Để sử dụng trình gỡ lỗi Grok trong Kibana:
1. Truy cập Trình gỡ lỗi Grok Bạn có thể tìm thấy Trình gỡ lỗi Grok bằng cách điều hướng đến trang Công cụ Nhà phát triển bằng menu điều hướng hoặc trường tìm kiếm toàn cầu [1]. Đối với các phiên bản cũ hơn, chẳng hạn như 7.17, mở menu chính, nhấp vào công cụ Dev, sau đó nhấp vào Grok Debugger ** [3]. Lưu ý rằng nếu bạn sử dụng các tính năng bảo mật Stack Stack, bạn phải có quyền `Manage_pipeline` để sử dụng Trình gỡ lỗi Grok [1] [3].
2. Nhập dữ liệu mẫu trong phần dữ liệu mẫu, nhập một thông báo đại diện cho dữ liệu mà bạn muốn phân tích cú pháp [1] [3]. Ví dụ: `55.3.244.1 get /index.html 15824 0.043` [1].
3. Nhập mẫu Grok trong phần Mẫu Grok, nhập mẫu Grok mà bạn muốn áp dụng cho dữ liệu [1] [3]. Để phân tích dòng nhật ký trong ví dụ đã cho, sử dụng: ` %{ip: client} %{word: method} %{uripathparam: request} %{number: byte} %{number: thời lượng}` [1].
4. Mô phỏng nhấp vào mô phỏng và bạn sẽ thấy sự kiện mô phỏng xuất phát từ việc áp dụng mẫu Grok [1] [3].
Bạn cũng có thể kiểm tra các mẫu tùy chỉnh [3]:
1. Dữ liệu mẫu Nhập tin nhắn mẫu của bạn [3]. Ví dụ: `1 tháng 1 06:25:43 MailServer14 Postfix/Cleanup [21403]: BEF25A72965: message-id =` [3].
2. Mẫu Grok Nhập mẫu Grok của bạn [1] [3]. Ví dụ: ` %{syslogbase} %{postfix_queueId: queue_id}: %{msg: syslog_message}`. Mẫu Grok này tham chiếu các mẫu tùy chỉnh được gọi là `postfix_queueid` và` msg` [3].
3. Các mẫu tùy chỉnh mở rộng phần mẫu tùy chỉnh và nhập các định nghĩa mẫu cho các mẫu tùy chỉnh mà bạn muốn sử dụng trong biểu thức Grok. Chỉ định từng định nghĩa mẫu trên dòng riêng của nó [1] [3]. Đối với ví dụ đã cho, chỉ định các định nghĩa mẫu cho `postfix_queueid` và` msg`: `postfix_queueid [0-9a-f] {10,11} msg message-id =` [1] [3].
4. Mô phỏng nhấp vào mô phỏng ** [1] [3]. Bạn sẽ thấy sự kiện đầu ra mô phỏng xuất phát từ việc áp dụng mẫu Grok có chứa mẫu tùy chỉnh [1]. Nếu xảy ra lỗi, bạn có thể tiếp tục lặp lại mẫu tùy chỉnh cho đến khi đầu ra khớp với sự kiện mà bạn mong đợi [1] [3].
Trình gỡ lỗi Grok đơn giản hóa phân tích nhật ký, cho phép bạn kiểm tra và tinh chỉnh các mẫu GROK trước khi triển khai chúng [5]. Grok là một cú pháp phù hợp với mẫu mà bạn có thể sử dụng để phân tích văn bản tùy ý và cấu trúc nó [1] [3]. Nó rất tốt cho việc phân tích các nhật ký Syslog, Apache và các nhật ký webserver khác, nhật ký MySQL và nói chung, bất kỳ định dạng nhật ký nào được viết cho tiêu dùng của con người [1] [3].
Trích dẫn:[1] https://www.elastic.co/guide/en/kibana/current/xpack-grokdebugger.html
[2] https://www.elastic.co/guide/en/elasticsearch/reference/current/grok.html
[3] https://www.elastic.co/guide/en/kibana/7.17/xpack-grokdebugger.html
[4] https://stackoverflow.com/questions/26679465/debugging-new-logstash-grok-filters-before-full-use
[5] https://latenode.com/blog/a-complete-guide-to-using-the-grok-debugger
[6] https://discuss.elastic.co/t/grok-filter-pattern-not-working/211780
[7] https://edgedelta.com/company/blog/what-are-grok-patterns
[8] https://www.elastic.co/guide/en/elasticsearch/reference/current/esql-process-data-with-dissect-and-grok.html
[9] https://www.elastic.co/blog/debugging-broken-grok-expressions-in-elasticsearch-ingest-processors
[10] https://stackoverflow.com/questions/38096827/querying-kibana-using-grok-pattern