Lai izmantotu groku atkļūdotāju Kibana:
1. Piekļūstiet GROK atkļūdotājam. GROK atkļūdotājs varat atrast, pārvietojoties uz izstrādātāja rīku lapu, izmantojot navigācijas izvēlni vai globālo meklēšanas lauku [1]. Vecākiem versijām, piemēram, 7.17, atveriet galveno izvēlni, noklikšķiniet uz Dev Tools, pēc tam noklikšķiniet uz Grok atkļūdotājs ** [3]. Ņemiet vērā: ja izmantojat elastīgās kaudzes drošības funkcijas, jums ir jābūt “pārvaldīt_pipelīna” atļauju izmantot groku atkļūdotāju [1] [3].
2. Ievadiet parauga datus sadaļā Datu parauga dati, ievadiet ziņojumu, kas ir reprezentatīvs datiem, kurus vēlaties parsēt [1] [3]. Piemēram: `55.3.244.1 get /index.html 15824 0,043` [1].
3. Ievadiet groku modeli sadaļā GROK STARPME, ievadiet groku modeli, kuru vēlaties piemērot datiem [1] [3]. Lai parsētu žurnāllīniju dotajā piemērā, izmantojiet: ` %{ip: client} %{Word: metode} %{UripathParam: pieprasījums} %{Numurs: baiti} %{numurs: ilgums}` [1].
4. Simulējiet klikšķi simulēt, un jūs redzēsit modelēto notikumu, kas rodas, piemērojot groku modeli [1] [3].
Varat arī pārbaudīt pielāgotos modeļus [3]:
1. Parauga dati Ievadiet savu ziņojuma paraugu [3]. Piemēram: `1. janvāris 06:25:43 MailServer14 postfix/tīrīšana [21403]: BEF25A72965: ziņojums-id =` [3].
2. groku raksts ievadiet savu groku modeli [1] [3]. Piemēram: ` %{syslogbase} %{postfix_queueid: queue_id}: %{msg: syslog_message}`. Šis grok modelis atsaucas uz pielāgotajiem modeļiem ar nosaukumu “Postfix_queueid` un` msg` [3].
3. Pielāgoti modeļi Izvērsiet pielāgoto modeļu sadaļu un ievadiet modeļa definīcijas pielāgotajiem modeļiem, kurus vēlaties izmantot grok izteiksmē. Norādiet katru modeļa definīciju uz savas līnijas [1] [3]. Dotajam piemēram norādiet `postfix_queueid` un` msg`: `postfix_queueid [0-9a-f] {10,11} msg ziņojums-id =` [1] [3].
4. simulēt noklikšķiniet Simulēt ** [1] [3]. Jūs redzēsit modelēto izvades notikumu, kas rodas, pielietojot groku modeli, kas satur pielāgoto modeli [1]. Ja rodas kļūda, varat turpināt atkārtot pielāgoto modeli, līdz izvade atbilst gaidāmajam notikumam [1] [3].
Grok atkļūdotājs vienkāršo žurnāla analīzi, ļaujot jums pārbaudīt un pilnveidot groku modeļus pirms to izvietošanas [5]. Grok ir modeļa atbilstoša sintakse, kuru varat izmantot, lai parsētu patvaļīgu tekstu un strukturētu to [1] [3]. Tas ir labs, lai parsētu syslog, apache un citus tīmekļa servera žurnālus, MySQL žurnālus un parasti jebkuru žurnālu formātu, kas ir rakstīts lietošanai cilvēku [1] [3].
Atsauces:[1] https://www.elastic.co/guide/en/kibana/current/xpack-grokdebugger.html
[2] https://www.elastic.co/guide/en/elasticsearch/reference/current/grok.html
[3] https://www.elastic.co/guide/en/kibana/7.17/xpack-grokdebugger.html
[4] https://stackoverflow.com/questions/26679465/debugging-new-logstash-grok-filters- Pirmsfull-use
[5] https://latenode.com/blog/a-complete-guide-to-using-the-grok-debugger
[6] https://discuss.elastic.co/t/grok-filter-pattern-not-working/211780
[7] https://edgedelta.com/company/blog/what-are-grok-spatterns
[8] https://www.elastic.co/guide/en/elasticsearch/reference/current/esql-process-data-with-dissect-and-grok.html
[9] https://www.elastic.co/blog/debugging-broke-grok-expressions-in-Lasticsearch-ingest-processors
[10] https://stackoverflow.com/questions/38096827/querying-kibana-using-grok-prattern