Chapter 49

抽出パターン(Grok)設定

twsnmp
twsnmp
2022.07.20に更新

TWSNMP FCのsyslogの検索、Webサーバーから取得したデータからのデータ抽出に利用する抽出パターン(Grok)の設定についての説明です。

https://note.com/twsnmp/n/nf7e712df0368

の記事のように使うものです。

抽出パターン設定の表示方法

メニューの「システム設定」ー「抽出パターン」をクリックすると表示できます。

抽出パターン設定画面

のような感じです。

操作ボタン

左から<編集>、<削除>、<コピー>です。
<編集>ボタンは編集画面を表示します。
<削除>ボタンをクリックすると、

のような確認ダイアログが表示されます。<削除>をクリックすれば削除できます。
<コピー>は、同じ設定内容でIDに_Copyを追加した状態の編集画面を表示します。一部だけ変えて新しい設定を追加するために使います。

<追加>ボタン

新しい抽出パターンを追加するための編集画面を表示します。

<デフォルト>ボタン

標準で組み込まれている抽出パターンを読み込みます。間違った変更や削除した場合に元に戻せるということです。

<インポート>ボタン

抽出パターンをファイルから読み込みます。フォーマットはYAML形式です。

- id: MEMFREE
 name: メモリー(free)
 descr: freeコマンドの出力からトータルサイズ、使用量、空き容量、共有サイズ、バッファサイズ、利用可能サイズを抽出する
 pat: Mem:\s+%{BASE10NUM:total}\s+%{BASE10NUM:used}\s+%{BASE10NUM:free}\s+%{BASE10NUM:share}\s+%{BASE10NUM:buffer}\s+%{BASE10NUM:available}
 ok: ""

他の例はエクスポートしたものを見て下さい。

<エクスポート>ボタン

抽出パターンをファイルに出力します。

<更新>ボタン

抽出パターンを最新の状態に更新します。他の人が編集したかもしれない時に使います。

編集画面

のような感じです。

ID

抽出パターンを利用する時に内部で識別するための名前です。ユニークなIDをつけてください。半角英数字と_(アンダーバー)が使用できます。

名前

人が識別するためのつける名前です。お好きな名前をつけてください。

説明

何ための抽出パターンか人に説明するためのものです。

パターン

Grokで定義した抽出パターンです。
Grokの説明は

https://www.designet.co.jp/ossinfo/graylog/manual/grok.php#:~:text=Grokは、正規表現の,することができます。

を見てください。他力ですが
使っているライブラリで予め定義されているのは

https://github.com/vjeantet/grok/blob/master/patterns.go

です。

正常値

抽出した情報を正常と判断するために比較する文字列を指定します。ユーザーレポートのためのログイン成功失敗を判断するために使います。

<保存>ボタン

変更した内容を保存します。

<テスト>ボタン

抽出パターンのテストをする画面を表示します。

テスト画面

のような感じです。
①のパターンにテストする抽出するパターンを入力します。
②のテストデータに抽出対象のログなどを入力します。
③の<実行>ボタンをクリックすると抽出できた場合は、
④の抽出結果に値が表示されます。変更したパターンは<閉じる>ボタンをクリックすれば編集画面に反映されます。