Semasa mengemaskinikan config file untuk logstash saya perasan filter geoip akan download database dari geolite2. Jadi tak perlu lagi download database.

[INFO ] 2020-01-15 01:26:33.952 [[main]-pipeline-manager] geoip - Using geoip database {:path=>"/usr/share/logstash/ven
dor/bundle/jruby/2.5.0/gems/logstash-filter-geoip-6.0.3-java/vendor/GeoLite2-City.mmdb"}
[INFO ] 2020-01-15 01:26:34.082 [[main]-pipeline-manager] geoip - Using geoip database {:path=>"/usr/share/logstash/ven
dor/bundle/jruby/2.5.0/gems/logstash-filter-geoip-6.0.3-java/vendor/GeoLite2-ASN.mmdb"}

Selain database city ada juga database ASN. Jadi configuration file pun lebih kemas dan tak perlu lagi guna parameter database.

 geoip {
      source => "src_ip"
      target => "src_ip_geo"
      #database => "/opt/GeoLite2-City_20180206/GeoLite2-City.mmdb"
      add_field => [ "[src_ip_geo][coordinates]", "%{[src_ip_geo][longitude]}" ]
      add_field => [ "[src_ip_geo][coordinates]", "%{[src_ip_geo][latitude]}"  ]
  }

Masalahnya banyak tutorial di Internet yang masih tak dikemaskinikan. Boleh baca dengan lebih lanjut dalam dokumentasi Logstash.

Akhir sekali, jangan lupa update logstash filter plugin:

sudo {path_ke_logstash}bin/logstash-plugin

adli@offis