Lar*_*man 9 geoip elasticsearch logstash kibana
Logstash可以使用捆绑的GeoLiteCity.dat数据库进行IP地址查找.此数据库是否与MaxMind提供的数据库相同?MaxMind在每个月的第一个星期二更新数据库.
设置一个作业来自动刷新数据库而不是等待来自ElasticSearch的Logstash更新是否明智?
编辑:2014年12月1日这是我写的用于执行数据库自动更新的bash脚本.我阅读此过滤器的源代码是,可能需要重新启动服务才能占用更新的数据库文件.
#!/bin/bash
# Downloads the latest GeoLight DBs from maxmind.
# Updates/replaces the databases that logstash uses.
# These are the IP-to-location databases that logstash uses.
# Maxmind updates them once a month on the first Tuesday of the month.
# See http://dev.maxmind.com/geoip/legacy/geolite/
echo Beginning update of GeoIP databases for logstash.
cd /tmp
rm -f GeoIPASNum.dat.gz GeoIPASNum.dat GeoLiteCity.dat.gz GeoLiteCity.dat
echo Downloading latest files.
wget --quiet --output-document GeoIPASNum.dat.gz http://download.maxmind.com/download/geoip/database/asnum/GeoIPASNum.dat.gz || { echo 'Download of GeoIPASNum.dat.gz failed' ; exit 1; }
wget --quiet --output-document GeoLiteCity.dat.gz http://geolite.maxmind.com/download/geoip/database/GeoLiteCity.dat.gz || { echo 'Download of GeoLiteCity.dat.gz failed' ; exit 1; }
echo Unzipping
gunzip GeoIPASNum.dat.gz
gunzip GeoLiteCity.dat.gz
echo Setting permissions
chmod 664 GeoIPASNum.dat GeoLiteCity.dat
chown logstash:logstash GeoIPASNum.dat GeoLiteCity.dat
echo Replacing existing files and backing up the old.
cd /opt/logstash/vendor/geoip/
mv -f GeoIPASNum.dat GeoIPASNum.dat.bak && mv /tmp/GeoIPASNum.dat .
mv -f GeoLiteCity.dat GeoLiteCity.dat.bak && mv /tmp/GeoLiteCity.dat .
echo Restarting logstash
# Modify for your distro services model.
service logstash restart
echo Done
是的,这是同一个数据库,是的,您可以使用 maxmind 网站的更新。我使用geoip-database-contribubuntu 中的软件包,其中包含一个 cronjob 来自动从 maxmind 更新数据库文件。
我不知道 maxmind 数据集变化有多快,但由于logstash(包括数据库文件)的发布时间表很慢(当前的 1.4.2 是 5 个月前发布的),所以我使用最新的数据库。
| 归档时间: |
|
| 查看次数: |
6847 次 |
| 最近记录: |