Gestern hatte ich ein Problem mit der Transformation von IPs zu GeoIPs mit logstash. Im einfachsten Fall genügt es normalerweise, folgenden Code in die logstash Konfiguration im Filterbereich einzufügen:
geoip {
source => "ip_feld_name"
}
Was allerdings noch wichtig ist, wenn die Daten in ElasticSearch importiert werden sollen: Der Import-Index muss dem Namensmuster “logstash-*” entsprechen, wobei * durch beliebigen gültigen Text ersetzt werden kann. Ändert men den Namen auf ein anderes Schema, nutzt ElasticSearch bei der Typerkennung seine Standardeinstellungen, die das Feld “geoip.location” als double anstatt als geo_point erkennen. Dadurch wird der Wert z.B. in Kibana nicht mehr nutzbar.
Home » Data Science » Tipp: logstash geoip import in Elasticsearch
Tipp: logstash geoip import in Elasticsearch
- mrupp
- Data Science
- Oct, 18, 2016
- No Comments
Recent Posts
Archives
Categories
Powered by WordPress | Compass by InkThemes.