Elastic:在 Elasticsearch ingest 处理器中调试损坏的 grok 表达式

于 2020-09-08 22:45:16 发布
阅读量1k 收藏 2
点赞数 1
分类专栏: Elastic 文章标签: elasticsearch 大数据
原文链接:https://www.elastic.co/blog/debugging-broken-grok-expressions-in-elasticsearch-ingest-processors
版权

在之前的文章:

但是如果我们的模式不能正常工作,那该如何处理呢?

在本文中,我们将使用 Kibana 的 Grok Debugger 来帮助我们调试损坏的 grok 模式。 如下所述的分治法应该可以帮助你快速找到给定的 grok 模式与你的数据不匹配的原因。 调试 grok 模式并使其正常工作将使你能够构建数据结构,这将确保你的可观察性安全用例将以最佳性能运行。

 

划分(你的模式)并修改(您的错误)

假设我们正在尝试解析相对较长的消息,例如以下消息,它是来自 Elasticsearch 慢日志的条目:

[2020-05-14T20:39:29,644][INFO ][index.search.slowlog.fetch.S-OhddFHTc2h6w8NDzPzIw] [instance-0000000000] [kibana_sample_data_flights][0] took[3.7ms], took_millis[3], total_hits[416 hits], types[], stats[], search_type[QUERY_THEN_FETCH], total_shards[1], source[{"query":{"match":{"DestCountry":{"query":"AU","operator":"OR","prefix_length":0,"max_expansions":50,"fuzzy_transpositions":true,"lenient":false,"zero_terms_query":"NONE","auto_generate_synonyms_phrase_query":true,"boost":1.0}}}}], id[],

并假设我们在互联网上找到了以下 grok 模式,我们被告知应该解析 Elasticsearch 慢日志,但是由于某种原因,它无法正常工作!

\[%{TIMESTAMP_ISO8601:event.end}\]\[%{LOGLEVEL:log.level}\s*\]\[%{DATA:slowlog.type}\]\s*\[%{DATA:host.name}\]\s*\[%{DATA:slowlog.index}\]\s*\[%{DATA:slowlog.shard:int}]took\[%{DATA:slowlog.took}\],\stook_millis\[%{DATA:slowlog.took_millis:float}\],\stotal_hits\[%{DATA:slowlog.total_hits:int}\shits\]\,\stypes\[%{DATA:slowlog.types}\],\sstats\[%{DATA:slowlog.stats}\],\ssearch_type\[%{DATA:slowlog.search_type}\],\stotal_shards\[%{DATA:slowlog.total_shards:int}\],\ssource\[%{GREEDYDATA:slowlog.source}\],\sid\[%{DATA:slowlog.x-opaque-id}\]

互联网似乎在保证它无法兑现。 幸运的是,我们可以使用 Grok Debugger 来帮助找出错误所在。 在 Kibana 中,Dev Tools > Grok Debugger,然后粘贴数据和 grok 模式,如下所示:

点击上面的 Simulate 按钮。结构化数据响应为空,这表明 grok 模式与样本数据不匹配。 通过定义一个我们知道将匹配任何内容的模式,然后将结果存储在一个名为 my_greedy_match 的字段中,确保 Grok Debugger 正常运行。 这可以通过将 grok 模式定义:为:

%{GREEDYDATA:my_greedy_match}

对于此模式,grok 已将样本数据的全部内容存储到一个名为 my_greedy_match 的字段中,这是我们对该测试的期望。

接下来,我们开始采用分而治之的方法来找出错误在 grok 模式中的位置。 为此,我们可以将分开的 grok 模式的前半部分复制到一个新表达式中,然后用刚才看到的 GREEDYDATA 表达式替换后半部分。 这种新的 grok 模式如下所示:

\[%{TIMESTAMP_ISO8601:event.end}\]\[%{LOGLEVEL:log.level}\s*\]\[%{DATA:slowlog.type}\]\s*\[%{DATA:host.name}\]\s*\[%{DATA:slowlog.index}\]\s*\[%{DATA:slowlog.shard:int}]took\[%{DATA:slowlog.took}\],\stook_millis\[%{DATA:slowlog.took_millis:float}\],%{GREEDYDATA:my_greedy_match}

