Aby użyć debugera Grok w kibanie:
1. Uzyskaj dostęp do debugera GRAK W przypadku starszych wersji, takich jak 7.17, otwórz menu główne, kliknij narzędzia deweloperów, a następnie kliknij debugger GRAK ** [3]. Pamiętaj, że jeśli używasz elastycznych funkcji bezpieczeństwa stosu, musisz mieć uprawnienie „zarządzanie_pipeline” na korzystanie z debugera GRAK [1] [3].
2. Wprowadź przykładowe dane w sekcji danych przykładowych, wprowadź komunikat reprezentujący dane, które chcesz przeanalizować [1] [3]. Na przykład: `55.3.244.1 get /index.html 15824 0,043` [1].
3. Wprowadź wzór GROK W sekcji wzoru GROK, wprowadź wzór GROK, który chcesz zastosować do danych [1] [3]. Aby przeanalizować linię dziennika w danym przykładzie, użyj: ` %{ip: client} %{Word: Method} %{UripathParam: request} %{liczba: bajty} %{liczba: czas trwania}` [1].
4. Symuluj kliknięcie Symuluj, a zobaczysz symulowane zdarzenie wynikające z zastosowania wzoru GROK [1] [3].
Możesz także przetestować niestandardowe wzorce [3]:
1. Przykładowe dane Wprowadź przykładową wiadomość [3]. Na przykład: `1 stycznia 06:25:43 MailServer14 Postfix/CleanUp [21403]: BEF25A72965: Message-ID =` [3].
2. Wzór Grok Wprowadź wzór Grok [1] [3]. Na przykład: ` %{syslogbase} %{postfix_queueid: queue_id}: %{msg: syslog_message}`. Ten wzorzec Grok odnosi się do niestandardowych wzorców o nazwie `postfix_queueid` i` msg` [3].
3. Wzorce niestandardowe rozszerz sekcję niestandardowych wzorów i wprowadź definicje wzorów dla niestandardowych wzorów, których chcesz użyć w wyrażeniu GROK. Określ każdą definicję wzorca na własnej linii [1] [3]. Dla podanego przykładu określ definicje wzorców dla `postfix_queueid` i` msg`: `postfix_queueid [0-9a-f] {10,11} msg komunikat-id =` [1] [3].
4. Symuluj kliknięcie Symulować ** [1] [3]. Zobaczysz symulowane zdarzenie wyjściowe, które wynika z zastosowania wzoru GROK, który zawiera niestandardowy wzór [1]. Jeśli wystąpi błąd, możesz kontynuować iterowanie niestandardowego wzorca, dopóki wyjście nie dopasuje się do oczekiwanego zdarzenia [1] [3].
Debugger GRok upraszcza analizę logarytmiczną, umożliwiając testowanie i udoskonalenie wzorców Grok przed ich wdrożeniem [5]. Grok to składnia dopasowująca wzór, której można użyć do analizy dowolnego tekstu i struktury [1] [3]. Jest dobry do analizowania syslog, apache i innych dzienników WebServer, dzienników MySQL, a ogólnie każdy format dziennika zapisany do konsumpcji człowieka [1] [3].
Cytaty:[1] https://www.elastic.co/guide/en/kibana/current/xpack-grokdebugger.html
[2] https://www.elastic.co/guide/en/elasticsearch/reference/current/grok.html
[3] https://www.elastic.co/guide/en/kibana/7.17/xpack-rokdebugger.html
[4] https://stackoverflow.com/questions/26679465/debugging-new-logstash-grok-filters-before-full-use
[5] https://latenode.com/blog/a-complete-guide-to-using-the-grok-debugger
[6] https://discuss.elastic.co/t/grok-filter-pattern-not-vorking/211780
[7] https://edgedelta.com/company/blog/what-are-grok-patterns
[8] https://www.elastic.co/guide/en/elasticsearch/reference/current/esql-process-data-with-dissect-and-grok.html
[9] https://www.elastyczne
[10] https://stackoverflow.com/questions/38096827/querying-kibana-using-grok-tokattern