graylog支援利用ip在地圖上顯示的功能
記錄一下要使用之前所需的config

1. 首先要下載geoip的data 因為用ova安裝的graylog 預設並沒有提供這個檔案
    http://geolite.maxmind.com/download/geoip/database/GeoLite2-City.mmdb.gz
    解開後放在/etc/graylog/server/

2. 在管理介面上 system - configurations

調整Message Processors Configuration

把 GeoIP Resolver的順序調到最下面

3. 搜尋一筆滿足要求的資料來create Extractors 使用 Grok pattern

依照所需的條件進行處理 如下範例

srcip=%{IP:srcip}

重啟graylog

此時再搜尋 就會在搜尋結果看到多出有關Geo的結果

在搜尋畫面的左方

點下World map 之後就會在搜尋畫面上方出珼地圖

http://docs.graylog.org/en/2.2/pages/geolocation.html#configure-message-processor
http://docs.graylog.org/en/2.2/pages/extractors.html#
https://dev.maxmind.com/geoip/geoip2/geolite2/