将这个 grok 模式粘贴到 Grok Debugger 后,我们看到结构化数据响应仍然为空。

这意味着错误在 grok 模式的前半部分。 因此,我们将其再次分成两部分,如下所示:

\[%{TIMESTAMP_ISO8601:event.end}\]\[%{LOGLEVEL:log.level}\s*\]\[%{DATA:slowlog.type}\]\s*\[%{DATA:host.name}\]\s*%{GREEDYDATA:my_greedy_match}

 

在中间的位置出错

现在我们知道在 grok 模式的第一个 1/4 中没有错误,并且在 grok 模式的中点之前存在错误。 因此,让我们将 GREEDYDATA 表达式放在原始 grok 模式的大约八分之三的位置,如下所示:

\[%{TIMESTAMP_ISO8601:event.end}\]\[%{LOGLEVEL:log.level}\s*\]\[%{DATA:slowlog.type}\]\s*\[%{DATA:host.name}\]\s*\[%{DATA:slowlog.index}\]\s*\[%{DATA:slowlog.shard:int}]%{GREEDYDATA:my_greedy_match}

在调试器中将如下所示(这是一个匹配项):

因此,我们知道该误差在 grok 模式的八分之三点和中点之间。 让我们尝试添加一些更多的原始 grok 模式,如下所示:

\[%{TIMESTAMP_ISO8601:event.end}\]\[%{LOGLEVEL:log.level}\s*\]\[%{DATA:slowlog.type}\]\s*\[%{DATA:host.name}\]\s*\[%{DATA:slowlog.index}\]\s*\[%{DATA:slowlog.shard:int}]took%{GREEDYDATA:my_greedy_match}

这将返回一个空响应,如下面的调试器所示:

\[%{TIMESTAMP_ISO8601:event.end}\]\[%{LOGLEVEL:log.level}\s*\]\[%{DATA:slowlog.type}\]\s*\[%{DATA:host.name}\]\s*\[%{DATA:slowlog.index}\]\s*\[%{DATA:slowlog.shard:int}]took%{GREEDYDATA:my_greedy_match}

 

就快到了

提取 slowlog.shard.int 值后出了点问题。 如果我们重新检查我们正在解析的消息,我们将看到被接受的字符串应该在其前面有一个空格字符。 让我们修改 grok 模式,看看在 take 前面指定一个空格时它是否起作用,如下所示:

\[%{TIMESTAMP_ISO8601:event.end}\]\[%{LOGLEVEL:log.level}\s*\]\[%{DATA:slowlog.type}\]\s*\[%{DATA:host.name}\]\s*\[%{DATA:slowlog.index}\]\s*\[%{DATA:slowlog.shard:int}]\stook%{GREEDYDATA:my_greedy_match}

它起作用,如下所示:

但是我们仍然在 my_greedy_match 中存储了一堆数据。 让我们重新添加原始 grok 模式的其余部分,如下所示:

\[%{TIMESTAMP_ISO8601:event.end}\]\[%{LOGLEVEL:log.level}\s*\]\[%{DATA:slowlog.type}\]\s*\[%{DATA:host.name}\]\s*\[%{DATA:slowlog.index}\]\s*\[%{DATA:slowlog.shard:int}]\stook\[%{DATA:slowlog.took}\],\stook_millis\[%{DATA:slowlog.took_millis:float}\],\stotal_hits\[%{DATA:slowlog.total_hits:int}\shits\]\,\stypes\[%{DATA:slowlog.types}\],\sstats\[%{DATA:slowlog.stats}\],\ssearch_type\[%{DATA:slowlog.search_type}\],\stotal_shards\[%{DATA:slowlog.total_shards:int}\],\ssource\[%{GREEDYDATA:slowlog.source}\],\sid\[%{DATA:slowlog.x-opaque-id}\]

