Per usare il debugger Grok a Kibana:
1. Accedi al debugger Grok È possibile trovare il debugger Grok navigando nella pagina degli strumenti degli sviluppatori utilizzando il menu di navigazione o il campo di ricerca globale [1]. Per le versioni precedenti, come 7.17, aprire il menu principale, fare clic su Strumenti Dev, quindi fare clic su Grok Debugger ** [3]. Si noti che se stai utilizzando le funzionalità di sicurezza dello stack elastic, è necessario disporre dell'autorizzazione `Manage_Pipeline` per utilizzare il debugger Grok [1] [3].
2. Immettere i dati di esempio nella sezione Dati di esempio, immettere un messaggio rappresentativo dei dati che si desidera analizzare [1] [3]. Ad esempio: `55.3.244.1 Get /index.html 15824 0.043` [1].
3. Immettere il modello Grok nella sezione del modello Grok, immettere il modello Grok che si desidera applicare ai dati [1] [3]. Per analizzare la riga di registro nell'esempio indicato, usa: ` %{ip: client} %{word: metodo} %{UripathParam: request} %{numero: bytes} %{numero: durata}` [1].
4. Simula clic su Simula e vedrai l'evento simulato che deriva dall'applicazione del modello Grok [1] [3].
Puoi anche testare i modelli personalizzati [3]:
1. Dati di esempio Immettere il messaggio di esempio [3]. Ad esempio: `1 gennaio 06:25:43 MailServer14 Postfix/Cleanup [21403]: BEF25A72965: Message-ID =` [3].
2. Pattern Grok Immettere il tuo modello Grok [1] [3]. Ad esempio: ` %{syslogbase} %{postfix_queueid: queue_id}: %{msg: syslog_message}`. Questo modello Grok fa riferimento a schemi personalizzati chiamati `postfix_queueid` e` msg` [3].
3. Modelli personalizzati espandere la sezione Modelli personalizzati e immettere le definizioni dei pattern per i modelli personalizzati che si desidera utilizzare nell'espressione Grok. Specificare ogni definizione di pattern sulla propria riga [1] [3]. Per l'esempio dato, specificare le definizioni dei pattern per `postfix_queueid` e` msg`: `postfix_queueid [0-9a-f] {10,11} MSG Message-id =` [1] [3].
4. Simula clic su Simula ** [1] [3]. Vedrai l'evento di output simulato che deriva dall'applicazione del modello Grok che contiene il modello personalizzato [1]. Se si verifica un errore, è possibile continuare a ripetere il modello personalizzato fino a quando l'output non corrisponde all'evento che ci si aspetta [1] [3].
Il debugger Grok semplifica l'analisi dei registri, consentendo di testare e perfezionare i modelli Grok prima di distribuirli [5]. Grok è una sintassi corrispondente a pattern che è possibile utilizzare per analizzare il testo arbitrario e strutturarlo [1] [3]. È utile per analizzare syslog, Apache e altri registri WebServer, registri MySQL e, in generale, qualsiasi formato di registro scritto per il consumo umano [1] [3].
Citazioni:[1] https://www.elastic.co/guide/en/kibana/current/xpack-grokdebugger.html
[2] https://www.elastic.co/guide/en/elasticsarch/reference/current/grok.html
[3] https://www.elastic.co/guide/en/kibana/7.17/xpack-grokdebugger.html
[4] https://stackoverflow.com/questions/26679465/debugging-new-logstash-grok-filters-before-full-use
[5] https://latenode.com/blog/a-complete-guide-to-using-the-grok-debugger
[6] https://discuss.elastic.co/t/grok-filter-pattern-not-works/211780
[7] https://edgedelta.com/company/blog/what-are-grok-patterns
[8] https://www.elastic.co/guide/en/elasticsarch/reference/current/esql-process-data-with-dissect-and-grok.html
[9] https://www.elastic.co/blog/debugging-broken-grok-expressions-in-elasticsearch-ingst-Processors
[10] https://stackoverflow.com/questions/38096827/querying-kibana-using-grok-pattern