我想在docker的麋鹿堆栈中使用geoip。 根据本文档,我添加了config
https://www.elastic.co/blog/geoip-in-the-elastic-stack
这是我的logstash.conf
input {
beats {
port => 5044
}
}
filter {
grok {
match => { "message" => "%{COMBINEDAPACHELOG}" }
}
geoip {
source => "clientip"
}
}
output {
elasticsearch {
hosts => "elasticsearch:9200"
manage_template => false
index => "logstash-%{+YYYY.MM.dd}"
}
}
我知道我应该在某个地方添加这个json。但我不知道该在哪里做?
"geoip" : {
"dynamic": true,
"properties" : {
"ip": { "type": "ip" },
"location" : { "type" : "geo_point" },
"latitude" : { "type" : "half_float" },
"longitude" : { "type" : "half_float" }
}
}
答案 0 :(得分:0)
您的logstash管道正常。您尝试添加的json是由logstash自动生成的映射。
考虑到您正在将Kibana与Elasticsearch集群一起使用:
go to management -> index patern -> Create Index Pattern -> type "logstash-*" or a name that fits your need with this index -> select
timestamp and hit "create index pattern".
如果在此步骤中您无法可视化geoip数据,则可能是您数据中的IP与公共区域无关。 您可以在这里尝试IP:https://www.maxmind.com/en/geoip-demo