Chcete -li používat ladění Grok v Kibaně:
1. Přístup k debuggeru Grok Najdete debugger Grok navigací na stránku Developer Tools pomocí navigační nabídky nebo pole Global Search [1]. Pro starší verze, například 7.17, Otevřete hlavní nabídku, klikněte na nástroje Dev a poté klikněte na Grok Debugger ** [3]. Všimněte si, že pokud používáte bezpečnostní funkce Elastic Stack, musíte mít povolení `manage_pipeline` k použití debuggeru Grok [1] [3].
2. Zadejte ukázková data do části Ukázkové údaje, zadejte zprávu, která je reprezentativní pro data, která chcete analyzovat [1] [3]. Například: `55.3.244.1 get /index.html 15824 0,043` [1].
3. Zadejte vzorec Grok v části Grok vzoru, zadejte vzorec Grok, který chcete použít na data [1] [3]. Chcete -li analyzovat linku protokolu v daném příkladu, použijte: ` %{ip: client} %{Word: Method} %{UriPathParam: Request} %{number: bajtes} %{number: trvání}` [1].
4. Simulujte kliknutí simulovat a uvidíte simulovanou událost, která je výsledkem použití vzoru Grok [1] [3].
Můžete také otestovat vlastní vzory [3]:
1. Ukázkové údaje zadejte vaši ukázkovou zprávu [3]. Například: `1. ledna 06:25:43 MailServer14 postfix/čištění [21403]: BEF25A72965: Message-id =` [3].
2. vzorec Grok zadejte svůj vzorec Grok [1] [3]. Například: ` %{syslogbase} %{postfix_queueid: queue_id}: %{msg: syslog_message}`. Tento vzorec Grok odkazuje na vlastní vzory nazvané `postfix_queueid` a` msg` [3].
3. Vlastní vzory Rozšiřte sekci vlastních vzorů a zadejte definice vzorů pro vlastní vzory, které chcete použít ve výrazu Grok. Zadejte každou definici vzorů na vlastní linii [1] [3]. Pro daný příklad zadejte definice vzorů pro `postfix_queueid a` msg`: `postfix_queueid [0-9a-f] {10,11} msg message-id =` [1] [3].
4. Simulovat kliknutí simulovat ** [1] [3]. Vidíte simulovanou výstupní událost, která je výsledkem použití vzoru Grok, který obsahuje vlastní vzor [1]. Pokud dojde k chybě, můžete pokračovat v iteraci nad vlastním vzorem, dokud výstup neodpovídá události, kterou očekáváte [1] [3].
Debugger Grok zjednodušuje analýzu protokolu, což vám umožní testovat a zdokonalovat vzory Grok před jejich nasazením [5]. Grok je syntaxe porovnávající vzor, kterou můžete použít k analýze libovolného textu a strukturování [1] [3]. Je to dobré pro analýzu syslogu, apache a dalších protokolů webového serveru, protokoly MySQL a obecně jakýkoli formát protokolu, který je napsán pro lidskou spotřebu [1] [3].
Citace:[1] https://www.elastic.co/guide/en/kibana/current/xpack-grokdebugger.html
[2] https://www.elastic.co/guide/en/elasticsearch/reference/current/grok.html
[3] https://www.elastic.co/guide/en/kibana/7.17/xpack-grokdebugger.html
[4] https://stackoverflow.com/questions/26679465/debugging-new-logstash-grok-filters-beforel-use
[5] https://latenode.com/blog/a-complete-guide-to-using-the-grok-debugger
[6] https://discuss.elastic.co/t/grok-filter-pattern-not-working/211780
[7] https://edgetalta.com/company/blog/what-are-grok-patterns
[8] https://www.elastic.co/guide/en/elasticsearch/reference/current/esql-process-data-with-dissect-and-grok.html
[9] https://www.elastic.co/blog/debugging broken-grok-exprese-in-elasticsearch-ingest-procesors
[10] https://stackoverflow.com/questions/38096827/Querying-kibana-using-Grok-pattern