Para usar el depurador de Grok en Kibana:
1. Acceda al depurador de Grok Puede encontrar el depurador de Grok navegando a la página Herramientas del desarrollador utilizando el menú de navegación o el campo de búsqueda global [1]. Para versiones más antiguas, como 7.17, abra el menú principal, haga clic en Desarr Herramientas, luego haga clic en Grok Debugger ** [3]. Tenga en cuenta que si está utilizando las funciones de seguridad de la pila elástica, debe tener el permiso 'manage_pipeline` para usar el debugger Grok [1] [3].
2. Ingrese los datos de la muestra en la sección de datos de muestra, ingrese un mensaje que sea representativo de los datos que desea analizar [1] [3]. Por ejemplo: `55.3.244.1 get /index.html 15824 0.043` [1].
3. Ingrese el patrón Grok en la sección Patrón de Grok, ingrese el patrón Grok que desea aplicar a los datos [1] [3]. Para analizar la línea de registro en el ejemplo dado, use: ` %{ip: client} %{word: método} %{uripathparam: request} %{número: bytes} %{número: duración}` [1].
4. Simule Haga clic en Simular, y verá el evento simulado que resulta de aplicar el patrón Grok [1] [3].
También puede probar patrones personalizados [3]:
1. Datos de muestra Ingrese su mensaje de muestra [3]. Por ejemplo: `1 de enero 06:25:43 MailServer14 Postfix/Cleanup [21403]: BEF25A72965: Message-ID =` [3].
2. Patrón de Grok Ingrese su patrón de Grok [1] [3]. Por ejemplo: ` %{syslogbase} %{postfix_queueid: queue_id}: %{msg: syslog_message}`. Este patrón de Grok hace referencia a patrones personalizados llamados `postfix_queueid` y` msg` [3].
3. Patrones personalizados expanden la sección Patrones personalizados e ingrese definiciones de patrones para los patrones personalizados que desea usar en la expresión de Grok. Especifique cada definición de patrón en su propia línea [1] [3]. Para el ejemplo dado, especifique las definiciones de patrones para `postfix_queueid` y` msg`: `postfix_queueid [0-9a-f] {10,11} msg Message-id =` [1] [3].
4. Simule haga clic en Simular ** [1] [3]. Verá el evento de salida simulado que resulta de aplicar el patrón Grok que contiene el patrón personalizado [1]. Si se produce un error, puede continuar iterando sobre el patrón personalizado hasta que la salida coincida con el evento que espera [1] [3].
El Grok Debugger simplifica el análisis de registro, lo que le permite probar y refinar los patrones de Grok antes de implementarlos [5]. Grok es una sintaxis de coincidencia de patrones que puede usar para analizar el texto arbitrario y estructurarla [1] [3]. Es bueno para analizar Syslog, Apache y otros registros de servidor web, registros de MySQL y, en general, cualquier formato de registro que esté escrito para el consumo humano [1] [3].
Citas:[1] https://www.elastic.co/guide/en/kibana/current/xpack-grokdebugger.html
[2] https://www.elastic.co/guide/en/elasticsearch/reference/current/grok.html
[3] https://www.elastic.co/guide/en/kibana/7.17/xpack-grokdebugger.html
[4] https://stackoverflow.com/questions/26679465/debugging-new-logstash-grok-filters-befefore-full-use
[5] https://latenode.com/blog/a-complete-guide-to-using-the-grok-des
[6] https://discuss.elastic.co/t/grok-filter-pattern-not-working/211780
[7] https://edgedelta.com/company/blog/what-ear-ear-grok-patterns
[8] https://www.elastic.co/guide/en/elasticsearch/reference/current/esql-process-data-with-dissectand-grok.html
[9] https://www.elastic.co/blog/debugging-broken-grok-expressions-in-elasticsearch-ingest-processors
[10] https://stackoverflow.com/questions/38096827/Querying-kibana-using-grok-pattern