Použiť debugger Grok v Kibane:
1. Prístup k Debuggeru Groka nájdete debugger Grok tým, že navigujete na stránku nástrojov vývojárov pomocou ponuky navigácie alebo globálneho vyhľadávacieho poľa [1]. V prípade starších verzií, napríklad 7.17, otvorte hlavnú ponuku, kliknite na DEV Tools a potom kliknite na kliknite na Grok Debugger ** [3]. Všimnite si, že ak používate funkcie bezpečnostného zabezpečenia Elastic Stack, musíte mať povolenie „Manage_pipeline“ na používanie Grok Debugger [1] [3].
2. Zadajte ukážkové údaje do časti Vzorové údaje, zadajte správu, ktorá predstavuje údaje, ktoré chcete analyzovať [1] [3]. Napríklad: `55.3.244.1 get /index.html 15824 0,043` [1].
3. Zadajte vzor Groka do časti Groka, zadajte vzor Groka, ktorý chcete použiť na údaje [1] [3]. Ak chcete v danom príklade analyzovať čiaru protokolu, použite: ` %{ip: klient} %{word: metóda} %{uripathParam: request} %{number: bytes} %{number: truration}` [1].
4. Simulujte kliknutie Simulate a uvidíte simulovanú udalosť, ktorá je výsledkom použitia vzoru Grok [1] [3].
Môžete tiež otestovať vlastné vzory [3]:
1. Vzorové údaje Zadajte svoju ukážkovú správu [3]. Napríklad: `1. január 06:25:43 MailServer14 Postfix/Cleanup [21403]: Bef25a72965: Message-Id =` [3].
2. Grok Vzor Zadajte svoj vzor Groka [1] [3]. Napríklad: ` %{syslogbase} %{postfix_queueID: queue_id}: %{msg: syslog_message}`. Tento vzorec Grok odkazuje na vlastné vzory nazývané `postfix_queueid` a` msg` [3].
3. Vlastné vzory rozširujú sekciu Vlastných vzorov a zadajte definície vzorov pre vlastné vzory, ktoré chcete použiť pri výraze Grok. Zadajte každú definíciu vzoru na svojom vlastnom riadku [1] [3]. Pre daný príklad zadajte definície vzoru pre `postfix_queueid` a` msg`: `postfix_queueid [0-9a-f] {10,11} msg správ správy =` [1] [3].
4. Simulate kliknite na kliknutie Simulate ** [1] [3]. Vidíte simulovanú výstupnú udalosť, ktorá je výsledkom použitia vzoru Groka, ktorý obsahuje vlastný vzor [1]. Ak dôjde k chybe, môžete pokračovať v opakovaní vlastného vzoru, až kým sa výstup nezhoduje s udalosťou, ktorú očakávate [1] [3].
Grok Debugger zjednodušuje analýzu protokolov, čo vám umožní testovať a vylepšiť vzorce Grok pred ich nasadením [5]. Grok je syntax porovnávania vzoru, ktorú môžete použiť na analýzu ľubovoľného textu a jeho štruktúrovanie [1] [3]. Je to dobré pre analýzu syslog, apache a ďalšie denníky webových stránok, protokoly MySQL a všeobecne akýkoľvek formát denníka, ktorý je napísaný na ľudskú spotrebu [1] [3].
Citácie:[1] https://www.elastic.co/guide/en/kibana/current/xpack-grokdebugger.html
[2] https://www.elastic.co/guide/en/elasticsearch/reference/current/grok.html
[3] https://www.elastic.co/guide/en/kibana/7.17/xpack-grokdebugger.html
[4] https://stackoverflow.com/questions/26679465/debugging-new-logstash-grok-filters-before-full-use
[5] https://latenode.com/blog/a-complete-guide-to-using-the-grok-debugger
[6] https://discuss.elastic.co/t/grok-filter-pattern-not-working/211780
[7] https://edgedelta.com/company/blog/what-are-grok-patterns
[8] https://www.elastic.co/guide/en/elasticsearch/reference/current/esql-process-data-with-dissect-and--grok.html
[9] https://www.elastic.co/blog/debugging-broken-grok-expressions-in-elasticsearch-ingest-procesors
[10] https://stackoverflow.com/questions/38096827/querying-kibana-using-grok-pattern