grok - Dalam talian di Awan

JADUAL:

NAMA

grok - menghuraikan log, mengendalikan acara dan menjadikan teks tidak berstruktur anda berstruktur.

SINOPSIS

grok [-d] -f fail konfigurasi

DESCRIPTION

Grok ialah perisian yang membolehkan anda menghuraikan log dan fail lain dengan mudah. Dengan grok, anda boleh
menukar data log dan peristiwa tidak berstruktur kepada data berstruktur.

Program grok ialah alat yang hebat untuk menghuraikan data log dan output program. Anda boleh padankan
sebarang bilangan corak kompleks pada sebarang bilangan input (proses dan fail) dan mempunyai
reaksi tersuai.

PILIHAN

-d or --daemon
Daemonize selepas menghuraikan fail konfigurasi. Dilaksanakan dengan daemon(3). Lalainya ialah
kekal di latar depan.

-f fail konfigurasi
Tentukan fail konfigurasi grok untuk digunakan.

CONFIGURATION

Anda boleh memanggil fail konfigurasi apa sahaja yang anda mahu. Konfigurasi contoh penuh berikut di bawah, dengan
dokumentasi tentang pilihan dan lalai.

# --- Mulakan contoh konfigurasi grok
# Ini adalah komen. :)
#
# dayakan atau lumpuhkan nyahpepijat. Nyahpepijat ditetapkan palsu secara lalai.
# tetapan 'debug' adalah sah pada setiap peringkat.
# nilai nyahpepijat disalin ke bawah skop melainkan dibatalkan.
nyahpepijat: benar

# anda boleh menentukan berbilang blok program dalam fail konfigurasi.
# program hanyalah koleksi input (fail, eksekutif) dan
# padanan (corak dan tindak balas),
program {
nyahpepijat: palsu

# fail tanpa blok. blok tetapan adalah pilihan
fail "/var/log/message"

# fail dengan blok
fail "/var/log/secure" {
# ikut bermaksud mengikuti fail seperti 'tail -F' tetapi bermula
# membaca pada permulaan fail. Satu fail diikuti
# melalui pemangkasan, putaran log, dan tambah.
ikuti: benar
}

# laksanakan arahan, blok tetapan adalah pilihan
exec "netstat -rn"

# exec dengan blok
exec "ping -c 1 www.google.com" {
# jalankan semula exec secara automatik jika ia keluar, sebaik sahaja ia keluar.
# lalai adalah palsu
restart-on-exit: palsu

# jumlah masa minimum dari satu permulaan ke permulaan seterusnya, jika kita
# sedang dimulakan semula. Lalai bukan minimum
selang-mula semula minimum: 5

# jalankan setiap N saat, tetapi hanya jika proses telah keluar.
# lalai bukan untuk disiarkan semula sama sekali.
selang larian: 60

# lalai ialah membaca output proses hanya daripada stdout.
# tetapkan ini kepada benar untuk turut membaca daripada stderr.
read-stderr: palsu
}

# Anda boleh mempunyai berbilang blok padanan {} dalam konfigurasi anda.
# Ia digunakan, mengikut urutan, terhadap setiap baris input itu
# datang daripada contoh exec dan fail anda dalam blok program ini.
padankan {
# padankan corak. Ini boleh menjadi sebarang regexp dan boleh termasuk %{foo}
# corak grok
corak: "beberapa corak untuk dipadankan"

# Anda boleh mempunyai berbilang corak di sini, mana-mana adalah sah untuk dipadankan.
corak: "corak lain untuk dipadankan"

# tindak balas lalai ialah "%{@LINE}" iaitu baris penuh
# dipadankan. tindak balas boleh menjadi nilai khas 'tiada' yang
# bermakna tiada tindak balas berlaku, atau ia boleh menjadi sebarang rentetan. The
# tindak balas dipancarkan ke cangkerang jika ia bukan tiada.
reaksi: "%{@LINE}"

# cangkerang lalai ialah 'stdout' yang bermaksud tindak balas adalah
# dicetak terus ke output standard. Menetapkan cangkerang kepada a
# rentetan arahan akan menjalankan perintah itu dan data tindak balas paip ke
# ia.
#shell: stdout
cangkang: "/ Bin / sh"

# siram selepas setiap menulis ke shell.
# Lalainya adalah untuk tidak menyiram.
siram: benar

# break-if-match bermaksud jangan cuba sebarang perlawanan selanjutnya
# baris ini. lalai adalah palsu.
putus-jika-padanan: benar
}
}
# -- Tamatkan konfigurasi

CORAK FILES

Fail corak mengandungi senarai nama dan corak untuk dimuatkan ke grok.

Corak dibatasi baris baharu dan mempunyai sintaks ini:
nama corak ungkapan

Sebarang ruang kosong antara nama corak dan ungkapan diabaikan.

nama corak
Ini adalah nama corak anda yang, apabila dimuatkan, boleh dirujuk dalam corak sebagai
%{patternname}

ungkapan
Ungkapan di sini ialah, verbatim, tersedia sebagai ungkapan biasa. Anda tidak perlu
untuk bimbang tentang bagaimana untuk melarikan diri daripada perkara-perkara.

CORAK CONTOH
ANGKA \d+
HELLOWORLD \bhello world\b

TETAP EKSPRESI

Enjin ekspresi di bawah grok ialah PCRE. Sebarang sintaks dalam PCRE adalah sah dalam grok.

REAKSI

Reaksi boleh merujuk corak yang dinamakan daripada perlawanan. Anda juga boleh mengakses beberapa yang lain
nilai-nilai istimewa, termasuk:

%{@LINE}
Barisan itu sepadan.

%{@MATCH}
Subrentetan sepadan

%{@START}
Kedudukan permulaan perlawanan dari permulaan rentetan.

%{@END}
Kedudukan penamat perlawanan.

%{@LENGTH}
Panjang perlawanan

%{@JSON}
Set penuh corak yang ditangkap, dikodkan sebagai kamus json sebagai struktur {
corak: [ tatasusunan tangkapan ] }. Kami menggunakan tatasusunan kerana anda boleh menggunakan nama yang sama
corak beberapa kali dalam perlawanan.

%{@JSON_COMPLEX}
Sama seperti di atas, tetapi termasuk kedudukan mula dan akhir untuk setiap corak yang dinamakan.
Struktur itu ialah:

{ "grok": [
{ "@LINE": { "start": ..., "end": ..., "value": ... } },
{ "@MATCH": { "start": ..., "end": ..., "value": ... } },
{ "nama corak": { "start": startpos, "end": endpos, "value": "string" } },
{ "patternname2": { "start": startpos, "end": endpos, "value": "string" } },
...
] }

REAKSI FILTERS
Penapis tindak balas membolehkan anda mengubah data yang ditangkap. Penapis berikut ialah
didapati:

Contoh menggunakan penapis dalam tindak balas adalah seperti ini:
reaksi: "gema dipadankan: %{@MATCH|shellescape}"

shellescape
Melarikan diri daripada semua aksara yang diperlukan untuk menjadikan rentetan selamat dalam cangkang yang tidak disebut
hujah

shelldqescape
Melarikan diri daripada aksara yang diperlukan untuk selamat dalam petikan berganda dalam cangkerang.

jsonencode
Menjadikan rentetan selamat untuk diwakili dalam rentetan json (melarikan diri mengikut json.org
cadangan)

Gunakan grok dalam talian menggunakan perkhidmatan onworks.net