Logstash/Kibana GeoIP 不工作-6ren

Logstash/Kibana GeoIP 不工作

转载作者：行者123 更新时间：2023-12-05 03:12:27

29

4

我正在尝试使用 ELK 堆栈创建 GeoIP 数据，它可以在 Kibana 中可视化。

我最近在 Ubuntu Server 14.04 的虚拟实例上安装了 ELK 堆栈(Elastic Search、Logstash 和 Kibana)。我正在使用 Bro 来捕获日志。

除了 GeoIP(最有趣的功能之一!)之外，在 Kibana 中捕获日志、解析日志和查看日志的一切工作都非常顺利。

我的 logstash 配置文件的 GeoIP 部分如下所示；

geoip {
  add_tag => [ "geoip" ]
  database => "/etc/logstash/GeoLiteCity.dat" 
  source => "id.orig_h"
  target => "geoip"
  add_field => [ "[geoip][coordinates]", "%{[geoip][longitude]}"]
  add_field => [ "[geoip][coordinates]", "%{[geoip][latitude]}" ]
}
mutate {
  convert => [ "[geoip][coordinates]", "float" ]
}

我从 the following guide to setup GeoIP with Kibana. 得到了那部分过滤器我还看到在其他一些地方使用了该过滤器。我试图简化过滤器(只是源、目标、数据库)，但没有成功。

当我对索引执行 curl 请求时，尤其是使用 add_tag ["geoip"] 时，它会返回空白数据；

"geoip" : {
        "dynamic" : "true",
        "properties" : {
          "location" : {
            "type" : "geo_point"
          }
        }

最后，这是我直接从 Kibana 获取的一些经过清理的 JSON 格式数据；

{
  "_index": "logstash-2015.11.12",
  "_type": "bro-conn_log",
  "_id": "*****",
  "_score": null,
  "_source": {
    "message": [
      "*****"
    ],
    "@version": "1",
    "@timestamp": "2015-11-12T13:43:16.205Z",
    "host": "elk",
    "path": "/nsm/bro/logs/current/conn.log",
    "type": "bro-conn_log",
    "ts": "*****",
    "uid": "*****",
    "id.orig_h": "*****",
    "id.orig_p": *****,
    "id.resp_h": "*****",
    "id.resp_p": *****,
    "proto": "*****",
    "service": "*****",
    "duration": *****,
    "orig_bytes": *****,
    "resp_bytes": *****,
    "conn_state": "*****",
    "local_orig": "*****",
    "missed_bytes": *****,
    "history": "*****",
    "orig_pkts": *****,
    "orig_ip_bytes": *****,
    "resp_pkts": *****,
    "resp_ip_bytes": *****,
    "tunnel_parents": "*****",
    "column21": "(empty)",
    "conn_state_full": "*****"
  },
  "fields": {
    "@timestamp": [
      1447335796205
    ]
  },
  "sort": [
    1447335796205
  ]
}

总而言之:我正在尝试使用 ELK 堆栈获取 GeoIP 数据。尽管以下指南描述了如何做到这一点，但 GeoIP 字段不会显示在 Kibana 中。任何建议将不胜感激。

最佳答案

非常愚蠢的解决方案。我查看的 IP 地址都是内部的。我假设(错误地)它只会为任何无法解析的 IP 地址生成空的 GeoIP 数据。但是，正如 geoIP 文档所述:

Starting with version 1.3.0 of Logstash, a [geoip][location] field is created if the GeoIP lookup returns a latitude and longitude.

因此，如果没有经度和纬度，就永远不会创建 GeoIP 字段。这已通过将机器移动到更开放的网络并立即看到具有上述相同过滤器的 GeoIP 标签来确认。

关于Logstash/Kibana GeoIP 不工作，我们在Stack Overflow上找到一个类似的问题： https://stackoverflow.com/questions/33673510/

