Elasticsearch: Mapping

엘라스틱서치 데이터 맵핑, 뭔가 하드코딩 같은...

ELK로 유명함.

Elasticsearch, Logstash, Kibana

대학교 4학년 쯤,

처음 Elasticsearch(그땐, ELK Stack 이 완성되지 않았음) 를 접하고

루씬 아파치 프로젝트를 알게됨.

꽤나 오랜 시간이 지난 지금,

Beat 계열의 다양한 스택들이 추가됨.

Suricata Network Traffic Data 에는

약 490개 정도의 필드가 존재.

이 모든 필드(변수?)에 맵핑을 할 수 없다.

그래서 보통 자동 맵핑을 사용한다.

하지만,

가장 중요한 IP Address 정보는 이게 IP임을 알려주어야 한다.

안그럼, String 변수로 인식함.

일단 Ducument가 중요하니까,

---

Ref : https://www.elastic.co/guide/en/elasticsearch/reference/current/mapping.html#_explicit_mappings

Mapping | Elasticsearch Reference [7.0] | Elastic

---

다이나믹하게 맵핑을 추가할 수 있음.

하지만!

보통 Logstash를 통해서 데이터를 Elasticsearch로 넣는다.

이때는,

Logstash에 conf 를 설정한다.

1. input 정의

---

input {

    redis {

        type => "redis"

        host => "127.0.0.1"

        data_type => "channel"

        key => "obtraffic"

        batch_count => 10

        threads => 1

    }

}

---

2. filter 정의

---

filter {

    if [type] == "redis" {

        geoip {

            source => "src_ip"            # 원래 데이터 소소의 Key

            target => "src_geoip"       # 바꾸려는 Key

        }

        geoip {

            source => "dest_ip"          # 원래 데이터 소소의 Key

            target => "dest_geoip"     # 바꾸려는 Key

        }

    }

}

---

3. output 설정

---

output {

    if [type] == "redis" {

        elasticsearch {

            hosts => ["localhost:9200"]

            index => "suricata-%{+YYYY.MM.dd}"

            template => "/etc/logstash/template/suri_template.json"

            template_name => "suricata-1"

            template_overwrite => true

        }

        kafka {

            codec => "json"

            topic_id => "suricata"

            acks => "1"

            bootstrap_servers => "192.168.2.12:9092,192.168.2.12:9093,192.168.2.12:9094"

            id => "suricata_log"

        }

    }

}

---

suri_template.json 파일을 살펴보면,

---

{

  "template": "suricata-*",

  "settings": {

    "number_of_shards": 5,

    "index.refresh_interval" : "10s"

  },

  "mappings": {

    "doc": {

      "properties": {

        "src_geoip": {

          "properties": {

            "location": {

              "type": "geo_point"

            }

          }

        },

        "dest_geoip": {

          "properties": {

            "location": {

              "type": "geo_point"

            }

          }

        }

      }

    }

  }

}

---

사실,

개인적으로 설정을 냅다 꽂아 박는(?) 형태의 설계를 좋아하지 않는다.

Fluentd 를 참고 할 수 있음.

---

Ref : https://docs.fluentd.org/v0.12/articles/in_others

Other Input Plugins | Fluentd

---

Logstash 와 유사한 데이터 Shipper 기능을 담당.

AWS가 밀어준다.

본론 및 결론,

Suricata 데이터 소스에 있는 Key를 먼저 살펴보고,

그 중에서 src_ip, dest_ip 에 대한 geo_point 타입을 맵핑하려는 의도이다.

그럼 지도에서 각 IP 소스가 얼마나 어떻게 분포하는지

시각화를 통해 알 수 있다.

잠깐,

Kibana(ELK 중 K를 담당)에서 어떻게 지도 위에 표현하는지

---

---

예전에 지하철 승하차 관련 공공데이터 API를 통해

비슷한 작업을 진행 한 바 있음.

그때와 크게 다르지 않음!

끝.