För att använda grok -felsökaren i Kibana:
1. Åtkomst till Grok Debugger Du kan hitta Grok Debugger genom att navigera till sidan Developer Tools med hjälp av navigationsmenyn eller det globala sökfältet [1]. För äldre versioner, till exempel 7.17, öppna huvudmenyn, klicka på Dev -verktyg och klicka sedan på Grok Debugger ** [3]. Observera att om du använder Elastic Stack Security -funktioner måste du ha tillståndet "Manage_pipeline" att använda GROK -felsökaren [1] [3].
2. Ange provdata I provdataavsnittet Ange ett meddelande som är representativt för de data som du vill analysera [1] [3]. Till exempel: `55.3.244.1 Get /Index.html 15824 0,043` [1].
3. Ange GROK -mönster i avsnittet Grok Mönster, ange GROK -mönstret som du vill använda på data [1] [3]. För att analysera loglinjen i det givna exemplet, använd: ` %{ip: client} %{Word: Method} %{UriPathParam: Request} %{Number: Bytes} %{Antal: Varaktighet}` [1].
4. Simulera klick Simulera, och du kommer att se den simulerade händelsen som är resultatet av att tillämpa GROK -mönstret [1] [3].
Du kan också testa anpassade mönster [3]:
1. Exempel på data Ange ditt provmeddelande [3]. Till exempel: `1 jan 06:25:43 MailServer14 Postfix/Cleanup [21403]: bef25a72965: Message-ID =` [3].
2. GROK -mönster Ange ditt grokmönster [1] [3]. Till exempel: ` %{SySlogBase} %{Postfix_queueId: Queue_id}: %{msg: syslog_message}`. Detta grokmönster hänvisar till anpassade mönster som kallas `POSTFIX_QUEUEID` och` msg` [3].
3. Anpassade mönster utvidgar avsnittet Anpassade mönster och skriver in mönsterdefinitioner för de anpassade mönstren som du vill använda i GROK -uttrycket. Ange varje mönsterdefinition på sin egen linje [1] [3]. För det givna exemplet, ange mönsterdefinitioner för `postfix_queueid` och` msg`: `postfix_queueid [0-9a-f] {10,11} msg message-id =` [1] [3].
4. Simulera klick Simulera ** [1] [3]. Du kommer att se den simulerade utgångshändelsen som är resultatet av att tillämpa GROK -mönstret som innehåller det anpassade mönstret [1]. Om ett fel uppstår kan du fortsätta att iterera över det anpassade mönstret tills utgången matchar händelsen som du förväntar dig [1] [3].
Grok Debugger förenklar loganalysen, så att du kan testa och förfina grokmönster innan du distribuerar dem [5]. Grok är en mönster som matchar syntax som du kan använda för att analysera godtycklig text och strukturera den [1] [3]. Det är bra för att analysera syslog, apache och andra webbserverloggar, MySQL -loggar och i allmänhet alla loggformat som är skrivna för konsumtion [1] [3].
Citeringar:[1] https://www.elastic.co/guide/en/kibana/current/xpack-grokdebugger.html
[2] https://www.elastic.co/guide/en/elasticsearch/reference/current/grok.html
[3] https://www.elastic.co/guide/en/kibana/7.17/xpack-grokdebugger.html
]
]
[6] https://discuss.elastic.co/t/grok-filter-pattern-not-working/211780
[7] https://edgedelta.com/company/blog/what-are-grok-patterns
[8] https://www.elastic.co/guide/en/elasticsearch/reference/current/esql-process-data-with-dissect-grok.html
]
[10] https://stackoverflow.com/questions/38096827/querying- kanbana- using grok-mönster