Groki siluri kasutamiseks Kibanas:
1. Juurdepääs Groki silujale. Groki siluri leiate navigeerides lehel Arendaja tööriistad, kasutades navigeerimismenüüd või globaalset otsinguvälja [1]. Vanemate versioonide, näiteks 7.17 jaoks avage peamenüü, klõpsake Dev Tools, seejärel klõpsake nuppu Grok Debugger ** [3]. Pange tähele, et kui kasutate elastseid virnade turvafunktsioone, peab teil olema Groki siluri kasutamiseks loa [1] [3].
2. Sisestage valimi andmed jaotisse Valim, sisestage teade, mis esindab andmeid, mida soovite sõeluda [1] [3]. Näiteks: `55.3.244.1 get /index.html 15824 0,043` [1].
3. Sisestage jaotises Groki mustr, sisestage GROK -muster, mida soovite andmetele rakendada [1] [3]. Logirea sõelumiseks antud näites kasutage: ` %{ip: klient} %{sõna: meetod} %{uripathparam: request} %{arv: bait} %{arv: kestus}` [1].
4. simuleerige klõpsu simuleerige ja näete simuleeritud sündmust, mis tuleneb GROK -mustri rakendamisest [1] [3].
Võite testida ka kohandatud mustreid [3]:
1. Näidisandmed Sisestage oma näidissõnum [3]. Näiteks: `1. jaanuar 06:25:43 MailServer14 Postfix/CleanUp [21403]: BEF25A72965: Message-ID =` [3].
2. Groki muster Sisestage oma Groki mustr [1] [3]. Näiteks: ` %{syslogbase} %{postfix_queueid: Queue_id}: %{msg: syslog_message}`. See Groki mustr viitab kohandatud mustritele nimega "PostFix_queueid" ja "MSG" [3].
3. Kohandatud mustrid laiendavad jaotist kohandatud mustrid ja sisestage kohandatud mustrite jaoks, mida soovite kasutada GROK -i avaldis. Määrake iga mustri määratlus omal real [1] [3]. Antud näite jaoks määrake mustri määratlused `postfix_queueid` ja` msg `:` postfix_queueid [0-9a-f] {10,11} msg sõnum-id = `[1] [3].
4. simuleerige klõpsamine Simule ** [1] [3]. Näete simuleeritud väljundsündmust, mis tuleneb kohandatud mustrit sisaldava GROK -mustri rakendamisest [1]. Kui tõrge ilmneb, saate jätkata kohandatud mustri iteratsiooni, kuni väljund vastab sündmusele, mida ootate [1] [3].
Groki silur lihtsustab logianalüüsi, võimaldades teil enne nende juurutamist Groki mustreid testida ja täpsustada [5]. Grok on mustri sobiv süntaks, mida saate kasutada suvalise teksti sõelumiseks ja selle struktureerimiseks [1] [3]. See on hea Syslogi, Apache ja teiste veebiserveri logide, MySQL logide ja üldiselt iga logivormingu, mis on kirjutatud inimtoiduks [1] [3].
Tsitaadid:[1] https://www.elastic.co/guide/en/kibana/current/xpack-grokdebugger.html
[2] https://www.elastic.co/guide/en/elasticsearch/reference/current/grok.html
[3] https://www.elastic.co/guide/en/kibana/7.17/xpack-grokdebugger.html
]
[5] https://latenode.com/blog/a-complete-guide-to-ing-the-grok-debugger
[6] https://discuss.elastic.co/t/grok-filter-pattern-not-working/211780
[7] https://edgedelta.com/company/blog/what-are-grok-patterns
]
[9] https://www.elastisti
[10] https://stackoverflow.com/questions/38096827/querying-kibana-using-grok-pattern