As traduções são geradas por tradução automática. Em caso de conflito entre o conteúdo da tradução e da versão original em inglês, a versão em inglês prevalecerá.
comando grok
nota
Para ver quais integrações AWS de fontes de dados oferecem suporte a esse PPL comando, consulteComandos.
O grok
comando analisa um campo de texto com um padrão grok e anexa os resultados ao resultado da pesquisa.
Sintaxe
Use a seguinte sintaxe:
grok <field> <pattern>
Campo
-
Obrigatório.
-
O campo deve ser um campo de texto.
pattern
-
Obrigatório.
-
O padrão grok usado para extrair novos campos do campo de texto fornecido.
-
Se um novo nome de campo já existir, ele substituirá o campo original.
Padrão grok
O padrão grok é usado para combinar o campo de texto de cada documento para extrair novos campos.
Exemplo 1: Criar o novo campo
Este exemplo mostra como criar um novo campo host
para cada documento. host
será o nome do host depois @
do email
campo. A análise de um campo nulo retornará uma string vazia.
os> source=accounts | grok email '.+@%{HOSTNAME:host}' | fields email, host ; fetched rows / total rows = 4/4 +-------------------------+-------------+ | email | host | |-------------------------+-------------| | jane_doe@example.com | example.com | | arnav_desai@example.net | example.net | | null | | | juan_li@example.org | example.org | +-------------------------+-------------+
Exemplo 2: substituir o campo existente
Este exemplo mostra como substituir o address
campo existente com o número da rua removido.
os> source=accounts | grok address '%{NUMBER} %{GREEDYDATA:address}' | fields address ; fetched rows / total rows = 4/4 +------------------+ | address | |------------------| | Example Lane | | Any Street | | Main Street | | Example Court | +------------------+
Exemplo 3: Usando o grok para analisar registros
Este exemplo mostra como usar o grok para analisar registros brutos.
os> source=apache | grok message '%{COMMONAPACHELOG}' | fields COMMONAPACHELOG, timestamp, response, bytes ; fetched rows / total rows = 4/4 +-----------------------------------------------------------------------------------------------------------------------------+----------------------------+------------+---------+ | COMMONAPACHELOG | timestamp | response | bytes | |-----------------------------------------------------------------------------------------------------------------------------+----------------------------+------------+---------| | 177.95.8.74 - upton5450 [28/Sep/2022:10:15:57 -0700] "HEAD /e-business/mindshare HTTP/1.0" 404 19927 | 28/Sep/2022:10:15:57 -0700 | 404 | 19927 | | 127.45.152.6 - pouros8756 [28/Sep/2022:10:15:57 -0700] "GET /architectures/convergence/niches/mindshare HTTP/1.0" 100 28722 | 28/Sep/2022:10:15:57 -0700 | 100 | 28722 | | *************** - - [28/Sep/2022:10:15:57 -0700] "PATCH /strategize/out-of-the-box HTTP/1.0" 401 27439 | 28/Sep/2022:10:15:57 -0700 | 401 | 27439 | | ************** - - [28/Sep/2022:10:15:57 -0700] "POST /users HTTP/1.1" 301 9481 | 28/Sep/2022:10:15:57 -0700 | 301 | 9481 | +-----------------------------------------------------------------------------------------------------------------------------+----------------------------+------------+---------+
Limitações
O comando grok tem as mesmas limitações do comando parse.