Om de GROK -debugger in Kibana te gebruiken:
1. Toegang tot de GROK Debugger U kunt de GROK -debugger vinden door naar de pagina Developer Tools te navigeren met behulp van het navigatiemenu of het globale zoekveld [1]. Voor oudere versies, zoals 7.17, open het hoofdmenu, klik op Dev Tools en klik vervolgens op GROK Debugger ** [3]. Merk op dat als u Elastische Stack -beveiligingsfuncties gebruikt, u de toestemming `Managed_pipeline` moet hebben om de GROK -debugger [1] [3] te gebruiken.
2. Voer voorbeeldgegevens in de sectie Sample Data in, voer een bericht in dat representatief is voor de gegevens die u wilt parseren [1] [3]. Bijvoorbeeld: `55.3.244.1 get /Index.html 15824 0.043` [1].
3. Voer het grokpatroon in in het sectie GROK -patroon, voer het GROK -patroon in dat u wilt toepassen op de gegevens [1] [3]. Om de logboekregel in het gegeven voorbeeld te parseren, gebruik: ` %{ip: client} %{word: methode} %{uipathParam: Request} %{nummer: bytes} %{nummer: duur}` [1].
4. Simuleren klik simuleren en u zult de gesimuleerde gebeurtenis zien die het gevolg is van het toepassen van het grokpatroon [1] [3].
U kunt ook aangepaste patronen testen [3]:
1. Voorbeeldgegevens Voer uw voorbeeldbericht in [3]. Bijvoorbeeld: `1 januari 06:25:43 MailServer14 Postfix/CleanUp [21403]: BEF25A72965: message-id =` [3].
2. GROK PATROON Voer uw GROK -patroon in [1] [3]. Bijvoorbeeld: ` %{syslogbase} %{postfix_queueid: queue_id}: %{msg: syslog_message}`. Dit grokpatroon verwijst naar aangepaste patronen genaamd `postfix_queueid` en` msg` [3].
3. Aangepaste patronen breiden de sectie Aangepaste patronen uit en voer patroondefinities in voor de aangepaste patronen die u in de GROK -expressie wilt gebruiken. Geef elke patroondefinitie op op zijn eigen lijn [1] [3]. Voor het gegeven voorbeeld, geef patroondefinities op voor `postfix_queueid` en` msg`: `postfix_queueid [0-9A-f] {10,11} msg message-id =` [1] [3].
4. Simuleren Klik op Simuleren ** [1] [3]. U zult de gesimuleerde uitvoergebeurtenis zien die het gevolg is van het toepassen van het GROK -patroon dat het aangepaste patroon bevat [1]. Als er een fout optreedt, kunt u doorgaan met itereren over het aangepaste patroon totdat de uitvoer overeenkomt met de gebeurtenis die u verwacht [1] [3].
De GROK -debugger vereenvoudigt de loganalyse, zodat u grokpatronen kunt testen en verfijnen voordat u ze implementeert [5]. GROK is een patroonaanpassingssyntaxis die u kunt gebruiken om willekeurige tekst te ontleden en te structureren [1] [3]. Het is goed voor het parseren van syslog, Apache en andere webserver -logboeken, MySQL -logboeken en in het algemeen elk logboekformaat dat is geschreven voor menselijke consumptie [1] [3].
Citaten:[1] https://www.elastic.co/guide/en/kibana/current/xpack-grokdebugger.html
[2] https://www.elastic.co/guide/en/elasticsearch/reference/current/grok.html
[3] https://www.elastic.co/guide/en/kibana/7.17/xpack-grokdebugger.html
[4] https://stackoverflow.com/questions/26679465/debugging-new-loogstash-grok-filters-before-full-use
[5] https://latenode.com/blog/a-complete-guide-to-using-the-grok-debugger
[6] https://discuss.elastic.co/t/grok-filter-pattern-not-working/211780
[7] https://edgedelTa.com/company/blog/what-are-grok-patterns
[8] https://www.elastic.co/guide/en/elasticsearch/reference/current/esql-process-data-with-dissect-andgrok.html
[9] https://www.elastic.co/blog/debugging-broken-grok-expressions-in-elasticSearch-Iningest-Processors
[10] https://stackoverflow.com/questions/38096827/querying-kibana-using-grok-pattern