##A. Giới thiệu về GeoIP

GeoIP - IP Geolocation là một quá trình xác định vị trí địa lý của một IP, sử dụng cho nhiều mục đích khác nhau chẳng hạn như phân tích lưu lượng truy cập

##B. Cài đặt

• Download GEOLite City database mới nhất và lưu nó vào /etc/logstash

apt-get install unzip -y
cd /etc/logstash
sudo curl -O "http://geolite.maxmind.com/download/geoip/database/GeoLiteCity.dat.gz"
sudo gunzip GeoLiteCity.dat.gz

• Cấu hình logstash sử dụng GeoIP (chú ý là các file filter phải được "grok filter theo bài viết này

sudo vi /etc/logstash/conf.d/13-ssh.conf

filter {
  if [type] == "ssh" {
    grok {
       match => { "message" => "%{SSHFAILED}" }
       match => { "message" => "%{SSHACC}" }
    }
    geoip {
      source => "**src_ip**"
      target => "geoip"
      database => "/etc/logstash/GeoLiteCity.dat"
      add_field => [ "[geoip][coordinates]", "%{[geoip][longitude]}" ]
      add_field => [ "[geoip][coordinates]", "%{[geoip][latitude]}"  ]
    }
    mutate {
      convert => [ "[geoip][coordinates]", "float"]
    }
  }
}

• Save và restart logstash

sudo service logstash restart

Chú ý trường src_ip phải lựa chọn đúng từ

SSHFAILED Failed %{WORD:auth_method} for %{USER:username} from %{IP:**src_ip**} port %{INT:src_port} ssh2

Truy cập vào Kibana Dashboard => Visualize => Tile map* => From a new search