Para quem utiliza o logstash, sabe que realizar o parser de um log de uma aplicação não é uma tarefa fácil. Pois bem, nesta dica vou apresentar o plugin grok. Ele possui inúmeras expressões regulares prontas, agilizando demais o trabalho na hora de realizar o mapeamento de cada campo. Então, bora lá!

Este plugin não precisa ser instalado, pois ele já encontra-se por padrão no logstash. Abaixo um pequeno trecho de log para que possamos exemplificar seu funcionamento:


Como estamos trabalhando com o log do Apache, já temos uma expressão pronta do grok que faz o parser com apenas 1 variável:

%{COMBINEDAPACHELOG}

Na parte superior, vamos inserir o nosso log e na parte inferior a nossa variável grok, conforme imagem abaixo e em seguida clicar no botão GO: E se navegarmos até o final da página, veremos que todos os campos foram mapeados corretamente!!! Quais possibilidades de expressões regulares eu posso utilizar no grok: logstash/grok-patterns at v1.4.2 - elastic/logstash - GitHub

Fonte: Grok filter plugin | Logstash Reference [7.8] | Elastic

Bem pessoal, espero que essa dica seja útil.

[]'s leoberbert