## 一、说明 整个ELK搭建过程中最痛苦的就是调试Grok表达式去结构化日志数据，介绍两个调试工具可以提升效率 ## 二、调试工具 ### 2.1. grokdebug [http://grokdebug.herokuapp.com/](http://grokdebug.herokuapp.com/) 优点：在线调试 缺点：需要翻墙否则访问速度非常慢，缺乏具体的报错提示 > 表达式正确 >  > 表达式错误 >  ### 2.2. kibana kibana本身的`Dev Tools`菜单里面有个`Grok Debugger`就是用来调试Grok语法的，如下图 > 表达式正确 >  > 表达式错误：找不到pattern >  > 补充自定义patterns后表达式正确 >  ### 2.3. logstash 直接用logstash本身来进行配置调试 **(1) 创建测试配置** 在config目录下新建`test.conf`配置文件，内容如下： ~~~ input { stdin { } } filter { grok { match => { "message" => "%{TIMESTAMP_ISO8601:log_time}\|%{WORD:resouce_id}" } } } output { stdout { codec => rubydebug } } ~~~ > 修改filter里面的内容为自己想要测试的配置 **(2) 运行** 执行一下命令启动logstash ~~~ bin/logstash -f config/test.conf ~~~ 当看到打印以下信息则代表启动成功 ~~~ Successfully started Logstash API endpoint {:port=>9600} ~~~ **(3) 测试** 在控制台中输入测试的内容 ~~~ 2021-01-12 10:00:00.000|123 ~~~ 输出结果 ~~~ { "@version" => "1", "log_time" => "2021-01-12 10:00:00.000", "host" => "lf-172-16-21-134", "message" => "2021-01-12 10:00:00.000|123", "@timestamp" => 2021-01-13T09:18:28.397Z, "resouce_id" => "123" } ~~~