Για να χρησιμοποιήσετε το Debugger Grok στο Kibana:
1. Αποκτήστε πρόσβαση στο Debugger Grok Μπορείτε να βρείτε το Debugger Grok με πλοήγηση στη σελίδα εργαλείων προγραμματιστή χρησιμοποιώντας το μενού πλοήγησης ή το πεδίο Global Search [1]. Για παλαιότερες εκδόσεις, όπως 7.17, ανοίξτε το κύριο μενού, κάντε κλικ στην επιλογή Dev Tools και, στη συνέχεια, κάντε κλικ στο κουμπί Debugger Grok ** [3]. Σημειώστε ότι εάν χρησιμοποιείτε τις ελαστικές λειτουργίες ασφαλείας στοίβας, πρέπει να έχετε την άδεια `manager_pipeline 'για να χρησιμοποιήσετε το Debugger Grok [1] [3].
2. Εισαγάγετε δεδομένα δείγματος στην ενότητα Δεδομένων δείγματος, εισαγάγετε ένα μήνυμα που είναι αντιπροσωπευτικό των δεδομένων που θέλετε να αναλύσετε [1] [3]. Για παράδειγμα: `55.3.244.1 get /index.html 15824 0.043` [1].
3. Εισαγάγετε το μοτίβο Grok στην ενότητα Grok Pattern, εισαγάγετε το μοτίβο Grok που θέλετε να εφαρμόσετε στα δεδομένα [1] [3]. Για να αναλύσετε τη γραμμή καταγραφής στο δεδομένο παράδειγμα, χρησιμοποιήστε: ` %{ip: client} %{word: method} %{urripathParam: request} %{αριθμός: bytes} %{αριθμός: διάρκεια}` [1].
4. Προσομοίωση Κάντε κλικ στην προσομοίωση και θα δείτε το προσομοιωμένο συμβάν που προκύπτει από την εφαρμογή του σχεδίου Grok [1] [3].
Μπορείτε επίσης να δοκιμάσετε προσαρμοσμένα σχέδια [3]:
1. Δείγματα δεδομένων Εισάγετε το δείγμα σας [3]. Για παράδειγμα: `Jan 1 06:25:43 MailServer14 Postfix/Cleanup [21403]: BEF25A72965: Message-ID =` [3].
2. Grok Pattern Εισάγετε το μοτίβο Grok [1] [3]. Για παράδειγμα: ` %{syslogbase} %{postfix_queueId: queue_id}: %{msg: syslog_message}`. Αυτό το μοτίβο Grok αναφέρει προσαρμοσμένα μοτίβα που ονομάζονται `postfix_queueid` και` msg` [3].
3. Τα προσαρμοσμένα μοτίβα επεκτείνουν την ενότητα προσαρμοσμένων μοτίβων και εισάγετε ορισμούς προτύπων για τα προσαρμοσμένα μοτίβα που θέλετε να χρησιμοποιήσετε στην έκφραση Grok. Καθορίστε κάθε ορισμό μοτίβου στη δική του γραμμή [1] [3]. Για το δεδομένο παράδειγμα, καθορίστε τους ορισμούς προτύπων για το `postfix_queueid` και το` msg`: `postfix_queueId [0-9a-f] {10,11} msg message-id =` [1] [3].
4. Προσομοίωση Κάντε κλικ στο Simulate ** [1] [3]. Θα δείτε το συμβάν προσομοίωσης εξόδου που προκύπτει από την εφαρμογή του σχεδίου Grok που περιέχει το προσαρμοσμένο μοτίβο [1]. Εάν εμφανιστεί σφάλμα, μπορείτε να συνεχίσετε να επαναφέρετε το προσαρμοσμένο μοτίβο έως ότου η έξοδος ταιριάζει με το συμβάν που περιμένετε [1] [3].
Το Debugger Grok απλοποιεί την ανάλυση καταγραφής, επιτρέποντάς σας να δοκιμάσετε και να βελτιώσετε τα μοτίβα Grok πριν τα αναπτύξετε [5]. Το Grok είναι μια σύνταξη που ταιριάζει με το πρότυπο που μπορείτε να χρησιμοποιήσετε για να αναλύσετε αυθαίρετο κείμενο και να το δομήσετε [1] [3]. Είναι καλό για την ανάλυση syslog, apache και άλλα αρχεία καταγραφής webserver, mysql logs και γενικά κάθε μορφή καταγραφής που είναι γραμμένη για ανθρώπινη κατανάλωση [1] [3].
Αναφορές:[1] https://www.elastic.co/guide/en/kibana/current/xpack-grokdebugger.html
[2] https://www.elastic.co/guide/en/elasticsearch/reference/current/grok.html
[3] https://www.elastic.co/guide/en/kibana/7.17/xpack-grokdebugger.html
[4] https://stackoverflow.com/questions/26679465/debugging-new-logstash-grok-filters-bofore-full-use
[5] https://latenode.com/blog/a-complete-guide-to-using-the-grok-debugger
[6] https://discuss.elastic.co/t/grok-filter-pattern-not-working/211780
[7] https://edgedelta.com/company/blog/what-are-grok-patterns
[8] https://www.elastic.co/guide/en/elasticsearch/reference/current/esql-process-data-with-dissect-and-grok.html
[9] https://www.elastic.co/blog/debugging-broken-grok-expressions-in-elasticsearch-ingest-processors
[10] https://stackoverflow.com/questions/38096827/querying-kibana-using-grok-pattern