然后将 grok 模式粘贴到 Grok Debugger 中,如下所示:

grok 模式正在运行! 现在,我们从以前非结构化的慢日志条目中提取了结构化数据。

 

公开可用的 grok 模式

使用基本的 grok 模式,你可以建立复杂的模式以匹配你的数据。 此外,Elastic Stack 附带了120多个可重复使用的 grok 模式。 有关模式的完整列表,请参见摄取节点 grok模式Logstash grok 模式

替代 grok

在某些情况下,可以使用 dissect 处理器从单个文本字段中提取结构化字段。 与 Grok 处理器类似,dissect 也从文档中的单个文本字段中提取结构化字段。 但是,与Grok 处理器不同,dissect 不使用正则表达式。 这使得 Dissect 的语法很简单,并且可能比 Grok Processor 更快。

Elastic 中国社区官方博客
关注
  • 1
    点赞
  • 2
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
博客
使 Elasticsearch 和 Lucene 成为最佳向量数据库:速度提高 8 倍,效率提高 32 倍
04-30 1632
​我们 Elastic 的使命是将 Apache Lucene 打造成最佳的向量数据库,并继续提升 Elasticsearch 作为搜索和 RAG(Retrieval Augmented Generation)的最佳检索平台。我们对 Lucene 的投资是关键,以确保每个版本的 Elasticsearch 都能带来更快的性能和更大的规模。在这篇博客中,我们总结了近期对 Elasticsearch 和 Apache Lucene 进行的增强和优化,这些提升在向量搜索性能上远超 Apache 9.9 和
博客
Elasticsearch:ES|QL 动手实践
11-14 1676
在我之前的文章 “”,我对 Elasticsearch 的最新查询语言 ES|QL 做了一个简单的介绍。在今天的文章中,我们详细来使用一些例子来展示 ES|QL 强大的搜索与分析功能。
博客
Elastic:如何成为一名 Elastic 认证工程师,Elastic 认证分析师及 Elastic 认证可观测性工程师
10-28 2万+
Elasticsearch 无疑是是目前世界上最为流行的大数据搜索引擎。根据 DB - Engines 的统计,Elasticsearch 雄踞排行榜第一名,并且市场还在不断地扩大:能够成为一名 Elastic 认证工程师也是很多开发者的梦想。这个代表了 Elastic 的最高认证,在业界也得到了很高的认知度。得到认证的工程师,必须除了具有丰富的 Elastic Stack 知识,而且必须有丰富的操作及有效的解决问题的能力。拥有这个认证证书,也代表了个人及公司的荣誉。针对个人的好处是,你可以..
博客
Elastic:开发者上手指南
02-25 14万+
你们好,我是Elastic的刘晓国。如果大家想开始学习Elastic的话,那么这里将是你理想的学习园地。在我的博客几乎涵盖了你想学习的许多方面。在这里,我来讲述一下作为一个菜鸟该如何阅读我的这些博客文章。我们可以按照如下的步骤来学习:1)Elasticsearch简介:对Elasticsearch做了一个简单的介绍2)Elasticsearch中的一些重要概念:cluster, n..........................................................
博客
Elastic:培训视频 - ​在生产环境中配置 Fleet Server 和 Elastic Agent 之间的安全
01-06 1万+
在这篇文章中,我将会把我写的有些内容录制成视频,供大家参考。希望对大家有所帮助。优酷的视频频道地址在这里。Elastic 简介及Elastic Stack 安装:优酷,腾讯 Elastic Stack docker 部署:优酷,腾讯 Elasticsearch中的一些重要概念(Cluster/Shards/Replica/Document/Type/Index):优酷,腾讯 开始使用El...............
博客
Elasticsearch 简介
08-08 16万+
