Reporting

複数のIPアドレスを持つレコードから任意のIPアドレスを抽出して位置情報に変換する方法について

saitotakanori
Engager

お世話様になります。
タイトルにもありますが、複数のIPアドレスを持つレコードから任意のIPアドレスを抽出して位置情報に変換する方法について教えてください。

対象レコード(例)
Jan 31 13:42:43 192.168.xx.xx [AA:AA:AA:AA:AA:AA] Gatekeeper : FIREWALL: TCP connection denied from 192.168.yy.yy:64085 to 54.68.zz.zz:80

これに対して以下の名称でフィールドを追加

srcIP = 192.168.yy.yy
dstIP = 54.68.zz.zz

dstIPは統計で100個以上のアドレスを検出しています。

このdstIPを位置情報に変換してGoogleMap等に表示しようと考えています。

 サーチ分①
  sourcetype=syslog dstIP="*" | geoip
 結果①
  geoipは、192.168.xx.xxとなり表示されない。

 サーチ分②:余計なフィールドを消せばいいのか?と考え
  sourcetype=syslog dstIP="*" | fields - host , source ,splunk_server | geoip
 結果②
  geoipは、192.168.xx.xxとなり表示されない。

 サーチ分③geoipにフィールドを渡せばいいか?と考え
  sourcetype=syslog dstIP="*" | geoip dstIP
 結果③
  サーチの結果では統計情報として位置情報(geo_cityなど)が出るようになったが
  GoogleMAPSでは表示されない

チュートリアル用のsecure.logでは、source="secure.log" Failed | geoip で何も問題なく動作しているので
データの渡し方に問題があると認識していますが、分かりません。

geostatsでも構いませんが、対応方法をご教授頂きたく存じます。

Tags (2)
0 Karma

saitotakanori
Engager

geostatsでの地図表示は可能になりました。

sourcetype=syslog dstIP="*" | iplocation dstIP | geostats count

GoogleMAPは、まだ定義が不足みたいでして悩んでおります。

melonman
Motivator

Google Map上にiplocationで出力した緯度経度をつけたいという要件で、すでにSplunkの地図タイル上にプロットできているのであれば、地図のフォーマットからタイル用のURLをGoogle Mapのものに変更していただければいけるとおもいます。(地図のタイルの問題なのであれば、以下をURLに貼り付ければいけます)

http://mt3.google.com/vt/lyrs=m@114&z={z}&x={x}&y={y}

タイルの種類に関しては、以下を参考にしていただければと。
http://lakugaking.blogspot.jp/2014/06/splunk.html

0 Karma
Get Updates on the Splunk Community!

.conf24 | Registration Open!

Hello, hello! I come bearing good news: Registration for .conf24 is now open!   conf is Splunk’s rad annual ...

Splunk is officially part of Cisco

Revolutionizing how our customers build resilience across their entire digital footprint.   Splunk ...

Splunk APM & RUM | Planned Maintenance March 26 - March 28, 2024

There will be planned maintenance for Splunk APM and RUM between March 26, 2024 and March 28, 2024 as ...