comando grok - OpenSearch Servizio Amazon

Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.

comando grok

Nota

Per vedere quali integrazioni di fonti di AWS dati supportano questo PPL comando, vedi. Comandi

Il grok comando analizza un campo di testo con un pattern grok e aggiunge i risultati al risultato della ricerca.

Sintassi

Utilizzare la seguente sintassi:

grok <field> <pattern>
field

  • Obbligatorio.

  • Il campo deve essere un campo di testo.

pattern

  • Obbligatorio.

  • Il modello grok usato per estrarre nuovi campi dal campo di testo specificato.

  • Se esiste già un nuovo nome di campo, sostituirà il campo originale.

Pattern grok

Il pattern grok viene utilizzato per abbinare il campo di testo di ogni documento per estrarre nuovi campi.

Esempio 1: creare il nuovo campo

Questo esempio mostra come creare un nuovo campo host per ogni documento. hostsarà il nome host dopo @ nel email campo. L'analisi di un campo nullo restituirà una stringa vuota.

os> source=accounts | grok email '.+@%{HOSTNAME:host}' | fields email, host ;
fetched rows / total rows = 4/4
+-------------------------+-------------+
| email                   | host        |
|-------------------------+-------------|
| jane_doe@example.com    | example.com |
| arnav_desai@example.net | example.net |
| null                    |             |
| juan_li@example.org     | example.org |
+-------------------------+-------------+
Esempio 2: sovrascrivi il campo esistente

Questo esempio mostra come sostituire il address campo esistente con il numero civico rimosso.

os> source=accounts | grok address '%{NUMBER} %{GREEDYDATA:address}' | fields address ;
fetched rows / total rows = 4/4
+------------------+
| address          |
|------------------|
| Example Lane     |
| Any Street       |
| Main Street      |
| Example Court    |
+------------------+
Esempio 3: Usare grok per analizzare i log

Questo esempio mostra come usare grok per analizzare i log non elaborati.

os> source=apache | grok message '%{COMMONAPACHELOG}' | fields COMMONAPACHELOG, timestamp, response, bytes ;
fetched rows / total rows = 4/4
+-----------------------------------------------------------------------------------------------------------------------------+----------------------------+------------+---------+
| COMMONAPACHELOG                                                                                                             | timestamp                  | response   | bytes   |
|-----------------------------------------------------------------------------------------------------------------------------+----------------------------+------------+---------|
| 177.95.8.74 - upton5450 [28/Sep/2022:10:15:57 -0700] "HEAD /e-business/mindshare HTTP/1.0" 404 19927                        | 28/Sep/2022:10:15:57 -0700 | 404        | 19927   |
| 127.45.152.6 - pouros8756 [28/Sep/2022:10:15:57 -0700] "GET /architectures/convergence/niches/mindshare HTTP/1.0" 100 28722 | 28/Sep/2022:10:15:57 -0700 | 100        | 28722   |
| *************** - - [28/Sep/2022:10:15:57 -0700] "PATCH /strategize/out-of-the-box HTTP/1.0" 401 27439                      | 28/Sep/2022:10:15:57 -0700 | 401        | 27439   |
| ************** - - [28/Sep/2022:10:15:57 -0700] "POST /users HTTP/1.1" 301 9481                                             | 28/Sep/2022:10:15:57 -0700 | 301        | 9481    |
+-----------------------------------------------------------------------------------------------------------------------------+----------------------------+------------+---------+
Limitazioni

Il comando grok presenta le stesse limitazioni del comando parse.