Grok 处理器
无服务器
Grok 处理器解析非结构化的日志消息并从中提取字段。它使用一组预定义的模式来匹配日志消息并提取字段。Grok 处理器功能强大,可以解析各种日志格式。
您可以向 Grok 处理器提供多个模式。Grok 处理器将按提供的顺序尝试将日志消息与每个模式进行匹配。如果模式匹配,则会提取字段,并且不会使用剩余的模式。如果模式不匹配,Grok 处理器将尝试下一个模式。如果没有模式匹配,Grok 处理器将失败,您可以排除故障。有关更多信息,请参阅生成模式。
首先从最常见的模式开始,然后添加更具体的模式。这减少了 Grok 处理器必须运行的次数,并提高了管道的性能。
此功能使用 Elasticsearch Grok 管道处理器。有关更多信息,请参阅 Elasticsearch 文档中的Grok 处理器。
Grok 处理器使用一组预定义的模式来匹配日志消息并提取字段。您还可以通过展开“可选字段”部分来定义自己的模式定义。这将允许您定义自己的模式并在 Grok 处理器中使用它们。模式的定义格式如下:
{
"MY_DATE": "%{YEAR}-%{MONTHNUM}-%{MONTHDAY}"
}
其中 MY_DATE 是模式的名称。然后可以在处理器中使用上述模式
%{MY_DATE:date}
需要配置 LLM 连接器。您可以使用“生成模式”按钮为您生成模式,而不是手动编写 Grok 模式。
可以通过单击模式旁边的加号图标来接受模式。这会将模式添加到 Grok 处理器中使用的模式列表中。
在底层,右侧的 100 个样本被分组为相似消息的类别。对于每个类别,通过将一些样本发送到 LLM 来生成 Grok 模式。然后,匹配的模式将显示在 UI 中。
注意
这可能会产生额外费用,具体取决于您使用的 LLM 连接器。通常,单次迭代使用 1000 到 5000 个 token,具体取决于已识别的类别数量和消息的长度。