Grok -virheenkorjaimen käyttäminen Kibanassa:
1. Pääset Grok Debuggeriin, voit löytää GROK -virheenkorjauksen navigoimalla kehittäjätyökalut -sivulle navigointivalikon tai globaalin hakukentän avulla [1]. Avaa vanhemmat versiot, kuten 7.17, napsauta DEV -työkaluja ja napsauta sitten Grok Debugger ** [3]. Huomaa, että jos käytät elastisia pinojen suojausominaisuuksia, sinulla on oltava `Management_pipine" lupa käyttää Grok Debuggeria [1] [3].
2. Kirjoita näytetiedot näytetieto -osioon, kirjoita viesti, joka edustaa tietoja, jotka haluat jäsentää [1] [3]. Esimerkiksi: `55.3.244.1 get /index.html 15824 0,043` [1].
3. Kirjoita Grok -kuvio GROK -kuvio -osioon, kirjoita Grok -kuvio, jota haluat soveltaa tietoihin [1] [3]. Laitoslinjan jäsentäminen annetussa esimerkissä käytä: ` %{ip: asiakas} %{Word: Method} %{Uripathparam: pyyntö} %{numero: tavut} %{numero: kesto}` [1].
4. Simulaa napsauttamalla simuloi, ja näet simuloidun tapahtuman, joka johtuu Grok -kuvion soveltamisesta [1] [3].
Voit myös testata mukautettuja kuvioita [3]:
1. Näytetiedot Kirjoita näyteviesti [3]. Esimerkiksi: `1. tammikuuta 06:25:43 MailServer14 PostFix/Cleanup [21403]: BEF25A72965: Message-ID =` [3].
2. Grok -kuvio Syötä Grok -kuvio [1] [3]. Esimerkiksi: ` %{syslogBase} %{postfix_queueid: Queue_ID}: %{msg: syslog_message}`. Tämä grok -kuvio viittaa räätälöityihin kuvioihin, joita kutsutaan `postfix_queueid` ja` msg` [3].
3. Mukautetut mallit laajentavat mukautettuja kuviot -osiota ja kirjoita kuvion määritelmät räätälöityihin kuvioihin, joita haluat käyttää GROK -lausekkeessa. Määritä jokainen kuvion määritelmä omalla viivallaan [1] [3]. Määritä annettu esimerkki `postfix_queueid` ja` msg`: `postfix_queueid [0-9a-f] {10,11} msg message-id =` [1] [3].
4. Simulaa napsauttamalla simulointi ** [1] [3]. Näet simuloidun lähtötapahtuman, joka johtuu soveltamasta Grok -kuviota, joka sisältää mukautetun kuvion [1]. Jos virhe tapahtuu, voit jatkaa iterointia mukautetun kuvion yli, kunnes tulos vastaa odotettavissa olevaa tapahtumaa [1] [3].
GROK -virheenkorjaus yksinkertaistaa lokianalyysiä, jolloin voit testata ja tarkentaa Grok -kuvioita ennen niiden käyttöönottoa [5]. Grok on kuvion sovitussyntaksi, jonka avulla voit jäsentää mielivaltaista tekstiä ja rakentaa sen [1] [3]. Se on hyvä syslog-, apache- ja muihin verkkopalvelinlokeihin, MySQL -lokeihin ja yleensä mihin tahansa ihmisravinnolle kirjoitettuun lokimuotoon [1] [3].
Viittaukset:[1] https://www.elastic.co/guide/en/kibana/current/xpack-grokdebugger.html
[2] https://www.elastic.co/guide/en/elasticsearch/reference/current/grok.html
[3] https://www.elastic.co/guide/en/kibana/7.17/xpack-grokdebugger.html
[4] https://stackoverflow.com/questions/26679465/debugging-new-logstash-grok-filters
[5] https://latenode.com/blog/a-complete-guide-to-using-the-grok-debugger
[6] https://discuss.elastic.co/t/grok-filter-lattern-not-working/211780
[7] https://edgedelta.com/company/blog/what-are-grok-latterns
.
.
[10] https://stackoverflow.com/questions/38096827/querying-kibana-usinggrok-lattern