Uporaba Grok Debugger v Kibani:
1. dostopate do Grok Debuggerja. Grok Defugger najdete tako, da navigate na stran z orodji za razvijalce z uporabo navigacijskega menija ali globalnega iskalnega polja [1]. Za starejše različice, kot je 7.17, odprite glavni meni, kliknite Dev Tools in nato kliknite Grok Debugger ** [3]. Če uporabljate varnostne funkcije elastičnih skladov, morate imeti dovoljenje za "upravljanje_pipenira" za uporabo Grok Debugger [1] [3].
2. V razdelek z vzorčnimi podatki vnesite vzorčne podatke, vnesite sporočilo, ki je reprezentativno za podatke, ki jih želite razčleniti [1] [3]. Na primer: `55.3.244.1 Get /index.html 15824 0.043` [1].
3. V razdelek Grok Vrnite vzorec Grok, vnesite vzorec GROK, ki ga želite uporabiti za podatke [1] [3]. Če želite razčleniti vrstico dnevnika v danem primeru, uporabite: ` %{ip: client} %{word: metoda} %{uripathparam: request} %{številka: bajti} %{številka: trajanje}` [1].
4. Simulirajte kliknite simulacijo in si ogledate simuliran dogodek, ki je posledica uporabe vzorca GROK [1] [3].
Lahko preizkusite tudi vzorce po meri [3]:
1. vzorčni podatki Vnesite svoje vzorčno sporočilo [3]. Na primer: `1. januar 06:25:43 Mailserver14 Postfix/Cleanup [21403]: BEF25A72965: sporočilo-id =` [3].
2. Vzorec Groka Vnesite svoj Grok vzorec [1] [3]. Na primer: ` %{syslogbase} %{postfix_queueId: queue_id}: %{msg: syslog_message}`. Ta vzorec GROK navaja vzorce po meri, imenovane `postfix_queueId` in` msg` [3].
3. Vzorci po meri razširijo razdelek po meri vzorcev in vnesite definicije vzorcev za vzorce po meri, ki jih želite uporabiti v izrazu GROK. Določite vsako definicijo vzorca v lastni vrstici [1] [3]. Za dani primer določite definicije vzorcev za `postfix_queueid` in` msg`: `postfix_queueid [0-9a-f] {10,11} msg message-id =` [1] [3].
4. simuliraj kliknite simulacijo ** [1] [3]. Videli boste simulirani izhodni dogodek, ki je posledica uporabe vzorca GROK, ki vsebuje vzorec po meri [1]. Če pride do napake, lahko nadaljujete z iteracijo po vzorcu po meri, dokler se izhod ne ujema z dogodkom, ki ga pričakujete [1] [3].
Grok Debugger poenostavlja analizo dnevnika, kar vam omogoča, da preizkusite in izpopolnite vzorce GROK, preden jih uporabite [5]. GROK je sintaksa, ki ustreza vzorcu, ki jo lahko uporabite za razčlenitev poljubnega besedila in strukturiranja [1] [3]. Dobro je za razčlenitev Syslog, Apache in drugih dnevnikov spletnih strežnikov, dnevnikov MySQL in na splošno kateri koli format dnevnika, ki je napisan za človeško porabo [1] [3].
Navedbe:[1] https://www.elastic.co/guide/sl/kibana/current/xpack-grokdebugger.html
[2] https://www.elastic.co/guide/sl/elasticsearch/reference/current/grob.html
[3] https://www.elastic.co/guide/sl/kibana/7.17/xpack-grokdebugger.html
[4] https://stackoverflow.com/Questions/26679465/debugging-new-logstash-grok-filters-before-full-euse
[5] https://latenode.com/blog/a-complete-guide-to-using-the-Grok-DeBugger
[6] https://discuss.elastic.co/t/grob-filter-pattern-not-working/211780
[7] https://edgedelta.com/company/blog/what-are-gronk-patterns
[8] https://www.elastic.co/guide/sl/elasticsearch/reference/current/esql-process-nata-with-dissect-and-grok.html
[9] https://www.elastic.co/blog/debugging-broken-grok-expression-in-elasticsearch-est-procesors
[10] https://stackoverflow.com/questions/38096827/Querying-kibana-using-grok-pattern