Чтобы использовать отладчик Грока в Кибане:
1. Доступ к отладчику Грока. Вы можете найти отладчик Grok, перейдя на страницу «Инструменты разработчика», используя меню навигации или глобальное поле поиска [1]. Для старых версий, таких как 7.17, откройте главное меню, нажмите «Инструменты разработки», затем нажмите Grok Debugger ** [3]. Обратите внимание, что если вы используете функции безопасности упругого стека, у вас должно быть разрешение `Manage_pipeline` на использование отладчика Grok [1] [3].
2. Введите образцы данных в раздел «Выборочный раздел данных», введите сообщение, которое является репрезентативным для данных, которые вы хотите проанализировать [1] [3]. Например: `55.3.244.1 get /index.html 15824 0,043` [1].
3. Введите шаблон GROK в раздел рисунка Grok, введите шаблон Grok, который вы хотите применить к данным [1] [3]. Чтобы проанализировать строку журнала в данном примере, используйте: ` %{ip: client} %{Word: Method} %{uripathParam: запрос} %{number: bytes} %{number: duration}` [1].
4. Моделируйте Click Simulate, и вы увидите смоделированное событие, которое возникает в результате применения шаблона Grok [1] [3].
Вы также можете проверить пользовательские шаблоны [3]:
1. Пример данных Введите ваше примерное сообщение [3]. Например: `1 января 06:25:43 MailServer14 PostFix/очистка [21403]: BEF25A72965: Message-ID =` [3].
2. Grok Pattern Введите свой рисунок Grok [1] [3]. Например: ` %{syslogbase} %{postfix_queueid: queue_id}: %{msg: syslog_message}`. Этот шаблон Grok ссылается на пользовательские шаблоны под названием `postfix_queueid` и` msg` [3].
3. Пользовательские шаблоны расширяют раздел пользовательских шаблонов и введите определения шаблонов для пользовательских шаблонов, которые вы хотите использовать в выражении Grok. Укажите каждое определение шаблона на собственной линии [1] [3]. Для данного примера укажите определения шаблонов для `postfix_queueid` и` msg`: `postfix_queueid [0-9a-f] {10,11} msg-id =` [1] [3].
4. Симулировать нажмите «Симулировать» [1] [3]. Вы увидите смоделированное выходное событие, которое возникает в результате применения шаблона Grok, который содержит пользовательский шаблон [1]. Если возникает ошибка, вы можете продолжить итерацию по пользовательскому шаблону, пока вывод не сопоставит событие, которое вы ожидаете [1] [3].
Отладчик Grok упрощает анализ журнала, позволяя вам проверить и уточнить паттерны Grok, прежде чем их развернуть [5]. Grok - это синтаксис, соответствующий шаблону, который вы можете использовать для анализа произвольного текста и структуры [1] [3]. Это хорошо для анализа системного журнала, Apache и других журналов веб -серверов, журналов MySQL, и в целом, любой формат журнала, который написан для потребления человека [1] [3].
Цитаты:[1] https://www.elastic.co/guide/en/kibana/current/xpack-grokdebugger.html
[2] https://www.elastic.co/guide/en/elasticsearch/reference/current/grok.html
[3] https://www.elastic.co/guide/en/kibana/7.17/xpack-grokdebugger.html
[4] https://stackoverflow.com/questions/26679465/debugging-new-logstash-grok-filters-before-full-use
[5] https://latenode.com/blog/a-complete-guide-to-using-the-grok-debugger
[6] https://discuss.elastic.co/t/grok-filter-pattern-not-working/211780
[7] https://edgedelta.com/company/blog/what-are-grok-patterns
[8] https://www.elastic.co/guide/en/elasticsearch/reference/current/esql-process-data-with-dissect-and-grok.html
[9] https://www.elastic.co/blog/debugging-rkenge-grok-expressions-in-elasticsearch-ingest-processors
[10] https://stackoverflow.com/questions/38096827/querying-kibana-using-grok-pattern