Pour utiliser le débogueur Grok à Kibana:
1. Accédez au débogueur Grok Vous pouvez trouver le débogueur Grok en accédant à la page des outils du développeur à l'aide du menu de navigation ou du champ de recherche global [1]. Pour les anciennes versions, telles que 7.17, ouvrez le menu principal, cliquez sur Dev Tools, puis cliquez sur Grok Debugger ** [3]. Notez que si vous utilisez des fonctionnalités de sécurité Elastic Stack, vous devez avoir l'autorisation «Manage_Pipeline» d'utiliser le débogueur Grok [1] [3].
2. Entrez les exemples de données dans la section des données de l'exemple, entrez un message représentatif des données que vous souhaitez analyser [1] [3]. Par exemple: `55.3.244.1 Get /Index.html 15824 0,043` [1].
3. Entrez le motif Grok dans la section Grok Pattern, entrez le motif Grok que vous souhaitez appliquer aux données [1] [3]. Pour analyser la ligne de journal dans l'exemple donné, utilisez: `% {ip: client}% {word: méthode}% {uripathParam: request}% {nombre: bytes}% {nombre: durée}` [1].
4. Simuler Cliquez sur Simuler, et vous verrez l'événement simulé qui résulte de l'application du motif Grok [1] [3].
Vous pouvez également tester des modèles personnalisés [3]:
1. Exemples de données Saisissez votre exemple de message [3]. Par exemple: `Jan 1 06:25:43 MailServer14 Postfix / Cleanup [21403]: BEF25A72965: Message-id =` [3].
2. Modèle Grok Entrez votre motif Grok [1] [3]. Par exemple: `% {syslogbase}% {postfix_queueid: queue_id}:% {msg: syslog_message}`. Ce modèle Grok fait référence à des modèles personnalisés appelés `postfix_queueid` et` msg` [3].
3. Les modèles personnalisés développent la section des modèles personnalisés et entrez des définitions de motifs pour les modèles personnalisés que vous souhaitez utiliser dans l'expression Grok. Spécifiez chaque définition de modèle sur sa propre ligne [1] [3]. Pour l'exemple donné, spécifiez les définitions de motifs pour `postfix_queueid` et` msg`: `postfix_queueid [0-9a-f] {10,11} MSG Message-id =` [1] [3].
4. Simuler Cliquez sur Simuler ** [1] [3]. Vous verrez l'événement de sortie simulé qui résulte de l'application du motif Grok qui contient le modèle personnalisé [1]. Si une erreur se produit, vous pouvez continuer à itération sur le modèle personnalisé jusqu'à ce que la sortie correspond à l'événement que vous attendez [1] [3].
Le débogueur Grok simplifie l'analyse des journaux, vous permettant de tester et d'affiner les modèles Grok avant de les déployer [5]. Grok est une syntaxe correspondant à un motif que vous pouvez utiliser pour analyser le texte arbitraire et le structurer [1] [3]. Il est bon pour l'analyse de Syslog, Apache et d'autres journaux de serveur Web, des journaux MySQL et en général, tout format de journal écrit pour la consommation humaine [1] [3].
Citations:[1] https://www.elastic.co/guide/en/kibana/current/xpack-grokdebugger.html
[2] https://www.elastic.co/guide/en/elasticsearch/reference/current/grok.html
[3] https://www.elastic.co/guide/en/kibana/7.17/xpack-grokdebugger.html
[4] https://stackoverflow.com/questions/26679465/debugging-new-logstash-grok-filters-before-full-use
[5] https://latenode.com/blog/a-complete-guide-to-using-the-grok-debugger
[6] https://discuss.elastic.co/t/grok-filter-pattern-not-working/211780
[7] https://edgelta.com/company/blog/what-are-grok-patterns
[8] https://www.elastic.co/guide/en/elasticsearch/reference/current/esql-process-data-with-dissect-and-grok.html
[9] https://www.elastic.co/blog/debugging-broken-grok-expressions-in-elasticsearch-ingest processors
[10] https://stackoverflow.com/questions/38096827/Querying-Kibana-Using-grok-Pattern