Pentru a folosi debuggerul Grok în Kibana:
1. Accesați debuggerul Grok Puteți găsi debuggerul Grok navigând pe pagina Instrumente pentru dezvoltatori folosind meniul de navigare sau câmpul de căutare globală [1]. Pentru versiuni mai vechi, cum ar fi 7.17, deschideți meniul principal, faceți clic pe Instrumente Dev, apoi faceți clic pe Grok Debugger ** [3]. Rețineți că, dacă utilizați funcții de securitate elastică a stivei, trebuie să aveți permisiunea `manage_pipeline` pentru a utiliza debuggerul Grok [1] [3].
2. Introduceți date de eșantion în secțiunea de date de eșantion, introduceți un mesaj reprezentativ pentru datele pe care doriți să le analizați [1] [3]. De exemplu: `55.3.244.1 get /index.html 15824 0.043` [1].
3. Introduceți modelul Grok în secțiunea Grok Pattern, introduceți modelul GROK pe care doriți să îl aplicați la datele [1] [3]. Pentru a analiza linia de jurnal în exemplul dat, utilizați: ` %{ip: client} %{word: metodă} %{UripathParam: Request} %{Number: Bytes} %{Number: Durată}` [1].
4. Simulați clic pe Simulați și veți vedea evenimentul simulat care rezultă din aplicarea modelului Grok [1] [3].
Puteți testa, de asemenea, modele personalizate [3]:
1. Eșantion de date Introduceți mesajul dvs. de probă [3]. De exemplu: `1 ianuarie 06:25:43 MailServer14 Postfix/Cleanup [21403]: BEF25A72965: Message-id =` [3].
2. Model Grok Introduceți modelul dvs. Grok [1] [3]. De exemplu: ` %{syslogbase} %{postfix_queueid: queue_id}: %{msg: syslog_message}`. Acest model GROK face referințe la modele personalizate numite `postfix_queueid` și` msg` [3].
3. Modele personalizate extind secțiunea Modele personalizate și introduceți definițiile modelului pentru modelele personalizate pe care doriți să le utilizați în expresia Grok. Specificați fiecare definiție a modelului pe propria linie [1] [3]. Pentru exemplul dat, specificați definițiile modelului pentru `postfix_queueid` și` msg`: `postfix_queueid [0-9a-f] {10,11} message msg-id =` [1] [3].
4. Simulați Faceți clic pe Simulare ** [1] [3]. Veți vedea evenimentul de ieșire simulat care rezultă din aplicarea modelului GROK care conține modelul personalizat [1]. Dacă apare o eroare, puteți continua să iterați peste modelul personalizat până când ieșirea se potrivește cu evenimentul pe care îl așteptați [1] [3].
Debuggerul Grok simplifică analiza jurnalului, permițându -vă să testați și să perfecționați modelele Grok înainte de a le implementa [5]. GROK este o sintaxă de potrivire a modelului pe care o puteți utiliza pentru a analiza textul arbitrar și pentru a -l structura [1] [3]. Este bine pentru analizarea Syslog, Apache și a altor jurnalele de servire web, jurnalele MySQL și, în general, orice format de jurnal scris pentru consumul uman [1] [3].
Citări:[1] https://www.elastic.co/guide/en/kibana/current/xpack-grokdebugger.html
[2] https://www.elastic.co/guide/en/elasticsearch/reference/current/grok.html
[3] https://www.elastic.co/guide/en/kibana/7.17/xpack-grokdebugger.html
[4] https://stackoverflow.com/questions/26679465/debugging-new-logstash-grok-filters-before-full-use
[5] https://latenode.com/blog/a-complete-guide-to-using-the-grok-debugger
[6] https://discuss.elastic.co/t/grok-filter-pattern-not-working/211780
[7] https://edgetalta.com/company/blog/what-are-grok-patterns
[8] https://www.elastic.co/guide/en/elasticsearch/reference/current/esql-process-data-with-dissect-and-grok.html
[9] https://www.elastic.co/blog/debugging-broken-grok-expressions-in-elasticsearch-gest-procesoare
[10] https://stackoverflow.com/questions/38096827/querying-kibana-using-grok -lattern