پارس access log خام Apache با GROK
استخراج درجای فیلدهای combined log (IP، متد، مسیر، وضعیت، بایتها) با تعیین نوع :int مستقیم توی الگوی GROK.
کاربرد
کار کردن با لاگهایی که بدون پایپلاین پارس ingest شدن، بدون ایندکس مجدد.
پیشنیازها
Elasticsearch 8.12+, champ message brut
SQL
FROM "logs-apache-brut-*"
| GROK message """%{IPORHOST:client_ip} - %{USER:auth} \[%{HTTPDATE:ts}\] "%{WORD:methode} %{NOTSPACE:chemin} HTTP/%{NUMBER:version}" %{NUMBER:statut:int} %{NUMBER:octets:int}"""
| WHERE statut IS NOT NULL
| STATS
hits = COUNT(*),
octets_totaux = SUM(octets),
clients = COUNT_DISTINCT(client_ip)
BY methode, statut
| SORT hits DESC
| LIMIT 30نتیجه
methode | statut | hits | octets_totaux | clients --------+--------+--------+---------------+-------- GET | 200 | 482113 | 18432048211 | 12408 GET | 304 | 91204 | 8123404 | 8741 POST | 200 | 48277 | 2940113208 | 3102 GET | 404 | 12840 | 48211002 | 1843 POST | 500 | 912 | 3120448 | 287
GROKApacheParsingLogs