geoip
geoip 处理器使用从事件中包含的 IP 地址提取的地理信息来丰富事件。默认情况下,OpenSearch Data Prepper 使用 MaxMind GeoLite2 地理定位数据库。Data Prepper 管理员可以使用 geoip_service 扩展配置来配置数据库。
用法
您可以配置 geoip 处理器以对条目进行处理。
最小配置要求至少一个条目,并且每个条目至少有一个源字段。
以下配置从名为 clientip 的字段中提供的 IP 地址中提取所有可用的地理定位数据。它会将地理定位数据写入一个名为 geo 的新字段,该字段是未配置目标字段时的默认字段。
my-pipeline:
processor:
- geoip:
entries:
- source: clientip
以下示例排除自治系统号 (ASN) 字段,并将地理定位数据放入名为 clientlocation 的字段中。
my-pipeline:
processor:
- geoip:
entries:
- source: clientip
target: clientlocation
include_fields: [asn, asn_organization, network]
配置
您可以使用以下选项来配置 geoip 处理器。
| 选项 | 必需 | 类型 | 描述 |
|---|---|---|---|
条目 | 是 | 条目 列表 | 用于丰富(数据)的条目列表。 |
geoip_when | 否 | 字符串 | 指定 geoip 处理器应在何种条件下执行匹配。默认情况下不设条件。 |
tags_on_no_valid_ip | 否 | 字符串 | 如果源字段不是有效的 IP 地址,则添加到事件元数据的标签。这包括本地主机 IP 地址。 |
tags_on_ip_not_found | 否 | 字符串 | 如果 geoip 处理器无法找到 IP 地址的位置,则添加到事件元数据的标签。 |
tags_on_engine_failure | 否 | 字符串 | 如果 geoip 处理器因引擎故障而无法丰富事件,则添加到事件元数据的标签。 |
条目
以下参数允许您配置单个地理定位条目。每个条目对应一个 IP 地址。
| 选项 | 必需 | 类型 | 描述 |
|---|---|---|---|
source | 是 | 字符串 | 包含要进行地理定位的 IP 地址的源字段的键。 |
目标 | 否 | 字符串 | 用于保存地理定位数据的目标字段的键。默认值为 geo。 |
include_fields | 否 | 字符串列表 | 要包含在 target 对象中的地理定位字段列表。默认情况下,这是由配置的数据库提供的所有字段。 |
exclude_fields | 否 | 字符串列表 | 要从 target 对象中排除的地理定位字段列表。 |