At bruge Grok Debugger i Kibana:
1. adgang til Grok -debugger, du kan finde Grok -debuggeren ved at navigere til siden Developer Tools ved hjælp af navigationsmenuen eller det globale søgefelt [1]. For ældre versioner, såsom 7.17, skal du åbne hovedmenuen, klikke på dev -værktøjer og derefter klikke på Grok Debugger ** [3]. Bemærk, at hvis du bruger Elastic Stack Security -funktioner, skal du have 'Administrer_pipeline` tilladelse til at bruge Grok -debugger [1] [3].
2. Indtast eksempeldata i afsnittet Exemple Data, indtast en meddelelse, der er repræsentativ for de data, du vil analysere [1] [3]. For eksempel: `55.3.244.1 Get /Index.html 15824 0,043` [1].
3. Indtast Grok -mønster i sektionen Grok mønster, indtast det grok -mønster, som du vil anvende til dataene [1] [3]. For at analysere loglinjen i det givne eksempel skal du bruge: ` %{ip: klient} %{ord: metode} %{uripathParam: anmodning} %{nummer: bytes} %{nummer: varighed}` [1].
4. Simulere klik på Simulere, og du ser den simulerede begivenhed, der er resultatet af anvendelse af Grok -mønsteret [1] [3].
Du kan også teste tilpassede mønstre [3]:
1. Eksempeldata Indtast din prøvemeddelelse [3]. For eksempel: `1 jan. 06:25:43 MailServer14 Postfix/Cleanup [21403]: BEF25A72965: Message-ID =` [3].
2. Grok -mønster Indtast dit Grok -mønster [1] [3]. For eksempel: ` %{syslogbase} %{postfix_queueid: kø_id}: %{msg: syslog_message}`. Dette grok mønster refererer til brugerdefinerede mønstre kaldet `postfix_queueid` og` msg` [3].
3. brugerdefinerede mønstre udvider sektionen Custom Patterns, og indtast mønsterdefinitioner for de brugerdefinerede mønstre, du vil bruge i GROK -udtrykket. Angiv hver mønsterdefinition på sin egen linje [1] [3]. For det givne eksempel skal du specificere mønsterdefinitioner for `postfix_queueid` og` msg`: `postfix_queueid [0-9a-f] {10,11} msg message-id =` [1] [3].
4. Simulere klik på Simulere ** [1] [3]. Du kan se den simulerede output -begivenhed, der er resultatet af anvendelse af det grok -mønster, der indeholder det brugerdefinerede mønster [1]. Hvis der opstår en fejl, kan du fortsætte med at itere over det brugerdefinerede mønster, indtil output matcher den begivenhed, du forventer [1] [3].
Grok -debuggeren forenkler loganalyse, så du kan teste og forfine Grok -mønstre, før du implementerer dem [5]. Grok er et mønster, der matcher syntaks, som du kan bruge til at analysere vilkårlig tekst og strukturere den [1] [3]. Det er godt til at analysere syslog, Apache og andre webserver -logfiler, MySQL -logfiler og generelt ethvert logformat, der er skrevet til konsum [1] [3].
Citater:[1] https://www.elastic.co/guide/en/kibana/current/xpack-grokdebugger.html
[2] https://www.elastic.co/guide/en/elasticsearch/reference/current/grok.html
[3] https://www.elastic.co/guide/en/kibana/7.17/xpack-grokdebugger.html
)
[5] https://latenode.com/blog/a-complete-guide-to-usising-the-rok-Debugger
[6] https://discuss.elastic.co/t/grok-filter-mattern-not-working/211780
[7] https://edgedelta.com/company/blog/what-are-grok-matterns
[8] https://www.elastic.co/guide/en/elasticsearch/reference/current/esql-process-data-with-dissect-and-rok.html
)
[10] https://stackoverflow.com/questions/38096827/Querying-kibana-ushing-Grok-mattern