基于 Elasticsearch + kibana 实现 IP 地址分布地图可视化

1、需求

有一批特定用途（文末揭晓）的 IP 地址。
想通过地图形式可视化展示 IP 地址对应的经纬度坐标的分布。

2、方案探讨

基础方案如下：

第一步：IP 地址转经纬度坐标。

实现借助第三方工具：https://ipstack.com/

第二步：经纬度坐标借助可视化工具（如：echarts）渲染展示。

这时候不免进一步思考：

有没有更快捷的方案呢？ELK 能实现不？

已知的知识点：

Elasticsearch 支持 Geo-point、Geo-shape 数据类型。
Kibana 支持 Coordinate Map（坐标图）、Region Map（区域地图）可视化地图展示。

两个已知知识点一整合不就是基于 Elasticsearch + Kibana 的可视化展示方案吗？

且慢，有没有更快捷的 IP 地址转经纬度坐标的信息呢？

有的。Ingest 数据预处理管道的 GeoIP processor （处理器）就能达到这个目的。

整体架构图如下图所示：

3、GeoIp processor 介绍

官方解读如下：GeoIp processor 根据来自 Maxmind 数据库的数据添加有关IP地址地理位置的信息。

默认情况下，GeoIp processor 将此信息添加到 geoip 字段下。GeoIp processor 可以解析 IPv4 和 IPv6 地址。

更多 Maxmind 数据库信息参见：

https://dev.maxmind.com/geoip/geoip2/geolite2/

在 Elasticsearch 早期版本中 GeoIp processor 需要安装插件才能使用。7.X 版本后，ES 已自带，不需要安装。

4、导入一条数据实战一把

4.1 步骤 1：创建预处理管道

PUT _ingest/pipeline/geoip_pipeline{  "description" : "Add geoip info",  "processors" : [    {      "geoip" : {        "field" : "ip"      }    }  ]}

该预处理的目的就是：将输入的 IP 字段转换为：Geoip 类型。具体 Geoip 类型张什么样？后面会揭晓。

4.2 步骤 2：创建索引

DELETE niu_20210215PUT niu_20210215{  "settings": {    "index.default_pipeline": "geoip_pipeline",    "number_of_shards": 1,    "number_of_replicas": 0  },  "mappings": {    "properties": {      "geoip": {        "properties": {          "location": {            "type": "geo_point"          }        }      },      "ip":{        "type":"keyword"      }    }  }}

考虑到后面要批量导入数千条+数据，我们采用了取巧的方式。

使用了在创建索引的时候指定缺省管道（index.default_pipeline）的方式。

这样的好处是：

灵活：用户只关心 bulk 批量写入数据。
零写入代码修改：甚至写入数据的代码一行都不需要改就可以。

4.3 步骤 3：写入一条数据

PUT niu_20210215/_doc/1{  "ip": "8.8.8.8"}

这时候，我们查看一下完整的 Mapping 张什么样？

{  "niu_20210215" : {    "mappings" : {      "properties" : {        "geoip" : {          "properties" : {            "city_name" : {              "type" : "text",              "fields" : {                "keyword" : {                  "type" : "keyword",                  "ignore_above" : 256                }              }            },            "continent_name" : {              "type" : "text",              "fields" : {                "keyword" : {                  "type" : "keyword",                  "ignore_above" : 256                }              }            },            "country_iso_code" : {              "type" : "text",              "fields" : {                "keyword" : {                  "type" : "keyword",                  "ignore_above" : 256                }              }            },            "location" : {              "type" : "geo_point"            },            "region_iso_code" : {              "type" : "text",              "fields" : {                "keyword" : {                  "type" : "keyword",                  "ignore_above" : 256                }              }            },            "region_name" : {              "type" : "text",              "fields" : {                "keyword" : {                  "type" : "keyword",                  "ignore_above" : 256                }              }            }          }        },        "ip" : {          "type" : "keyword"        }      }    }  }}

写入后的数据，查看返回如下：

 "_source" : {  "geoip" : {    "continent_name" : "North America",    "country_iso_code" : "US",    "location" : {      "lon" : -97.822,      "lat" : 37.751    }  },  "ip" : "8.8.8.8"}

有点长，铭毅解读一下：

第一：geoip 是 object 类型，它有几个子字段，含义如下：

geoip.city_name：城市
geoip.continent_name：大陆名称
geoip.country_iso_code：国家编码
geoip.location：经纬度坐标，必须是：geo_point 类型
geoip.region_iso_code：地域编码
geoip.region_name：地域名称

第二：为节省存储，Mapping 可以优化。

比如：所有的默认字符串类型改成：keyword 类型。

第三：为了后面的作图必须将 location 设置为 geo_point 类型。

以上三个步骤：就完成了单条数据的写入。

4.4 步骤 4：kibana 可视化展示

4.4.1 创建关联索引模板

目的：创建可视化需要关联的索引数据。

4.4.2 创建坐标图

选择左侧导航栏的 Visualize，然后选择右侧 Create new visualization，然后再选择：Coordinate Map 即可。

本文Elasticsearch + kibana 均选用 7.2 版本。

4.4.3 可视化基础设置，执行后，就能看到可视化结果。

如前所述，这里要强调的是：geoip.location 必须是 geo_point 类型。

5、批量导入数据后可视化展示

基于第 4 节的导入一条数据，python 批量 bulk 导入本地文件数据后，可视化效果如下图所示：

因为全局设置了 default_pipeline，写入数据不需要做任何特殊处理了。

换 dark 风格显示如下：

PS：文章开头提到的：特定用途——通过模拟 port scan 获取的全网部分开放 9200 端口的公网 IP（仅个人学习用，未任何其他用途）。

6、小结

基础方案大家都能想到，有没有更简单的、更快捷的方式呢？是需要我们考虑的。
本文抛砖引玉，Kibana 新版本的可视化功能更强大，需要学习的点还有很多......

参考

https://blog.ruanbekker.com/blog/2018/09/12/using-the-geoip-processor-plugin-with-elasticsearch-to-enrich-your-location-based-data/

基于 Elasticsearch + kibana 实现 IP 地址分布地图可视化