Kibana'da GroK hata ayıklayıcısını kullanmak için:
1. Grok Hata Ayıklayıcısına Erişim Navigasyon menüsünü veya Global Arama Alanını kullanarak geliştirici araçları sayfasına giderek GROK hata ayıklayıcısını bulabilirsiniz [1]. 7.17 gibi eski sürümler için ana menüyü açın, geliştirme araçlarını tıklayın, ardından GroK hata ayıklayıcı ** [3] 'yi tıklayın. Elastik yığın güvenlik özelliklerini kullanıyorsanız, GROK hata ayıklayıcısını kullanma iznine sahip olmanız gerektiğini unutmayın [1] [3].
2. Örnek verileri girin Örnek Veri bölümüne, ayrıştırmak istediğiniz verileri temsil eden bir mesaj girin [1] [3]. Örneğin: `55.3.244.1 get /index.html 15824 0.043` [1].
3. Grok desenini GİRİN GROK desen bölümüne, verilere uygulamak istediğiniz GROK desenini girin [1] [3]. Verilen örnekte günlük satırını ayrıştırmak için: ` %{ip: client} %{word: yöntem} %{uripathparam: istek} %{sayı: bayt} %{sayı: süreyi} '[1] kullanın.
4. Simulate tıklayın Simulate ve GROK deseninin uygulanmasından kaynaklanan simüle edilmiş olayı göreceksiniz [1] [3].
Ayrıca özel desenleri de test edebilirsiniz [3]:
1. Örnek veriler Örnek mesajınızı girin [3]. Örneğin: `1 Ocak 06:25:43 MailServer14 Postfix/Cleanup [21403]: BEF25A72965: Message-ID =` [3].
2. GROK Patern Grok paterninize girin [1] [3]. Örneğin: ` %{syslogbase} %{PostFix_QueueId: Queue_id}: %{msg: syslog_message} '. Bu GROK deseni, `` postfix_queueid` ve `msg` [3] adlı özel kalıplara atıfta bulunur.
3. Özel desenler Özel Desenler bölümünü genişletir ve GROK ifadesinde kullanmak istediğiniz özel desenler için desen tanımlarını girin. Her desen tanımını kendi satırında belirtin [1] [3]. Verilen örnek için, `postfix_queueid` ve` msg` için desen tanımlarını belirtin: `postfix_queueid [0-9a-f] {10,11} msg mesaj-id =` `[1] [3].
4. Simüle tıklayın Simulate ** [1] [3]. Özel deseni içeren GROK deseninin uygulanmasından kaynaklanan simüle edilmiş çıktı olayını göreceksiniz [1]. Bir hata oluşursa, çıktı beklediğiniz olayla eşleşene kadar özel desen üzerinde tekrarlamaya devam edebilirsiniz [1] [3].
GROK hata ayıklayıcı, günlük analizini basitleştirir, GROK desenlerini dağıtmadan önce test etmenize ve rafine etmenize olanak tanır [5]. GROK, keyfi metni ayrıştırmak ve bunu yapılandırmak için kullanabileceğiniz bir kalıp eşleştirme sözdizimidir [1] [3]. Syslog, Apache ve diğer web sunucusu günlüklerini, MySQL günlüklerini ve genel olarak insan tüketimi için yazılmış herhangi bir günlük formatı için ayrıştırma için iyidir [1] [3].
Alıntılar:[1] https://www.elastic.co/guide/en/kibana/current/xpack-grokdebugger.html
[2] https://www.elastic.co/guide/en/elasticsearch/reference/current/grok.html
[3] https://www.elastic.co/guide/en/kibana/7.17/xpack-grokdebugger.html
[4] https://stackoverflow.com/questions/26679465/debugging-new-logstash-grok-filters-before-full-us
[5] https://latenode.com/blog/a-complete-guide-to-ususe-the-gok-debugger
[6] https://discuss.elastic.co/t/grok-filter-pattern-not-working/211780
[7] https://edgedelta.com/company/blog/what-are-gok-patns
[8] https://www.elastic.co/guide/en/elasticsearch/reference/current/esql-pocess-data-with-dissect-and-gok.html
[9] https://www.elastic.co/blog/debugging-broken-grok-Expressions-in-elasticsearch-benest-processors
[10] https://stackoverflow.com/questions/38096827/querying-kibana-using-grok-ptering