A KIBANA GROK hibakereső használatához:
1. Hozzáférés a Grok hibakeresőhöz. A Grok hibakereső megtalálható a Navigációs menü vagy a globális keresési mező segítségével a fejlesztői eszközök oldalra való navigálással [1]. A régebbi verziókhoz, például a 7.17 -es verziókhoz nyissa meg a főmenüt, kattintson a Dev Tools elemre, majd kattintson a Grok Debugger ** elemre. Vegye figyelembe, hogy ha elasztikus verem biztonsági funkciókat használ, akkor a GROK hibakereső használatához [1] [3] használatához kell rendelkeznie a „kezelés_pipeline” engedélyével.
2. Írja be a mintaadatokat a mintaadatok szakaszba, írjon be egy üzenetet, amely reprezentatív az elemezni kívánt adatokra [1] [3]. Például: `55.3.244.1 get /index.html 15824 0.043` [1].
3. Írja be a GROK mintát a GROK mintázat szakaszba, írja be a GROK mintát, amelyet az adatokra szeretne alkalmazni [1] [3]. Az adott példában a naplóvonal elemzéséhez használja: ` %{ip: kliens} %{szó: módszer} %{uripathparam: kérés} %{szám: bájt} %{szám: időtartam}` [1].
4. Szimulálja a kattintási szimulációt, és lásd a szimulált eseményt, amely a Grok mintázatának alkalmazásából származik [1] [3].
Az egyedi mintákat is tesztelheti [3]:
1. Mintaadatok, adja meg a mintaüzenetet [3]. Például: `január 1. 06:25:43 MailServer14 Postfix/Cleanup [21403]: BEF25A72965: Message-ID =` [3].
2. Grok minta írja be a GROK mintáját [1] [3]. Például: ` %{syslogbase} %{posztfix_queueId: Queue_id}: %{msg: syslog_message}`. Ez a GROK mintázat hivatkozik a „POSTFIX_QueUED” és „MSG” nevű egyedi mintákról.
3. Az egyéni minták kibővítik az egyéni minták részt, és írják be a minta meghatározásait a Grok kifejezésben használni kívánt egyedi mintákhoz. Adja meg az egyes minták meghatározását a saját vonalán [1] [3]. Az adott példához adja meg a „Postfix_queueId” és a „MSG” minta meghatározásait: `posztfix_queueId [0-9a-f] {10,11} msg üzenet-id =` [1] [3].
4. Szimulálja a kattintás szimulációját ** [1] [3]. Látja a szimulált kimeneti eseményt, amely az egyéni mintát tartalmazó GROK mintázat alkalmazásából származik [1]. Ha hiba következik be, akkor folytathatja az egyéni minta iterálását, amíg a kimenet nem felel meg az elváráshoz szükséges eseménynek [1] [3].
A GROK hibakereső egyszerűsíti a naplóelemzést, lehetővé téve a GROK minták tesztelését és finomítását, mielőtt azokat telepítené [5]. A Grok egy minta megfelelő szintaxis, amelyet az önkényes szöveg elemzéséhez és annak felépítéséhez használhat [1] [3]. Ez jó a syslog, az Apache és más webszerver naplók, a MySQL naplók elemzésére, és általában az emberi fogyasztásra írt minden napló formátumban [1] [3].
Idézetek:[1] https://www.elastic.co/guide/en/kibana/current/xpack-grokdebugger.html
[2] https://www.elastic.co/guide/en/elasticsearch/reference/current/grok.html
[3] https://www.elastic.co/guide/en/kibana/7.17/xpack-grokdebugger.html
[4] https://stackoverflow.com/questions/266679465/debugging-new-logstash-grok-filters-before-full-uuse
[5] https://latenode.com/blog/a-clett-guide-to-using-the-grok-debugger
[6] https://discuss.elastic.co/t/grok-filter-pattern-not-working/211780
[7] https://edgedelta.com/company/blog/what-are-grok-patterns
[8] https://www.elastic.co/guide/en/elasticsearch/reference/current/esql-process-data-with-dissect-and-grok.html
[9] https://www.elastic.co/blog/debugging-broken-grok-expressions-in-elasticsearch-ingest-processors
[10] https://stackoverflow.com/questions/38096827/querying-kibana-using-grok-pattern