Para usar o depurador GROK em Kibana:
1. Acesse o depurador GROK Você pode encontrar o depurador GROK navegando na página Ferramentas do desenvolvedor usando o menu de navegação ou o campo de pesquisa global [1]. Para versões mais antigas, como 7.17, abra o menu principal, clique em Ferramentas de dev e clique em Grok Debugger ** [3]. Observe que, se você estiver usando os recursos de segurança do Elastic Stack, deve ter a permissão `Manage_PiPeline` para usar o depurador GROK [1] [3].
2. Digite dados de amostra na seção de dados de amostra, insira uma mensagem representativa dos dados que você deseja analisar [1] [3]. Por exemplo: `55.3.244.1 get /index.html 15824 0,043` [1].
3. Digite o padrão GROK na seção Grok Pattern, insira o padrão GROK que você deseja aplicar aos dados [1] [3]. Para analisar a linha de log no exemplo dado, use: ` %{ip: client} %{word: métod} %{uripathparam: request} %{número: bytes} %{número: duração}` [1].
4. Simular, clique em simular e você verá o evento simulado resultante da aplicação do padrão GROK [1] [3].
Você também pode testar padrões personalizados [3]:
1. Dados da amostra Digite sua mensagem de amostra [3]. Por exemplo: `1 de janeiro 06:25:43 MailServer14 Postfix/Cleanup [21403]: BEF25A72965: ID da mensagem =` [3].
2. Padrão Grok Digite seu padrão GROK [1] [3]. Por exemplo: ` %{syslogbase} %{postfix_queueId: Queue_id}: %{msg: syslog_message}`. Esse padrão GROK faz referência a padrões personalizados chamados `Postfix_queueId` e` msg` [3].
3. Padrões personalizados expandem a seção Padrões personalizados e insira definições de padrões para os padrões personalizados que você deseja usar na expressão GROK. Especifique cada definição de padrão em sua própria linha [1] [3]. Para o exemplo dado, especifique definições de padrões para `postfix_queueId` e` msg`: `postfix_queueId [0-9a-f] {10,11} msg message-id =` [1] [3].
4. Simular, clique em simular ** [1] [3]. Você verá o evento de saída simulado resultante da aplicação do padrão GROK que contém o padrão personalizado [1]. Se ocorrer um erro, você poderá continuar iterando o padrão personalizado até que a saída corresponda ao evento que você espera [1] [3].
O depurador GROK simplifica a análise de log, permitindo testar e refinar padrões GROK antes de implantá -los [5]. Grok é uma sintaxe de correspondência de padrão que você pode usar para analisar o texto arbitrário e estruturá -lo [1] [3]. É bom para analisar Syslog, Apache e outros logs do servidor da web, logs MySQL e, em geral, qualquer formato de log que seja escrito para consumo humano [1] [3].
Citações:[1] https://www.elastic.co/guide/en/kibana/current/xpack-urokdebugger.html
[2] https://www.elastic.co/guide/en/elasticsearch/reference/current/grok.html
[3] https://www.elastic.co/guide/en/kibana/7.17/xpack-urokdebugger.html
[4] https://stackoverflow.com/questions/266679465/debugging-new-logstash-gok-filters-fore-full-use
[5] https://latenode.com/blog/a-complete-guide-to-using-the-prok-debugger
[6] https://discuss.elastic.co/t/grok-filter-pattern-not-working/211780
[7] https://eddedelta.com/company/blog/what-are-gok-patterns
[8] https://www.elastic.co/guide/en/elasticsearch/reference/current/esql-process-data-with-dissect-and-grok.html
[9] https://www.elastic.co/blog/debugging-broken-grok-expressions-in-elasticsearch-ingest-processors
[10] https://stackoverflow.com/questions/38096827/Querying-kibana-using-grok-pattern