Kiểm tra cấu hình khuôn mẫu Logstash Grok bằng công cụ online – Cuongquach.com | Như đã biết khi bạn cấu hình sử dụng Logstash để làm chủ việc phân tích log được gửi đến từ các log shipper như Filebeat,… trong hệ thống quản lý log tập trung ELK Stack (Elasticsearch). Thì luôn là một cực hình khi phải thử nghiệm các khuôn mẫu Grok để phân tích được dữ liệu log gửi đến.
Nếu bạn muốn tiện lợi cho việc kiểm tra các khuôn mẫu Grok Logstash thì sau đây là một số công cụ online được phát triển để bạn có thể sử dụng để kiểm tra các khuôn mẫu (pattern) grok của bạn có khớp với dữ liệu log event mẫu hay không. Từ đó giúp bạn chỉnh sửa phù hợp các khuôn mẫu grok logstash.
Có thể bạn cũng quan tâm chủ đề khác
– Hướng dẫn tạo Document và quản lý Document cơ bản trong Elasticsearch
– Hướng dẫn tạo Index và quản lý Index cơ bản trong Elasticsearch
– Tìm hiểu dịch vụ Logstash trong hệ thống ELK Stack Logging
1. Grbokdebug
Trang chủ: http://grokdebug.herokuapp.com/
Ví dụ bạn để log apache access vào form khung đầu tiên:
10.99.90.63 - - [02/Sep/2018:04:23:51 -0400] "GET /cuongquach/status.php HTTP/1.1" 200 25588 "-" "Mozilla/5.0 (Macintosh; Intel Mac OS X 10_12_6) AppleWebKit/604.5.6 (KHTML, like Gecko) Version/11.0.3 Safari/604.5.6"
Kế đến là thông tin khuôn mẫu bạn muốn grok phân tích được log event ở trên. Với ví dụ log apache access trên thì ta có thể sử dụng khuôn mẫu có sẵn là :
%{COMBINEDAPACHELOG}
Sau đó bạn bấm ‘Go‘ sẽ ra kết quả phân tích nếu khớp với dữ liệu log và khuôn mẫu grok.
2. Grokconstructor
Trang chủ: http://grokconstructor.appspot.com/do/match
Bạn thử nghiệm với ví dụ như trên trong trang Grokconstructor nhé.
Tổng kết
Cực kì đơn giản phải không nào. Ngoài việc có một số mẹo để có thể kiểm tra cấu hình khuôn mẫu Grok ngay trên máy chủ Linux hoặc Windows, thì với công cụ online trên bạn sẽ thuận tiện hơn trong việc định nghĩa các khuôn mẫu Grok Logstash phù hợp nhu cầu của bạn.
Nguồn: https://cuongquach.com/
