GeoIP-обогащение

GeoIP-обогащение — это процесс добавления информации о географическом местоположении IP-адресов, например, о стране и городе расположения, владельцах IP-адресов и другом.

Платформа Радар позволяет загрузить список соответствий IP-адресов или диапазонов IP-адресов географическим данным, чтобы затем использовать эту информацию при обогащении событий.

Для работы GeoIP-обогащения необходимо выполнить следующие действия:

1. Получите базу GeoLite2 Free Geolocation Data | MaxMind Developer Portal.
2. Поместите ее на узел платформы, на котором установлен сервис TERMITE.
3. Перейдите в раздел Администрирование → Кластер → вкладка Управление конфигурацией.

4. В древовидном списке перейдите Enrich → GeoIP (см. рисунок 1).

   

   Рисунок 1 – Включение GeoIP-обогащения

5. Настройте следующие параметры:

   • в параметре Предзагрузка из файла укажите путь к скаченной базе;
   • установите параметр Включить GeoIp в значение true.

6. Нажмите кнопку Записать конфигурацию.

Пример параметров GeoIP-обогащения, при создании правила обогащения, приведен на рисунке 2.

Рисунок 2 – Параметры GeoIP-обогащения

Для GeoIP-обогащения настраиваются следующие поля:

• Поле таксономии IP адреса (обязательное поле);
• Поле таксономии страны;
• Поле таксономии населенного пункта;
• Поле таксономии региона;
• Поле таксономии iso;
• Поле таксономии location;
• Поле таксономии timezone.

Принцип работы: Если при поступлении события, поле таксономии IP адреса заполняется значением, то выполняется поиск данного IP в скачанной базе данных GeoIP. По результатам поиска событие может быть обогащено соответствующими данными (страна, населенный пункт, регион и т.д.).