Elasticsearch是一个非常强大的搜索引擎。它目前被广泛地使用于各个IT公司。Elasticsearch是由Elastic公司创建并开源维护的。它的开源代码位于https://github.com/elastic/elasticsearch。同时,Elastic公司也拥有Logstash及Kibana开源项目。这个三个开源项目组合在一起,就形成了 ELK软件栈。他们三个共同形成了一个强大的...
博客
评估 Elasticsearch 中的标量量化
05-04 577
​在 8.13 版本中,我们为 Elasticsearch 引入了标量量化功能。通过使用此功能,最终用户可以提供浮点向量,这些向量在内部作为字节向量进行索引,同时在索引中保留浮点向量,以便可选地重新评分。这意味着他们可以将索引内存需求降低四分之一,这是其主要成本。目前,这是一个可选择加入的功能,但我们认为与将向量索引为浮点数相比,这是一个更好的权衡。在 8.14 版本中,我们将使其成为默认设置。然而,在这样做之前,我们希望对质量影响进行系统评估。
博客
Elasticsearch:对 Java 对象的 ES|QL 查询
05-03 720
ES|QL 是 Elasticsearch 引入的一种新的查询语言,它将简化的语法与管道操作符结合起来,使用户能够直观地推断和操作数据。官方 Java 客户端的新版本 8.13.0 引入了对 ES|QL 查询的支持,提供了一个新的 API,允许轻松执行查询,并自动将结果翻译为 Java 对象。
博客
Elasticsearch:理解近似最近邻 (ANN) 算法
05-01 1030
如果你是在互联网出现之前长大的,你会记得找到新喜好并不总是那么容易。我们是在无意中听到收音机里的新乐队时发现他们的,是因为忘了换频道偶然看到一个新电视节目的,也是几乎完全依据游戏封面的图片来找到新喜欢的视频游戏的。如今,情况大为不同。Spotify 会向我推荐符合我的口味的艺术家,Netflix 会突出显示它知道我们会喜欢的电影和电视节目,Xbox 知道我们接下来可能想玩什么。
博客
Elasticsearch:探索 11 种流行的机器学习算法
04-30 806
过去几年中,机器学习(ML)已经悄然成为我们日常生活中不可或缺的一部分。它影响着从购物网站和流媒体网站上的个性化推荐,到保护我们的收件箱免受我们每天收到的大量垃圾邮件的侵扰。但它不仅仅是我们便利的工具。在当前的技术格局中,机器学习已变得至关重要,而且看起来这种情况不会很快改变。它被用来在数据中解锁隐藏的见解,自动化任务和过程,增强决策制定,并推动创新的边界。这项技术的核心是。这些基本上是被设计用来从数据中学习而不需要针对各个任务进行明确编程的计算机程序。
博客
Elasticsearch 索引 blocks:深入探讨数据保护
04-29 1139
Elasticsearch 作为搜索和分析数据的首选分布式引擎在技术领域脱颖而出,尤其是在处理日志、事件和综合文本搜索时。它的与众不同之处在于它如何让你使用各种块选项调整对其索引的访问。这对于那些负责技术项目的人(比如管理员和编码员)来说非常方便,他们需要保持数据可靠、管理资源或遵守严格的安全规则。通常,我们必须停止对索引设置的任何调整。诀窍是依靠 Elasticsearch 的块设置,更准确地说,依靠 blocks.metadata 设置。
博客
Int4:Lucene 中的更多标量量化
04-27 4328
​在 Lucene 中引入 Int4 量化。在之前的博客中,我们全面介绍了 Lucene 中标量量化的实现。 我们还探索了两种具体的量化优化。 现在我们遇到了一个问题:int4 量化在 Lucene 中是如何工作的以及它是如何排列的?
博客
Elastic Universal Profiling: 提供性能改进和成本降低
04-25 795
​在当今云服务和 SaaS 平台的时代,持续改进不仅是一个目标,而是一个必要条件。在 Elastic,我们始终在寻找方法来优化我们的系统,无论是我们的内部工具还是 Elastic Cloud 服务。我们最近在 Elastic Cloud QA 环境中进行的性能优化调查,由 Elastic Universal Profiling 指导,是如何将数据转化为可操作见解的一个很好的例子。在本博客中,我们将介绍我们的一位工程师发现的一项内容,该发现导致我们在 QA 环境中节省了数千美元,并且一旦我们将此更改部署
