
          "path" => "/home/kibana/Documents/external_noise.log",
          "type" => "external_noise",
     "timestamp" => "Jan 1 23:15:13",
        "action" => "drop",
     "logsource" => "%LOGSOURCE%",
     "interface" => ">eth1",
          "rule" => "7",
      "rule_uid" => "{C1336766-9489-4049-9817-50584D83A245}",
           "src" => "218.8.245.123",
           "dst" => "%DSTIP%",
         "proto" => "tcp",
       "product" => "VPN-1&FireWall-1",
       "service" => "2967",
        "s_port" => "6000",
         "geoip" => {
                      "ip" => "218.8.245.123",
           "country_code2" => "CN",
           "country_code3" => "CHN",
            "country_name" => "China",
          "continent_code" => "AS",
             "region_name" => "08",
               "city_name" => "Harbin",
                "latitude" => 45.75,
               "longitude" => 126.64999999999998,
                "timezone" => "Asia/Harbin",
        "real_region_name" => "Heilongjiang",
                "location" => [
            [0] 126.64999999999998,
            [1] 45.75
        ],
             "coordinates" => [
            [0] 126.64999999999998,
            [1] 45.75
        ]
    }
}

关于elasticsearch - Geoip Logstash过滤器，我们在Stack Overflow上找到一个类似的问题： https://stackoverflow.com/questions/32389287/

26

4

0

文章推荐： kibana - Kibana:如何随时间绘制值？

文章推荐：具有显式字段和字段属性的 Elasticsearch query_string

文章推荐： c++ - CodeBlocks SFML 音频库将不起作用

文章推荐： elasticsearch - 如何检查弹性日志中的哪个字段解析错误

javascript - AngularJS 中的“过滤器”过滤器
我有一个对象数组，我想在键传入“filter”过滤器时提取值。下面是我尝试过的 Controller 代码片段，但我得到的响应类型未定义。请帮我找出哪里出错了。 var states = [{"HI
java - Servlet 过滤器 - 来自 servlet 的转发请求是否会进入 servlet 过滤器？
如果任何 J2EE 应用程序直接访问 servlet，然后 servlet 将相同的请求转发到某个 .jsp 页面。 request.getRequestDispatcher("Login.jsp")
jquery 过滤器.not()
我有一个带有图像缩略图的表单，可以通过复选框进行选择以进行下载。我想要一个包含 jQuery 中图像的数组，用于 Ajax 调用。 2个问题: - 表格顶部有一个复选框，用于切换我想要从映射中排除的所
mysqldump 过滤器？
我必须从服务器转储数据库，将 .sql 传输到另一台服务器，然后运行以下脚本以使用此语法删除某些行: DELETE wp_posts FROM wp_posts INNER JOIN wp_postm
Java文件目录(过滤器)
我想从目录中过滤掉特定类型的文件，但收到错误“ token 语法错误，删除这些 token ”: File dir = new File("c:/etc/etc"); File[] f
PHP 过滤器
几乎所有的 Web 应用程序都依赖外部的输入。这些数据通常来自用户或其他应用程序（比如 web 服务）。通过使用过滤器，您能够确保应用程序获得正确的输入类型。您应该始终对外部数据进行过滤！输
子项和返回父项的 OData 过滤器
我正在开发一个由 OData 服务提供支持的搜索功能。它将返回一个或一列标题对象作为结果。我们需要搜索的许多字段不在标题对象中。它们仅在子对象(导航属性)中。能够针对子字段执行 OData 搜索并仍然
带替换的 Django 过滤器
假设我有以下模型，它有一个方法 variants(): class Example(models.Model): text = models.CharField(max_length=255)
Python 过滤器 defaultdict
我有一个默认的列表列表，但我基本上想这样做: myDefaultDict = filter(lambda k: len(k)>1, myDefaultDict) 除了它似乎只适用于列表。我能做什么？
Django 过滤器 - 分页结果
我正在使用 django-filter 来输出我的模型的过滤结果。那里没有问题。下一步是添加一个分页器……尽管现在已经苦苦挣扎了好几天。 views.py: def funds_overview(re
解释计划分区上的 oracle 过滤器
我正在做一个概念证明，我正在试验一种奇怪的行为。我有一个按日期字段按范围分区的表，如果我设置固定日期或由 SYSDATE 创建的日期，查询的成本会发生很大变化。这些是解释计划: SQL> SELE
configuration - Log4Net 过滤器 "OR"
如果一个或另一个值匹配，是否可以制作一个过滤器，例如一个中性的 PropertyFilter(并传递给链中的下一个过滤器)？就像是: value1 val
基于另一个单元格的 VBA 过滤器
我是 VBA 初学者，正在尝试根据单元格值过滤数据，经过一番谷歌搜索后，我编写了一个有效的代码 Sub FilterDepartment_Sales() Sheet6.Activate
Excel 过滤器 - 仅显示过滤器中的相关值
假设我在 excel 数据透视表中有两个过滤器。两者最初都会显示筛选列的选定范围内的所有值。当我仅在过滤器 1 中选择几个值时，过滤器 2 仍会继续显示基础数据中所选范围内特定过滤器列中的所有值。
Freemarker - 定义自定义内置/过滤器
是否可以定义自定义 build-ins (名称不再适合)在 ftl？由于语义前提，我不想让它成为一个函数，而是一个内置的。最佳答案这是不可能的，?语法是为内置函数保留的。 (顺便说一句，这意味着
Wordpress 过滤器 user_row_actions
我试图在 Edit | 之外添加一个链接通过插件删除wordpress管理员>用户>所有用户列表中的链接..这是我第一次尝试通过查看其他插件或搜索google来制作wordpress插件.. 我添加了
带分页的 Django 过滤器
我正在尝试按照以下教程使用 django 过滤器进行分页，但该教程似乎缺少某些内容，而且我无法使用基于函数的 View 方法显示分页。 https://simpleisbetterthancomple
Powershell 过滤器 csv
由于我是 Powershell 新手，因此寻求最佳实践方面的帮助，我有一个 csv 文件，我想过滤掉 csv 中的每一行，除了包含“未安装”的行然后，我想根据包含计算机列表的单独 csv 文件过滤
我需要审查的项目的 Gerrit 过滤器
我正在尝试创建一个搜索查询，它会告诉我我作为审阅者添加到其中的打开更改，但我还没有提交最新补丁集的代码审查。这应该包括其他人已经评论过的更改，但我没有。我能找到的最接近的是 is:reviewer
java session 过滤器
在我的 Web 应用程序中，我有 3 个主要部分 1. 客户 2. 供应商 3. 管理员我正在使用 java session 过滤器来检查用户 session 并允许访问网站的特定部分。因此客户只

首页

博学

6Ren·AI

商城

elasticsearch - Geoip Logstash过滤器