序
在当今数字化时代,随着网络攻击的不断增加和全球化的用户活动,了解IP地址的地理位置信息变得越来越重要。对于网络安全和营销策略来说,掌握IP地址的地理信息可以带来许多好处。
接下里将介绍如何通过Graylog的Pipelines功能,在日志管理平台Graylog中生成IP地址的地理位置信息。Graylog作为一个强大的日志分析工具,不仅可以帮助我们收集和分析日志数据,而且通过Pipelines功能,还可以对日志进行处理和增强。
操作步骤
获取 GeoIP 数据库文件:首先,需要获取 GeoIP 数据库文件,这些文件包含了 IP 地址与地理位置的映射信息。可以从 MaxMind 或其他提供商获取这些文件。然后将数据库文件上传到服务器上,本例中保存位置为:
/usr/share/graylog/data/config/GeoLite2/GeoLite2-City.mmdb
https://www.maxmind.com/ 免费注册并下载
接下来,在 System -> Lookup Tables 下找到“Data Adapters”,在页面上,选择 “Create data adapter”,并填写如下所示的信息:
下一步,使用如下所示在Cache下,点击“Create cache”按钮创建一个新缓存:
在 Lookup Table 的最后一步中,我们需要使用之前两个步骤创建的Data Adapter 和Cache 来创建Lookup Table
现在Lookup Table已经创建好了,并可以使用了,然后需要创建一个Pipeline规则来利用它,并在每条带有 IP 地址的消息中添加元数据。
前往(System -> Pipelines),在“Manage rules”下创建一个新规则。给它一个描述,以便记住它,在“Rule Source”中放入以下内容:
rule "GeoIP lookup: nf_src_address"
when
has_field("nf_ipv4_src_addr")
then
let geo = lookup("GeoLite2-City", to_string($message.nf_ipv4_src_addr));
set_field("nf_src_addr_geo_location", geo["coordinates"]);
set_field("nf_src_addr_geo_country", geo["country"].iso_code);
set_field("nf_src_addr_geo_city", geo["city"].names.en);
end
- 此规则仅适用于nf_ipv4_src_addr。如果还需要查找目标地址,可以在此规则中添加额外的行,或者为带有目标 IP 地址的日志创建第二个规则。
- 最后一旦新的日志通过管道,您将看到日志条目里面就新增了nf_src_addr_geo_location / nf_src_addr_geo_country。
最后理论上,只要在“nf_src_addr_geo_location”上运行搜索聚合,并将表格类型更改为“World Map”,将会得到类似以下截图:
但在测试环境里面打不开open street map,暂时还没去研究为什么打不开,有解决办法的可以告知。
