[Graylog] Grok Patterns 적용하기
✍️ 개요
지난 시간에 Grok Patterns에 대해 공부해봤으니, 오늘은 Graylog에서 Grok Patterns 적용하는 방법에 대해 알아볼게요!
👇👇 Grok Patterns 만드는 법은 아래 링크로!!
[Graylog] Grok Patterns이란?
🔎 Grok Patterns 이란? Logstash에서 제공하는 Filter 플러그인으로, 구조화되지 않은 로그 데이터에서 속성(키:값 쌍)을 추출하는 프로세스로 즉 Graylog에서 로그 분석(파싱)하는 역할을 하는 친구이다.
na-nii.tistory.com
⚙️ Grok Patterns 생성
내부망에서 캡쳐해와서 사진이 좀 깨졌네요 😭😭 메뉴얼 느낌이니까 음체로 가겠습니다-!
① System에서 Grok Patterns을 누름.
② 패턴 생성을 누름.
③ 패턴명 입력 (중복값 안됨)
④ 패턴 입력
⑤ 패턴과 매칭할 샘플 로그 입력
⑥ 테스트 (필수는 아니며, 다양한 로그와 매칭해보는 게 좋음. 이전에 설명한 로그 테스트에서는 매칭이 되지만, Graylog 내에서는 매칭이 안될 수 있음.)
⑦ 테스트 결과 (패턴이 매칭하면 위와 같이 나오나, 매칭되지 않으면 {} 값만 나옴)
⚙️ Grok Patterns 적용
⑩ Etractors 관리를 누름.
⑪ 패턴을 적용할 메시지를 불러옴.
⑫ 최근에 들어온 메시지가 랜덤으로 나옴.
⑬ 만약, 특정 메시지를 호출하고 싶으면 오른쪽과 같이 메시지 내에 ID와 Index를 입력하면 됨.
(보편화된 메시지의 경우 12번을 로그인 메시지 등 특정 메시지의 경우 13번의 방법을 사용)
⑭ 패턴을 적용할 필드 값에 Grok Pattern을 누름. (보통 message에 적용 많이 함)
⑮ 위에서 생성한 패턴을 검색함.
⑯ 미리 생성한 패턴을 넣을 수도 있고, 여기서 직접 작성할 수도 있음.
⑰ 모든 메시지에 적용시킬지, 아니면 특정 문자열에 적용시킬지 선택할 수 있음.
⑱ 추출기의 이름 작성
⑲ 추출기 생성 버튼을 누름.
* Grok Pattern은 설정 후부터 적용되므로, 추이를 지켜봐야함
📌 느낀점
사진 화질이 깨져서 많이 속상하네요 😟😟 Grok Patterns은 만들기도 어렵고 적용하기도 까다로운 거 같아요ㅠㅠ 또 설정 후 부터 적용이 되니 로그가 들어올 때 까지 기다리고 확인하고 또 수정하고 이 작업들이 너무 귀찮고 오래 걸려요
다른 분들은 저처럼 고생하지 않고 쉽게 적용했으면 좋겠습니다 😄 다음에는 Pipeline에 대해 가져와볼게요!!