29

4

0

文章推荐： json - 通过 AJAX 将 JSON 对象从 Django View 返回给客户端

文章推荐： html - 在 anchor 标签内使用 div 标签是否正确？

文章推荐： c - 如何在汇编中使用 float ？

文章推荐： laravel - 在路由回调函数中使用 Eloquent 模型会出错

logstash - logstash 中的日志轮换
我在 logstash 中使用文件作为日志的输入。我的日志文件每天轮换，所以我想问一下我们如何配置 logstash 的文件插件，以便它可以处理每天轮换的文件。除此之外，文件节拍也可以进行日志轮换。
logstash - Logstash 是否对每个事件消息有限制大小？
我正在我公司服务的服务器上实现监控工具。为此，我正在使用 logstash。我们的应用程序通过 log4net udp appender 将它们的日志发送到 logstash(输入 udp)，然后 l
logstash - Logstash 中的数学函数
我期待对 Logstash 中收到的输入使用数学运算，但无法看到任何此类过滤器 . 输入如下: { "user_id": "User123", "date": "2016 Jun 26 12
logstash - logstash 可以同时处理多个输出吗？
我对 logstash 和 Elasticsearch 很陌生。我正在尝试将日志文件存储在 elasticsearch 和平面文件中。我知道 logstash 支持两种输出。但是它们是同时处理的吗？还
logstash - Logstash 过滤器入门
寻求一些入门帮助...我已经安装了 Logstash(以及 ElasticSearch)，但我正在为我的第一个过滤器而苦苦挣扎。作为测试，我将其配置为从包含 6 行的修剪日志文件中读取，每行以时间戳
logstash - Logstash 设置建议
我已经按照下面提到的架构实现了 logstash(在测试中)。成分分解 Rsyslog 客户端:默认情况下，所有 Linux destros 中都安装了 syslog，我们只需要配置 rsyslog
logstash - logstash 配置中的负正则表达式
我无法在 LogStash 中使用负正则表达式(如 the docs 中所述) 考虑以下正则表达式，它可以正常工作以检测已分配值的字段: if [remote_ip] =~ /(.+)/ {
logstash - Filebeat 无法连接到 logstash
我在云中使用两台服务器，在一台服务器上 (A) 我安装了 filebeat，在第二台服务器上 (B) 我安装了 logstash、elasticsearch 和 kibana。所以我在 logstas
logstash - 如何替换 Logstash 中字段中的字符串
我有一个来自 Windows 事件日志的 IP 地址字段，它在 IP 地址前面包含类似“::fffff:”的字符。我无法在此处更改源，因此我必须在 Logstash 中修复此问题。我一定很不擅长谷歌
logstash - 访问 logstash 中的数组元素
我正在尝试将此日期结构 YYYY-MM-DD_HH-MM-SS 转换为 logstash 中的 YYYY-MM-DD HH:MM:SS。这是我的过滤器: filter { csv {
logstash - 在 Logstash 中提取字段
我正在使用 Logstash(以 Kibana 作为 UI)。我想从我的日志中提取一些字段，以便我可以在 UI 的 LHS 上按它们进行过滤。我日志中的示例行如下所示: 2013-07-04 00:
logstash - 使用不区分大小写的 Logstash 过滤器
如何将此 Logstash 过滤器更改为不区分大小写？ filter { if "foo" in [message] { mutate { add_field => { "Alert_le
logstash - 如何让 logstash 删除与一组正则表达式不匹配的所有事件？
我正在尝试将事件消息与几个正则表达式相匹配。我打算使用 grep 过滤器，但它已被弃用，所以我正在尝试使用否定的方法。我正在寻找的功能是删除所有事件，除非消息匹配多个正则表达式。过滤器波纹管不起作
logstash - 将 logstash 作为服务运行并查看标准输出
我用过logstash的RPM安装。因此，logstash 作为 linux 服务运行。我想调试一个管道，需要查看的内容 output { stdout { codec => rubydebug
logstash - 如何在 Logstash 中比较日期
如何在 logstash 中比较日期。我想将日期与恒定日期值进行比较。以下代码在 Logstash 中失败并出现 ruby 异常。 if [start_dt] { "str_dt" => "20
logstash - 如何将选定的日志发送到 Logstash 输出
我正在从logstash-1.1.3升级到logstash-1.3.3。问题是，1.1.3 中的标签和字段配置在 1.3.3 版本中已弃用。这些允许仅将那些事件发送到具有给定标签或包含给定字段的输出。
logstash - 在同一台机器上运行两个 logstash 实例
我想在同一台机器上运行两个 logstash 实例。现在我使用命令启动 logstash。logstash.bat agent -f logstashconf.conf。但是当我要通过相同的命令启动第
logstash - 使用 grok 进行条件匹配以用于 logstash
我有这种格式的 php 日志 [Day Mon DD HH:MM:SS YYYY] [Log-Type] [client ] : [Day Mon DD HH:MM:SS YYYY] [Log-Ty
logstash - Logstash HTTP 输出插件中的 UnknownException
我的 logstash 中的一些请求使 http 输出插件失败，并且日志显示 [2020-10-16T18:44:54,574][ERROR][logstash.outputs.http ] [HTT
logstash - 如何使用Logstash插件-logstash-input-http
我正在探索Logstash来接收HTTP上的输入。我已经使用以下方法安装了http插件: 插件安装logstash-input-http 安装成功。然后我尝试使用以下命令运行logstash: log

首页

博学

6Ren·AI

商城

Logstash/Kibana GeoIP 不工作