Використовувати налагоджувач Грока в Кібані:
1. Доступ до налагоджувача Grok Ви можете знайти налагоджувач Grok, перейшовши на сторінку Інструменти розробника за допомогою навігаційного меню або глобального поля пошуку [1]. Для старих версій, таких як 7.17, відкрийте головне меню, натисніть інструменти Dev, а потім натисніть Grok Debugger ** [3]. Зауважте, що якщо ви використовуєте функції безпеки еластичного стека, ви повинні мати дозвіл `manage_pipeline` на використання налагоджувача Grok [1] [3].
2. Введіть зразки даних у розділі зразків даних, введіть повідомлення, яке є репрезентативним для даних, які ви хочете проаналізувати [1] [3]. Наприклад: `55.3.244.1 Get /Index.html 15824 0.043` [1].
3. Введіть шаблон Grok у розділі шаблону Grok, введіть шаблон Grok, який потрібно застосувати до даних [1] [3]. Для розбору рядка журналу у заданому прикладі використовуйте: ` %{ip: client} %{Word: метод} %{uripathparam: запит} %{число: байти} %{число: тривалість}` [1].
4. Моделюйте клацання моделювати, і ви дивіться модельовану подію, що є результатом застосування шаблону Grok [1] [3].
Ви також можете перевірити власні шаблони [3]:
1. Зразки даних Введіть зразок повідомлення [3]. Наприклад: `1 січня 06:25:43 MailServer14 Postfix/очищення [21403]: BEF25A72965: ID-ID =` [3].
2. Шаблон Grok Введіть шаблон Grok [1] [3]. Наприклад: ` %{syslogbase} %{postfix_queud: queue_id}: %{msg: syslog_message}`. Цей шаблон Grok посилається на спеціальні шаблони під назвою `postfix_queud` і` msg` [3].
3. Спеціальні шаблони розширюють розділ Спеціальні шаблони та введіть визначення шаблонів для спеціальних шаблонів, які ви хочете використовувати в виразі Grok. Вкажіть кожне визначення шаблону у власному рядку [1] [3]. Для наведеного прикладу вкажіть визначення шаблону для `postfix_queudi` та` msg`: `postfix_quueid [0-9a-f] {10,11} msg message-id =` [1] [3].
4. Моделюйте клацання моделювати ** [1] [3]. Ви бачите модельовану вихідну подію, яка є результатом застосування шаблону Grok, яка містить спеціальний шаблон [1]. Якщо виникає помилка, ви можете продовжувати ітерувати над спеціальним шаблоном, поки вихід не відповідає події, яку ви очікуєте [1] [3].
Налагоджувач Grok спрощує аналіз журналу, що дозволяє перевірити та вдосконалити шаблони Grok перед їх розгортанням [5]. GROK - це синтаксис відповідності шаблону, який ви можете використовувати для розбору довільного тексту та структури його [1] [3]. Це добре для розбору Syslog, Apache та інших журналів веб -серверів, журналів MySQL та загалом, будь -який формат журналу, написаний для споживання людини [1] [3].
Цитати:[1] https://www.elastic.co/guide/en/kibana/current/xpack-grokdebugger.html
[2] https://www.elastic.co/guide/en/elasticsearch/reference/current/grok.html
[3] https://www.elastic.co/guide/en/kibana/7.17/xpack-grokdebugger.html
[4] https://stackoverflow.com/questions/26679465/debugging-new-logstash-grok-filters-before-full-use
[5] https://latenode.com/blog/a-complete-guide-to-using-the-grok-debugger
[6] https://discuss.elastic.co/t/grok-filter-pattern-not-working/211780
[7] https://edgedelta.com/company/blog/what-are-grok-patterns
[8] https://www.elastic.co/guide/en/elasticsearch/reference/current/esql-process-data-with-dissect-and-grok.html
[9] https://www.elastic.co/blog/debugging-broken-grok-expressions-in-elasticsearch-ingest-processors
[10] https://stackoverflow.com/questions/38096827/querying-kibana-using-grok-pattern