• 카테고리

    질문 & 답변

  • 세부 분야

    데브옵스 · 인프라

  • 해결 여부

    미해결

logstash에서 geoip가져 올때 매핑 방법을 알려 주세요.

20.01.06 11:18 작성 조회수 441

0

apache로그->filebeat->logstash로 데이터를 넣으면 geoip데이터는 잘 변환 하는것 같은데 location정보가 float으로 설정되어서 맵에서 사용할 수가 없습니다.

logstash의 geoip부분 설정은 아래와 같습니다. 

...생략
grok{ match=>[ "message", "%{COMMONAPACHELOG}"]} 
geoip{source => "clientip"}
...생략

위의 설정으로 기본 아파치 접속 로그를 읽으면 geoip데이터가 아래와 같이 매핑됩니다.

"geoip" : {
...생략...
"location" : {
  "properties" : {
    "lat" : {
    "type" : "float"
    },
  "lon" : {
    "type" : "float"
    }
  }
}

좌표 정보를 geo_point로 받으려면 매핑은 수동으로 따로 해 줘야 하는 것인지요?

course-thumbnail

IT인을 위한 ELK 통합로그시스템 구축과 활용

웹서비스 ELK 연동 실습과 시각화

강의실 바로가기

답변 2

·

답변을 작성해보세요.

0

보안프로젝트님의 프로필

보안프로젝트

지식공유자

2020.01.06

해결 되셨다니 다행입니다.^^

0

R.school님의 프로필

R.school

질문자

2020.01.06

Elasticsearch에서 template를 만들어둬야 하는군요.
자체 해결 했습니다. ^^;
혹시 저와 비슷한 문제 겪으시는 분들은 _template와 index_patterns로 조사 해 보시면 해결 되실것 같습니다. 

이 글과 비슷한 Q&A