博客
使用 OpenTelemetry 中的推断跨度来揭示跟踪数据中的未知信息
04-24 909
在微服务和分布式系统的复杂世界中,实现透明度并了解服务交互和请求流程的复杂性和低效性已成为一个重要挑战。分布式跟踪对于理解分布式系统至关重要。但是,无论是手动应用还是自动检测,分布式跟踪通常都相对粗粒度。因此,分布式跟踪仅覆盖系统的有限部分,往往会错过系统中最有价值的跟踪部分。
博客
Elasticsearch:崭新的打分机制 - Learning To Rank (LTR)
04-22 3196
“学习排名 (Learning To Rank)” 功能处于技术预览版,可能会在未来版本中更改或删除。Elastic 将努力解决任何问题,但此功能不受官方 GA 功能的支持 SLA 的约束。:此功能是在版本 8.12.0 中引入的,并且仅适用于某些订阅级别。有关更多信息,请参阅。Learning To Rank (LTR) 使用经过训练的机器学习(ML)模型来构建搜索引擎的排名函数。通常,该模型用作第二阶段的重新排序器,以提高简单的第一阶段检索算法返回的搜索结果的相关性。
博客
Elasticsearch 开放 inference API 增加了对 OpenAI chat completions 的支持
04-21 2253
我们很高兴地宣布在 Elasticsearch 中推出的最新创新:在 Elastic 的中集成了 OpenAI Chat Completions 功能。这一新特性标志着我们在整合尖端人工智能能力至 Elasticsearch 的旅程中又迈出了一步,提供了生成类人文本完成等更多易于使用的功能。更多关于 OpenAI Chat Completions 的用法,请阅读文章 “
博客
Elastic 网络爬虫:为你的网站添加搜索功能
04-20 1970
从我们的第一次爬取中,我们注意到 category 页面也被爬取了,而我们对它们不感兴趣,所以让我们将它们排除在爬取之外。在爬取规则下,添加一个新规则来禁止爬取以路径模式 /catalogue/category/ 开头 (Begins with) 的页面。现在我们可以在新规则生效的情况下重新进行一次爬取。注意:作为探索过程的一部分,每次更改网络爬虫配置时,我建议删除内容。在最后一章 “准备生产部署” 中,我们将看到如何在不手动删除数据的情况下重新运行网络爬虫。
博客
从 Elastic 的 Go APM 代理迁移到 OpenTelemetry Go SDK
04-19 1161
正如,Elastic 致力于帮助 OpenTelemetry(OTel)取得成功,这意味着在某些情况下构建语言 SDK 的分发版本。Elastic 在观察性和安全数据收集方面战略性地选择了 OTel 标准。此外,Elastic 承诺与 OTel 社区合作,成为观察性生态系统中最佳的数据收集基础设施。Elastic 正在加深与 OTel 的合作关系,超越了最近将(invokedynamic)以及。
博客
Elasticsearch:使用向量化和 FFI/madvise 加速 Lucene
04-18 1173
在 Lucene 领域,我们一直热切地采用新版本 Java 的功能。这些功能使 Lucene 更接近 JVM 和底层硬件,从而提高了性能和稳定性。这使得 Lucene 保持现代化和具有竞争力。Lucene 的下一个主要版本,Lucene 10,将需要至少 Java 21。让我们看看我们为什么要这样做以及它将如何惠及 Lucene。
博客
Elasticsearch:简化 KNN 搜索
04-18 3299
在这篇博客文章中,我们将深入探讨我们为了使 KNN 搜索的入门体验变得更加简单而做出的努力!我们在 Elastic 处理 knn 搜索的方式在不断进化,我们持续引入新功能和改进,因此这些参数和整体评估很可能很快就会过时!我们总是在密切关注,一旦发生变化,我们将确保跟进并相应调整我们的配置!需要记住的一件重要事情是,这些值仅作为简化入门体验和非常通用用例的合理默认值。用户可以轻松地在自己的数据集上进行实验,并根据自己的需求进行相应调整(例如,在某些情况下,召回率可能比延迟更重要)。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值