Um den Grok -Debugger in Kibana zu verwenden:
1. Zugriff auf den Grok -Debugger Sie finden den Grok -Debugger, indem Sie mit dem Navigationsmenü oder dem globalen Suchfeld zur Seite der Entwickler -Tools navigieren [1]. Für ältere Versionen wie 7.17 öffnen Sie das Hauptmenü, klicken Sie auf Dev Tools und klicken Sie dann auf Grok Debugger ** [3]. Beachten Sie, dass Sie, wenn Sie Elastic Stack Security -Funktionen verwenden, über die Berechtigung "Management_Pipeline" zur Verwendung des Grok -Debuggers [1] [3] müssen.
2. Geben Sie Beispieldaten in den Abschnitt mit Beispieldaten ein und geben Sie eine Meldung ein, die für die Daten repräsentativ ist, die Sie analysieren möchten [1] [3]. Zum Beispiel: `55.3.244.1 get /index.html 15824 0.043` [1].
3. Geben Sie das Grok -Muster in den Abschnitt GROK -Muster ein und geben Sie das Grok -Muster ein, das Sie auf die Daten anwenden möchten [1] [3]. Verwenden Sie: ` %{ip: client} %{Wort: Methode} %{uripathparam: request} %{numme: bytes} %{nummer: dauer}` [1].
4. Simulieren klicken Sie klicken Sie simulieren und Sie sehen das simulierte Ereignis, das sich aus der Anwendung des Grok -Musters [1] [3] ergibt.
Sie können auch benutzerdefinierte Muster testen [3]:
1. Beispieldaten Geben Sie Ihre Beispielmeldung ein [3]. Zum Beispiel: `Jan 1 06:25:43 MailServer14 Postfix/Aufräumung [21403]: BEF25A72965: Message-ID =` [3].
2. Grok -Muster Eingeben Sie Ihr Grok -Muster [1] [3]. Zum Beispiel: ` %{sysLogbase} %{postfix_queueid: queue_id}: %{msg: syslog_message}`. Dieses Grok -Muster verweist benutzerdefinierte Muster, die als "postfix_queueid" und `msg` [3] bezeichnet werden.
3. Benutzerdefinierte Muster erweitern den Abschnitt benutzerdefinierter Muster und geben Sie Musterdefinitionen für die benutzerdefinierten Muster ein, die Sie im Grok -Ausdruck verwenden möchten. Geben Sie jede Musterdefinition in einer eigenen Zeile an [1] [3]. Geben Sie für das angegebene Beispiel Musterdefinitionen für `postfix_queueid` und` msg`: `postfix_queueid [0-9a-f] {10,11} msg message-id =` [1] [3] an.
4. Simulieren klicken Sie auf Simulate ** [1] [3]. Sie sehen das simulierte Ausgangsereignis, das sich aus der Anwendung des GROK -Musters ergibt, das das benutzerdefinierte Muster enthält [1]. Wenn ein Fehler auftritt, können Sie das benutzerdefinierte Muster fortsetzen, bis die Ausgabe dem Ereignis entspricht, das Sie erwarten [1] [3].
Der Grok -Debugger vereinfacht die Protokollanalyse und ermöglicht es Ihnen, GROK -Muster zu testen und zu verfeinern, bevor Sie sie bereitstellen [5]. GROK ist eine Musteranpassungssyntax, mit der Sie willkürliche Text analysieren und ihn strukturieren können [1] [3]. Es ist gut, um Syslog, Apache und andere Webserver -Protokolle, MySQL -Protokolle und im Allgemeinen jedes Protokollformat, das für den menschlichen Verbrauch geschrieben wurde, zu analysieren [1] [3].
Zitate:[1] https://www.elastic.co/guide/en/kibana/current/xpack-grokdebugger.html
[2] https://www.elastic.co/guide/en/elasticsearch/reference/current/grok.html
[3] https://www.elastic.co/guide/en/kibana/7.17/xpack-grokdebugger.html
[4] https://stackoverflow.com/questions/26679465/debugging-new-logstash-grok-filter-befor-full-use
[5] https://latenode.com/blog/a-complete-guide-to-using-the-grok-debugger
[6] https://discuss.elastic.co/t/grok-filter-pattern-not-working/211780
[7] https://edgedelta.com/company/blog/what-are-grok-patterns
[8] https://www.elastic.co/guide/en/elasticsearch/reference/current/esql-process-data-with-disect--grok.html
[9] https://www.elastic.co/blog/debugging-broken-grok-expressions-in-elasticsearch-ingest-processors
[10] https://stackoverflow.com/questions/38096827/querying-kibana-using-grok-pattern