一、logstash 配置Geoip,通過IP地址,解析地理位置信息
1.1、logstash 7.x 已經自帶geoip插件,不需要額外安裝
在配置文件里添加 geoip模塊,"client_ip" 客戶端地址,根據實際解析字段名稱修改
filter { geoip { source => "client_ip" } }
注意:默認使用logstash索引模板(匹配logstash-*),如果索引名稱為logstash-*,則直接接入Elasticsearch即可,否則需要添加對應索引模板
1.2、添加索引模板
現象:
使用自定義的索引名稱(非logstash-*)時,在Kibana配置存儲桶時,會提示 "索引模式“api01-*”不包含任何以下兼容字段類型:geo_point"
原因:
a. Kibana地理位置可視化,需要 type 為 geo_point,logstash-* 索引模板里預先設置了,自定義索引沒法引用;
b. logstash 不支持指定 geo_point 格式。
一個解決方案:
復制 logstash-* 索引模板,新建配置自定義索引的名稱對應的索引模板
1.2.1、logstash-* 索引模板
GET /_template/logstash
{ "logstash" : { "order" : 0, "version" : 60001, "index_patterns" : [ "logstash-*" ],
... } }
1.2.2、自定義索引模板(api-*)
PUT /_template/api { "template" : "api", "order" : 0, "index_patterns" : [ "api-*" ], ... }
1.3、logstash 指定所以格式 api-* ,接入Elasticsearch后,關聯模板,指定 geo_point 字段
1.3.1、錯誤格式
1.3.2、正確格式
二、Kibana 坐標地圖 可視化
2.1 創建 可視化
2.2 配置坐標地圖
2.3 效果
