Reporting
cancel
Turn on suggestions
Auto-suggest helps you quickly narrow down your search results by suggesting possible matches as you type.
Showing results for 
Search instead for 
Did you mean: 
Ask a Question

複数のIPアドレスを持つレコードから任意のIPアドレスを抽出して位置情報に変換する方法について

saitotakanori
Engager
‎01-30-2015 10:58 PM

お世話様になります。
タイトルにもありますが、複数のIPアドレスを持つレコードから任意のIPアドレスを抽出して位置情報に変換する方法について教えてください。

対象レコード(例)
Jan 31 13:42:43 192.168.xx.xx [AA:AA:AA:AA:AA:AA] Gatekeeper : FIREWALL: TCP connection denied from 192.168.yy.yy:64085 to 54.68.zz.zz:80

これに対して以下の名称でフィールドを追加

srcIP = 192.168.yy.yy
dstIP = 54.68.zz.zz

dstIPは統計で100個以上のアドレスを検出しています。

このdstIPを位置情報に変換してGoogleMap等に表示しようと考えています。

 サーチ分①
  sourcetype=syslog dstIP="*" | geoip
 結果①
  geoipは、192.168.xx.xxとなり表示されない。

 サーチ分②:余計なフィールドを消せばいいのか?と考え
  sourcetype=syslog dstIP="*" | fields - host , source ,splunk_server | geoip
 結果②
  geoipは、192.168.xx.xxとなり表示されない。

 サーチ分③geoipにフィールドを渡せばいいか?と考え
  sourcetype=syslog dstIP="*" | geoip dstIP
 結果③
  サーチの結果では統計情報として位置情報(geo_cityなど)が出るようになったが
  GoogleMAPSでは表示されない

チュートリアル用のsecure.logでは、source="secure.log" Failed | geoip で何も問題なく動作しているので
データの渡し方に問題があると認識していますが、分かりません。

geostatsでも構いませんが、対応方法をご教授頂きたく存じます。

Tags (2)
0 Karma
Reply

saitotakanori
Engager
‎01-30-2015 11:19 PM

geostatsでの地図表示は可能になりました。

sourcetype=syslog dstIP="*" | iplocation dstIP | geostats count

GoogleMAPは、まだ定義が不足みたいでして悩んでおります。

Reply

melonman
Motivator
‎03-07-2018 04:14 PM

Google Map上にiplocationで出力した緯度経度をつけたいという要件で、すでにSplunkの地図タイル上にプロットできているのであれば、地図のフォーマットからタイル用のURLをGoogle Mapのものに変更していただければいけるとおもいます。(地図のタイルの問題なのであれば、以下をURLに貼り付ければいけます)

http://mt3.google.com/vt/lyrs=m@114&z={z}&x={x}&y={y}

タイルの種類に関しては、以下を参考にしていただければと。
http://lakugaking.blogspot.jp/2014/06/splunk.html

0 Karma
Reply
Get Updates on the Splunk Community!

Routing logs with Splunk OTel Collector for Kubernetes

The Splunk Distribution of the OpenTelemetry (OTel) Collector is a product that provides a way to ingest ...

Welcome to the Splunk Community!

(view in My Videos) We're so glad you're here! The Splunk Community is place to connect, learn, give back, and ...

Tech Talk | Elevating Digital Service Excellence: The Synergy of Splunk RUM & APM

Elevating Digital Service Excellence: The Synergy of Real User Monitoring and Application Performance ...