我试图在 5.01 中创建数据的地理地图Kibana,但它不起作用。事实上,我什至没有geoip.field菜单中所需的东西。
我正在从 IntelMQ 发送数据,该数据经过处理后logstash进入弹性搜索。在收到的字段中我只有source_ip
该怎么办?
答案1
为了将地理数据传递到elasticsearch,需要创建一个logstash过滤器来处理引用 IP 地址的字段,并使用地理数据创建新字段。
基于这篇文章如何使用 GeoIP 和 ELK 映射用户位置?
我的新/etc/logstash/conf.d是:
filter {
geoip {
source => "source_ip"
target => "geoip"
database => "/etc/logstash/GeoLiteCity.dat"
add_field => [ "[geoip][coordinates]", "%{[geoip][longitude]}" ]
add_field => [ "[geoip][coordinates]", "%{[geoip][latitude]}" ]
}
mutate {
convert => [ "[geoip][coordinates]", "float"]
}
}
应用此日志后,需要重新启动logstash并仔细检查日志/var/log/logstash。
所以最终的结果是:
