Selamlar arkadaşlar bu yazımda sizlere Graylog üzerinde Log Parse işlemlerini anlatacağım.
Grok Pattern bir Log Parse işlemidir. Loglarımızı analiz etmemiz için kullanılan bir desen işleme mekanizmasıdır. Bu işlemleri yaparken Regular Expression yararlanırız. Loglarınızı Regex ile ayırmak isterseniz buraya tıklayarak Regex101 sayfasına ulaşabilirsiniz. Regex fonksiyonları yardımıyla loglarınızı parçalar, istediğimiz şekilde görülmesini sağlayabilirsiniz. Bu sayede logları analiz ederken ve filtrelerken kolaylık sağlamış oluruz.
İlk olarak Graylog içerisinde bulunan Grok Patterns alanına ulaşmak istiyorsanız, System > Grok Patterns alanına tıklamanız gerekiyor. Daha sonra kendiniz için bir Grok Pattern oluşturmak istiyorsanız Create Patterns tuşuna tıklamalısınız.
Açılan pencerede Name alanına isim veriyoruz. Pattern alanında Regex kullanarak istediğimiz parametreyi giriyoruz. Parametreyi Test edebilmek için Sample Data alanına Log’umuzu giriyoruz ve ardından Test with Sample Data alanına tıkladıktan sonra Test Result alanında sonucumuzu görüyoruz. Testlerimizin ardından Create Pattern diyerek oluşturma işlemimizi tamamlıyoruz.
– Şimdi belirlediğimiz bir Log’a Extractor belirleyelim :
Daha sonra Search alanında istediğimiz Log’u belirliyoruz ve üzerine tıklayarak genişletiyoruz. Sonrasında Message alanına gelerek, mesajın en sonunda bulunan aşağıya doğru küçük ok işaretine basıyoruz ve bir menü açılıyor. Buradan Create Extractor seçeneğine tıklıyoruz.
Daha sonra açılan küçük pencerede Grok Pattern seçiyoruz ve Submit tuşuna basıyoruz.
Sonrasında açılan pencerede olan alanları sizlerle paylaşayım.
Example Message alanında belirlemiş olduğumuz Log’u örnek olarak kullanıyoruz.
Load Another Message alanında ise farklı bir Message’ı bu alana yükleyebiliriz.
Grok Pattern yazan alanda Pattern kutusuna doldurmuş olduğumuz kelimeleri; Filter Pattern kutucuğunda aratarak bulabiliriz. Burada örnek olarak WORD aradınız ve yukarıdaki gibi Add tuşuna bastıktan sonra Pattern alanında gördünüz.
%{WORD:Mesaj} şeklinde yazarsanız bulmuş olduğu kelimeyi Mesaj olarak ayırdığını göreceksiniz. Yukarıdaki resimde yok ancak Try Against Example butonuna bastığınızda anlık olarak değişiklikleri tek tek kontrol edebilirsiniz. O kısmıda aşağıdaki Fotoda görebilirsiniz.
Her yaptığınız değişiklikten sonra kontrol amaçlı basabileceğiniz Try against example tuşuna basıyoruz ve Exctractor Preview kutusu yapmış olduğunuz şekillendirme işleminin uygulanmış halini gösteriyor.
Her şeyin tamam olduğunu düşünüyorsanız eğer Extractor title alanına bir isim verdikten sonra Create Extractor tuşuna basıyoruz.
Oluşturmuş olduğumuz Extractor’u buradan görebilir ve Editleyebiliriz.
Daha sonra yeni gelen loglarını kontrol ettiğinizde Mesaj içeriğinin parçalanarak eklendiğini göreceksiniz.
Ne olur ne olmaz diye oluşturmuş olduğunuz Extractor’leri bulamazsanız diyerek buraya nasıl ulaşabileceğinizi göstermek istedim. System > Inputs alanını seçtikten sonra hangi Input’unuzda olduğunu belirleyerek Manage Extractors kısmına basıp ulaşabilirsiniz.
Bir yazımın daha sonuna geldik arkadaşlar umarım yararlı olmuştur. Soru ve görüşlerinizi Yorumlar alanından bana iletebilirsiniz. Destek olmak isterseniz ise YouTube üzerinde bulunan SistemDostu kanalıma abone olabilirsiniz. Kolaylıklar dilerim.
