Logstash 6.2.3 конвертирует значения json в GeoPoint Issue - PullRequest
Новая
       24

Logstash 6.2.3 конвертирует значения json в GeoPoint Issue

0 голосов
/ 01 октября 2018

Привет, я новичок в ELK, поэтому сначала я хочу настроить чтение файла json с помощью logstash.Я хочу показать расположение клиентов на карте Кибана.Это формат json, который я хочу преобразовать. 

{"id":1,"first_name":"Freeman","last_name":"Jowers","email":"fjowers0@mashable.com","gender":"Male","ip_address":"15.128.77.162","latitude":9.9004655,"longitude":13.0544185,"date":"2017-10-29T17:47:59Z","country":"Nigeria"}

Это файл конфигурации, который я использовал для logstash. 

    input {
  file{
    path => ["/home/sajith/Desktop/scripts/logstash-data/sample-data-006.json"]
    type => "json"
    start_position => "beginning"
  }
}
filter {
  grok {
    match => ['message','(?<body>\"id\":.*\"country\":\"[^"]+\")']
    add_field => ["json_body","{%{body}}"]
  }
  json {
    source => "json_body"
    remove_field => ["message","body","json_body"]
  }
  mutate{
    add_field => ["[geoip][location]","%{[latitude]}"]
    add_field => ["[geoip][location]","%{[longitude]}"]
  }
  mutate{
    convert => ["[geoip][location]","float"]
  }
}
output {
  stdout {
    codec => rubydebug
  }
  elasticsearch {
    hosts => ["localhost:9200"]
    index => "my-mock"
  }
}

И проблема в показанном типе kibana geoip.locationкак номерМне нужно показать geoip.location как geo_point.enter image description here

Может кто-нибудь дать мне, как решить эту проблему.Я использую ELK 6.2.3

1 Ответ

0 голосов
/ 01 октября 2018

Есть несколько вопросов.Во-первых, вам нужно настроить правильное отображение индекса, используя приведенное ниже отображение: 

PUT my-index
{
  "mappings" : {
    "_default_" : {
      "dynamic_templates" : [ {
        "message_field" : {
          "path_match" : "message",
          "match_mapping_type" : "string",
          "mapping" : {
            "type" : "text",
            "norms" : false
          }
        }
      }, {
        "string_fields" : {
          "match" : "*",
          "match_mapping_type" : "string",
          "mapping" : {
            "type" : "text", "norms" : false,
            "fields" : {
              "keyword" : { "type": "keyword", "ignore_above": 256 }
            }
          }
        }
      } ],
      "properties" : {
        "@timestamp": { "type": "date"},
        "@version": { "type": "keyword"},
        "geoip"  : {
          "dynamic": true,
          "properties" : {
            "ip": { "type": "ip" },
            "location" : { "type" : "geo_point" }
          }
        }
      }
    }
  }
}

Во-вторых, вам нужно правильно создать поле geoip, например: 

  mutate{
    add_field => ["[geoip][ip]","%{[ip_address]}"]
    add_field => ["[geoip][location][latitude]","%{[latitude]}"]
    add_field => ["[geoip][location][longitude]","%{[longitude]}"]
  }

Наконец, вам нужно удалить последний mutate/convert фильтр.

...