Å bruke GROK -feilsøking i Kibana:
1. Få tilgang til GROK -feilsøkingen Du kan finne GROK -debuggeren ved å navigere til utviklerverktøy -siden ved hjelp av navigasjonsmenyen eller det globale søkefeltet [1]. For eldre versjoner, for eksempel 7.17, åpner hovedmenyen, klikker du på Dev Tools, og klikker deretter GROK Debugger ** [3]. Legg merke til at hvis du bruker elastiske sikkerhetsfunksjoner for stakk, må du ha `Manage_pipeline` tillatelse til å bruke GROK -feilsøkingen [1] [3].
2. Skriv inn eksempeldata i delen av eksemplaredata, skriv inn en melding som er representativ for dataene du vil analysere [1] [3]. For eksempel: `55.3.244.1 get /index.html 15824 0.043` [1].
3. Skriv inn GROK -mønster i GROK -mønsterdelen, skriv inn GROK -mønsteret du vil bruke på dataene [1] [3]. For å analysere logglinjen i det gitte eksemplet, bruk: ` %{ip: klient} %{Word: Metode} %{uripathParam: forespørsel} %{tall: byte} %{tall: varighet}` [1].
4. Simuler klikk Simuler, så ser du den simulerte hendelsen som er resultatet av å bruke GROK -mønsteret [1] [3].
Du kan også teste tilpassede mønstre [3]:
1. Eksempel på data Skriv inn prøvemeldingen [3]. For eksempel: `1. jan 06:25:43 Mailserver14 Postfix/opprydding [21403]: BEF25A72965: Message-id =` [3].
2. Grok -mønster Enter GROK -mønsteret [1] [3]. For eksempel: ` %{SyslogBase} %{postfix_queueid: kø_id}: %{msg: syslog_message}`. Dette GROK -mønsteret refererer til tilpassede mønstre kalt `postfix_queueid` og` msg` [3].
3. Tilpassede mønstre utvider delen tilpassede mønstre, og skriv inn mønsterdefinisjoner for de tilpassede mønstrene du vil bruke i GROK -uttrykket. Spesifiser hver mønsterdefinisjon på sin egen linje [1] [3]. For det gitte eksemplet, spesifiser mønsterdefinisjoner for `postfix_queueid` og` msg`: `postfix_queueid [0-9a-f] {10,11} msg message-id =` [1] [3].
4. Simuler klikk Simuler ** [1] [3]. Du vil se den simulerte utgangshendelsen som er resultatet av å anvende GROK -mønsteret som inneholder det tilpassede mønsteret [1]. Hvis det oppstår en feil, kan du fortsette å iterere over det tilpassede mønsteret til utgangen samsvarer med hendelsen som du forventer [1] [3].
GROK -debuggeren forenkler logganalyse, slik at du kan teste og avgrense GROK -mønstre før du distribuerer dem [5]. GROK er et mønstermatchende syntaks som du kan bruke til å analysere vilkårlig tekst og strukturere den [1] [3]. Det er bra for analysering av syslog, apache og andre webserver logger, MySQL -logger og generelt ethvert loggformat som er skrevet til konsum [1] [3].
Sitasjoner:[1] https://www.elastic.co/guide/en/kibana/current/xpack-grokdebugger.html
[2] https://www.elastic.co/guide/en/elasticsearch/reference/current/grok.html
[3] https://www.elastic.co/guide/en/kibana/7.17/xpack-grokdebugger.html
[4] https://stackoverflow.com/questions/26679465/debugging-new-logstash-filters-before-full-use
[5] https://latenode.com/blog/a-complete-guide-to-sing-the-grok-debugger
[6] https://discuss.elastic.co/t/grok-filter-pattern-not-working/211780
[7] https://edgedelta.com/company/blog/what-are-grok-patterns
[8] https://www.elastic.co/guide/en/elasticsearch/reference/current/esql-process-data-with-dissect-and-grok.html
[9] https://www.elastic.co/blog/debugging-broken-grok-expressions-in-elasticsearch-ingest-processors
[10] https://stackoverflow.com/questions/38096827/querying-kibana-using-grok-pattern