Norėdami naudoti „Grok“ derintuvą „Kibana“:
1. Prieigą prie „Grok“ derinimo įrenginio galite rasti „Grok“ derinimo įrenginį naršydami į kūrėjų įrankių puslapį naudodamiesi navigacijos meniu arba „Global Search“ lauku [1]. Senesnėms versijoms, tokioms kaip 7.17, atidarykite pagrindinį meniu, spustelėkite „Dev Tools“, tada spustelėkite Grok Debugger ** [3]. Atminkite, kad jei jūs naudojate elastingos kamino saugos funkcijas, turite turėti leidimą „Manage_pipeline“ naudoti „Grok“ derinimo įrenginį [1] [3].
2. Įveskite pavyzdžių duomenis į pavyzdžių duomenų skyrių, įveskite pranešimą, kuris atspindi duomenis, kuriuos norite analizuoti [1] [3]. Pvz.: `55.3.244.1 Get /index.html 15824 0,043` [1].
3. Įveskite GROK modelį „Grok“ modelio skyriuje, įveskite GROK modelį, kurį norite pritaikyti duomenims [1] [3]. Norėdami išanalizuoti žurnalo eilutę pateiktame pavyzdyje, naudokite: ` %{IP: klientas} %{Word: metodas} %{uriPathParam: užklausa} %{skaičius: baitai} %{skaičius: trukmė}` [1].
4. Imituokite spustelėkite modeliuoti, ir pamatysite imituotą įvykį, kuris atsiranda pritaikant GROK modelį [1] [3].
Taip pat galite išbandyti pasirinktinius modelius [3]:
1. Imties duomenys Įveskite savo pavyzdžio pranešimą [3]. Pvz.: „Sausio 1 d. 06:25:43„ Mailserver14 Postfix “/valymas [21403]: BEF25A72965: pranešimas-ID =` [3].
2. Grok modelis Įveskite savo Grok modelį [1] [3]. Pvz.: ` %{Syslogbase} %{postfix_queueid: queue_id}: %{msg: syslog_message}`. Šis „Grok“ modelis nurodo pasirinktinius modelius, vadinamus „postfix_queueid“ ir „msg“ [3].
3. Pasirinktiniai modeliai išplečia sekcijos pasirinktinius modelius ir įveskite pasirinktinių modelių, kuriuos norite naudoti „Grok“ išraiškoje, modelio apibrėžimus. Nurodykite kiekvieną modelio apibrėžimą savo eilutėje [1] [3]. Pateiktame pavyzdyje nurodykite „postfix_queueid“ ir „msg“ modelio apibrėžimus: `postfix_queueid [0-9a-f] {10,11} msg žinutės-id =` [1] [3].
4. Imituokite spustelėkite Imituokite ** [1] [3]. Jūs pamatysite modeliuojamą išvesties įvykį, kuris atsiranda pritaikant GROK modelį, kuriame yra pasirinktinis modelis [1]. Jei įvyksta klaida, galite tęsti iteravimą per pasirinktinį modelį, kol išvestis atitiks įvykį, kurio tikitės [1] [3].
„Grok“ derinimo priemonė supaprastina žurnalo analizę, leidžiančią išbandyti ir patobulinti „Grok“ modelius prieš juos diegdami [5]. Grok yra modelio suderinta sintaksė, kurią galite naudoti norėdami išanalizuoti savavališką tekstą ir struktūrizuoti jį [1] [3]. Tai naudinga analizuoti „Syslog“, „Apache“ ir kitus žiniatinklio serverio žurnalus, „MySQL“ žurnalus ir apskritai bet kokį žurnalo formatą, kuris yra parašytas žmonių vartojimui [1] [3].
Citatos:[1] https://www.elastic.co/guide/en/kibana/current/xpack-grokdebugger.html
[2] https://www.elastic.co/guide/en/elasticsearch/reference/current/grok.html
[3] https://www.elastic.co/guide/en/kibana/7.17/xpack-grokdebugger.html
[4] https://stackoverflow.com/questions/26679465/debugging-new-logstash-grokfilters-be-full-use
[5] https://latenode.com/blog/a-complete-guide-to-using-the-grok-debugger
[6] https://discuss.elastic.co/t/grokfilter-pattern-not-working/211780
[7] https://edgedelta.com/company/blog/what-are-grok-patterns
[8] https://www.elastic.co/guide/en/elasticsearch/reference/current/esql-process-data-with-dissect-and-grok.html
[9] https://www.elastic.co/blog/debugging-broken-grok-enxpressions-in-elasticsearch-ingest-processors
[10] https://stackoverflow.com/questions/38096827/querying-kibana-using-grok-pattern