我是ELK(7.10(的新手,我想知道如何使用GeoIP映射创建地图。
我已经解析了日志,其中一个字段是";remote_ip";我想在地图上查看。
我已经看到了很多关于如何做到这一点的说明,但大多数都已经过时了,不适用于我的7.10版本。我使用的是filebeats/logstash/kiban/elasticsearch。
有人能给我看一下做这件事需要的高级步骤吗?或者给我指一份适合我版本的详细指南?我不知道该怎么开始。
我假设这些IP地址是公共的,所以您可以对它们进行地理编码。由于日志已经编入索引,您现在需要对其进行地理编码。以下是操作方法。
首先,您需要修改映射以添加geo_point字段,如下所示:
PUT your-index/_mapping
{
"properties": {
"remote_location": {
"type": "geo_point"
}
}
}
一旦您将新字段添加到映射中,就可以更新索引以对IP地址进行地理编码。为此,您首先需要使用geoip处理器创建一个摄取管道:
PUT _ingest/pipeline/geoip
{
"description" : "Geocode IP address",
"processors" : [
{
"geoip" : {
"field" : "remote_ip",
"target_field": "remote_location"
}
}
]
}
一旦创建了这个摄取管道,您就可以使用它来使用_update_by_query端点更新索引,如下所示:
POST your-index/_update_by_query?pipeline=geoip
更新结束后,您可以进入Kibana,创建索引模式,然后转到Analytics>绘制地图并创建地图。